基础ISO26262功能安全的硬件电路失效分析（上）

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档

---

前言

芯片是硬件电路的核心，外围电路是为了搭建芯片需要的环境，保证芯片正常工作或为了延展芯片的功能而设计的。本节首先对几款典型芯片进行失效分析，再以降压（BUCK）电路、电流采样电路为例，介绍如何进行芯片外围电路失效分析。

一、典型芯片的失效分析

芯片的分类方式有很多，比如可以按照晶体管工作方式、功能等进行分类。在对芯片进行功能安全分析时，对于不同复杂度的芯片有着不同的分析方法。对于功能较为单一的芯片，可以直接在ISO 26262中找到对应的分析方法；对于较为复杂的芯片，则需要拆分后再分别再IOS 26262中找到对应的分析方法；对于可编程芯片，除了要拆分外，还要根据芯片的实际软件开发使用的硬件资源确定安全相关的硬件部分。因此，针对芯片的种类，为了便于读者的理解，划分为小芯片、大芯片和可编程电路三个部分进行阐述。

1.小芯片

对于功能单一的小芯片，失效分析通常有两种处理方式。第一种方式为按功能分类直接在ISO 26262第11部分中找对应的芯片（可以参考大芯片部分的电源芯片基础角色失效分析）。第二种方式适用于那些在ISO 26262第11部分种没有对应的芯片或在第一种方式的基础上进一步分析其引脚以完善分析的全面性。
在分析引脚时，通常考虑以下失效情形：

（1）. 引脚短路到地；
（2）. 引脚短路到电源；
（3）. 引脚短路到临近引脚；
（4）. 引脚开路。

以TPS7A7001的稳压器（LDO）为例，这是一个为了支持有低输入电压和低压降要求的应用而设计的可以支持2A电流的稳压器。其封装和各个引脚的功能如图1-1所示。

以EN引脚为例：该引脚为芯片的使能信号的输入端。当不使能时，芯片进入关断模式以进一步降低功率耗散（表1-1）。在分析时，需要覆盖上面的所有结果来分析该芯片的失效分别会对系统造成什么影响。如果是影响安全的失效，判断是否有其他安全机制对其进行覆盖。
图1-1 TPS7A7001封装及引脚功能

Pin	失效情形	功能	结果
EN	短路到地	有影响	无输出，芯片被关断
EN	短路到电源	有影响	芯片正常工作，但是无法通过EN引脚关断芯片
EN	短路到NC引脚	无影响
EN	短路到FB引脚	有影响	芯片正常工作，但是无法通过EN引脚关断芯片
EN	开路	有影响	无输出，芯片被关断

表1-1 TPS7A7001 EN引脚失效分析

2.大芯片

对于大芯片，其跟小芯片最大的区别就是其功能的多样性。因此，分析大芯片时，要全面地去分析到各个功能失效，包含基础角色和扩展角色两部分。
与上文提到地LDO小芯片相比，电源管理芯片这样地集成式芯片可以定义为大芯片，不仅涵盖了多个LDO的功能，还提供了更加高效、驱动能力更强的DCDC功能及监控等功能。
（1）对电源芯片管理的基础角色进行失效分析
以ECU的电源管理芯片为例，它的基础角色可以被认定为是：提供在规定范围内电压的电能给用电器件。对于这个基础功能，ISO 26262第11部分给出的失效模式如下：
[1]Output voltage higher than a high threshold of the prescribed range(i.e. over voltage ---- OV)
[2]Output voltage lower than a low threshold of the prescribed range(i.e. under voltage ---- UV)
[3]Output voltage affected by spikes
[4]Incorrect start-up time(i.e. outstdie the expected range)
[5]Output voltage accuracy too low,including drift
[6]Output voltage oscillation within the prescribed range
[7]Output voltage affected by a fast oscillation outside the prescribed range but with average value within the prescribed range
[8]Quiescent current(i.e. current drawn by the regulator in order ti control its internal circuitry for proper operation) exceeding the maximum value
对于这些失效模式，分析其是否会违背安全目标，最直接、最准确的方式就是对其输出端口进行故障注入测试。一个方法就是，将原来的输出端口断开，用外部供电设备模拟故障电压（OV/UV）引到电路板上。如果需要模拟某种波形，比如Incorrect start-up time，可以使用电阻配上电容的方式进行，观察该控制器是否会产生违反安全目标的行为。

