Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Национальный стандарт РФ ГОСТ Р ИСО 26262-10-2014 "Дорожные транспортные средства. Функциональная безопасность. Часть 10. Руководящие указания по ИСО 26262" (утв. приказом Федерального агентства по техническому регулированию и метрологии России от 17 ноября 2014 г. N 1624-ст)
- Приложение А (справочное). ИСО 26262 и микроконтроллеры
Приложение А (справочное). ИСО 26262 и микроконтроллеры
Приложение А
(справочное)
ИСО 26262 и микроконтроллеры
А.1 Общие положения
Целью данного приложения является рассмотрение не исчерпывающего списка примеров использования микроконтроллеров в контексте применения настоящего стандарта.
А.2 Микроконтроллер, его части и подчасти
Микроконтроллер (MCU или C) представляет собой небольшой компьютер на одной интегральной схеме, включающий процессор, генератор тактовых импульсов, таймеры, периферийные устройства, порты ввода/вывода и память. Кристалл часто содержит как память для программ, реализованную в виде постоянной памяти (например, флэш-ПЗУ или однократно программируемую постоянную память), так и некоторый объем памяти с произвольным доступом.
Как показано на рисунке, иерархически весь микроконтроллер может рассматриваться как компонент, а блок обработки (например, процессор) как часть. Как описано в примере 4.2 и более подробно в А.3.3, в некоторых случаях (например, в зависимости от типа используемого механизма безопасности на уровне микроконтроллера или системы), каждая часть может быть далее разделена на подчасти (например, блок регистров ЦП и его внутренние регистры).
Такое представление является логическим представлением микроконтроллера. Оно не обязательно соответствует его физической реализации, и не обязательно отражает зависимости между частями и подчастями.
Рисунок А.1 - Микроконтроллер, его части и подчасти
В приложении D ИСО 26262-5 и, в частности, в таблице D.1 ИСО 26262-5 представлен список частей и подчастей микроконтроллера. Части или подчасти, не включенные в таблицу D.1 ИСО 26262-5, могут быть классифицированы по аналогии с уже определенными частями или подчастями. В таблице А.1 приведены некоторые примеры.
Таблица А.1 - Пример классификации частей и подчастей микроконтроллера, рассмотренного в ИСО 26262-5
|
Элементы в таблице D.1 ИСО 26262-5 |
Примеры для микроконтроллера |
|
|
Часть |
Подчасть |
|
|
Источник питания |
Встроенный регулятор напряжения (EVR), модуль управления электропитанием (PMU) |
|
|
Устройство синхронизации |
Схема фазовой синхронизации (PLL), кольцевой генератор, блок генерации синхросигналов (CGU), дерево синхронизации |
|
|
Постоянная память |
FLASH, EEPROM, ROM, однократно программируемая (ОТР) постоянная память |
Массив элементов памяти, дешифратор адреса, интерфейсная схема, тестовая/избыточная логика, контроллеры памяти |
|
Память с произвольным доступом |
RAM, кеш-память |
Массив элементов памяти, дешифратор адреса, интерфейсная схема, тестовая/избыточная логика, контроллеры памяти |
|
Аналоговое и цифровое устройства ввода/вывода |
Универсальные интерфейсы ввода/вывода (GPIO), широтно-импульсный модулятор (PWM) |
|
|
|
Аналого-цифровой преобразователь (ADC), цифроаналоговый преобразователь (DAC) |
|
|
Центральный процессор (CPU) |
Арифметико-логическое устройство (ALU), информационные каналы CPU |
|
|
|
Блок регистров, внутренняя RAM CPU, такие как небольшие кэш-памяти данных |
|
|
|
Модуль загрузки и хранения и интерфейсы шины |
|
|
|
Секвенсер, кодирование и логика выполнения, включая регистры признака и управление стеком |
|
|
|
Контроллеры локальной памяти CPU, включая контроллеры кэш-памяти |
|
|
Контроллер-прерываний |
Регистры конфигурации контроллера прерываний |
|
|
Универсальные таймеры |
|
|
|
Средства коммуникации |
Коммуникация на кристалле, включая управление доступом к шине |
Матричный коммутатор каналов или коммутируемая сеть устройств. Протокол, разрядность данных и преобразование тактовых сигналов (например, мосты между шинами) |
|
|
Коммуникация на кристалле, используя прямой доступ к памяти (DMA) |
Логика адресации DMA, адресные регистры DMA, буферные регистры DMA |
|
|
Последовательный периферийный интерфейс (SPI), интерфейс к запоминающему устройству с последовательной выборкой (SMI), интерфейс межсоединения ИС (I2C), интерфейс локальной сети контроллеров (CAN), синхронизируемая по времени локальная сеть контроллеров (TTCAN), автомобильный сетевой коммуникационный протокол (FlexRay), коммутируемая локальная сеть (LIN), односторонняя полубайтовая передача (SENT), Ethernet, интерфейс распределенных систем (DSI), интерфейс периферийных датчиков (PSI5) |
|
Данная таблица является примером: список частей/подчастей и декомпозиция микроконтроллера могут быть различными.
А.3 Общее описание разработки микроконтроллера и анализа безопасности в соответствии с настоящим стандартом
А.3.1 Общие положения
Если микроконтроллер разрабатывается как часть разрабатываемого устройства в соответствии с требованиями настоящего стандарта, то он должен удовлетворять требованиям безопасности, которые выводятся из целей безопасности устройства на верхнем уровне. Для метрик архитектуры аппаратных средств и вероятностной метрики для случайных отказов аппаратных средств устройства распределяются целевые значения, при этом микроконтроллер является лишь одним из элементов устройства. Как видно из примера, описанного в 8.2 ИСО 26262-5, чтобы сделать распределенную разработку более легкой, целевые значения могут быть распределены самому микроконтроллеру. Анализ безопасности микроконтроллера выполняется на основе требований и рекомендаций, определенных в 7.4.3 ИСО 26262-5 и в разделе 8 (Анализ безопасности) ИСО 26262-9.
С другой стороны, в случае, если целевое устройство еще не существует, то микроконтроллер может быть разработан, как общеиспользуемый элемент безопасности (ОЭБ, см. раздел 8 настоящего стандарта). В этом случае, разработка осуществляется на основе предположений об условиях использования микроконтроллера (Предположения Использования - ПИ), затем устанавливается обоснованность предположений на основе требований к микроконтроллеру, полученных из целей безопасности того устройства, в котором микроконтроллер должен использоваться.
Описанные ниже в данном приложении исследования и связанные с ними примеры выполнены, предполагая, что микроконтроллер является общеиспользуемым элементом безопасности, но описанные методы (например, метод вычисления интенсивности отказов микроконтроллера) остаются допустимыми и для микроконтроллера, который не является общеиспользуемым элементом безопасности. Если эти исследования проводятся для автономного микроконтроллера, то делаются соответствующие предположения. В А.3.9 описывается процедура адаптации и верификации результатов этих исследований и допущений на уровне системы. Для автономного микроконтроллера каждое требование ИСО 26262-5, ИСО 26262-8 и ИСО 26262-9 (например, связанное с анализом безопасности, анализом зависимых отказов, верификацией и т.д.) остается в силе.
А.3.2 Качественный и количественный анализ микроконтроллера
Как видно из 8.2 ИСО 26262-9, качественный и количественный анализ безопасности выполняются на соответствующем уровне абстракции во время стадий формирования концепции и разработки изделия. Для микроконтроллера:
a) качественный анализ полезен при выявлении отказов. Один из возможных способов, когда он может быть выполнен, использует информацию, полученную из блок-схем микроконтроллера, и информацию, полученную из приложения D ИСО 26262-5.
Примечания
1 Приложение D ИСО 26262-5 может быть использовано в качестве отправной точки для анализа охвата диагностикой (DC) с заявленным значением DC, поддержанным надлежащим обоснованием.
2 Качественный анализ включает анализ зависимых отказов, рассмотренный ниже в А.З.6 (Пример анализа зависимых отказов);
b) количественный анализ выполняется, используя совокупность:
I) данных о структурировании на уровне логических блоков;
II) сведений, полученных из описания микроконтроллера на уровне межрегистровых передач (RTL) (для по лучения функциональной информации) и на уровне таблицы связей логических элементов (для получения функциональной и структурной информации);
III) сведений для оценки возможных не специфицированных взаимодействий подфункции (зависимых отказов, см. А.3.6);
IV) информации о схеме размещения, доступной только на заключительной стадии;
V) информации о верификации охвата диагностикой некоторых конкретных видов сбоев, таких как сбои типа короткое замыкание. Эту информацию можно применять только в некоторых случаях, например при сравнении части и ее соответствующего механизма безопасности;
VI) результатов экспертной оценки с обоснованием и тщательным рассмотрением эффективности мер на уровне системы.
Примечания
1 Анализ зависимых отказов выполняется качественными методами, потому что не существует общего и достаточно надежного количественного метода для оценки таких отказов.
2 Эта информация может появляться постепенно в процессе разработки микроконтроллера. Поэтому анализ может повторяться по мере появления новой информации.
Примеры
1 Оценка зависимых отказов начинается на ранней стадии проектирования. Чтобы выявить и избежать возможные источники зависимых отказов или обнаружить их влияние на обеспечение безопасности "системы на кристалле" специфицируются меры проектирования. На завершающей стадии проектирования используется подтверждение схеме размещения.
2 Во время выполнения первого шага количественного анализа, может быть доступна таблица связей предварительного размещения логических элементов для предварительного тестопригодного проектирования (DFT), а затем, используя таблицу связей окончательного размещения логических элементов для окончательного тестопригодного проектирования, анализ повторяют;
с) поскольку части и подчасти микроконтроллера могут быть реализованы в одном физическом компоненте, то как анализ зависимых отказов, так и анализ независимости от помех или на их отсутствие являются важными для микроконтроллеров. Более подробно см. А.3.6.
А.3.3 Метод вычисления интенсивностей отказов для микроконтроллера
А.3.3.1 Общие положения
Требования и рекомендации для расчета интенсивности отказов в целом определены в ИСО 26262-5, а требования для расчета метрик приведены в приложении С.
Следуя примеру, приведенному в приложении Е ИСО 26262-5, интенсивности отказов и метрики могут быть вычислены для микроконтроллеров следующим образом:
- во-первых, микроконтроллер декомпозируется на части или подчасти.
Примечания
1 Предположения о независимости выявленных частей верифицируются при анализе зависимых отказов.
2 Необходимый уровень детализации (например, если выбрать уровень частей или, если спуститься до уровня подчастей или уровня элементарных подчастей) может зависеть от стадии анализа и используемых механизмов безопасности (внутри микроконтроллера или на уровне системы).
Примеры
1 Если функциональные возможности процессора контролируются другим процессором, работающих в жестко параллельном режиме (в однокристальной многопроцессорной системе), то анализ не должен рассматривать каждый процессор и каждый регистр внутри процессора, в то время как более подробно может быть необходимо рассмотреть компаратор такой жесткой конфигурации. Если, с другой стороны, функциональные возможности процессора контролируются самотестирующим программным обеспечением, то может быть целесообразен подробный анализ различных подчастей процессора.
