(高清版)GBT 34590.11-2022 道路車輛 功能安全 第11部分：半導(dǎo)體應(yīng)用指南

applicationsofISO26262tosemicondu國家標(biāo)準(zhǔn)化管理委員會國家市場監(jiān)督管理總局發(fā)布國家標(biāo)準(zhǔn)化管理委員會 I 4半導(dǎo)體組件及其分區(qū) 14.1如何考慮半導(dǎo)體組件開發(fā) 1 24.3關(guān)于硬件的故障、錯誤和失效模式 24.4關(guān)于使半導(dǎo)體組件安全分析適應(yīng)系統(tǒng)層面 44.5知識產(chǎn)權(quán)(IP) 4.6半導(dǎo)體的基礎(chǔ)失效率 4.7半導(dǎo)體相關(guān)失效分析 4.8故障注入 4.9生產(chǎn)和運行 494.10分布式開發(fā)中的接口 494.11認可措施 4.12硬件集成與驗證說明 5特定半導(dǎo)體技術(shù)和應(yīng)用案例 515.1數(shù)字組件和存儲器 5.2模擬/混合信號組件 5.3可編程邏輯器件 5.4多核組件 5.5傳感器和轉(zhuǎn)換器 附錄A(資料性)有關(guān)如何使用數(shù)字失效模式進行診斷覆蓋率評估的示例 附錄B(資料性)相關(guān)失效分析示例 附錄C(資料性)數(shù)字組件定量分析示例 附錄D(資料性)模擬組件的定量分析示例 附錄E(資料性)PLD組件定量分析示例 參考文獻 I ⅡⅢGB/T34590針對的是電氣/電子系統(tǒng)的功能安全，通過安全措施(包括安全機制)來實現(xiàn)。 V1.術(shù)語2-7生產(chǎn)、運行、服務(wù)、報廢的安全2-5整體安全管理3-5相關(guān)項定義3-6危害分析和風(fēng)險評估3-7功能安全概念12-5摩托車的適用性總則12-8危害分析和風(fēng)險評估12-9整車集成和測試12-10安全確認2-6項目相關(guān)的安全管理4.產(chǎn)品開發(fā)：系統(tǒng)層面測試4-8安全確認測試4-8安全確認4-6技術(shù)安全概念5.產(chǎn)品開發(fā)：硬件層面5-5硬件層面產(chǎn)品開發(fā)概述5-6硬件安全要構(gòu)度量的評5-9隨機硬失效導(dǎo)致通安全目標(biāo)5-10硬件集成和驗證求的定義件架構(gòu)設(shè)計8軟件單元設(shè)計實現(xiàn)6-9軟單元驗6-11嵌入式軟們試25生產(chǎn)、運行、服務(wù)和報廢計劃7-6生產(chǎn)7-7運行、服務(wù)和8-5分布式開發(fā)的接口8-6安全要求的定義和管理8-7配置管理8-8變更管理8-9驗證8-10文檔管理8-11使用軟件工具的置信度8-12軟件組件的鑒定8-13硬件要素的評估8-14在用證明8-15GB/T34590適用范圍之外應(yīng)用的8-16未按照GB/T34590開發(fā)的安全相關(guān)系統(tǒng)的集成9.以汽車安全完整性等級為導(dǎo)向和以安全為導(dǎo)向的分析GB/T34590.7—2022之間的相互關(guān)系。注2:對于摩托車： GB/T34590.12—2022第9章和第10章支持GB/T34590.4—2022。注3:以“m-n”方式表示的具體章條中，“m”代表特定部分的編號，“n”代表該部分章的編號。1道路車輛功能安全GB/T34590.1—2022道路車輛功能安全第1部分：術(shù)語(ISO26262-1:2018,MOD)2注：如果要素未按照GB/T34590開發(fā)，則可以參考GB/T34590.8—2022第13章的要求。假設(shè)。在半導(dǎo)體組件自身層面，可以應(yīng)用GB/T34590.2—2022、GB/T34590.5—2022、如與安全分析、相關(guān)失效分析、驗證等相關(guān))。注；半導(dǎo)體組件劃分的詳細程度(例如，是否停止于元器件層面或下至子元器件或基礎(chǔ)子元器件層面)以及基礎(chǔ)子元器件的定義(例如觸發(fā)器、模擬晶體管)可取決于安全概念、分析的階段以及使用的安全機制(在半導(dǎo)體組件內(nèi)部或在系統(tǒng)層面或要素層面)。3注1:失效模式可以是抽象的，也可根據(jù)具體實施情況而裁剪，例如與組件、元器件或子元器件的引腳相關(guān)。示例：附錄A給出了數(shù)字電路失效模式的示例。注2:故障、錯誤和失效的術(shù)語是按照GB/T34590.1-2022中的定義而使用的，即故障會產(chǎn)生錯誤從而會導(dǎo)致失效的產(chǎn)生。在許多可靠性建模標(biāo)準(zhǔn)中，故障和失效這兩個術(shù)語可互換使用。D失效模式的分布與圖3所示的故障模型相關(guān)聯(lián)。示例：如果某個失效模式X%是由于卡滯故障、Y%是由于短路而造成的，并且如果安全機制僅以Z%的覆蓋率覆蓋卡滯故障，則聲明的診斷覆蓋率為X%×Z%。注1:有關(guān)數(shù)字組件故障模型的更多詳細信息，見5.1.2;對于存儲器，見5.1.3。注2:通常情況下，由于故障數(shù)量和所需的詳細程度，無法單獨評估每個可能的物理故障。示例1:如果CPU具有硬件鎖步安全機制，則可將CPU功能視為整體來定義失效模式。示例2:如果CPU具有基于結(jié)構(gòu)化軟件的硬件測試作為安全機制，則可更詳細地定義CPU功能的失效模式，因為軟件測試將以不同的失效模式覆蓋率來覆蓋不同的失效模式。示例3:附錄A給出了數(shù)字失效模式不同詳細程度的示例。