硬件失效安全性分析研究

劉偉超 師 進(jìn) 黃彬彬 孟慶堯 江 明

（北京全路通信信號(hào)研究設(shè)計(jì)院有限公司，北京 100073）

劉偉超，男，碩士畢業(yè)于北京航空航天大學(xué)，工程師。主要研究方向?yàn)锳TP底層平臺(tái)支持，曾參與8號(hào)線、長(zhǎng)春輕軌3期等項(xiàng)目。

“故障-安全”是鐵路信號(hào)安全技術(shù)的核心和特點(diǎn)，也是所有安全相關(guān)信號(hào)設(shè)備所必須滿足的安全需求，設(shè)計(jì)團(tuán)隊(duì)需要不斷“挖掘”并“修復(fù)”設(shè)計(jì)當(dāng)中可能存在的各種“風(fēng)險(xiǎn)”。針對(duì)硬件電路設(shè)計(jì)，對(duì)于器件失效導(dǎo)致風(fēng)險(xiǎn)的分析過程常常采用的手段包括FTA、FMEA等，但這些傳統(tǒng)的方法本質(zhì)上提供的是一種思想，是分析問題的一個(gè)思路，而具體的實(shí)現(xiàn)需要靠人和設(shè)計(jì)團(tuán)隊(duì)。當(dāng)電路規(guī)模較大或復(fù)雜度較高時(shí)，分析所花費(fèi)的時(shí)間就會(huì)指數(shù)增加，人員占用嚴(yán)重，同時(shí)“漏判”的概率也在增加?；谝陨显?，在電路仿真技術(shù)飛速發(fā)展的今天，考慮將電路仿真技術(shù)引入到FTA、FMEA分析當(dāng)中，也就是將故障注入技術(shù)與電路仿真技術(shù)相結(jié)合，這也許是一種實(shí)現(xiàn)電路故障分析及設(shè)計(jì)的有效方法，能夠極大降低設(shè)計(jì)者的工作負(fù)擔(dān)，并提高設(shè)計(jì)的正確性。

在電路故障分析中引入計(jì)算機(jī)仿真的方案早在上世紀(jì)80年代起國外就已開始開展相關(guān)的研究，比如美國的ADEPT、DEPEND，丹麥的MFM，日本的GO_FLOW項(xiàng)目等，國內(nèi)這方面起步較晚，且由于成本等多方面因素并未在民用領(lǐng)域廣泛推廣。本文闡述的仿真平臺(tái)是針對(duì)鐵路應(yīng)用特殊需求并結(jié)合國內(nèi)先進(jìn)的電路仿真軟件開發(fā)的一套適合工程化應(yīng)用的硬件分析平臺(tái)。

1 硬件故障注入的基本原理

硬件故障注入是以電路網(wǎng)表為核心進(jìn)行的，基本原理如圖1所示。

最頂層為“仿真軟件系統(tǒng)控制”層，主要負(fù)責(zé)完成軟件的用戶接口功能以及各功能模塊的調(diào)度。電路仿真軟件讀取電路網(wǎng)表（SPICE）完成基本電路仿真并將仿真結(jié)果輸出；網(wǎng)表部分為待仿真電路的SPICE格式網(wǎng)表；器件故障模型庫存儲(chǔ)失效器件故障模型；風(fēng)險(xiǎn)識(shí)別模塊負(fù)責(zé)讀取電路仿真軟件的輸出，并根據(jù)風(fēng)險(xiǎn)判斷規(guī)則生成最終的報(bào)告。

下面以最簡(jiǎn)單的一個(gè)例子說明系統(tǒng)的工作流程。

工作電路如圖2所示，是一個(gè)簡(jiǎn)單的兩電阻分壓電路，R1、R2均為1 kΩ輸出output為2.5 V，現(xiàn)對(duì)于R1阻值在500 Ω至斷路范圍內(nèi)變化（步長(zhǎng)為1 Ω，斷路狀態(tài)等效于100 MΩ）進(jìn)行失效仿真，假定輸出電壓大于3 V即定為危險(xiǎn)狀態(tài)。