2 Уверенность в результате вычисления пропорциональна степени детализации: низкий уровень детализации может быть подходящим для анализа на стадии концепции, в то время как более высокий уровень детализации может быть подходящим для анализа на стадии разработки.
Примечание - В связи со сложностью современных микроконтроллеров (сотни или тысячи частей и подчастей), чтобы гарантировать полноту анализа, было бы полезно поддерживать процесс декомпозиции автоматическими средствами. Необходимо быть внимательным при анализе на уровне микроконтроллера через границы модуля. Разбиения делаются на иерархическом уровне межрегистровых передач, если это возможно;
- во-вторых, значения интенсивностей отказов каждой части или подчасти могут быть вычислены с помощью одного из следующих двух методов:
1) Если общая интенсивность отказов всего кристалла микроконтроллера (т.е. без учета корпуса и крепления кристалла) определяется, как количество отказов в единицу времени (FIT), то можно предположить, что интенсивность отказов части или подчасти, равна занимаемой этой частью или подчастью площади кристалла микроконтроллера (то есть площадь, занимаемая логическими элементами, триггерами и линиями связи), деленной на общую площадь кристалла микроконтроллера и умноженной на общую интенсивность отказов.
Примечания
1 Для чипов с различными сигналами и устройствами питания, этот подход применяется для каждого типа устройств, а общая интенсивность отказов для цифровых устройств может не совпадать с аналоговыми и устройствами питания.
2 Может быть полезным детальное знание микроконтроллера.
Пример - Если процессор занимает 3% всей площади микроконтроллера, то можно предположить, что его интенсивность отказов равна 3% от общей интенсивности отказов микроконтроллера.
2) Если базовые интенсивности отказов, т.е. интенсивности отказов базовых подчастей, таких как логические элементы микроконтроллера, заданы, то интенсивность отказов части или подчасти может считаться равной сумме количества этих базовых подчастей, умноженной на их интенсивность отказов.
Примечания
1 Может быть полезным детальное знание микроконтроллера.
2 Примеры о том, как получить базовые значения интенсивности отказов, см. в А.3.4;
- оценка завершается путем классификации сбоев на безопасные сбои, остаточные сбои, выявленные двойные сбои и скрытые двойные сбои.
Пример - Некоторые фрагменты блока отладки, реализованные внутри процессора, связаны с безопасностью (так как сам процессор связан с безопасностью), но они сами по себе не могут привести к непосредственному нарушению цели безопасности либо их появление не может значительно увеличить вероятность нарушения цели безопасности;
- наконец, определяется охват вида отказов, связанных с остаточными и скрытыми сбоями этой части или подчасти.
Пример - Охват вида отказов, связанных с конкретной интенсивностью отказов, может быть определен разделением подчасти на более мелкие подчасти и для каждой из них вычислением ожидаемой способности охватить каждую подчасть механизмами безопасности. Например, охват вида отказов, связанных с отказами в блоке регистров процессора, может быть определен разделением блока регистров на более мелкие подчасти, каждая из которых связана с конкретным регистром (например, R0, R1,...) и вычислением охвата этого вида отказов механизмом безопасности для каждого из них, например, объединяя охват вида отказов для каждого из соответствующих видов отказов на нижнем уровне.
Примечания
1 На эффективность механизмов безопасности могут повлиять зависимые отказы. Адекватные меры рассматриваются в А.3.6.
2 Поскольку на этом уровне анализа не может быть рассмотрена способность обнаружения сбоя водителем транспортного средства, то концепция воспринимаемого сбоя не применяется на уровне микроконтроллера. См. А.3.9 для получения дополнительной информации о том, как объединить информацию на уровне микроконтроллера с применением.
3 В связи со сложностью современных микроконтроллеров (миллионы логических схем) для вычисления и верификации количества безопасных сбоев и особенно охвата определенного вида отказов можно использовать методы введения неисправностей. См. А.3.8.2 для уточнения деталей. Метод введения неисправностей не является единственным, возможны и другие подходы, как описано в А.3.8.2.
А.3.3.2 Как рассматривать кратковременные сбои
В примечании 2 к 8.4.7 ИСО 26262-5 указано, что кратковременные сбои рассматриваются, когда показано, что они актуальны, например, в связи с используемой технологией. Они могут быть учтены путем спецификации и проверки выделенного для них целевого значения метрики одиночного сбоя или с помощью качественного обоснования.
Если используется количественный подход, то интенсивности отказов и метрики для кратковременных сбоев могут быть вычислены, следуя примеру, приведенному в приложении Е ИСО 26262-5, в котором реализуется следующий метод:
- во-первых, микроконтроллер делится на части или подчасти, как в А.3.3.
Примечание - Вследствие количества и плотности элементов памяти в RAM результирующие интенсивности отказов для кратковременных сбоев могут быть значительно выше, чем те, которые относятся к обрабатывающей логике или другим частям микроконтроллера. Таким образом, как рекомендовано в примечании 1 к 8.4.7 ИСО 26262-5, полезно отдельно вычислять интенсивность отказов (и метрику) для оперативной памяти и для других частей микроконтроллера;
- во-вторых, интенсивности отказов каждой части или подчасти вычисляются с использованием базовой интенсивности отказа для неустойчивых сбоев.
Пример - В соответствии с методом, указанным в А.3.3, базовая интенсивность отказа может быть вычислена как функция от базовой интенсивности одиночных отказов одного элемента и неустойчивых одиночных событий и соответствующей рассматриваемой части схемы (например, выраженной в количестве триггеров и логических элементов). В А.3.4 представлены примеры того, как получить базовые значения интенсивности отказов;
- наконец, оценка завершается классификацией сбоев на безопасные сбои и остаточные сбои, например количество безопасных сбоев, связанных с интенсивностью отказов данной части или подчасти.
Примечание - Для оценки количества безопасных кратковременных сбоев, когда существует явная зависимость от прикладного программного обеспечения, и если это программное обеспечение недоступно в процессе разработки микроконтроллера, то оценка 50% на 50% может быть приемлемой. Если прикладное программное обеспечение доступно или если есть прямая зависимость от архитектуры микроконтроллера, то для определения этого значения предпочтительным является конкретный анализ.
Пример - Сбой в регистре, хранящем связанную с безопасностью константу (т.е. только один раз записанное значение, но считываемое в каждом такте, и если оно неверно, то происходит нарушение цели безопасности), никогда не безопасно. Если вместо этого, например, каждые 10 мс происходит запись в регистр значения, которое используется для связанного с безопасностью расчета только один раз, спустя 1 мс после записи, то случайный кратковременный сбой в регистре приведет в 90% случаев к безопасному сбою, потому что сбой в этом регистре за оставшиеся 90% времени такта не приведет к нарушению цели безопасности.
Примечания
1 Как видно из примечании 2 к 8.4.7 ИСО 26262-5, кратковременные сбои могут быть учтены с помощью метрики одиночного сбоя. Кратковременные сбои не рассматриваются так, как рассматриваются скрытые сбои. Охват вида отказов, вычисляемый для скрытых сбоев, не вычисляется для кратковременных сбоев, так как их основная причина быстро исчезает (по определению кратковременных сбоев). Кроме того, предполагается, что в подавляющем большинстве случаев их влияние будет быстро устранено, например, следующим циклом выключения питания, удаляющим ошибочное состояние триггера или ячейки памяти, которое было изменено кратковременным сбоем до того, как второй сбой может привести к возникновению множественного отказа. В особых случаях это может быть недопустимо и могут понадобиться дополнительные меры, однако они могут быть рассмотрены в зависимости от конкретной ситуации.
2 Кратковременные сбои, возникшие в одной подчасти, непреднамеренно не распространяются к другим подчастям, если это подчасти логически не связаны.
3 Некоторые из значений охвата диагностикой механизмами безопасности, определенные в таблицах D.2 - D.14 приложения D ИСО 26262-5, действительны только для постоянных сбоев. Это важное различие может быть найдено в соответствующем описании механизма безопасности, в котором написано, как значение охвата может рассматриваться для кратковременных сбоев.
Пример - Типичное значение охвата RAM тестом "марш" (таблица D.6 ИСО 26262-5) оценивается как высокое. Однако в соответствующем описании (D.2.5.3 ИСО 26262-5) указано, что эти типы тестов не являются эффективными при обнаружении исправимых ошибок. Поэтому, например, охват RAM тестом "марш" кратковременных сбоев равен нулю.
Если используется качественный подход, то дается обоснование на основе проверки эффективности механизмов безопасности, реализованных (или внутри микроконтроллера или на уровне системы) для охвата кратковременных сбоев.
Пример - Для элементов канала передачи данных временная избыточность при обработке данных (т.е. обработка одной и той же информации несколько раз) уже будет гарантировать высокий уровень защиты от кратковременных сбоев.
А.3.4 Получение значений базовой интенсивности отказов, которые могут использоваться для микроконтроллеров
А.3.4.1 Общие положения
Как указано в 8.4.3 ИСО 26262-5, данные об интенсивностях отказов могут быть получены из признанных отраслевых источников. В следующем списке даны примеры стандартов и справочников, из которых можно получить значение базовой интенсивности отказа для метода, определенного в А.3.3 и А.3.3.2:
- для постоянных сбоев: данные, предоставленные промышленностью полупроводников, или использование стандартов, таких как МЭК/ТО 62380 [8], SN 29500 [6].
Примечание - Для постоянных сбоев: данные, предоставленные промышленностью полупроводников, могут быть основаны на значении числа (случайных) отказов, деленном на эквивалентное число часов работы прибора. Существующие полевые данные или полученные из ускоренных испытаний (как определено в стандартах, таких как JEDEC и АЕС) масштабируются до режима работы (например, температуры, периодов включения/выключения) и предполагается, что интенсивности отказов постоянны (отказы случайные, распределены экспоненциально). Числовые значения могут быть представлены в виде максимального количества отказов в единицу времени (FIT) на основе уровня доверительной вероятности статистических методов получения выборок;
- для кратковременных сбоев: данные, предоставленные промышленностью полупроводников, полученные из JEDEC стандартов, таких как JESD89, ITRS (International Technology Roadmap for Semiconductor).
Примечание - Если должным образом подтвердить доказательствами, то базовые интенсивности отказов, полученные из стандартов и справочников, могут быть сформированы с учетом других факторов, таких как плотность расположения регистров и вероятность возникновения постоянных сбоев между включением и выключением зажигания и т.д.
А.3.4.2 Пример расчета интенсивности отказов (FIT) микроконтроллера на кристалле по МЭК/ТО 62380
В 8.4.3 ИСО 26262-5 установлено, что значения интенсивностей отказов могут быть получены из признанных отраслевых источников, например, МЭК/ТО 62380, МЭК 61709, MIL 217 F HDBK notice 2, RIAC HDBK 217 Plus. Ниже приведен пример оценки интенсивности отказов (FIT) аппаратных средств, необходимой для поддержки количественного анализа с использованием методов, подробно описанных в МЭК/ТО 62380 [8]. Модель интенсивности отказов (FIT) для полупроводникового прибора по МЭК/ТО 62380 рассматривает интенсивность отказов прибора, как сумму трех значений: для микроконтроллера на кристалле, для корпуса и для электрического интерфейса, полученных в условиях повышения нагрузки.
Примечание - 1 FIT (количество отказов в единицу времени) соответствует одному отказу за 109 ч работы прибора.