示例4:關(guān)鍵字的示例包括程序流執(zhí)行錯誤、數(shù)據(jù)損壞、訪問非預(yù)期位置、死鎖、活鎖、指令執(zhí)行錯誤。示例5:模擬失效模式(見表36)。4組件的元器件/子元器件的同時，所有相關(guān)的元器件/子元器件至少有一種失效模式。4.3.4失效模式下的基礎(chǔ)失效率的分布基礎(chǔ)失效率(見4.6)分布在失效模式中。這種分布的準(zhǔn)確性與分析的詳細程度以及對可用的有關(guān)安全機制的考慮是一致的。在以規(guī)定精度來計算分布時，若無可用數(shù)據(jù)，則失效率在失效模式中均勻分布，或應(yīng)提供帶有相關(guān)論據(jù)的專家判斷。4.4關(guān)于使半導(dǎo)體組件安全分析適應(yīng)系統(tǒng)層面使半導(dǎo)體組件安全分析適應(yīng)系統(tǒng)層面，可通過以下方式完成：——將半導(dǎo)體組件的詳細失效模式轉(zhuǎn)換為在系統(tǒng)層面分析期間所需的高層面失效模式，如圖4執(zhí)行器錯誤輸出集成電路錯誤輸出……圖4自下而上方法推導(dǎo)系統(tǒng)層面失效模式的示例——通過在元器件層面、組件層面或系統(tǒng)層面或相關(guān)項層面采取措施，可以提高在元器件層面或子元器件層面計算出的診斷覆蓋率；或——在元器件或子元器件層面計算得出的診斷覆蓋率可能可以在某些特定的假設(shè)(使用假設(shè)或AoU)下被計算出來。5因此，通過對半導(dǎo)體組件的編程，將錯誤更正標(biāo)志直接發(fā)送到外界。4.5.1關(guān)于IP示例：如果無法從IP供應(yīng)商處獲得支持信息，可能的方法可以僅限于“在用證明”論據(jù)(如果適用)。若“在用證明”注1:本條中的指導(dǎo)可適用于新開發(fā)的IP、修訂的IP和現(xiàn)有的未修改的IP。注2:如GB/T34590.2—2022中的,通常的方法是假設(shè)可能的目標(biāo)用途。該方案在GB/T34590.10—2022中被描述為SEooC。SEooC的開發(fā)依賴于識別由IP集成商驗證的假設(shè)用例和安全要求。表1IP類型IP類型一個完整的芯片布局描述，包含特定單元庫的標(biāo)準(zhǔn)單元實例或者目標(biāo)制造過程中的模擬單元。示例：A/D轉(zhuǎn)換器宏、PLL宏6表1IP類型(續(xù))IP類型根據(jù)硬件描述語言(HDL),如Verilog或VHDL,或模擬晶體管級電路原理圖來進行的設(shè)計描述。模型表示中的邏輯設(shè)計被綜合為由基本單元組成的門陣列，隨后是布置和布線以實現(xiàn)半導(dǎo)體設(shè)計。示例：處理器或存儲器控制器設(shè)計轉(zhuǎn)換而不映射到特定工藝，運算放大器晶體管級示意圖注3:分類適用于通用IP設(shè)計，包括數(shù)字、模擬、混合信號、PLD、傳感器和轉(zhuǎn)換器。通常情況下，可以基于對安全要求的分配來確定兩類IP:沒有分配安全要求的IP和分配一個或多免于干擾。對于相關(guān)失效分析指南，見GB/T34590.9—2022第7章和本文件4.7中的附加指南。集成安全機制的情況下考慮這些IP要求。安全相關(guān)的IP可以基于安全機制的集成進行進一步分類。圖6說明了兩種可能的情況，其中，圖安全機制X安全機制安全機制X7為了將IP集成到安全相關(guān)的硬件環(huán)境中，IP的硬件功能最初可以通過提供基于假設(shè)的安全要求的安全機制來開發(fā)，該安全機制旨在控制給定的失效模式。在這種情況下，GB/T34590.2—2022、GB/T34590.4—2022、GB/T34590.5—2022、GB/T34590.6—2022(在基于軟件的安全機制覆蓋硬件失效的情況下)、GB/T34590.8—2022以及GB/T34590.9—2022的要求適用時可以在IP的開發(fā)過程GB/T34590.9—2022第8章中的安全分析可應(yīng)用于IP。定性安全分析和在某些情況下的定量安IP集成商可以在執(zhí)行安全要求時向IP供應(yīng)商請求附加信息。IP供應(yīng)商可以通過提供有關(guān)用于避免系統(tǒng)性故障的措施的信息以及安全分析結(jié)果來支持該請求。安全分析結(jié)果可用于支持對集成IP的由于IP將被集成到與安全相關(guān)的設(shè)計中，因此考慮關(guān)功能產(chǎn)生不利影響非常重要。為了聲明免于干擾，可以使用如GB/T34590.9—2022第6章和GB/T34590.9—2022第7章所述的相關(guān)失效分析，以及4.7中的附加指南。如果IP集成商判定，使用提供的IP無法滿足安全要求，則可以按照GB/T34590.8—2022中的合來實現(xiàn)。如果合規(guī)開發(fā)缺少證據(jù)，GB/T34590.8—2022第13章和GB/T34590.8—2022第14章可IP集成商負責(zé)與所分配的安全要求和安全機制有關(guān)的每次集成，以及相關(guān)的驗證和測試活動(如4.5.3IP生命周期8求的應(yīng)用中使用。在硬件設(shè)計的背景下，GB/T3459器和轉(zhuǎn)換器)提供了進一步的指導(dǎo)。該指南可用于確定在IP開發(fā)期間，避免和探測系統(tǒng)性故障的一般對于具有可編程行為的IP,則可參考GB/T34590.4—2022中的,同樣可參考5.3中描述的IP供應(yīng)商455b)供應(yīng)商負責(zé)，因為許多相關(guān)要求不適用于IP供應(yīng)商，例如ESD測試。