（2）对电源芯片的扩展功能进行失效分析
对于一块电源芯片来说，如果要考虑是不是在分析时只关注上述的这些失效模型就足够了，那么就还是需要回归到其本身的所有角色（功能以及要求）。ISO 26262第11部分中所列的这些失效均是对其基础功能而言的失效。但对于一个拥有高安全目标的系统来说，电源芯片承担的角色通常不仅局限于提供电能。因此，在分析一个电源芯片失效的时候，除了要考虑其基础功能失效的影响外，还要考虑其在系统中承担的扩展功能的失效的影响才足够全面。
对于这种内部集成了很多功能的芯片，为了避免遗漏，最好的方法是按照这个芯片的Block Diagram把各个功能模块拆出来在数据表中找到它们对应的功能，然后按照HAZOP来定义每个模块的失效模式。以TPS65917-Q1电源管理单元为例，如图1-2所示。

图1-2 TPS65917-Q1 Block Diagram
通过图1-2可以看到，TPS65917-Q1除了提供5个可配置的降压型开关模式电源（SMPS）为大电流用电器件供电以及5个LDO为低电流用电器件供电外，还包括表1-2内所列的功能。

对应编号	模块	功能描述	失效模式
12	芯片自身温度检测（Thermal Monitors）	两个独立测温度模块中任一一个检测到过温后会通过中断发警告给系统；如果温度持续上升，芯片会Die损坏前关断	高温时没有报错；未高温时报错
7-7	集成看门狗定时器（Watchdog Timer）	监控处理器的状态	芯处理器不正常时没有触发Reset；处理器正常时误触发Reset
14	通用模数转换器-电流监控（GPADC-Load Current Monitor）	芯片自带ADC，用来监控SMPS负载电流	过流时没有报错；未过流时误报错
10	输出电压正常监控（POWERGOOD Monitor）	指示输出电压是否在变成的输出电压的范围内	电压低时没有报错；电压未过低时误报错
7-6	中端处理器（Interrupt Handler）	当芯片内有任何中断事件时用来向处理器发中断警告	有中端事件时没有发终端；无中断事件时误发中断
7-5	对于内部非易失性存储的循环冗余校（OTP CRC）	在上电开始时检验一次性可编程存储器（OTP Memory）中的数值是否有比特位完整性错误	有完整性错误时没有被探测，执行了错误的上电时序；五完整性错误时上电被终止

表1-2 TPS65917-Q1 功能及失效分析
在分析时，需要考虑用HAZOP来分析芯片的全部功能发生失效时分别会对系统造成什么影响。如果时影响安全的失效，是否有其他安全机制对其进行覆盖。

3.可编程电路

无论时上述的小芯片还是大芯片，针对这类专用集成电路（ASIC）芯片，如果芯片时安全相关的，在失效分析时都默认所有的硬件资源与安全相关。针对可编程电路（PLD），厂商为保证通用性，在设计中集成了规模巨大的门电路，部分存在下游开发实践中并未用到的可能，因而需要结合具体的应用场景，确定应用到哪些硬件资源以及各自所占的比例，这一点在FMEDA的计算过程中尤其需要注意。如果按照传统的MCU处理方式将所有FPGA硬件资源纳入计算，将导致安全相关的模块失效了偏高，如表1-3所示。
在上述可编程电路设备中，FPGA以其高并行计算效率、高可编程灵活性、短开发周期等优势得到了越来越广泛地应用。特别是当前智能驾驶尚处于探索阶段，专用的ASIC芯片缺少大规模市场支撑的条件下，FPGA成为了多数智能驾驶公司控制器的优先选择。

PLD种类	具体描述
可编程阵列逻辑（PAL）	一次性可编程阵列逻辑，‘或’阵列固定，只有‘与’阵列可编程
门阵列逻辑（GAL）	类似于PAL的功能，具有可多次编程的特点
复杂可编程逻辑器件（CPLD）	非易失性可编程逻辑器件，内部结构基于乘积项（product term），程序存储采用EEPROM/FLASH，组合逻辑资源丰富，集成度低
现场可编程门阵列（FPGA）	易失性可编程逻辑器件，内部结构基于查找表（Look up Table），程序存储采用SRAM，外挂EEPROM, 时序逻辑资源丰富，集成度高

FPGA架构主要包括可配置逻辑块CLB(Configurable Logic Block)、输入输出块IOB(Input Output Block)、内部连线（Interconnect）和其他内嵌单元四个部分。

实际的项目开发中所应用的硬件资源只占PLD所有资源的一部分。在进行安全分析和FMEDA计算时，应根据硬件资源的实际使用情况，确定需要纳入分析和计算的模块及其比例。