А.3.4.2.1 Пример расчета интенсивности отказов микроконтроллера на кристалле
Для расчета базовой интенсивности отказов (FIT) микроконтроллера на кристалле (т.е. до применения фактора снижения для условий эксплуатации) необходимо рассмотреть четыре ключевых элемента:
- - базовая интенсивность отказов (FIT) для транзистора, связанная с используемой технологией изготовления;
- N - количество реализованных транзисторов;
- - фактор снижения из-за зрелости процесса; так как технология становится зрелой, начальная интенсивность отказов транзисторов экспоненциально снижается до асимптотического уровня;
- - технологический процесс, определяющий интенсивность отказов (FIT), который не зависит от числа транзисторов или времени.
Эти факторы объединены в формуле в 7.3.1 МЭК/ТО 62380:2004 [8] ("MATHEMATICAL MODEL").
Выбор параметров может быть сделан на основе технологического процесса и типа используемого логического элемента. В таблице 16 из [8] приведены значения для КМОП-логики, аналоговых схем и нескольких типов памяти (SRAM, DRAM, EEPROM, flash EEPROM и т.д.).
Таблица А.2 демонстрирует вычисление интенсивностей отказов, используемых в примере, рассмотренном в А.3.5. Для фактора снижения из-за зрелости процесса предполагается, что год изготовления - 2008.
Таблица А.2 - Пример вычисления интенсивностей отказов
|
Элемент схемы |
|
N |
|
|
Базовое значение FIT |
|
ЦП, состоящий из 50 тыс. логических элементов |
3,4 х |
200000 (4 транзистора в логическом элементе) |
10 |
1,7 |
1,72 |
|
Статическое ОЗУ - 16 kВ |
1,7 х |
786432 (6 транзисторов для ячейки статического ОЗУ с низким потреблением) |
10 |
8,8 |
8,802 |
|
Сумма |
|
|
|
|
10,52 |
Примечания
1 Для заданного типа элементов можно использовать несколько значений и
. В этом случае сторона, проводившая оценку гарантирует, что выбранное значение наилучшим образом соответствует метрикам конкретной используемой технологии производства, и обеспечивает надлежащее обоснование.
2 Для упрощения расчета, оценку можно сделать для одинаковых для всего устройства значений и
.
3 Фактор снижения интенсивностей отказов из-за зрелости процесса был введен в связи с использованием закона Мура и того факта, что интенсивности отказов прибора являются более или менее постоянными. Если интенсивность отказов одного транзистора не будет меняться, то интенсивность отказов устройства в соответствии с законом Мура должна увеличиваться. Но это не наблюдается. Таким образом, интенсивность отказов транзистора не может оставаться постоянной при ее изменении в функциональных узлах. В [8] предлагается использовать дату изготовления. Возможно, чтобы отразить изменения технологического процесса, для конкретного узла может быть использован год первого введения технологии его изготовления, а не год его изготовления. Для достижения независимости от поставщиков кремния может быть использован год из ITRS (Международной дорожной карты для полупроводниковых технологий) [9].
4 Для расчета интенсивности отказов для всего микроконтроллера на кристалле используется число эквивалентных логических элементов N. Число эффективных эквивалентных транзисторов вычисляется путем умножения эквивалентного количества логических элементов на число транзисторов в представителе этого логического элемента. При расчете интенсивности отказов микроконтроллера на кристалле для КМОП цифровой логики вклад каждого элемента цифровой логики модуля (например, процессора, шины обмена сообщениями (CAN), таймера, FlexRay (автомобильного сетевого коммуникационного протокола), последовательного периферийного интерфейса) входит в N.
5 Для аналоговых частей или для микроконтроллера, построенного в основном на аналоговых технологиях, может быть использована позиция "Линейные схемы" в таблице 16 "МОП-структура: стандартные схемы (3)" в [8], если более точные данные не обеспечиваются поставщиком микроконтроллера.
6 При расчете вклада схем ввода/вывода в интенсивность отказов (FIT) такие схемы могут быть представлены некоторым числом эквивалентных транзисторов элементов КМОП цифровой логики, как показано в примечании 4, если более точные данные не обеспечиваются поставщиком микроконтроллера.
После того, как базовое значение интенсивности отказов (FIT) для микроконтроллера на кристалле сформировано, применяется фактор снижения, чтобы учесть влияние температуры и времени работы. Этот фактор снижения учитывает:
- температуру перехода транзистора микроконтроллера на кристалле, которая рассчитывается на основе;
- потребляемой мощности микроконтроллером на кристалле;
- теплового сопротивления корпуса, зависимого от типа корпуса, количества выводов на корпусе и потока воздушного охлаждения;
- прикладной профиль, который устанавливает 1 для Y стадий эксплуатации, каждая из которых характеризуется "временем нахождения во включенном состоянии" в процентном отношении от времени жизни прибора и температурой окружающей среды. В [8] предусмотрено два эталонных автомобильных профиля: "устройство управления двигателем" и "салон автомобиля";
- энергию активации и частоту для каждого типа технологии, чтобы воспользоваться уравнением Аррениуса (Arrhenius).
Для данного примера предполагаем, что микроконтроллер на КМОП технологии потребляет 0,5 Вт. Микроконтроллер на кристалле помещен в 144-контактный плоский корпус с выводами с четырех сторон и охлаждается за счет естественной конвекции. Микроконтроллер подвергается воздействию температуры профиля "устройство управления двигателем". В результате увеличение температуры перехода равно 26,27°С. Для применения уравнения Аррениуса предполагается, что энергия активации равна 0,3 эВ. Используя формулу для фактора снижения из [8] получим, что его значение равно 0,17.
Если применить фактор снижения, то получаем эффективное значение интенсивности отказов (FIT) для компонента, как показано в таблице А.3.
Таблица А.3 - Пример вычисления эффективной интенсивности отказов (FIT) для компонентов
|
Элемент схемы |
Базовое значение FIT |
Фактор снижения от температуры |
Эффективное значение FIT |
|
ЦП, состоящий из 50 тыс. логических элементов |
1,72 |
0,17 |
0,29 |
|
Статическое ОЗУ - 16 kВ |
8,80 |
0,17 |
1,50 |
|
Сумма |
|
|
1,79 |
Примечание - Данные, характерные для рассматриваемого изделия, такие как тепловые характеристики корпуса, производственный процесс, уравнение Аррениуса и т.д., могут быть использованы для замены общих факторов в [8] для достижения более точной оценки интенсивности отказов (FIT).
А.3.4.2.2 Альтернативный расчет фактора снижения по МЭК/ТО 62380
Несмотря на то, что интенсивность отказов, получаемая согласно методике, представленной в [8], больше соответствует текущим данными по надежности, может быть полезным получение более консервативных данных, например более близким из давно использующихся справочников по интенсивностям отказов, таких как SN 29500. Эта задача может быть достигнута путем небольшого изменения используемой формулы вычисления фактора снижения от температуры.
Формула, используемая из 7.3.1 документа [8] ("MATHEMATICAL MODEL"), для расчета фактора снижения от температуры использует следующие параметры:
- i-й температурный коэффициент, связанный с i-й температурой перехода интегральной схемы используемого профиля;
- i-е относительное время работы интегральной схемы при i-й температуре перехода используемого профиля;
- относительное общее время работы интегральной схемы с
;
- относительное время, когда интегральная схема хранит информацию (или не выполняет операций).
.
Для получения консервативной оценки фактора снижения от температуры устанавливают, что значение равно нулю. В результате получаем несколько отличную от формулы для вычисления
формулу для вычисления консервативного значения коэффициента снижения
:
.
Применение этих формул приводит к величине фактора снижения от температуры равного 2,91, что приводит к результатам, представленным в таблице А.4.
Таблица А.4 - Пример вычисления эффективной интенсивности отказов (FIT) для компонентов
|
Элемент схемы |
Базовое значение FIT |
Фактор снижения от температуры |
Эффективное значение FIT |
|
ЦП, состоящий из 50 тыс. логических элементов |
1,72 |
2,91 |
5,01 |
|
Статическое ОЗУ - 16 kВ |
8,80 |
2,91 |
25,61 |
|
Сумма |
|
|
30,62 |
А.3.4.2.3 Пример влияния корпуса на интенсивность отказов
Интенсивность отказов, связанная с корпусом, рассчитывается по формуле, приведенной в 7.3.1 документа [8] ("MATHEMATICAL MODEL") с использованием следующих параметров:
- коэффициент влияния, связанный с разницей коэффициентов теплового расширения подложки и материала корпуса;
- i-й коэффициент влияния, связанный с числом ежегодных циклов колебаний температуры корпуса с амплитудой
;
- i-я амплитуда колебаний температуры используемого профиля;
- базовая интенсивность отказов корпуса интегральной схемы.
Для данного примера предполагаем, что микроконтроллер на КМОП технологии потребляет 0,5 Вт. Микроконтроллер на кристалле помещен в 144-контактный плоский корпус с выводами с четырех сторон и охлаждается за счет естественной конвекции. В результате увеличение температуры перехода равно 26,27°С. Микроконтроллер подвергается воздействию температуры профиля "устройство управления двигателем".
Коэффициент влияния рассчитывается по формуле, приведенной в 7.3.1 документа [8] ("MATHEMATICAL MODEL"), с учетом линейных коэффициентов теплового расширения
и
для подложки и компонента соответственно. В данном примере предполагаем, что подложка из стеклоэпоксидной смолы (FR4), а корпус пластиковый, для которых из таблиц получаем значения
= 16 и
= 21,5.
Так как для автомобильного профиля число циклов в год 8760, то
рассчитывается по формуле, приведенной в 7.3.1 документа [8] ("Математическое выражение оценки фактора влияния
"), где
- число циклов в год с амплитудой
.
Для расчета в FIT используется формула для корпусов, у которых штырьки выводов расположены по краям, считая, что ширина корпуса равна 20 мм, а шаг штырьков выводов - 0,5 мм (таблица 17б в [8]).
Используя температурный профиль "устройство управления двигателем", для общей интенсивности отказов корпуса получим = 207 FIT.
Интенсивность отказов корпуса может быть равномерно распределена между штырьками выводов, что приводит к интенсивности отказов штырька = 1,44 FIT.
Примечание - Оценка интенсивности отказов корпуса основана на знании конструкции и тепловых характеристик корпуса и печатной платой системы. Вместо применения [8] может быть использована совместная консервативная оценка интенсивности FIT корпуса поставщиком микроконтроллера и разработчиком системы.
А.3.4.2.4 Пример отказов в результате электрического перенапряжения
Интенсивность отказов для всего устройства из-за электрического перенапряжения может быть рассчитана по формуле, приведенной в 7.3.1 документа [8] ("MATHEMATICAL MODEL"). Если устройство имеет непосредственный контакт с внешней средой, т.е. устройство представляет собой интерфейс, то равно единице. Если устройство не является интерфейсом, то есть оно не имеет непосредственного контакта с внешней средой и
равно нулю.
В [8] предлагаются различные значения (EOS - электрическое перенапряжение) для различных электрических сред. К сожалению, электрическая среда автомобиля не представлена. Вместо нее можно выбрать среду "гражданская авионика (бортовые ЭВМ)", для которой
= 20 FIT.