DIA可以定義將由IP供應(yīng)商提供的工作成果(如4.5.4所列),以支持IP集成商進行IP集成活動。在開發(fā)SEooCIP時，根據(jù)GB/T34590.2—2022中的裁剪適用的安全活動。這種針對SEooC開發(fā)的裁剪并不意味著可以省略任何一個安全生命周期的步驟。如果在SEooC開發(fā)期間某些如果SEooC的ASIL等級能力(見GB/T34590.1—2022中的3.2)和由IP集成商指定的ASIL等級要求不匹配，則IP集成商可以采用IP外部附加的安全機制。也應(yīng)將關(guān)于避免系統(tǒng)性失效的附加安全措施考慮在內(nèi)?？梢允褂肎B/T34590.9—2022第5章定義的ASIL等級分解，前提是可以表明存在9SEooC是基于預(yù)期功能和使用場景(包括外部接口)的假設(shè)開發(fā)的。這些假設(shè)的設(shè)置方式可以將SEooC集成到其中的組件的超集，從是在集成SEooC的實際組件的場景下建立的。在這種情況下，被開發(fā)為SEooC的當(dāng)在某場景下開發(fā)IP時，IP供應(yīng)商根據(jù)GB/T34590.2—2022中的描述裁剪安全活動。通過硬件要素評估的IP應(yīng)用如果沒有SEooC或場景信息可用于IP,如GB/T34590.8—2022第13章所述的硬件要素的評估可被用于增加對IP的信心。用于評估硬件要素的預(yù)知活動可以應(yīng)用于沒有預(yù)先可用的支持信息的IPIP工作成果清單工作成果示例在5.1.11(用于數(shù)字組件)、5.2對于分配了一個或多個安全要求的IP,按照GB/T34590.2—2022中6.4.6的要求制定安全計劃?？梢允褂脝蝹€計劃或多個相關(guān)計劃。詳細計劃應(yīng)納入GB/T34590.8—2022描述的適用的支持過程，分配給IP設(shè)計的安全要求如GB/T34590.5—2022第6章中定義，硬件安全要求可以分配到IP設(shè)計。驗證報告包括用于驗證IP設(shè)計的活動結(jié)果?？砂凑誈B/T34590.8—2022第9章進行驗證，包括IP設(shè)計可采用GB/T34590.9—2022第8章中的安全分析的要求?？苫贕B/T34590.5—2022表2,選擇合適的安全分析方法?？梢远x通過IP內(nèi)部和外部特征的組合實現(xiàn)的安全機制，以及在IP外部實施的安全機制。這些可按照GB/T34590.9—2022第7章進行IP的相關(guān)失效分析，4.7描述了如何將相關(guān)失效分析應(yīng)實施認可措施的結(jié)果包括與IP開發(fā)流程相關(guān)以及關(guān)于避免系統(tǒng)性故障的證據(jù)和論據(jù)。GB/T34590.2—2022表1描述了認可措施。對于半導(dǎo)體IP,通常的認可措施報告包括：適用于避免系統(tǒng)性故障的IP開發(fā)活動的技術(shù)示例。GB/T34590.8—2022第5章對分布式開發(fā)的要求適用于IP設(shè)計。DIA定義了針對IP設(shè)計的用于交換的工作成果，以及IP供應(yīng)商和IP集成文檔集可以包括作為SEooC開發(fā)的IP的安全手冊或安全應(yīng)用說明。集成文檔集還可以包含●關(guān)于最大故障處理時間間隔和多點故障探測間隔(MPFDI)的假設(shè)(如適用);●故障探測和控制機制；●故障報告能力；●自檢能力和關(guān)于潛伏故障的自檢的附加要求●配置參數(shù)對上述相關(guān)項的影響，如果適用。 用于探測IP組件故障的基于軟件的測試?yán)痰囊?guī)范，如果適用。這也可供作源代碼或二進IP集成商可以以正式的形式識別每一個與安全機制相關(guān)的硬件特征，以便可以在IP集成商層面對于在某場景下進行開發(fā)的IP,通常提供類似的文檔。0工作成果對IP類別的適用性～中工作成果的適用性取決于4.5.2描述的IP的分類。對于沒有集成安全機制的——安全分析報告僅限于IP的失效模式分布。由于沒——集成文檔集(非特定的工作成果，而是如所述的信息集合)受限于對IP集成環(huán)境假設(shè)——以打亂的RTL源碼形式(其中有意義的變量名稱被替換為隨機字符串，并且任何解釋性說明當(dāng)黑盒IP被集成時，IP供應(yīng)商、IP集成商和IP集成商客戶之間的責(zé)任分工可以通過如GB/T34590.8—2022第5章描述的開發(fā)接口協(xié)議來定義。開發(fā)接口協(xié)議還可包括在GB/T34590.2—2022中所述的裁剪安全活動的細節(jié)以及在整個IP集成商并不總是有足夠的數(shù)據(jù)來評估黑盒IP的基礎(chǔ)失效率。由于這會影響定量分析的結(jié)果，在黑盒IP需要安全機制的情況下，IP集成商無法獲得足夠的信息來實現(xiàn)IP之外的安本條提供有關(guān)如何計算和使用基礎(chǔ)(或原始)失效率的說明、指南和示例。按照GB/T34590.5—可用于基礎(chǔ)失效率評估的每種技術(shù)都需要考慮失效機理的假設(shè)。由不同成的結(jié)果差異通常是由于缺乏對同一組失效機理的考量。如果不對一組共同子設(shè)備工程委員會)、國際設(shè)備和系統(tǒng)路線圖(IRDS)以及SEMATECH/ISMI可靠性委員會等行業(yè)組 定量目標(biāo)值和可靠性預(yù)測由于隨機硬件失效導(dǎo)致的在相關(guān)項層面違背每個安全目標(biāo)的最大概率的定量目標(biāo)值(PMHF)有時會被誤認為是可靠性預(yù)測的輸入。