首先利用器件故障模型中R1=500 Ω器件替換當(dāng)前網(wǎng)表內(nèi)的R1電阻，進(jìn)行電路仿真將電路輸出output（3.3 V）送至風(fēng)險(xiǎn)識(shí)別單元，風(fēng)險(xiǎn)識(shí)別單元根據(jù)危險(xiǎn)狀態(tài)判斷原則判定該故障存在風(fēng)險(xiǎn)，并進(jìn)行記錄；隨后系統(tǒng)利用R1=501 Ω器件替換當(dāng)前網(wǎng)表內(nèi)R1電阻，繼續(xù)上述流程直至所有R1可能取值被掃描完全。

2 硬件故障注入?yún)f(xié)同仿真的優(yōu)勢(shì)

傳統(tǒng)的FMEA、FTA分析，僅僅給出方法論，最終的具體實(shí)現(xiàn)依靠設(shè)計(jì)團(tuán)隊(duì)，在具體的實(shí)踐過程中，發(fā)現(xiàn)存在以下的弊端。

1）分析時(shí)間較長(zhǎng)，人力資源占用嚴(yán)重；

2）分析結(jié)果與設(shè)計(jì)團(tuán)隊(duì)人員水平相關(guān)；

3）多次迭代設(shè)計(jì)后，分析人員易產(chǎn)生固化思維，對(duì)于潛在問題的敏感度下降；

4）在FTA分析中，對(duì)于多器件組合失效的判斷較為困難，特別是在電路規(guī)模較大情況下，容易產(chǎn)生遺漏。

從上面論述可以看出，傳統(tǒng)分析方法的主要弊端在于人，因此“基于故障注入的電路仿真”盡量將人為因素排除，設(shè)計(jì)人員僅僅需要指定仿真范圍、各類器件的失效形式以及風(fēng)險(xiǎn)識(shí)別的原則，具體的識(shí)別過程是可重復(fù)的，由計(jì)算機(jī)負(fù)責(zé)完成，因此最大程度避免了上述傳統(tǒng)設(shè)計(jì)方法的弊端，這也是相對(duì)于傳統(tǒng)設(shè)計(jì)方法的優(yōu)勢(shì)所在。

3 元器件失效的建模

針對(duì)失效仿真的元器件建模，主要考慮兩方面內(nèi)容：一方面是元器件基本功能（正常行為）的模擬，該過程主要參考廠家提供的器件手冊(cè)；另一方面是元器件在失效情況下行為的模擬，該過程以EN50129為標(biāo)準(zhǔn)，并將EN50129所規(guī)定的定性故障模式進(jìn)行量化。

3.1 元器件基本功能建模

我們當(dāng)前所使用的仿真平臺(tái)也是以SPICE為核心。SPICE仿真所使用的均為基本的元件和單管，因此，對(duì)于基本元器件包括電容、電阻、普通二極管等都有標(biāo)準(zhǔn)的仿真模型可以直接使用，僅僅需要根據(jù)實(shí)際使用環(huán)境對(duì)參數(shù)進(jìn)行調(diào)整即可。在此基礎(chǔ)上，對(duì)于較復(fù)雜的器件，可以按照其行為，利用基本器件進(jìn)行搭建。

比如GDT器件，GTCS23，工作參數(shù)如表1所示。

表1 GTCS23 工作參數(shù)列表

按照GDT工作行為，利用單管及基本器件搭建等效電路如圖3所示。

針對(duì)該器件，進(jìn)行DC測(cè)試結(jié)果如圖4所示。

AC測(cè)試結(jié)果如圖5所示。

以上結(jié)果可以看出，GDT模型設(shè)計(jì)基本滿足原有工作參數(shù)。

3.2 元器件失效行為建模

元器件的失效，可以認(rèn)為元器件的參數(shù)發(fā)生惡化，導(dǎo)致對(duì)外行為的異常。針對(duì)與仿真應(yīng)用，需要確定以下兩方面內(nèi)容。

1）變化的參數(shù)是什么；

2）該參數(shù)變化值。

首先需要對(duì)變化的參數(shù)確認(rèn)。對(duì)于器件，有些參數(shù)是明確可以認(rèn)定的，比如電阻，當(dāng)阻值變大或減小，變化的參數(shù)均為電阻值，很明確。但對(duì)于一些參數(shù)并不明確的器件，為了簡(jiǎn)化建模過程，需要人為引入該參數(shù)。仍以上述GDT器件為例，EN50129中對(duì)于器件失效定義如圖6所示。