Это приводит к интенсивности отказов из-за электрических перенапряжений для всего устройства, либо = 20 FIT, если устройство имеет непосредственный контакт с внешней средой, либо
= 0 FIT в любом другом случае.
Прогнозирование воздействия электрического перенапряжения на устройство не является тривиальной задачей. Если нельзя утверждать о каких либо особых воздействиях, то значение можно добавить к
, увеличив общую интенсивность отказов микроконтроллера на кристалле всего устройства.
Примечание - В некоторых стандартах электрические перенапряжения считают систематическими отказами и их уменьшают до нулевого значения FIT при расчете метрик случайных отказов.
А.3.5 Пример количественного анализа
Ниже приведен пример количественного анализа с использованием метода, описанного в А.3.3.
Примечания
1 Числовые значения, используемые в данном примере (например, интенсивности отказов, количество безопасных сбоев и охват вида отказов) используются в качестве примеров. Они могут отличаться для разных архитектур.
2 Следующие примеры декомпозируют некоторую часть микроконтроллера на уровне подчастей. Как уже обсуждалось в А.3.3, необходимый уровень детализации может зависеть от стадии анализа и от используемых механизмов безопасности.
3 В следующих примерах используется количественный подход для вычисления заданного целевого значения "метрики одиночных сбоев" для кратковременных сбоев. Как уже обсуждалось в А.3.3.2, кратковременные сбои могут быть также учтены с использованием качественного обоснования.
В данном примере рассматривается небольшая часть микроконтроллера, точнее только две его части:
a) небольшой процессор, разделенный на пять подчастей: блок регистров, АЛУ, блок загрузки-хранения, управляющая логика и блок отладки. Каждая подчасть разделена еще на несколько подчастей;
b) оперативная память (16 Кб) разделена натри подчасти: массив ячеек, дешифратор адреса, а также логика проверки конца строки и управление резервными строками (избыточностью) оперативной памяти.
Примечания
1 Значения FIT, приведенные в данном примере, не учитывают периферийные устройства или другие характеристики, такие как упаковка, технологическое манипулирование или перенапряжение. Они приведены только в качестве примера возможного способа вычисления интенсивности отказов (FIT). По этой причине, данные значения не сопоставимы со значениями интенсивности отказов (FIT) для всего микроконтроллера в корпусе, как показано, например, в SN 29500.
2 Целью следующего примера является отказ от требования учитывать каждую самую маленькую подчасть микроконтроллера при анализе на уровне системы. При анализе на уровне системы может быть достаточной детализация на уровне компонентов или частей. Целью данного примера является предоставление доказательств того, что для автономно работающего микроконтроллера может быть необходим более глубокий анализ (например, на уровне подчастей) для того, чтобы вычислить с необходимой точностью интенсивности отказов и охват видов отказов частей и подчастей, которые будут использоваться впоследствии системными инженерами. Другими словами, без точного и подробного анализа автономно работающего микроконтроллера бывает очень трудно получить хорошие данные для анализа на уровне системы.
Рассматриваются следующие четыре механизма безопасности:
1) механизм безопасности технических средств (SM1), выполняющий логический мониторинг последовательности программ процессора. Данный механизм безопасности способен обнаружить конкретный охват определенных сбоев в логике управления, которые могут нарушить последовательное выполнение программного обеспечения. Однако, этот механизм безопасности не обнаруживает сбои (например, неверные арифметические операции), приводящие к неправильным данным.
Примечание - В данном примере предполагается, что каждый из обнаруженных постоянных однобитовых сбоев, влияющих на процессор, подает сигнал системе (например, путем активации выходного сигнала микроконтроллера). На уровне системы установлено требование о надлежащем использовании этого сигнала (например, перевести в безопасное состояние и информировать водителя). При подозрительных кратковременных сбоях процессор может попробовать удалить этот сбой путем перезапуска. Если удалить не удалось, то это означает, что сбой является постоянным, и, следовательно, сигнал о нем может быть передан в систему, как описано выше. Если сбой исчезает (то есть это был действительно кратковременный сбой), то работа центрального процессора может быть продолжена;
2) механизм безопасности на основе программного обеспечения от случайных отказов аппаратных средств (SM2), выполняющийся при включении зажигания для проверки отсутствия скрытых сбоев в логическом мониторинге последовательности программ процессора (SM1);
3) исправление одиночных ошибок и обнаружение двойных ошибок кодом с обнаружением ошибок (EDC) в оперативной памяти (SM3).
Примечание - В данном примере предполагается, что о каждом обнаруженном постоянном однобитовом сбое - даже если он корректируется механизмом EDC - поступает сигнал в программное обеспечение (например, с помощью прерываний) и программное обеспечение реагирует соответствующим образом. На уровне системы установлено требование о надлежащем использовании этого события (например, перевести в безопасное состояние и информировать водителя). При подозрительных кратковременных сбоях, исправляемых механизмом EDC, процессор может попробовать удалить эти сбои, повторно записав в память правильное значение. Если сбой устранить не удалось, то это означает, что он является постоянным и, следовательно, сигнал о нем может быть передан в систему, как описано выше. Если сбой исчезает (то есть это был действительно кратковременный сбой), то работа центрального процессора может быть продолжена. Чтобы отличить перемежающиеся и кратковременные сбои, можно применить метод подсчета числа исправлений.
4) механизм безопасности на основе программного обеспечения от случайных отказов аппаратных средств (SM4), выполняющийся при включении зажигания для проверки отсутствия скрытых сбоев в EDC (SM3).
Таблица А.5 разделена на три отдельных расчета для лучшего восприятия.
Таблица А.5 рассматривает виды отказов на уровне подчастей. В таблице А.6 показано, как могут быть определены виды отказов низкого уровня и, следовательно, как может быть вычислено общее распределение отказов в соответствии с подходом, описанным в А.3.9.
Пример - Таблица А.6 показывает, что интенсивность отказов от постоянного сбоя в триггере Х1 и его схеме объединения по входу равна 0,01 FIT. Суммируя каждый из этих видов отказов низкого уровня, можно вычислить интенсивность отказов от постоянного сбоя в логике АЛУ в целом (0,07 FIT). С помощью той же процедуры, путем суммирования каждой интенсивности отказов, связанной с подчастью, можно вычислить интенсивность отказов (FIT) от постоянных сбоев в АЛУ.
Примечание - "Поднимаясь" по абстрактному дереву отказов (т.е. от видов отказов на низком уровне к видам отказов на более высоком уровне), интенсивности различных видов отказов подчастей могут быть объединены, чтобы вычислить интенсивность видов отказов более высокого уровня, особенно если эти виды отказов более высокого уровня определяются в более общем виде.
Пример - Если вид отказов более высокого уровня (например, на уровне части) определяется как "неправильная команда, выполняемая процессором", то интенсивность этого вида отказов может быть комбинацией интенсивностей многих видов отказов на уровне подчастей, таких как постоянный сбой в блоке конвейерной обработки, постоянный сбой в блоке регистров и т.д. Таким образом, если имеются интенсивности отказов низкого уровня, то интенсивность отказов более высокого уровня может быть вычислена снизу вверх (предполагается, что сбои независимы).
Примечание - Столбцы таблиц А.5 и А.6 могут быть соотнесены с блок-схемой классификации сбоев и классами сбоев, вносящих вклад в расчеты, описанные в 7.1.7:
- интенсивность отказов (FIT) равна ;
- количество безопасных сбоев равно ;
- охват вида отказов в случае нарушения цели безопасности равен ;
- интенсивность отказов от остаточного или одиночного сбоя равна или
в зависимости оттого, является отказ одиночным или остаточным. В примере одиночные сбои не рассматриваются, так что эта интенсивность отказов всегда равна
;
- охват вида отказов в случае скрытых отказов равна , и
- интенсивность отказов скрытого множественного сбоя равна .
Таблица А.5 - Пример количественного анализа (на уровне подчастей)
|
|
|
|
|
|
Постоянные отказы |
Кратковременные отказы |
||||||||||||
|
Часть |
Подчасть |
Компонент связан с безопасностью? Компонент не связан с безопасностью? |
Вид отказов |
Интенсивность отказов (FIT) |
Величина безопасных сбоев (см. примечание 1) |
Механизм(ы) безопасности, предотвращающий нарушение цели безопасности |
Охват вида отказа относительно нарушения цели безопасности |
Интенсивность отказов от остаточных и одиночных сбоев (FIT) |
Механизм(ы) безопасности, предотвращающий скрытые сбои |
Охват вида отказа относительно скрытых отказов |
Интенсивность отказов от скрытых множественных сбоев (FIT) |
Интенсивность отказов (FIT) |
Величина безопасных сбоев (см. примечание 1) |
Механизм(ы) безопасности, предотвращающий нарушение цели безопасности |
Охват вида отказа относительно нарушения цели безопасности |
Интенсивность отказов от остаточных и одиночных сбоев (FIT) |
||
|
Центральный процессор |
Блок регистров |
Регистр R0 |
СБ |
Постоянный сбой |
0,0029 |
0% |
SM1 |
40% |
0,00174 |
SM1 |
100% |
0,00000 |
|
|
|
|
|
|
|
Кратковременный сбой |
|
|
|
|
|
|
|
|
0,032005 |
0% |
SM1 |
40% |
0,01920 |
|||||
|
Регистр R1 |
СБ |
Постоянный сбой |
0,0029 |
0% |
SM1 |
40% |
0,00174 |
SM1 |
100% |
0,00000 |
|
|
|
|
|
|||
|
Кратковременный сбой |
|
|
|
|
|
|
|