按照GB/T34590.5—2022中的注1,這些定量目標(biāo)值不具有絕對意義，但在比較現(xiàn)有設(shè)計和新設(shè)計時非常有用。它們旨在提供可用的設(shè)計指南并提供證明設(shè)計符合安全目標(biāo)的可用證據(jù)。因此，這些值不能夠在可靠性預(yù)測中“按原樣”使用。系統(tǒng)性失效和隨機失效之間的差異GB/T34590區(qū)分了系統(tǒng)性失效和隨機失效。絕大多數(shù)用于基礎(chǔ)失效率評估的可用技術(shù)旨在提供可靠性評估但不做出這種區(qū)分。由于包含估算系統(tǒng)性失效的因子，這些技術(shù)的結(jié)果可能過于保守。例如，基于現(xiàn)場失效觀測的評估技術(shù)通常不具有適當(dāng)?shù)臉颖敬笮』蛴^測質(zhì)量以區(qū)分系統(tǒng)性失效和隨機失效。類似地，在GB/T34590的背景下(例如參考文獻[22]中定義的πm和πproce.因子)使用將系統(tǒng)性功能作為基礎(chǔ)失效率計算的一部分的模型可能具有挑戰(zhàn)性。一個值得關(guān)注的點是對用于增強可用性的診斷的處理。這可能導(dǎo)致基礎(chǔ)失效率與診斷的混合，而GB/T34590.5—2022要求將它們分開以進行度量計算。穿，熱載流子或負偏置溫度的不穩(wěn)定性將以可忽略的速率有效地發(fā)生。在某些情況下，可靠性模型的失效率分布不符合“浴盆曲線”簡化模型的恒定失效率。非恒定失效率的使用與GB/T34590.5—2022所述的硬件架構(gòu)度量的計算不兼容。一種可能性是通過使用恒定失效率的近似值來簡化非恒定失效率的分布。圖8浴盆曲線——失效率隨時間的演化通過使用不同的(但恒定的)失效率近似，來分別評估各個失效模式的影響，從而簡化安全分析。●可靠性測試芯片和/或片上測試結(jié)構(gòu)，用于評估硅技術(shù)的內(nèi)在可靠性； 注2:對于永久性故障：半導(dǎo)體行業(yè)提供的數(shù)據(jù)可以基于隨機失效的數(shù)量除以等效設(shè)備小時數(shù)。這些數(shù)據(jù)是從現(xiàn)場數(shù)據(jù)或加速壽命測試(如定義于JEDEC和AEC等標(biāo)準(zhǔn)中)中獲得的，在假定是恒定失效率(隨 注3:實際得出的失效率預(yù)計會低于由這些方法推導(dǎo)出的失效率。示例3:按照GB/T34590.5—2022中的8.4.3、注6和注7,通過失效物理學(xué)的方法進行可靠性評估。 對每一代軟錯誤率的預(yù)測值，從而使得當(dāng)技術(shù)數(shù)據(jù)可用時該信息可用于第一次評估并且可被當(dāng)計算基礎(chǔ)失效率時，供應(yīng)商提供描述所做假設(shè)和支持依據(jù)的文件。 集成商可以在要素層面或相關(guān)項層面使用此信息來評估、理解、判斷、比較和可能地協(xié)調(diào)來自不同供應(yīng)商和組件的失效率。如5.1.2所述，軟錯誤是瞬態(tài)故障的典型示例。由內(nèi)部或外部a、β、中子或γ輻射源引發(fā)的軟錯誤引起的瞬態(tài)故障是隨機硬件失效，可以使用測量數(shù)據(jù)支持的概率方法進行量化。由EMI或串?dāng)_引起的瞬態(tài)故障未被量化。即使這些故障可以產(chǎn)生與其他瞬態(tài)故障相同的效果，它們也主要與系統(tǒng)原因有關(guān)。在設(shè)計階段，通過適當(dāng)?shù)募夹g(shù)和方法可以避免這些問題(例如，在組件開發(fā)后端進行串?dāng)_分析)。按照GB/T34590.5—2022中8.4.7的注2,當(dāng)由于相關(guān)原因(比如所使用的工藝),應(yīng)該考慮瞬態(tài)故障。因此根據(jù)故障的影響并當(dāng)其可適用時，可以在安全分析中考慮。瞬態(tài)故障和永久性故障的分析是分開進行的。這適用于定性或定量分析。如果易受軟錯誤影響，特別是對于直接或誘導(dǎo)的阿爾法粒子和中子，則研究每個基礎(chǔ)子元器件類型(例如觸發(fā)器、鎖存器、存儲器要素，模擬器件)。對這些現(xiàn)象的敏感性取決于半導(dǎo)體前端技術(shù)和裸片上表面的材料(包括封裝),例如：模具合成物和焊料(覆晶)會影響軟錯誤率。在參考文獻[15]和[33]中，根據(jù)技術(shù)和運行頻率等因素，考慮了單粒子翻轉(zhuǎn)(SEU)、多比特翻轉(zhuǎn)(MBU)和單粒子瞬態(tài)(SET)等瞬態(tài)故障模型。JESD89被認為是與半導(dǎo)體中阿爾法粒子和地球宇宙射線引起的軟錯誤的測量和報告有關(guān)的主要參考文獻。在這種情況下，軟錯誤的基礎(chǔ)失效率會與計算或測量的條件一起提供。GB/T34590.5—2022中8.4.3的注2指出，在應(yīng)用選定的工業(yè)來源時，為避免人為減少計算出的基礎(chǔ)失效率，以下的考慮是必要的：任務(wù)剖面、考慮運行條件時失效模式的適用性，或失效率的單位(每個運行小時或每個日歷小時)。此外，軟錯誤的基礎(chǔ)失效率是在不考慮“架構(gòu)脆弱性因子”或ECC等安全機制影響對其修正的情況下提供的。有關(guān)的失效。連接到電路板的連接點(例如焊點)之間的連接被認為是電路板失效，并且通常在系統(tǒng)層該基礎(chǔ)失效率與任務(wù)剖面一起被提供。