下面依次實(shí)現(xiàn)上述失效形式（器件標(biāo)號(hào)參考圖 3）。

1）Interruption：調(diào)節(jié)R3電阻值至100 MΩ，此時(shí)對(duì)于GDT在電路中行為與斷開一致；

2）Short-circuit：調(diào)節(jié)R1電阻值至0.01Ω，此時(shí)對(duì)于GDT在電路中行為與短路一致；

3）Increase of breakdown voltage：提高穩(wěn)壓管D2擊穿電壓值，此時(shí)對(duì)于GDT外部行為與擊穿電壓提高一致；

4）Decrease of breakdown voltage：降低穩(wěn)壓管D2擊穿電壓值，此時(shí)對(duì)于GDT外部行為與擊穿電壓降低一致；

5）Increase of residual current：增加電感L1的電感量，GDT被擊穿后殘流增加；

對(duì)于上述實(shí)現(xiàn)，GDT參數(shù)改變分兩類：一類是實(shí)現(xiàn)GDT正常行為所必須的，比如2）、3）、4）、5）條，所針對(duì)的器件本身在實(shí)現(xiàn)GDT正常行為過程中發(fā)揮重要作用；另一類是為實(shí)現(xiàn)GDT失效型式所引入的，比如第1）條當(dāng)中的R3，這個(gè)器件對(duì)于實(shí)現(xiàn)GDT正常行為的模擬沒有作用，但能夠更簡(jiǎn)潔實(shí)現(xiàn)Interruption的行為。

在確認(rèn)變化的參數(shù)后，對(duì)于器件參數(shù)變化范圍需要進(jìn)行明確規(guī)定。因?yàn)樯婕暗接?jì)算機(jī)仿真，因此對(duì)于簡(jiǎn)單的電阻短路、斷路不能使用理想0 Ω或∞，這對(duì)于計(jì)算機(jī)容易造成除0錯(cuò)誤或算法不收斂。因此這里假定對(duì)于短路情況電阻設(shè)定為0.01 Ω，對(duì)于斷路情況，電阻設(shè)定為100 MΩ即可，其他情況以此類推。

4 安全側(cè)的定義和檢驗(yàn)

在圖1中，“風(fēng)險(xiǎn)識(shí)別”模塊是整個(gè)仿真平臺(tái)的核心。在具體實(shí)踐過程中，設(shè)計(jì)人員首先利用自然語言描述系統(tǒng)的安全側(cè)（該描述應(yīng)來源于系統(tǒng)需求），針對(duì)于具體電路，設(shè)定并量化接口側(cè)的對(duì)應(yīng)關(guān)系（由于利用計(jì)算機(jī)進(jìn)行器件失效分析，因此電路內(nèi)部工作結(jié)果可以考慮，僅僅需要定義輸入、輸出的關(guān)系）。最后，根據(jù)量化后的接口對(duì)應(yīng)關(guān)系以及系統(tǒng)安全側(cè)定義確定“風(fēng)險(xiǎn)描述”，概括起來就是“在A輸入條件下如果產(chǎn)生輸出為B時(shí)，將會(huì)導(dǎo)致系統(tǒng)風(fēng)險(xiǎn)”（A、B均為量化條件）。

在風(fēng)險(xiǎn)識(shí)別階段，“風(fēng)險(xiǎn)識(shí)別”模塊讀入仿真輸出結(jié)果（接口側(cè)的電壓、電流值），并根據(jù)上述定義的“風(fēng)險(xiǎn)描述”篩選可能出現(xiàn)風(fēng)險(xiǎn)的case并形成最終報(bào)告。在具體實(shí)踐過程中，風(fēng)險(xiǎn)識(shí)別的判斷通過SPICE的measure語句實(shí)現(xiàn)。