|
0,032005 |
0% |
SM1 |
40% |
0,01920 |
|||||
|
Регистр R2 |
СБ |
Постоянный сбой |
0,0029 |
0% |
SM1 |
20% |
0,00232 |
SM1 |
100% |
0,00000 |
|
|
|
|
|
|||
|
Кратковременный сбой |
|
|
|
|
|
|
|
|
0,032005 |
0% |
SM1 |
10% |
0,02880 |
|||||
|
Регистр R3 |
СБ |
Постоянный сбой |
0,0029 |
0% |
SM1 |
20% |
0,00232 |
SM1 |
100% |
0,00000 |
|
|
|
|
|
|||
|
Кратковременный сбой |
|
|
|
|
|
|
|
|
0,032005 |
0% |
SM1 |
10% |
0,02880 |
|||||
|
АЛУ |
АЛУ |
СБ |
Постоянный сбой |
0,0384 |
0% |
SM1 |
20% |
0,02784 |
SM1 |
100% |
0,00000 |
|
|
|
|
|
||
|
Кратковременный сбой |
|
|
|
|
|
|
|
|
0,00038 |
20% |
SM1 |
10% |
0,00027 |
|||||
|
Блок умножения |
СБ |
Постоянный сбой |
0,0290 |
0% |
SM1 |
20% |
0,02320 |
SM1 |
100% |
0,00000 |
|
|
|
|
|
|||
|
Кратковременный сбой |
|
|
|
|
|
|
|
|
0,00037 |
70% |
SM1 |
10% |
0,00010 |
|||||
|
|
|
Блок деления |
СБ |
Постоянный сбой |
0,0232 |
0% |
SM1 |
20% |
0,01856 |
SM1 |
100% |
0,00000 |
|
|
|
|
|
|
|
Кратковременный сбой |
|
|
|
|
|
|
|
|
0,00036 |
70% |
SM1 |
10% |
0,00010 |
|||||
|
Управляющая логика |
Блок кон веерной обработки |
СБ |
Постоянный сбой |
0,0174 |
0% |
SM1 |
90% |
0,00174 |
SM1 |
100% |
0,00000 |
|
|
|
|
|
||
|
Кратковременный сбой |
|
|
|
|
|
|
|
|
0,00103 |
20% |
SM1 |
90% |
0,00008 |
|||||
|
Секвенсер |
СБ |
Постоянный сбой |
0,0406 |
0% |
SM1 |
90% |
0,00406 |
SM1 |
100% |
0,00000 |
|
|
|
|
|
|||
|
Кратковременный сбой |
|
|
|
|
|
|
|
|
0,00307 |
50% |
SM1 |
90% |
0,00015 |
|||||
|
Управление стеком |
СБ |
Постоянный сбой |
0,0029 |
0% |
SM1 |
70% |
0,00087 |
SM1 |
100% |
0,00000 |
|
|
|
|
|
|||
|
Кратковременный сбой |
|
|
|
|
|
|
|
|
0,000325 |
50% |
SM1 |
40% |
0,00010 |
|||||
|
Блок хранения загрузки |
Генератор адреса |
СБ |
Постоянный сбой |
0,0174 |
0% |
SM1 |
60% |
0,00696 |
SM1 |
100% |
0,00000 |
|
|
|
|
|
||
|
Кратковременный сбой |
|
|
|
|
|
|
|
|
0,00103 |
10% |
SM1 |
60% |
0,00037 |
|||||
|
Блок загрузки |
СБ |
Постоянный сбой |
0,0145 |
0% |
SM1 |
50% |
0,00725 |
SM1 |
100% |
0,00000 |
|
|
|
|
|
|||
|
Кратковременный сбой |
|
|
|
|
|
|
|
|
0,000345 |
10% |
SM1 |
50% |
0,00016 |
|||||
|
Блок хранения |
СБ |
Постоянный сбой |
0,0145 |
0% |
SM1 |
50% |
0,00725 |
SM1 |
100% |
0,00000 |
|
|
|
|
|
|||
|
Кратковременный сбой |
|
|
|
|
|
|
|
|
0,000345 |
10% |
SM1 |
50% |
0,00016 |
|||||
|
|
Блок отладки |
Внутренняя логика отладки |
СБ |
Постоянный сбой |
0,0058 |
20% |
Нет |
0% |
0,00464 |
Нет |
|
|
|
|
|
|
|
|
|
Кратковременный сбой |
|
|
|
|
|
|
|
|
0,00017 |
20% |
Нет |
0% |
0,00014 |
|||||
|
Интерфейс отладки |
НСБ |
Постоянный сбой |
0,0783 |
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
Кратковременный сбой |
|
|
|
|
|
|
|
|
0,001635 |
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
0,11049
|
|
|
0,00000
|
|
|
|
|
0,00014 |
|
|
Общая интенсивность отказов |
- 0,29000. |
Общая интенсивность отказов |
- 0,13708. |
|||||||||||||||
|
Общая интенсивность связанных с безопасностью отказов |
- 0,21170. |
Общая интенсивность связанных с безопасностью отказов |
- 0,13545. |
|||||||||||||||
|
Общая интенсивность не связанных с безопасностью отказов |
- 0,0783. |
Общая интенсивность не связанных с безопасностью отказов |
- 0,00164. |
|||||||||||||||
|
Метрика одиночных сбоев - 47,8%. Метрика скрытых сбоев - 100,0%.
|
Метрика одиночных сбоев - 27,91%. |
|||||||||||||||||
Продолжение таблицы А.5
|
|
|
|
|
|
Постоянные отказы |
Кратковременные отказы |
|||||||||||
|
Часть |
Подчасть |
Компонент связан с безопасностью? Компонент не связан с безопасностью? |
Вид отказов |
Интенсивность отказов (FIT) |
Величина безопасных сбоев (см. примечание 1) |
Механизм(ы) безопасности, предотвращающий нарушение цели безопасности |
Охват вида отказа относительно нарушения цели безопасности |
Интенсивность отказов от остаточных и одиночных сбоев (FIT) |
Механизм(ы) безопасности, предотвращающий скрытые сбои |
Охват вида отказа относительно скрытых отказов |
Интенсивность отказов от скрытых множественных сбоев (FIT) |
Интенсивность отказов (FIT) |
Величина безопасных сбоев (см. примечание 1) |
Механизм(ы) безопасности, предотвращающий нарушение цели безопасности |
Охват вида отказа относительно нарушения цели безопасности |
Интенсивность отказов от остаточных и одиночных сбоев (FIT) |
|
|
Память с произвольным доступом |
ОЗУ (16 КБ) |
Биты данных ОЗУ |
СБ |
Постоянный сбой |
1,5000 |
0% |
SM3 |
96,9% |
0,04688 |
SM3 |
100% |
0,00000 |
|
|
|
|
|
|
Кратковременный сбой |
|
|
|
|
|
|
|
|
131,072 |
0% |
SM3 |
40% |
0,40894 |
||||
|
Дешифратор адреса |
СБ |
Постоянный сбой |
0,0087 |
0% |
Нет |
0% |
0,00870 |
|
|
|
|
|
|
|
|
||
|
|
Кратковременный сбой |
|
|
|
|
|
|
|
|
0,000335 |
0% |
Нет |
40% |
0,00034 |
|||
|
Тестирование/избыточность |
СБ |
Постоянный сбой |
0,0058 |
50% |
Нет |
0% |
0,00290 |
|
|
|
|
|
|
|
|
||
|
|
|
Кратковременный сбой |
|
|
|
|
|
|
|
|
0,00033 |
90% |
Нет |
10% |
0,00003 |
||
|
|
|
|
|
|
|
|
|
|
0,05848
|
|
|
0,00000
|
|
|
|
|
0,40931 |
|
Общая интенсивность отказов |
- 1,51450 |
|
Общая интенсивность отказов |
- 131,07 |
|||||||||||||
|
Общая интенсивность связанных с безопасностью отказов |
- 1,51450 |
|
Общая интенсивность связанных с безопасностью отказов |
- 131,07 |
|||||||||||||
|
Общая интенсивность не связанных с безопасностью отказов |
- 0,00000 |
|
Общая интенсивность не связанных с безопасностью отказов |
- 0,00 |
|||||||||||||
|
Метрика одиночных сбоев - 96,1%. |
Метрика скрытых сбоев - 100,0%. |
Метрика одиночных сбоев - 99,69%. |
|||||||||||||||
Продолжение таблицы А.5
|
|
|
|
|
|
Постоянные отказы |
Кратковременные отказы |
|||||||||||
|
Часть |
Подчасть |
Компонент связан с безопасностью? Компонент не связан с безопасностью? |
Вид отказов |
Интенсивность отказов (FIT) |
Величина безопасных сбоев (см. примечание 1) |
Механизм(ы) безопасности, предотвращающий нарушение цели безопасности |
Охват вида отказа относительно нарушения цели безопасности |
Интенсивность отказов от остаточных и одиночных сбоев (FIT) |
Механизм(ы) безопасности, предотвращающий скрытые сбои |
Охват вида отказа относительно скрытых отказов |
Интенсивность отказов от скрытых множественных сбоев (FIT) |
Интенсивность отказов (FIT) |
Величина безопасных сбоев (см. примечание 1) |
Механизм(ы) безопасности, предотвращающий нарушение цели безопасности |
Охват вида отказа относительно нарушения цели безопасности |
Интенсивность отказов от остаточных и одиночных сбоев (FIT) |
|
|
Механизм безопасности |
SM1 |
Логика обнаружения |
СБ |
Постоянный сбой |
0,0029 |
0% |
|
|
0,00174 |
SM2 |
90% |
0,00029 |
|
|
|
|
|
|
Кратковременный сбой |
|
|
|
|
|
|
|
|
0,000105 |
|
|
|
|
||||
|
Генератор аварийных сигналов |
СБ |
Постоянный сбой |
0,0029 |
50% |
|
|
0,00174 |
SM2 |
90% |
0,00015 |
|
|
|
|
|
||
|
Кратковременный сбой |
|
|
|
|
|
|
|
|
0,000055 |
|
|
|
|
||||
|
|
Блок кодирования EDC |
СБ |
Постоянный сбой |
0,0029 |
0% |
SM3 |
90% |
0,0029 |
SM4 |
90% |
0,00026 |
|
|
|
|
|
|
|
|
Кратковременный сбой |
|
|
|
|
|
|
|
|
0,000325 |
0% |
Нет |
0% |
0,00033 |
|||
|
|
Блок декодирования EDC |
СБ |
Постоянный сбой |
0,0029 |
0% |
SM3 |
90% |
0,0029 |
SM4 |
90% |
0,00026 |
|
|
|
|
|
|
|
SM3 |
Кратковременный сбой |
|
|
|
|
|
|
|
|
0,000325 |
0% |
Нет |
0% |
0,00033 |
|||
|
|
Генератор аварийных сигналов |
СБ |
Постоянный сбой |
0,0029 |
50% |
|
|
|
SM4 |
90% |
0,00015 |
|
|
|
|
|
|
|
|
Кратковременный сбой |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
Биты EDC в ОЗУ |
СБ |
Постоянный сбой |
0,328125 |
0% |
SM3 |
96,9% |
0,01025 |
SM4 |
90% |
0,03179 |
|
|
|
|
|
|
|
|
Кратковременный сбой |
|
|
|
|
|
|
|
|
28,6720 |
0% |
SM3 |
99,69% |
0,02880 |
|||
|
|
|
|
|
|
|
|
|
|
0,00058
|
|
|
0,00058
|
|
|
|
|
0,09011 |
Окончание таблицы А.5
|
Общая интенсивность отказов |
- 0,34263. |
Общая интенсивность отказов |
- 26,67281. |
||
|
Общая интенсивность связанных с безопасностью отказов |
- 1,34263. |
Общая интенсивность связанных с безопасностью отказов |
- 26,67281. |
||
|
Общая интенсивность не связанных с безопасностью отказов |
- 0,00000. |
Общая интенсивность не связанных с безопасностью отказов |
- 0,00000. |
||
|
Метрика одиночных сбоев - 99,8%. |
Метрика скрытых сбоев - 90,4%. |
Метрика одиночных сбоев - 99,69%. |
|||
|
Примечания 1 Количество безопасных сбоев - это доля вида отказов, которые не нарушают цель безопасности ни в отсутствие механизмов безопасности, ни в комбинации с независимым отказом другой подчасти. 2 Охват вида отказов вычисляется с помощью детального анализа возможностей SM1, чтобы охватить каждую подчасть. В данном примере регистры R0 и R1 выбраны компилятором для передачи параметров функции, поэтому они имеют более высокую вероятность вызвать нарушение последовательности программ, обнаруживаемое SM1. Цель данного примера состоит в обеспечении доказательств того, что с помощью детального анализа можно определить различия в охвате подчастей. 3 Охват вида отказов в EDC (SM3) вычисляется, например, с подробным анализом сочетания высокой вероятности EDC обнаружения однобитовых и двухбитовых ошибок с более низкой вероятностью обнаружения (может быть менее 90%) многобитовых ошибок. Это показано в Таблице А.6. 4 Некоторые подчасти могут быть охвачены несколькими механизмами безопасности. В таких случаях результирующий охват вида отказов объединяет охват для каждого вида отказов, определенного в результате детального анализа. 5 Данный пример показывает, что без надлежащего охвата в EDC многобитовых ошибок и без охвата дешифратора адреса памяти достаточно трудно достичь высокого значения метрики одиночного сбоя. 6 Данный пример показывает, что некоторые механизмы безопасности могут привести к непосредственному нарушению цели безопасности, и поэтому они учитываются при расчете остаточных сбоев. В данном примере сбой в EDC (SM3) может повредить данные о ходе выполнения программы без соответствующего сбоя в памяти. 7 Данный пример показывает, что в микроконтроллере могут совместно существовать подчасти, которые, возможно, не связаны с безопасностью, но которые невозможно четко отделить или отличить от связанных с безопасностью подчастей (блок отладки внутренней логики). При этом другие части (отладочный интерфейс) могут быть легко отделены и заблокированы таким образом, что их можно без риска рассматривать как не связанные с безопасностью. | |||||