如果在任務(wù)剖面中定義了上電和下電時間，則可考慮將其本文件采用IEC/TR62380作為電子組件可靠性預(yù)測模型的基礎(chǔ)。本條使用的數(shù)學(xué)模型如圖9所示。——每種技術(shù)使用的每個晶體管的單個參數(shù)(λ?),λ1的值供給不同類型的集成電——與所掌握的工藝有關(guān)的參數(shù)(λ?),且無論集成要素的數(shù)量如何，對整個組件都有效，如圖10——與制造年份或工藝發(fā)布/更新年份與參考年份(1998年)之間的差異相關(guān)的參數(shù)(a); 與集成電路可能暴露于電氣過應(yīng)力有關(guān)的參數(shù)(π?和λEos),如圖11所示； 與硬件組件的溫度循環(huán)的次數(shù)和幅度相關(guān)的參數(shù)(n,和△T?),如圖11所示； 與電路板的熱系數(shù)和封裝材料的熱系數(shù)之間不匹配有關(guān)的參數(shù)(as和αc),如圖11和圖12 與封裝相關(guān)的參數(shù)(λs),或者作為封裝類型及其引腳數(shù)量S的函數(shù)(如圖14所示),或者作為用于表面貼裝的集成電路的封裝對角線D的函數(shù)(如圖15所示)?？梢曰诠に嚰夹g(shù)和設(shè)計所使用的電路類型來完成參數(shù)的選擇。晶體管數(shù)量N硅：MOS:標(biāo)準(zhǔn)電器(3)低功耗SRAM數(shù)字/線性電路(Telekom、CAN、CNA、存儲器：只讀存儲器(“混合”MOS)靜態(tài)隨機存儲器——低功耗(CMOS)雙訪問靜態(tài)RAM電可編程，UV可清除一只讀存儲器可編程一次EPROM電可編程可清除(塊)(1)電可編程可清除(字)(2)4個/門1個/bit1個/bit1個/可編程點}2個/可編程點(1)全存儲器陣列或塊的字節(jié)可清除(2)字節(jié)塊可清除(3)MOS包括CMOS、HCMOS、NMOS等技術(shù)硅：MOS;專用集成電路(ASIC)LCA(基于RAM)CPLD(EPLD、MAX、FLEK、FPGA等)門陣列用戶可編程邏輯器件；由外部存儲器電配置的邏輯單元陣列電可編程可清除(與/或陣列)電可編程(互聯(lián)宏單元陣列)4個/門4個/門40個/門3對/網(wǎng)節(jié)點100個/宏單元(1)或4000每宏單元：(2)EEPROM、EPROM或抗熔技術(shù)硅：雙極電路(1)線性電路(FET和其他)線性/數(shù)字電路，低電壓(<30V)線性/數(shù)字電路，高電壓(=30V)存儲器-可編程陣列-門陣列：單次電可編程邏輯陣列(與/或陣列)門陣列3個/門2.5個/bit1.2個/可編程點1.6個/網(wǎng)格點3個/門雙極包括：TTL、MTTL、LSTTL、FET、JFE硅：雙極MOS電路(BICMOS)線性/數(shù)字電路，低電壓(<6V)電源門陣列4個/門4個門5個/門3個/門工藝結(jié)構(gòu)溫度因子π工藝結(jié)構(gòu)溫度因子πBICMOS(低電壓)BICMOS(高電壓)一結(jié)溫(℃)電路板與封裝間熱膨脹系數(shù)的部匹配電氣環(huán)境接口電腦1電信1傳輸、接入、111民用航空(機載計算器)1電源供給、整流器1無接口0影響因子(πn):的數(shù)學(xué)表達n,;每年幅度為△T?循環(huán)數(shù)階段，存儲或者休眠狀態(tài)在任務(wù)剖面的第i個階段時，△Ti值/(10-6/℃)ag(電路板)環(huán)氧玻璃(FR4、G-10)PTFE玻璃(聚四氟乙烯)彈性電路板(聚酰亞胺芳綸)銅/殷鋼/銅(20/60/20)ac(組件)環(huán)氧樹脂(塑料封裝)氧化鋁(陶瓷封裝)合金(金屬封裝)51.夜間△T;白天/夜間法國圖13氣候引腳數(shù)量S同小外形帶熱下沉同S0陶瓷引線(無引線)芯片載體，所有同PLCC同PLCC裝，L形，大小被定同PQFP帶熱下沉(裸露金屬塊)同PQFP陶瓷扁平封裝同PQFP塑料球柵陣列封裝-pas>1mm,大小定義縮BGA-pas1mm-corps(42.5×42.5)mm2縮BGA-pas1mm-corps(27×27)mm2陶瓷同PBGA陶瓷雙列直插塑封陳列引腳陶瓷陳列引腳PLCC、CLCC、MQUAD、PQFP、CQFP、PBGA、CBGA、SBGA、pBGACOB(片上芯片)D=(長度2+寬度2).dD指區(qū)域?qū)蔷€。圖15表面安裝的集成電路封裝的λ3的值一旦生成了組件裸片的基礎(chǔ)失效率(FIT),就會根據(jù)熱效應(yīng)和運行時間來明確修正因子。修正因子基于以下因素確定?！M件裸片的結(jié)溫的計算基于：●組件裸片的功率消耗；●封裝熱阻，基于封裝類型、封裝的引腳數(shù)和氣流。 定義從1到Y(jié)個使用階段的應(yīng)用剖面，每個階段由應(yīng)用“運行時間”組成，其作為總器件壽命的百分比和環(huán)境溫度。示例：兩個汽車使用工況的示例為“電機控制”和“乘客艙”,如圖16所示。比率開/關(guān)應(yīng)用℃℃℃℃/周期3電機控制圖16汽車任務(wù)剖面的示例——活化能和每種技術(shù)類型的頻率以完成阿倫尼烏斯方程。對于圖9描述的方法，關(guān)于在將不同技術(shù)的電路要素(CPU、存儲器等)實施在同一器件上的情況下如何結(jié)合λ?和λ?,存在多個選項。在其中一個選項中，每個電路要素繼承各自技術(shù)的λ?和λ?,因此基本上將λ?和λ2相加，如表2所示。GB/T34590.11—2022在此示例中，假設(shè)基于CMOS技術(shù)的MCU消耗0.5W功率。