防止关键系统故障的两种方法。
2011年,随着ISO 26262标准在汽车行业实现功能安全,功能安全首次成为半导体行业的主要问题。在此之前,自20世纪90年代末以来,功能安全已经在IEC 61508中以一般方式标准化了所有行业。然而,在IEC 61508广泛应用的工业自动化领域,安全系统往往是——而且仍然是——离散地构建的。
直到最近几年,集成电路才开始在这里出现——这显然是由汽车行业的经验推动的。这一点可以从其他行业的许多开发人员身上得到证明,包括那些开发工作没有按照ISO 26262(参考标准的第11部分)进行的开发人员。第11部分于2018年发布,明确阐述了其在半导体领域的应用。
汽车工业对功能安全领域的发展产生巨大影响的另一种方式是强大的成本压力以及重量和尺寸限制,再加上单位体积大。这些因素在其他安全系统中并不存在,它们将传统的系统安全方法(使用冗余)推向了极限。这对于不能将关闭模式假定为安全状态的系统尤其重要,例如在拥挤交通中快速行驶的汽车。
为了协调安全方面的竞争因素,以及尺寸、重量和价格方面的要求,需要对所用的安全机制采取新的方法。就目前的情况而言,安全机制的工作方式通常是在安全关键系统的某个元素发生故障时立即检测到故障。这有时相对简单,例如,故障“断开连接”的电压测量。或者,它可能涉及具有冗余执行和比较的更复杂元素中的故障,例如两个处理器核心步调一致,因此当比较它们的输出时,如果存在偏差,则表明存在故障。在第一个例子中,不需要包含冗余来操作在发生故障时关闭的故障安全系统。在第二个例子中,冗余是固有的。在这两种情况下,如果系统要在发生故障(故障操作)时继续工作,则必须提供进一步的冗余——在第一种情况下,切换到冗余系统,在第二种情况下,通过多数投票确定哪个结果是错误的,并关闭相应的核心。
避免这一问题的新型安全机制的一个选择是使用预测性健康监测。这是长期以来在可靠性领域建立起来的各种方法的总称。下面将讨论其中两种方法,并评估其是否适合作为安全机制使用。
在第一种方法中,电子元件的剩余寿命是根据其负载历史来估计的。这包括记录各种应力变量,如温度或电流。这些要么与已经发生的现场故障的可用统计数据进行比较,要么使用负载来模拟故障机制(故障物理)。这样就可以在失败前很长一段时间做出预测。但是,预测相对不准确,置信度也相对较低。在任何情况下,它都是基于模型和统计假设,没有考虑组件的单个属性。这使得它不太适合作为一种安全机制。然而,它仍然可以在功能安全领域找到应用——即更好地估计故障率。
第二种方法是损伤检测。该技术检查组件,在可能导致功能故障之前检测正在逐渐恶化的现有损坏。有各种方法来实现这种损伤检测——IC封装中的机械损伤可以通过热阻抗测量来识别;利用时域反射法可以发现导电路径中的断裂;晶体管的损坏程度可以通过阈值电压的变化来识别。这种方法更适合作为一种安全机制使用。尽管它只预测了相对短期内的故障,但它的信心绝对与传统安全机制相当,这取决于具体的实现和用例。它可以预测90%以上的故障——假阳性率可以忽略不计。
因此,从技术角度来看,将预测性健康监测作为一种安全机制,几乎没有什么障碍。然而,就像在功能安全方面一样,在这种方法被工业接受之前,需要制定标准。各个标准化组织的工作组已经开始了这方面的工作。因此,ISO 26262或IEC 61508的下一个版本有望包含相应的方法。
|
|
|
|
|
|
|
|
|
|
留下回复