5 實(shí)踐案例

原理如圖7所示。

該電路為簡(jiǎn)單的輸入采集電路，當(dāng)輸入IN0為高電平（24 V）時(shí)，輸出I_CPU0為低電平‘0’；當(dāng)輸入IN0為低電平（0 V）時(shí)，輸出I_CPU0為高電平（3.3 V）。同理，對(duì)應(yīng)第二通道。定義：“當(dāng)沒有輸入的情況下采集到輸入視為危險(xiǎn)情況”，對(duì)應(yīng)電路中，當(dāng)IN0為‘0’（V_IN < 9 V）且I_CPU0為‘0’ （V_ I_CPU0 < 2 V）或當(dāng)IN1為‘0’（V_IN < 9 V）且 I_CPU1 為‘0’ （V_ I_CPU1< 2 V）時(shí)，定義為危險(xiǎn)情況。按照下述步驟進(jìn)行。

1）利用Protel輸出該電路網(wǎng)表“testcase.nsx”；

2）設(shè)定電路激勵(lì)：IN0為5 Hz方波，IN1為2.5 Hz方波；

3）設(shè)定器件掃描范圍：對(duì)于所有器件的所有失效模式進(jìn)行掃描，存在最大兩器件組合同時(shí)失效情況；

4）設(shè)定風(fēng)險(xiǎn)識(shí)別原則：“當(dāng)IN0為低電平時(shí)，若I_CPU0為低電平，則為危險(xiǎn)側(cè)或當(dāng)IN1為低電平時(shí)，若I_CPU1為低電平，則為危險(xiǎn)側(cè)”，并編寫對(duì)應(yīng)的measure語句；

共掃描案例8 408個(gè)，耗時(shí)177.63 s，數(shù)據(jù)如圖8所示。

如圖9所示，根據(jù)掃描結(jié)果判定當(dāng)d1或d5短路后將出現(xiàn)IN0與IN1間串?dāng)_；U1或U2的ce間短路將造成電壓的誤采集；r6斷開并且d1反向漏電流增加時(shí)的組合故障導(dǎo)致輸出電壓I_CPU0出現(xiàn)錯(cuò)誤電平（在本案例中，r6斷開導(dǎo)致I_CPU0呈現(xiàn)高阻態(tài)，但在實(shí)際工作過程中，由于I_CPU0將會(huì)接有負(fù)載，因此該種失效模式不會(huì)帶來風(fēng)險(xiǎn)）， 同理r3斷開與d5反向漏流的增加同樣導(dǎo)致I_CPU1出現(xiàn)錯(cuò)誤電平。分析結(jié)果與實(shí)際工程人員FTA分析一致。

6 面臨的問題及挑戰(zhàn)

從建模上可以看到，引入仿真系統(tǒng)后最大的工作量就是器件的建模過程，對(duì)于新增加的器件往往要付出比較大的時(shí)間進(jìn)行模型建立及驗(yàn)證；對(duì)于較為復(fù)雜的元器件比如大、中規(guī)模集成電路建模過程更為復(fù)雜，實(shí)現(xiàn)難度較高；

從計(jì)算角度而言，隨著電路規(guī)模增加、分析同時(shí)失效器件數(shù)目的增多，系統(tǒng)的計(jì)算量將呈指數(shù)形式增長(zhǎng)。但隨著多核技術(shù)以及云計(jì)算技術(shù)的發(fā)展，仿真計(jì)算速度將有質(zhì)的飛躍。

7 結(jié)束語

本文闡述了基于電路仿真技術(shù)的失效仿真技術(shù)的基本原理以及基本的建模方法，并通過簡(jiǎn)單的案例證明的該技術(shù)的可實(shí)施性，該方法具有很高的工程實(shí)用價(jià)值，可以貫穿產(chǎn)品的整個(gè)設(shè)計(jì)周期。放眼將來，隨著計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)仿真技術(shù)將滲透到傳統(tǒng)信號(hào)設(shè)備設(shè)計(jì)周期的各個(gè)方面，仿真技術(shù)的應(yīng)用將會(huì)大大提高設(shè)計(jì)效率、減少設(shè)計(jì)中的缺陷、提高產(chǎn)品的安全性與可靠性。

[1]趙廣燕，孫宇峰，楊立波.電路功能可靠性仿真平臺(tái)的設(shè)計(jì)[J]. 系統(tǒng)仿真學(xué)報(bào)，2005,17(12):2931-2934.

[2] EN50129 Railway applications: safety related electronic systems for signaling[S].

[3]郭梁，馬立元，郭禮，等.基于仿真的電子元器件故障模型研究[J].工程設(shè)計(jì)學(xué)報(bào)，2008,15(2):145-148.