數(shù)字組件裸片采用144引腳方型扁平式封裝，并通過自然對流進行冷卻。MCU暴露在“電機控制”溫度剖面下。由此引起的結(jié)溫的增加△T;為26.27℃。對于阿倫尼烏斯方程，假設(shè)活化能為0.3eV。使用圖9中的模型，這導(dǎo)致修正因子表2總和λ2為數(shù)字組件示例電路要素N(晶體管)a200000(4個晶體管/門)786432(6個晶體管/bit,用于低功耗SRAM)作為替代方法，可以使用單個(保守)λ2的最大值的公式(2)作為代表值(見表3)。表3最大值為λ2的混合信號示例電路要素N(晶體管)a因子字電路(<6V)在以下示例中，集成電路由三個要素組成，其組成與圖10中相應(yīng)的λ?和λ2值如表4所示。N線性電路低電壓LVN表4IC的組成(續(xù))N使用電機控制剖面(圖16)作為任務(wù)剖面，制造年份為2018年，與λ?的相關(guān)的裸片失效率項可使用公式(3)～公式(8)計算。A?a×Nac×e-0.35×=(1.0×10-?×100000)×e-0.35×(2018-198)=9.12× (3)()?×t?=e[340(-m)]×0.020=8.99×10-2 (4)(s)?×t?=e[360(-m)]×0 (5)模擬計算為其他要素提供了如下結(jié)果： (9) (13)對于λ?相關(guān)的裸片失效率項，得到：Max(λ2,lement)=(λ2,clemen?)=(λ2,demam?)=20FIT 這導(dǎo)致整體裸片失效率：λdc=6.05×10-?FIT+2.01FIT=2.01FIT 為了簡化計算，如果用戶可以確定其產(chǎn)品與如圖10所列的集成電路系列類型之一相匹配，那么如表5所示，用戶可以直接應(yīng)用如圖9所示的失效率計算方法。電路要素N(晶體管)a50k門CPU(4個晶體管/門)(6個晶體管/bit,用于低功耗圖9中的模型使用以下參數(shù)來計算溫度修正因子△T:——(π?):i中指與集成電路任務(wù)剖面的第i個結(jié)面溫度相關(guān)的溫度因子；—t?:i指集成電路任務(wù)剖面的第i個結(jié)面溫度的工作時間比率；為了計算保守溫度修正因子，非工作狀態(tài)時間比率to可以設(shè)置為0,由此而產(chǎn)生對應(yīng)于保守溫度在表2、表3和表4中，考慮時間比率ton和ton后再計算修正因子。在上述數(shù)字組件示例(表5)中，將tof設(shè)置為零從而給出的修正因子為2.91,對此有效失效率的值從0.31變?yōu)?.24FIT。率(FIT)?！?πn):與封裝處年度內(nèi)溫度變化循環(huán)次數(shù)相關(guān)的第i個影響因子，幅值為△T?;——△T;:任務(wù)剖面中第i個溫度幅值變化℃引腳的數(shù)量SD在此示例中，假設(shè)FR4作為安裝基板和塑料封裝對于溫度變化循環(huán)次數(shù)/年≤8760的汽車使用工況，參數(shù)(πn),可用圖11提供的公式進行計算，為了計算失效率(FIT)中的λ?,可使用如圖15所示的外圍連接封裝的計算公式，其中寬度值為由于電氣過應(yīng)力導(dǎo)致的整個器件的失效率可以用圖9所示的公式計算。如果器件直接連接到外部圖11提供了在各種各樣的電氣環(huán)境下不同的λEos,然而，汽車的電氣環(huán)境并沒有被給出。取而代SN29500采用了表查找方法，并給出了在特定參考條件下的失效率的預(yù)期值。通過使用產(chǎn)品類.2.2半導(dǎo)體組件的計算示例應(yīng)用SN29500計算失效率所需的參數(shù)：——N:等效晶體管的數(shù)量；——λref:硬件組件的基礎(chǔ)失效率，基于工藝技術(shù)；——△T;:結(jié)溫的增加值；——硬件組件的任務(wù)剖面 (19)111門 (21) (22) (23)門注2:關(guān)于任務(wù)剖面的值僅是示例。在電控單元(ECU)內(nèi)所有半導(dǎo)體的要求應(yīng)與各自ECU的規(guī)范一致。90℃參考溫度條件下得到80FIT。表7和表8列出了以下參數(shù)：N(晶體管)技術(shù)和系列℃溫度依變參考(Zm)A(數(shù)字+SRAM)環(huán)境溫度θu/℃結(jié)面溫度0;.2/℃依變因子Z/(1/eV)溫度依變因子πr(0u)總溫度依變因子π在SN29500-2:2010中4.4描述的應(yīng)力因子π。來完成的。使用圖16所定義的電機控制任務(wù)剖面和N(晶體管)技術(shù)和系列(沒有非運行階段)(有非運行階段)(數(shù)字十SRAM)以下是使用在FIDES指南中詳述的方法所支持的定量分析所需的硬件失效率的評估示例。根據(jù)在內(nèi)的產(chǎn)品的開發(fā)、制造和使用過程的質(zhì)量和技術(shù)控制。第三個代表比如生產(chǎn)場物理影響包括由于使用條件引起的應(yīng)力加速因子和包含器件在內(nèi)的產(chǎn)品的應(yīng)用所固有的誘導(dǎo)(即非預(yù)期的過應(yīng)力)乘法項。然而為了簡單起見，在當(dāng)前的示例中該誘導(dǎo)乘在集成電路的FIDES指南中使用的模型包括為了計算數(shù)字組件裸片和封裝基礎(chǔ)失效率(即在應(yīng)用運行條件的修正之前)——λoTH,與器件類型和工藝技術(shù)相關(guān)的基礎(chǔ)失效率；——與封裝類型相關(guān)的物理應(yīng)力參數(shù)a和b。這些因子通過使用FIDES而相結(jié)合。