随着功能安全概念和过程的推行，硬件设计中涉及到安全的部分，遇到引起的关注也会越来越多。这是周岩去TI研讨会记录的一点笔记，希望后面有Freescale、英飞凌和各家MCU的投稿，使得用MCU起来知根知底一些。

举例了三个行业，最终判定的结果是：汽车行业失效率最低、电梯次之、工业流水线的失效率最高。失效率高，意即设备失效的概率大。

由于设备在此种条件下失效率高，那么发过来就对设备的可靠性要求也会高。重新解读上面的结论，汽车设备的可靠性要求低，工业设备的可靠性要求最高。这似乎颠覆了原有的观念，汽车电子号称“民品的价格、军品的品质”。TI的专家解释主要是由于电梯和工业设备虽然环境条件要好于汽车，但是由于其工作时间很长，导致失效率增大。

我个人理解是工业设备单价利润很高，做功能安全设计是容易的。反观汽车电子单件利润很低（靠规模效应将利润做大），在单件内实现功能安全设计是较难的。

汽车电子 Automotive ：

• 基于IEC/TR62380 标准

• 10年间

• 每天2 次夜间行车、 4次日间行车

• 每年停车30 天

• 3次温度循环：冷、温暖、热

• ON/OFF比例 0.058/0.942

• MCU功率 1.04W

• 计算结果：die 永久失效率9.48 Fit

电梯：

• 10年间， 18小时工作，6 小时停止工作

• 每年工作365 天，

• 平均温升55 摄氏度

• 计算结果：die 永久失效率103 Fit

工业：

• 10年间， 24小时不间断

• 每年工作365 天，

• 平均温升30 摄氏度

• 计算结果：die 永久失效率330 Fit

TI Hercules系列双核MCU

• ARM Cortex家族的双核MCU

• TMS570

• 80MHz~300MHZ

• AEC Q100认证

• ISO26262 ASIL-D

安全特性

• CPU 的双核在芯片内部旋转 90度且分开Layout ，避免共因故障

• 双核锁步运行，周期性进行 CPU安全侦测

• CPU 的自检

• Flash 和RAM有 ECC校验

• Memory 保护机制

• 启动时RAM 快速自检

• 所有外设、DMA 和中断控制器的 RAM具备奇偶校验

• 时钟监控

• 电压监控

• 同一通道双ADC 采集

• 通信外设的奇偶检验或CRC校验

故障容错时间间隔 FTTI

• Fault Tolerant Time Interval，即从故障发生 ->故障被侦测出来->切换至安全状态的时间。

• 汽车内安全的系统，其故障容错时间间隔 10ms或100ms 。

ECC

• memory利用 ECC可以实现1bit 错误可纠正、 2bit错误可报错。

• 但是如果ECC 算法本身有问题，依然会造成潜在失效。因为 TI将ECC 算法也提交TUV认证， TUV审核ECC 算法是OK的。

文档

• 公开的文档： HerculesTM component Safety Manual (SM)

• 需要签订NDA 协议后提供的文档：

• Safety Analysis Report Summary (SAR1)

• Detailed Safety Analysis Report (SAR2)

• Safety Report

MCU的使用，从本身MCU的安全特性可出，下面这张图可能已经老了……