Таблица А.6 - Пример количественного анализа (для низкоуровневых отказов)
|
|
|
|
|
|
Постоянные отказы |
Кратковременные отказы |
|||||||||||||||||||
|
Часть |
Подчасть |
Элементарные подчасти |
Компонент связан с безопасностью? Компонент не связан с безопасностью? |
Вид отказов |
Интенсивность отказов (FIT) |
Величина безопасных сбоев (см. примечание 1) |
Механизм(ы) безопасности, предотвращающий нарушение цели безопасности |
Охват вида отказа относительно нарушения цели безопасности |
Интенсивность отказов от остаточных и одиночных сбоев (FIT) |
Механизм(ы) безопасности, предотвращающий скрытые сбои |
Охват вида отказа относительно скрытых отказов |
Интенсивность отказов от скрытых множественных сбоев (FIT) |
Интенсивность отказов (FIT) |
Величина безопасных сбоев |
Механизм(ы) безопасности, предотвращающий нарушение цели безопасности |
Охват вида отказа относительно нарушения цели безопасности |
Интенсивность отказов от остаточных и одиночных сбоев (FIT) |
||||||||
|
|
|
|
|
Постоянный сбой в триггере Х1 и его схеме объединения по входу |
0,01009 |
0% |
SM1 |
40% |
0,00174 |
SM1 |
100% |
0,00000 |
|
|
|
|
|
||||||||
|
|
|
|
|
Одиночный сбой и одиночный кратковременный сбой в триггере Х1 и его схеме объединения по входу |
|
|
|
|
|
|
|
|
0,032005 |
40% |
SM1 |
40% |
0,01920 |
||||||||
|
ЦП |
АЛ У |
АЛ У |
СБ |
Постоянный сбой в триггере Х2 и его схеме объединения по входу |
0,0150 |
0% |
SM1 |
40% |
0,00174 |
SM1 |
100% |
0,00000 |
|
|
|
|
|
||||||||
|
|
|
|
|
Одиночный сбой и одиночный кратковременный сбой в триггере Х2 и его схеме объединения по поводу |
|
|
|
|
|
|
|
|
0,032005 |
40% |
SM1 |
40% |
0,01920 |
||||||||
|
|
|
|
|
и т.д. |
... |
... |
... |
... |
... |
... |
... |
... |
... |
... |
... |
... |
... |
||||||||
|
|
|
0,0348 |
|
0,02784 |
|
|
0,00000 |
0,00038 |
|
0,00027 |
|||||||||||||||
|
ОЗУ |
ЗУ (16 КБ) |
Биты данных ОЗУ |
СБ |
Постоянный сбой, вызывающий не более двух битовых ошибок в одном кодируемом слове |
1,3500 |
0% |
SM3 |
100% |
0,00000 |
SM1 |
100% |
0,00000 |
|
|
|
|
|
||||||||
|
Не более двух одиночных сбоев в одном кодируемом слове |
|
|
|
|
|
|
|
|
129,76128 |
0% |
SM3 |
100% |
0,00000 |
||||||||||||
|
Постоянный сбой, вызывающий более двух битовых ошибок в одном кодируемом слове |
0,1500 |
0% |
SM3 |
68,8% |
0,04688 |
SM1 |
100% |
0,00000 |
|
|
|
|
|
||||||||||||
|
ОЗУ |
ЗУ (16 КБ) |
Биты данных ОЗУ |
СБ |
Более двух одиночных сбоев в одном кодируемом слове |
|
|
|
|
|
|
|
|
1,31072 |
0% |
SM3 |
68,8% |
0,40894 |
||||||||
|
|
|
|
|
|
1,5000 |
|
|
|
0,04688 |
|
|
0,00000 |
131,0720 |
|
|
|
0,40894 |
||||||||
|
Примечания 1 На этом уровне детализации можно выяснить, что некоторые отказы на низком уровне (например, одиночный сбой и одиночный кратковременный сбой в триггере X2 и его схеме объединения по входу) являются безопасными (например, потому, что этот бит редко используется архитектурой АЛУ). 2 Интенсивность отказов памяти от одиночного постоянного сбоя, вызывающего n > 2 битовых ошибок, например, вычисляется с учетом информации о топологии памяти, структуры дешифратора адреса и т.д. 3 Охват ошибок EDC (SM3) в трех и более битах вычисляется, если выполнен детальный анализ, рассматривающий количество битов в каждом кодируемом слове (в данном случае 32) и количество битов кода (в данном случае 7). В зависимости от этих параметров, охват может быть гораздо выше. | |||||||||||||||||||||||||
А.3.6 Пример анализа зависимых отказов
Общие требования и рекомендации, связанные с идентификацией, оценкой и учетом зависимых отказов, соответственно, определены в ИСО 26262-9.
Анализ зависимых отказов структурирован на следующие этапы:
1) определить части, на которые могут повлиять зависимые отказы.
Примечания
1 Структуры частей, о которых в концепции обеспечения безопасности микроконтроллера утверждается, что они независимы друг от друга, могут быть чувствительны к зависимому отказу.
2 Это определение может быть поддержано дедуктивным анализом безопасности. События считаются независимыми, если анализ двойных и множественных отказов дает полезную информацию о частях уязвимых для зависимых отказов;
2) определить источники возможных зависимых отказов.
Рассматриваются источники, перечисленные в данном приложении, а также другие предсказуемые физические и логические источники зависимых отказов (общеиспользуемые логические части и сигналы), в том числе результаты, связанные с сосуществованием функций с различными УПБА;
3) определить механизм связи между частями, позволяющий возникновение зависимых отказов;
4) качественно описать и оценить меры по предотвращению зависимых отказов;
5) качественно описать и оценить меры, используемые в процессе проектирования, по ограничению влияния, вызванного оставшимися зависимыми отказами, на каждую структуру частей, которые определены в перечислении 1).
Примечание - Как указано в примечании к 7.4.2 ИСО 26262-9, анализ зависимых отказов выполняется качественно, потому что не существует никакого общего и достаточно надежного метода для количественного анализа таких отказов.
Как указано в примечании 1 к 7.4.4 ИСО 26262-9, оценка зависимых отказов может быть выполнена применением соответствующих таблиц контрольных проверок, например с помощью таблиц контрольных проверок, полученных из практического опыта. Таблицы контрольных проверок обеспечивают аналитикам характерные примеры первопричин и факторов связи зависимых отказов, такие как: тот же самый проект, тот же процесс, такой же компонент, тот же интерфейс и уровень близости.
В таблице А.7 перечислены области (см. 7.4.4 ИСО 26262-9), для которых выполняется оценка зависимых отказов. В данной таблице также даны краткие примеры источников и механизмов связи, которые могли бы привести к зависимым отказам, с примерами мер их предотвращения или обнаружения.
Примечание - Перечисленные меры являются лишь некоторыми из возможных вариантов. Возможны другие меры по предотвращению или обнаружению зависимых отказов, например, механизмы безопасности на уровне системы.
Таблица А.7 - Области оценки зависимых отказов, их возможные источники и связанные сними меры
|
Области 7.4.4 ИСО 26262-9 |
Примеры возможных источников и механизмов связи |
Примеры мер |
|
Случайные отказы аппаратных средств |
Физические дефекты могут влиять как на часть, так на ее механизм безопасности таким образом, что может произойти нарушение цели безопасности |
Можно устранить с помощью таких мер, как физическое разделение, разнообразие, производственные испытания и т.д. |
|
Ошибки разработки |
Ошибки разработки могут быть причиной зависимого отказа, например, перекрестные помехи, неправильная реализация функциональности, ошибки спецификации, неправильная конфигурация микроконтроллера и т.д. (см. также А.3.7) |
Можно устранить с помощью таких мер, как определение процесса разработки, разнообразие, правила проектирования, механизмы защиты конфигурации и т.д. |
|
Сбои производства |
Сбои производства могут быть причиной зависимого отказа, например, сбои, связанные с несоосностью фотошаблонов |
Можно устранить с помощью тщательного тестирования производства микроконтроллеров |
|
Ошибки монтажа |
Ошибки монтажа могут быть причиной зависимого отказа, например, при установке микроконтроллера на печатной плате, помехи соседних частей и т.д. |
Можно устранить с помощью заводского испытания печатной платы, руководства по монтажу и т.д. |
|
Ошибки ремонта |
Ошибки ремонта могут быть причиной зависимого отказа, например, сбои в столбце/строке памяти, хранящей информацию о запасных частях |
Можно устранить с помощью заводских испытаний, руководства по ремонту и т. д. |
|
Факторы окружающей среды |
Типичные факторы окружающей среды: температура, электромагнитные помехи, влажность, механические нагрузки и т.д. |
Можно устранить с помощью квалификационных испытаний, стресс-тестов, специальных датчиков, разнообразия и т.д. |
|
Отказы общих внутренних и внешних ресурсов |
Для микроконтроллеров типичными общими ресурсами являются устройства синхронизации, установки в исходное состояние и питания, включая устройства распределения питания |
Можно устранить с помощью круглосуточного наблюдения, внутреннего или внешнего контроля питания, распределения разнообразия и т.д. |
|
Воздействие вследствие конкретных ситуаций, например износ, старение |
Механизмы старения и износа, например, электромиграция и т.д. |
Можно устранить с помощью правил проектирования, квалификационных испытаний, разнообразия пусконаладочных испытаний и т.д. |
В настоящий пункт не включены логические отказы общих ресурсов с возможностями воздействия на поведение нескольких частей или механизмов безопасности в микроконтроллере. Они рассматриваются в процессе стандартного качественного и количественного анализа.
Пример - Типичными примерами, попадающими в эту категорию, являются контроллер прямого доступа к памяти, контроллер прерываний и логика тестирования/отладки.
А.3.7 Пример методов или мер для обнаружения или предотвращения систематических отказов в процессе проектирования микроконтроллера
Общие требования и рекомендации, связанные с архитектурой аппаратных средств и детальным проектированием, определены в 7.4.1 ИСО 26262-5 и 7.4.2 ИСО 26262-5, соответственно. Кроме того требования, связанные с верификацией аппаратных средств, приведены в 7.4.4 ИО 26262-5.