參數(shù)選擇可以基于工藝技術(shù)、電路類型和設(shè)計使用的封裝。表10和表11展示了用于基于CMOS技術(shù)的MCU的定量示例的失效率的計算，此MCU消耗功率為0.5W。數(shù)字組件裸片采用144引腳方型扁平式封裝并且使用自然對流和低導(dǎo)電板冷卻。表10UTEFIDES裸片基礎(chǔ)失效率電路要素總和表11UTEFIDES封裝基本效率abab一旦生成了數(shù)字組件裸片和封裝的基礎(chǔ)失效率，就會根據(jù)熱效應(yīng)和運行時間來應(yīng)用修正因子。修●數(shù)字組件裸片的功耗；表12簡化任務(wù)剖面示例階段h熱℃△To環(huán)℃hh℃關(guān)晚間運作開白天運作開關(guān)具有修正因子的裸片基礎(chǔ)失效率可如表13所示進行計算。表13裸片基礎(chǔ)失效率與溫度修正因子電路要素50k門CPU總和 為18K(見表14)。表14封裝基礎(chǔ)失效率和溫度循環(huán)修正因子144引腳PQFP表15詳細任務(wù)簡介示例階段h熱℃△T貓環(huán)℃hh℃關(guān)晚間運作開白天運作開開高速運行開關(guān)表16有效失效率電路要素50k門CPU總和(FIT)18K。如表17所示，組件封裝失效率為0.25FIT。在表17中的焊點失效率值僅作為信息給出，不被視表17封裝和焊點失效率144引腳PQFP4使用現(xiàn)場數(shù)據(jù)統(tǒng)計計算永久性基礎(chǔ)失效率由于很難得到合適的評估，所以謹慎使用現(xiàn)場數(shù)據(jù)統(tǒng)計非常重要。對現(xiàn)場反饋進行全面徹底分析，并將分析結(jié)果用于定量評估。特別是當(dāng)評估以下主題時：——現(xiàn)場反饋如何處理已知的質(zhì)量問題； 什么類型的信息可用于真實的任務(wù)剖面；——現(xiàn)場監(jiān)測過程的有效性如何。由于根據(jù)現(xiàn)場數(shù)據(jù)計算失效率的方法論對產(chǎn)生的失效率的置信水平有影響，因此半導(dǎo)體供應(yīng)商會考慮以下幾點。 現(xiàn)場數(shù)據(jù)收集系統(tǒng)需到位，如GB/T34590.2—2022中注的要求。 系統(tǒng)性故障的主要來源只有在系統(tǒng)性故障的來源得到減示例1:一個關(guān)于系統(tǒng)性故障主要來源的示例是EOS。注1:關(guān)于系統(tǒng)性故障來源的減輕證據(jù)需文檔化。 因為半導(dǎo)體供應(yīng)商無法注意到現(xiàn)場的所有失效，所以可以將修正因子(CF)應(yīng)用于總返回數(shù)該因子取決于許多參數(shù)，例如應(yīng)用和用于評估基于現(xiàn)場的失效率的器件數(shù)量。注2:半導(dǎo)體供應(yīng)商根據(jù)現(xiàn)場反饋評估失效率，并提供依據(jù)。 對應(yīng)于溫度應(yīng)力或熱循環(huán)應(yīng)力效應(yīng)的加速因子(AF)可以被分別通過使用可用的、經(jīng)驗證過的熱應(yīng)變或脆性斷裂模型來計算。 現(xiàn)場產(chǎn)品的總運行時間可以通過使用產(chǎn)品任務(wù)剖面來進行評估，若任務(wù)剖面可用。也可通過評估現(xiàn)場花費的小時數(shù)量(例如每年平均500h,其中標(biāo)準(zhǔn)偏差145h)來考慮駕駛員對汽車使用的可變性?！臋n化現(xiàn)場數(shù)據(jù)的任務(wù)剖面，并在定量評估中適當(dāng)考慮。指數(shù)模型通?？捎糜趶默F(xiàn)場反饋確定恒定失效率。在該模型中，X2(卡方)統(tǒng)計函數(shù)提供了失效率的良好評估。對于失效率，建議使用具有至少70%置信水平的單邊上區(qū)間評估的區(qū)間估計器，而不是使用點估計器。這意味著有70%的概率，失效率的實際值低于該值。失效率可通過以下公式計算n——失效次數(shù)乘以修正因子；CL置信水平值(通常為70%);本條通過指數(shù)模型方法的使用給出了使用現(xiàn)場數(shù)據(jù)統(tǒng)計的裸片失效率計算的示例。在此示例中，假設(shè)半導(dǎo)體供應(yīng)商正在收集現(xiàn)場三種產(chǎn)品的統(tǒng)計數(shù)據(jù)，如表18所示。表18任務(wù)剖面和等效結(jié)溫Tj.e芯片1階段總持續(xù)總持續(xù)總持續(xù)表19計算參考溫度Tm下每mm2的失效率產(chǎn)品裸片mm2溫度Tj,a/℃設(shè)備總運行時間(百萬設(shè)備小時)阿倫尼烏斯(百萬設(shè)備小時)等效裸片面積小時在T為55℃(百萬mm2小時)保修期內(nèi)的CF=5的芯片115152總裸片面積小時數(shù)Tn為55℃時的FIT/mm2如圖17所示，根據(jù)現(xiàn)場數(shù)據(jù)統(tǒng)計得出的在Ted溫度下的每平方毫米的失效率可用于計算在設(shè)計下的目標(biāo)產(chǎn)品的失效率(見表20)。度失度失度失技術(shù)C產(chǎn)回技術(shù)A產(chǎn)品3可可時時溫度T,./℃裸片大小阿倫尼烏斯時的FIT/mm2設(shè)計下的目標(biāo)芯片注4:計算封裝失效率時采用相同的方法，但計算加速因子時，采用Coffin-Manson或Norris-Landz封裝類型任務(wù)剖面與熱循數(shù)量封裝類封裝類型A封裝類型A量計算任務(wù)剖面每產(chǎn)品X(開發(fā)中失效率圖18采用現(xiàn)場數(shù)據(jù)統(tǒng)計的封裝失效率計算方法AF,=exp(β)×(V,-V?) 