随着功能安全概念和过程的推行，硬件设计中涉及到安全的部分，遇到引起的关注也会越来越多。这是周岩去TI研讨会记录的一点笔记，希望后面有Freescale、英飞凌和各家MCU的投稿，使得用MCU起来知根知底一些。

举例了三个行业，最终判定的结果是：汽车行业失效率最低、电梯次之、工业流水线的失效率最高。失效率高，意即设备失效的概率大。

由于设备在此种条件下失效率高，那么发过来就对设备的可靠性要求也会高。重新解读上面的结论，汽车设备的可靠性要求低，工业设备的可靠性要求最高。这似乎颠覆了原有的观念，汽车电子号称“民品的价格、军品的品质”。TI的专家解释主要是由于电梯和工业设备虽然环境条件要好于汽车，但是由于其工作时间很长，导致失效率增大。

我个人理解是工业设备单价利润很高，做功能安全设计是容易的。反观汽车电子单件利润很低（靠规模效应将利润做大），在单件内实现功能安全设计是较难的。

汽车电子 Automotive：

• 基于IEC/TR62380标准

• 10年间

• 每天2次夜间行车、4次日间行车

• 每年停车30天

• 3次温度循环：冷、温暖、热

• ON/OFF比例0.058/0.942

• MCU功率1.04W

• 计算结果：die永久失效率9.48 Fit

电梯：

• 10年间，18小时工作，6小时停止工作

• 每年工作365天，

• 平均温升55摄氏度

• 计算结果：die永久失效率103 Fit

工业：

• 10年间，24小时不间断

• 每年工作365天，

• 平均温升30摄氏度

• 计算结果：die永久失效率330 Fit

TI Hercules系列双核MCU

• ARM Cortex家族的双核MCU

• TMS570

• 80MHz~300MHZ

• AEC Q100认证

• ISO26262 ASIL-D

安全特性

• CPU的双核在芯片内部旋转90度且分开Layout，避免共因故障

• 双核锁步运行，周期性进行CPU安全侦测

• CPU的自检

• Flash和RAM有ECC校验

• Memory保护机制

• 启动时RAM快速自检

• 所有外设、DMA和中断控制器的RAM具备奇偶校验

• 时钟监控

• 电压监控

• 同一通道双ADC采集

• 通信外设的奇偶检验或CRC校验

故障容错时间间隔FTTI

• Fault Tolerant Time Interval，即从故障发生->故障被侦测出来->切换至安全状态的时间。

• 汽车内安全的系统，其故障容错时间间隔10ms或100ms。

ECC

• memory利用ECC可以实现1bit错误可纠正、2bit错误可报错。

• 但是如果ECC算法本身有问题，依然会造成潜在失效。因为TI将ECC算法也提交TUV认证，TUV审核ECC算法是OK的。

文档

• 公开的文档：HerculesTM component Safety Manual (SM)

• 需要签订NDA协议后提供的文档：

• Safety Analysis Report Summary (SAR1)

• Detailed Safety Analysis Report (SAR2)

• Safety Report

MCU的使用，从本身MCU的安全特性可出，下面这张图可能已经老了……