Микроконтроллер разработан на основе стандартизированного процесса разработки. Примерами обеспечения доказательства того, что для предотвращения систематических отказов во время разработки микроконтроллера принимаются достаточные меры, являются следующие два подхода:
a) использование таблицы контрольных проверок, такой как представлена в таблице А.8, а также
b) предоставление обоснования, с использованием результатов полевых данных для аналогичных изделий, разработанных на основе того же процесса, как и целевое устройство.
Таблица А.8 - Пример методов или мер для обеспечения соответствия требованиям ИСО 26262-5 в процессе разработки микроконтроллера
|
Требования ИСО 26262-5 |
Стадия проектирования |
Метод/мера |
Цель |
|
7.4.1.6 Свойства модульного проектирования |
Начало проектирования |
Структурированное описание и формирование модулей |
Описание функциональности схемы структурировано таким образом, что оно легко читается, то есть функциональную схему можно интуитивно понять на основе описания без дополнительных усилий |
|
7.4.1.6 Свойства модульного проектирования |
|
Описание проекта на HDL |
Описание функций на высокоуровневом языке описания аппаратных средств, например VHDL или Verilog |
|
7.4.4 Верификация проекта аппаратных средств |
|
Моделирование на HDL |
Функциональная верификация схемы, описанной на VHDL или Verilog, моделированием |
|
7.4.4 Верификация проекта аппаратных средств |
|
Функциональное тестирование на уровне модулей (используя, например, HDL для испытательных стендов) |
Функциональная верификация "снизу - вверх" |
|
7.4.4 Верификация проекта аппаратных средств |
Начало проектирования |
Высокоуровневое функциональное тестирование |
Верификация микроконтроллера (всей схемы) |
|
7.4.2.4 Надежные принципы проектирования |
Ограниченное использование асинхронных конструкций |
Предотвращение типичных проблем синхронизации в процессе синтеза, предотвращение неоднозначности в процессе моделирования и синтеза, связанных с трудностями создаваемой модели, проектирование тестируемости. Это не исключает, что для некоторых типов схем, таких как логика сброса или для очень маломощных микроконтроллеров, может быть полезна асинхронная логика: в этом случае, целью является предложить дополнительную осторожность при обращении и проверке этих схем |
|
|
7.4.2.4 Надежные принципы проектирования |
Синхронизация основных входов и управление метастабильностью |
Предотвращение неоднозначного поведения схемы в результате нарушения времен установки и промежуточного хранения |
|
|
7.4.4 Верификация проекта аппаратных средств |
Функциональная и структурная управляемая охватом верификация (с охватом целей верификации в процентах) |
Количественная оценка примененных сценариев верификации в процессе функционального тестирования. Целевой уровень охвата определен и показан |
|
|
7.4.2.4 Надежные принципы проектирования |
Начало проектирования |
Соблюдение руководств по кодированию |
Строгое соблюдение стиля кодирования приводит к синтаксически и семантически корректному коду схемы |
|
7.4.4 Верификация проекта аппаратных средств |
Применение средств проверки кода |
Автоматическая верификация правил кодирования ("Стиль кодирования") инструментальными средствами проверки кода |
|
|
7.4.4 Верификация проекта аппаратных средств |
Документальное оформление результатов моделирования |
Документальное оформление всех данных, необходимых для успешного моделирования, чтобы проверить указанную функцию схемы |
|
|
7.4.4 Верификация проекта аппаратных средств |
Синтез |
Моделирование логической схемы на основе списка соединений для проверки ограничений синхронизации или статический анализ задержки распространения сигнала (STA) |
Независимая проверка достигаемого ограничения синхронизации во время синтеза |
|
7.4.4 Верификация проекта аппаратных средств |
Сравнение списка соединений логических элементов с эталонной моделью (формальный тест на эквивалентность) |
Проверка функциональной эквивалентности синтезируемого списка соединений логических элементов |
|
|
7.4.1.6 Свойства модульного проектирования |
Документальное оформление ограничений, результатов и средств синтеза |
Документальное оформление всех сформированных ограничений, которые необходимы для оптимального синтеза при генерации окончательного списка соединений логических элементов |
|
|
7.4.1.6 Свойства модульного проектирования |
Процедуры, основанные на сценарии |
Воспроизводимость результатов и автоматизация циклов синтеза |
|
|
7.4.2.4 Надежные принципы проектирования |
Достаточный запас времени для технологических процессов, которые применяются менее трех лет |
Обеспечение устойчивости реализуемой функциональности схемы даже при серьезной флуктуации процесса и параметров |
|
|
7.4.1.6 Свойства модульного проектирования (тестируемость) |
Включение теста и генерация тестового примера |
Тестопригодное проектирование (в зависимости от охвата тестом, в %) |
Избежать не тестируемые или плохо тестируемые структуры, чтобы достигнуть высокий тестовый охват для заводских испытаний или тестирования в режиме он-лайн |
|
7.4.1.6 Свойства модульного проектирования (тестируемость) |
Доказательство тестового охвата применением средств автоматической генерации тестового примера (ATPG), на основе достигаемого тестового охвата, в % |
Определение ожидаемого тестового охвата для синтезируемых тестовых примеров ("Сканирование пути", BIST) в процессе испытаний проекта. Целевой уровень охвата и модели отказа определены и представлены |
|
|
7.4.4 Верификация проекта аппаратных средств |
Включение теста и генерация тестового примера |
Моделирование логической схемы на основе списка соединений при запущенном тесте для проверки ограничений синхронизации или статический анализ задержки распространения сигнала (STA) |
Независимая проверка достигаемого ограничения синхронизации во время выполнения теста |
|
7.4.4 Верификация проекта аппаратных средств |
Сравнение логической схемы на основе списка соединений логических элементов при запущенном тесте с эталонной моделью (формальный тест на эквивалентность) |
Проверка функциональной эквивалентности списка соединений логических элементов при запущенном тесте |
|
|
7.4.4 Верификация проекта аппаратных средств |
Размещение, трассировка, генерация топологии |
Моделирование логической схемы на основе списка соединений логических элементов после трассировки для проверки ограничений синхронизации или статический анализ задержки распространения сигнала (STA) |
Независимая проверка достигаемого ограничения синхронизации во время завершения трассировки |
|
7.4.4 Верификация проекта аппаратных средств |
Анализ сети питания |
Демонстрация устойчивости сети питания и эффективности механизмов, связанных с безопасностью. Например испытание при падении внутреннего сопротивления. |
|
|
7.4.4 Верификация проекта аппаратных средств |
Размещение, трассировка, генерация топологии |
Сравнение логической схемы на основе списка соединений логических элементов после трассировки с эталонной моделью (формальный тест на эквивалентность) |
Проверка функциональной эквивалентности списка соединений логических элементов после завершения трассировки |
|
7.4.4 Верификация проекта аппаратных средств |
Проверка правил проектирования DRC |
Проверка правил процесса проектирования |
|
|
7.4.4 Верификация проекта аппаратных средств |
Проверка соответствия топологии схеме (LVS) |
Независимая проверка трассировки |
|
|
7.4.5 Производство, эксплуатация, обслуживание и вывод из эксплуатации 9.4.2.4 Специальные меры |
Связанные с безопасностью специальные характеристики процесса производства микросхем |
Определение достижимого тестового охвата заводского испытания |
Оценка тестового охвата во время заводских испытаний связанных с безопасностью характеристик микроконтроллера. |
|
7.4.5 Производство, эксплуатация, обслуживание и вывод из эксплуатации 9.4.2.4 Специальные меры |
Определение мер обнаружения и удаления ранних отказов |
Обеспечение надежности выпускаемых чипов. В большинстве, но не в каждом процессе, целостность оксидного слоя затвора (GOI) является ключевым механизмом раннего отказа. Для отбраковки ранних отказов из-за GOI имеется много обоснованных методов: стабилизация изделия тренировкой при высокой температуре/высоком напряжении (Burn-In), эксплуатация при больших токах, большие напряжения и т.д. Однако эти методы бесполезны, если GOI в процессе не вносит основной вклад в ранние отказы. |
|
|
7.4.5 Производство, эксплуатация, обслуживание и вывод из эксплуатации 10 Интеграция и тестирование аппаратных средств |
Квалификация компонента аппаратных средств |
Определение и выполнение квалификационных испытаний, таких как тестирование при снижении напряжения, тестирование срока службы в условиях высокотемпературного нагрева (HTOL), а также функциональные контрольные примеры |
Для микроконтроллера со встроенным средством выявления снижения напряжения тестируется его функциональность, чтобы проверить, что выходы микроконтроллера устанавливаются в определенное состояние (например, в исходное состояние при остановке работы микроконтроллера) или что о снижении напряжения сообщается другим способом (например, путем увеличения сигнала безопасного состояния), когда любое из питающих напряжений, контролируемое средством выявления снижения напряжения, достигает нижней границы, определенной для правильной работы. Для микроконтроллера без встроенного средства выявления снижения напряжения тестируется его функциональность, чтобы убедиться, устанавливает ли микроконтроллер свои выходы в определенное состояние (например, в исходное состояние при остановке работы микроконтроллера), когда напряжение питания падает от номинального значения до нуля. В противном случае определяется предположение использования и рассматриваются внешние меры |
Более того, можно рассмотреть следующие общие руководящие принципы:
c) документальное оформление каждой проектной деятельности, комплектов испытаний и инструментов, используемых для функционального моделирования и результатов этого моделирования;
d) верификация каждой деятельности и ее результатов, например, моделированием, проверкой эквивалентности, временным анализом или проверкой технологических ограничений;
e) применение мер для воспроизводимости и автоматизации процесса реализации проекта (на основе сценария, автоматизации работы и последовательности действий при реализации проекта).
Примечание - Это подразумевает возможность зафиксировать версии инструментальных средств, чтобы в будущем обеспечить воспроизводимость в соответствии с принятыми требованиями.
f) использование (мягких и жестких ядер третьей стороны) проверенных макроблоков с соблюдением каждого ограничения и поведения, определенных поставщиком макроядер, если это практически возможно.
А.3.8 Верификация проекта аппаратных средств микроконтроллера
А.3.8.1 Общие положения
Согласно 7.4.4.1 ИСО 26262-5, проект аппаратных средств верифицируется в соответствии с указаниями раздела 9 ИСО 26262-8 (Оценка нарушения цели безопасности из-за случайных отказов аппаратных средств), на соответствие и полноту относительно требований безопасности к аппаратным средствам.
Внесение неисправностей является лишь одним из возможных способов верификации, возможны и другие подходы.
Пример - Если существуют современные решения, такие как протоколы высокого уровня для элементов коммуникации, то используется либо экспертная оценка, либо проверенные ранее результаты (например, программное обеспечение для шины обмена сообщениями автомобильных систем в соответствии с МЭК 61784).
Выбор и глубина верификации может зависеть от стадии анализа и от используемых механизмов безопасности (внутри микроконтроллера или на уровне системы).
