要管理隨機故障，首先需要了解產品故障模式并估算故障率。這涉及根據適當的功能安全標準有效地進行危害分析和風險評估。開發人員必須確定適合其系統的安全功能和風險降低級別（SIL/ASIL）。然后，基于SIL/ASIL級別，開發人員需要定義相應的架構有效性集和隨機硬件故障度量。還需要有適當的安全機制，也稱為診斷，直到每個安全功能達到所需指標所衡量的風險降低為止。

讓我們更詳細地研究以下內容：

故障模式和故障率

功能安全架構指標和隨機硬件故障率指標

降低故障率的安全機制

故障模式和故障率

作為代表性案例，請考慮現代汽車和工業產品通常具有電子可編程系統控制它們。這些系統通常稱為電子控制單元（ECU），它們由MCU和輸入/輸出電路組成。因此，了解半導體和MCU故障模式及其故障率將有助于估計產品故障率。

影響MCU的主要故障模式有三種：

永久性封裝失效，例如封裝與印刷電路板（PCB）之間的熱膨脹引起的封裝磨損

永久性硅片失效，如開放的金屬線，金屬短路，晶體管結泄漏，邏輯門固定故障以及由于操作磨損引起的其他問題

瞬態硅故障，例如輻射引起的SRAM位翻轉

半導體故障率通常報告為時間失效（FIT），其中一個FIT是1E9或10億個工作小時中的一個故障，或平均故障間隔時間（MTBF），其中MTBF = 1/FIT。

IEC/TR 62380提供了一種數學模型，可根據使用條件估算永久性包裝失效率。該模型還允許基于元件的復雜性和諸如溫度和電源開/關小時等的使用條件來估計硅永久FIT率。

此外，大多數半導體供應商發布其產品的IC組件永久硅故障率，作為FIT或MTBF中的可靠性數據提供。這些數據是使用有限數量的樣本從高溫操作壽命可靠性研究中計算出來的。

沒有行業標準化的瞬態故障率估算方法。理想情況下，用于進行估算的數據應來自使用適當工藝技術的測試芯片的實際實驗。例如，為Hercules TMS570和RM MCU提供的德州儀器硅瞬態故障率基于從洛斯阿拉莫斯國家實驗室的過程測試芯片收集的數據，并使用JEDEC JESD89A測試標準。由于MCU的硅瞬態故障率可能比硅永久性故障率高一到三個數量級，具體取決于配置，強大的數據有助于最大限度地降低低估整體故障率的風險。

需求了解故障模式和速率意味著要求其產品符合功能安全標準的系統開發人員應該尋找具有相應支持文檔的MCU。這包括描述安全概念的安全手冊，隨機故障管理的安全架構，假設列表以及MCU模塊內置的安全機制列表。根據系統使用條件定制永久封裝故障，硅永久性故障和硅瞬態故障的MCU隨機故障率估算工具也很有幫助

功能安全架構指標和隨機硬件故障率指標

系統和子系統開發人員進行危害分析和風險評估，以評估功能安全終端產品系統應用所需的風險降低水平。評估結果是一個安全目標，例如IEC 61508中描述的安全完整性等級（SIL）1至4的分類或ISO 262626中的汽車安全完整性等級（ASIL）A至D.（注：適用于半導體元件，可達到的最高SIL等級為SIL 3; SIL 4僅適用于系統本身，而不適用于進入系統的元件。）

標準定義了評估建筑安全覆蓋范圍的指標減少各種類型故障風險和發生故障概率的機制，然后使用這些指標來衡量安全目標的實現程度。 SPFM（單點故障度量），LFM（潛在故障度量）和SFF（安全故障分數）是顯示故障率降低的架構有效性的比率度量。 PMHF（隨機硬件故障的概率度量）和PFH（每小時故障概率）是顯示總體風險降低水平的概率度量。

這些指標的應用示例如下所示。表1顯示了單點故障度量（SPFM），潛在故障度量（LFM）和隨機硬件故障（PMHF）的概率度量的ASIL要求。

表2顯示了硬件容錯（HFT）= 0時SFF的IEC 61508 SIL（B類）要求（即單個故障將導致系統停止運行）和每小時失敗概率（PFH）。

降低故障率的安全機制

根據MCU故障模式和估計的故障率以及SIL或ASIL風險降低要求，最終產品系統和子系統開發人員必須遵循各種程序，以確保已達到功能安全隨機故障率指標的目標。他們必須應用適當的安全機制來幫助檢測各種故障，并在檢測到故障時對故障做出反應。為確定故障模式，故障率和診斷范圍，他們使用故障模式影響和診斷分析（FMEDA）方法。

安全關鍵功能需要在應用期間實時監控MCU操作。開發人員應設置系統，以便在檢測到故障時，系統可以修復故障或MCU進入“安全狀態”。在任何一種情況下，系統都會最大限度地降低人身傷害和/或健康損害的潛在風險。人員。

以下是一些診斷示例。圖2顯示了糾錯電路（ECC）。單錯誤糾正，雙錯誤檢測（SECDED）ECC電路可以允許在運行時校正單個SRAM位翻轉并檢測雙位翻轉。

下面的圖3顯示了一個鎖步CPU。運行相同程序代碼和輸出比較的Lockstep CPU可以檢測到CPU故障。

MCU由許多模塊組成，如CPU，SRAM，Flash，電源，時鐘，ADC，定時器，SPI，CAN等。對于TI的Hercules TMS570等針對功能安全的MCU，MCU供應商的安全手冊中提供了按模塊列出的安全機制。

系統和子系統開發人員需要計算每個定義的允許故障率安全功能。每個安全功能可以使用不同的MCU資源，這就是為什么最好根據MCU資源的使用方式來計算故障率。有能力選擇或取消選擇故障率計算的安全機制是有幫助的。每個MCU模塊顯示診斷覆蓋率（DC）和故障率指標的能力也很有幫助。

一旦計算出每個安全功能的MCU故障率，開發人員就可以使用這些數字來估算產品級故障率。

為了幫助開發人員，MCU可以預先通過IEC 61508和ISO 26262認證并且通常附帶文檔，數據和FMEDA工具。這種支持可以幫助最終產品系統開發人員了解安全架構，安全機制和假設，并估計隨機硬件故障率。例如，TI的Hercules TMS570和RM MCU經過獨立第三方認證，符合IEC 61508要求，最高可達SIL3（MCU可達到的最高SIL等級），滿足ISO 26262要求，符合ASIL D.這些MCU的安全文檔包括可用于一般下載的安全手冊（無需NDA）和帶有FMEDA工具的安全分析報告（根據NDA）。