Пример - Следуя причинам, упомянутым в примере 1 п. А.3.3, в случае избыточности аппаратных средств (например, использовать решение на базе двухядерного процессора, ядра которого работают в режиме жесткого параллелизма), в котором выходы из двух идентичных процессоров сравниваются аппаратными средствами на каждом тактовом цикле), проверку охвата вида отказов не нужно выполнять для каждого внутреннего регистра каждого процессора. Вместо этого может быть необходима более детальная проверка интерфейсов процессора и компаратора.
А.3.8.2 Верификация, использующая моделирование при внесении сбоя
Как уже упоминалось в таблице 3 ИСО 26262-5, моделирование с внесением сбоя во время стадии разработки является допустимым методом для верификации полноты и корректности реализации механизма безопасности относительно требований безопасности аппаратных средств.
В частности для микроконтроллеров, для которых использующее внесение сбоя тестирование нарушения в результате единичного события на уровне аппаратных средств нецелесообразно или даже невозможно для некоторых видов сбоев. Таким образом, для выполнения шага верификации внесение сбоя полезно при использовании расчетных моделей (например, при внесении сбоя на уровне списка соединений логических элементов).
Примечания
1 Метод внесения сбоя может быть использован как в случае постоянных (например, константных сбоев), так и кратковременных (например, нарушения в результате единичного события) сбоев.
2 Таблица D.1 ИСО 26262-5 показывает, что для некоторых элементов при отсутствии других подходящих доказательств необходимо учитывать виды сбоев при постоянном токе (отличные от константных "0" и "1"), чтобы иметь возможность претендовать на высокий уровень их диагностического охвата. Там также отмечено, что не предполагается требовать, чтобы анализ этих видов сбоев был исчерпывающим, так как известно, что реализованные должным образом методы, основанные на моделировании константных сбоев (например, тестирование с N-кратным обнаружением сбоя, см. [3] - [5]), также являются эффективным средством верификации видов сбоев при постоянном токе.
Примеры
1 Подходящим способом, упрощающим верификацию видов сбоев при постоянном токе, может быть предоставление доказательства того, что сбои типа "разрыв" или "короткое замыкание" составляют небольшую часть от всех видов сбоев при постоянном токе, то есть их значительно меньше, чем константных "0" или "1" сбоев.
2 Так как исчерпывающая полнота не требуется, то анализ видов сбоев при постоянном токе может быть применен к подмножеству подчастей микроконтроллера, выбираемых в зависимости от возможного влияния на них видов сбоев при постоянном токе (например, компараторы) или на основе статистики.
3 "Реализованное должным образом" тестирование с N-кратным обнаружением сбоя означает, что N различных обнаружений одного и того же сбоя гарантированы набором шаблонов (т.е. "насыщенностью" шаблона). Значение N может быть в диапазоне от 5 до 10.
4 В общем случае, механизмы безопасности аппаратных средств могут быть более эффективными при обнаружении каждого вида сбоя при постоянном токе и могут быть легче верифицированы с использованием, например, подхода с N-кратным обнаружением сбоя. С другой стороны, в случае механизма безопасности, основанного на программном обеспечении и работающего со случайными отказами аппаратных средств, может оказаться достаточно трудно с помощью подхода с N-кратным обнаружением сбоя получить высокий уровень уверенности в "насыщенности" шаблона из-за возможного изменения контекста между последующими выполнениями теста во время выполнения программы. В этом случае могут быть применены альтернативные решения (например, см. [7]).
Примечание - Метод внесения сбоя также может быть использован для введения сбоев типа замыкания в конкретные места на основе анализа топологии или для проверки влияния зависимых отказов, таких как внесение сбоев в схемы синхронизации и сброса.
Метод внесения сбоя в модели проекта может быть успешно использован при верификации безопасных сбоев и расчете их количества и охвата этого вида отказов, например, как показано в А.3.3 и А.3.3.2.
Пример - Если сбои вызывают измеримый эффект, то они вносятся и выявляются в точках наблюдения, в которых они хорошо определены. Кроме того, рассматриваемый метод может быть использован при вычислении и верификации значений охвата вида отказов, т.е. выполняется внесение сбоев, которые способны вызвать измеримый эффект, и их выявление, если эти сбои были обнаружены механизмами безопасности в интервале сбоеустойчивости.
Примечание - Доверие вычислению и верификации при внесении сбоя пропорционально качеству и полноте используемого для запуска тестируемой схемы испытательного стенда, количеству внесенных сбоев и уровню детализации представления схемы.
Пример - Описание логических элементов на уровне списка соединений подходит для внесения сбоя при анализе постоянных сбоев, таких как константные сбои. Для максимального увеличения скорости выполнения теста могут быть полезны методы FPGA. Также для константных сбоев приемлемым подходом является анализ на "уровне регистровых передач" при условии, что показана связь с уровнем логических схем.
А.3.9 Настройка и проверка автономного анализа микроконтроллера на уровне системы
Для настройки и верификации автономного анализа микроконтроллера на уровне системы необходимо:
a) подробно преобразовать описанные виды отказов микроконтроллера в описание видов отказов на высоком уровне, необходимое для анализа на уровне системы.
Примечания
1 Это может быть выполнено с помощью (восходящего) процесса "снизу - вверх" (показанного на рисунке А.2), используя метод, описанный в А.3.2, А.3.3 и А.3.5. Возможно идентифицировать подробные описания видов отказов микроконтроллера и объединить их до уровня компонентов.
2 Начальное подробное описание позволяет количественно и точно описать распределение отказов микроконтроллера, так как в противном случае используются качественные предположения для описания распределения.
3 Как описано в А.3.3, необходимая степень детализации может зависеть от стадии анализа и от используемых механизмов безопасности;
b) охват вида отказов, вычисляемый на уровне части или подчасти, может быть улучшен мерами на уровне применения.
Пример - На уровне автономного микроконтроллера охват вида отказов периферийных АЦП считается нулевым, потому что внутри микроконтроллера не реализуются механизмы безопасности для охвата этих сбоев. Тем не менее, на уровне применений АЦП включена в замкнутый контур и ее сбои обнаруживаются проверкой согласованности, реализованной программным обеспечением. В этом случае охват вида отказов этой подчасти может быть увеличен благодаря механизму безопасности на уровне применения;
c) охват вида отказов, вычисляемый на уровне подчасти, может быть рассчитан при некоторых конкретных предположениях ("предположения применения").
Примечание - В этом случае предположения проверяются на уровне применений, и если они оказываются не действующими, то могут быть сделаны другие предположения и охват вида отказов пересчитывается на основе новых предположений.
Рисунок А.2 - Пример восходящего подхода получения описания видов отказов на уровне системы
Пример - На уровне автономного микроконтроллера постоянный скрытый сбой памяти считается обнаруживаемым, потому что код с обнаружением ошибок (EDC) сообщает процессору о каждом исправлении одиночной ошибки. Предполагалось, что для обработки данного события должна быть реализована управляющая программа. Тем не менее, из соображений производительности эта управляющая программа реализована не была и, следовательно, предположение более не действует. Альтернативная мера заключается в программировании микроконтроллера так, чтобы он отправлял признак (флаг) о коррекции ошибки непосредственно во внешний мир. Охват скрытого сбоя памяти может быть пересчитан.
А.3.10 Пример документации по безопасности для микроконтроллера, как общеиспользуемого элемента безопасности (ОЭБ)
В пункте 9.2.3.6 указано, что для разработки микроконтроллера, как ОЭБ, системному интегратору предоставляется необходимая информация о результатах работы, которая включает следующие документы: предполагаемые требования, предположения, связанные с внешним по отношению к ОЭБ проектом, и применимые результаты работы.
Исходя из этого, документация по безопасности для микроконтроллера, как ОЭБ, может включать в себя следующие документы или подмножества из них, как указано в соглашении об интерфейсе разработки (DIA):
- обоснование безопасности, связанное с микроконтроллером, см. 6.5.3 ИСО 26262-2;
- план обеспечения безопасности для микроконтроллера, см. 6.5.1 ИСО 26262-2 и 5.5 ИСО 26262-5;
- другие планы, как показано в ИСО 26262-8, в соответствующих случаях, такие как план управления конфигурацией, план управления изменениями, план анализа влияния и запроса на изменение, план верификации, план управления документацией и план квалификации программных инструментальных средств;
- доказательства, связанные с выполнением применимых шагов плана обеспечения безопасности, как показано в ISO 26262-2;
- спецификации аппаратных средств, как показано в ИСО 26262-5, например, спецификация требований к безопасности аппаратных средств, спецификация программно-аппаратного интерфейса (HSI) и спецификация проекта аппаратных средств;
- отчеты, связанные с выполнением применимых шагов плана верификации и других планов, как указано в ИСО 26262-5 и ИСО 26262-8, например, отчет по верификации требований безопасности аппаратных средств, отчет по верификации проекта аппаратных средств и отчет по верификации и интеграции аппаратных средств;
- отчеты, связанные с анализом безопасности, как указано в ИСО 26262-5, ИСО 26262-8 и ИСО 26262-9, такие как отчет по анализу безопасности аппаратных средств, экспертный отчет об эффективности архитектуры микроконтроллера по обеспечению требований к случайным отказам аппаратных средств, экспертный отчет по оценке нарушения цели безопасности из-за случайных отказов аппаратных средств и результаты анализа зависимых отказов.
Примечание - В DIA указано, какие документы предоставляются и какой уровень детализации предоставляется клиенту микроконтроллера.
Кроме того, стоит собрать следующую информацию:
- описание жизненного цикла в соответствии с настоящим стандартом, подготовленное специально для микроконтроллера; список соответствующих результатов работы (описание тех результатов работы по жизненному циклу, соответствующему настоящему стандарту, которые применимы для микроконтроллера);
- описание безопасной архитектуры микроконтроллера с абстрактным описанием функциональных возможностей микроконтроллера и описанием механизмов безопасности;
- описание "предположений применения" (Assumptions of Use) микроконтроллера для его целевого использования, в том числе предположение о безопасном состоянии микроконтроллера, предположения об интервале сбоеустойчивости и интервале выявления множественных сбоев, предположения о контексте микроконтроллера, включая внешние интерфейсы;
- описание конфигурации микроконтроллера и связанные аппаратные и/или программные процедуры по управлению отказом после его обнаружения;
- описание результатов анализа безопасности на уровне микроконтроллера, которые полезны для системных интеграторов, такие как описание моделей сбоев, моделей отказов и интенсивностей отказов, учитываемых при анализе, метрики архитектуры аппаратных средств (метрики одиночного сбоя и скрытого сбоя), вероятностная метрика для случайных отказов аппаратных средств (PMHF), оценка каждой причины нарушения цели безопасности (см. 9.4.3 ИСО 26262-5), описание источников зависимых отказов, описание предполагаемых или принятых мер для предотвращения или обнаружения зависимых отказов, описание "предположений применения", на которых основан анализ безопасности (например, программные механизмы безопасности, устраняющие случайные отказы аппаратных средств и т.д.);
- описание процесса оценки функциональной безопасности; список мер подтверждения и описание уровня независимости; краткое описание процесса предотвращения систематических отказов в микроконтроллере.
Примечание - Данная документация может быть объединена в один документ под названием "Руководство по безопасности" или "Указания по применению безопасности" микроконтроллера, как общеиспользуемого элемента безопасности.