圖19失效率分配4.7半導(dǎo)體相關(guān)失效分析估潛在的安全概念缺陷，并提供證據(jù)證明由ASIL等級分解產(chǎn)生的獨立性的要求(見GB/T34590.9—2022第5章)或在共存分析期間識別的免于干擾的要求(見GB/T34590.9—2022第6章)得到了滿足。本條適用的范圍是在一個硅裸片內(nèi)硬件要素之間以及硬件與軟件要素之的要素通常是硬件要素及其安全機制(在GB/T34590.5—2022中定義)。如GB/T34590.1—2022中3.30所定義的，相關(guān)失效引發(fā)源(DFI)是導(dǎo)致多個要素通過耦合因子多點故障(GB/T34590.5—2022中的注1)。相關(guān)失效分析以定性的方式處理那些在標(biāo)準(zhǔn)安全相關(guān)失效引發(fā)源列表還包含一些用于解決這些問題的典型安全措施?？梢詻Q定需要的安全措施。要求可以是盡量減少現(xiàn)場相關(guān)失效的發(fā)生，也可以是確保相關(guān)失效不違背安全●功能及其安全機制(包括故障響應(yīng)路徑——實施故障響應(yīng)所需的要素和/或任務(wù)鏈);●功能冗余(例如，兩個電流驅(qū)動器或兩個模數(shù)轉(zhuǎn)換器)。 ●時鐘生成；●嵌入式穩(wěn)壓器；●上述要素使用的任何共享硬件資源。需要時定義安全機制改進度量。相關(guān)失效分析通過確保安全機制的有效性不受相關(guān)失效引發(fā)源的影響來補充安全分析。如GB/T34590.5—2022中的7.4.3所述，安全分析首先可用于支持硬件設(shè)計的定注1:在這種情況下，相關(guān)失效引發(fā)源產(chǎn)生的風(fēng)險在定量安全分析中進行評估。因此，不需要再單獨論證。示例：在MEMS中，具有特定共振和波形的沖擊可能導(dǎo)致加速度計中的梳狀結(jié)構(gòu)粘住(也稱為黏滯)。有關(guān)詳細信息，見?！裥盘柧€；●時鐘網(wǎng)絡(luò)；●供電網(wǎng)絡(luò)；●襯底材料；●封裝；●空氣。注2:為簡化起見，假設(shè)要素B本身不受干擾影響。假設(shè)要素B處在正常運行狀態(tài)，進一步假設(shè)只要錯誤A1和錯誤A2在時間或空間上存在一定的差異，就可以控制相關(guān)失效情況。這種差異可能是干擾傳播到兩個要素的方式不同造成的(例如，信號毛刺的不同傳播延遲，該信號毛刺采用不同的物理路徑到達要素A1和要素A2的邊界),或可能是干擾影響的結(jié)果不同造成的(例如，如果影響是信號時序的違反，它會對要素A1和要素A2的相應(yīng)邏輯產(chǎn)生不同的影響)。的相應(yīng)邏輯產(chǎn)生不同的影響)。相關(guān)失效分析針對的是共因失效和級聯(lián)失效。雖然在某些情況下這種區(qū)分是必要的(例如GB/T34590.9—2022第7章),但在其他情況下(例如半導(dǎo)體器件),在給定的失效場景中，級聯(lián)失效和共因失效之間的確切區(qū)分不一定可行或有用。在這種情況下，兩種失效場景不作進一步區(qū)分。如果相關(guān)失效分析的重點是按照GB/T34590.9—2022第7章的要求，提供兩個給定要素(例如要 識別可能對要素B產(chǎn)生影響的要素A的失效模式； 的地址);-—服務(wù)類故障。相關(guān)失效引發(fā)源示例共用時鐘要素的失效(包括PLL、時鐘樹、時鐘使能信號等);共用測試邏輯和共用調(diào)試邏輯的失效，其中共用測試邏輯包括DFT(面向測試的設(shè)計)信號和然后讀取結(jié)果);相關(guān)網(wǎng)絡(luò));非同步電源開啟，可能會導(dǎo)致閂鎖或高沖擊電流等影響；共用復(fù)位邏輯的失效，包括復(fù)位信號；共享模塊中的失效(例如RAM、閃存、ADC、定時器、DMA、中斷控制器、總線等)防止相關(guān)失效違背安對共享資源的專用獨立監(jiān)控(例如時鐘監(jiān)控、電壓監(jiān)控、存儲器ECC、配置寄存器內(nèi)容上的CRC、測試或調(diào)試模式的信號);針對軟錯誤或選定冗余功能的選擇性加固；對共享資源在啟動時或后運行或運行期間進行自檢；影響的多樣化(例如主核和檢測核之間的時鐘延遲、多樣化的主核和檢測徑);間接探測共享資源的失效(例如在共享資源發(fā)生失效的情況下會失效的功能循環(huán)自檢);使用特殊傳感器進行間接監(jiān)控(例如用作共因失效傳感器的延遲線)防止在運行期間發(fā)生故障避免措施(例如保守的規(guī)范),共享資源內(nèi)的功能冗余(例如多個過孔/觸點);故障診斷(例如識別和隔離或重新配置/替換失效的共享資源的能力、相應(yīng)的設(shè)計規(guī)則);專用生產(chǎn)測試(例如能夠發(fā)現(xiàn)復(fù)雜故障的SRAM下線測試);用來減少共享資源數(shù)量或范圍的獨享資源；降低敏感性的自適應(yīng)措施(例如電壓/工作頻率降低)相關(guān)失效引發(fā)源示例短路(例如局部缺陷、電遷移、過孔遷移、接觸遷移、氧化物分解);串?dāng)_(襯底電流、容性耦合);防止相關(guān)失效違背安影響的多樣化(例如主核和檢測核之間的時鐘延遲、多樣化的主核和檢徑);間接探測(例如對可能由于物理性根本原因?qū)е率У墓δ苓M行循環(huán)自檢)或使用特殊傳感器進行間接監(jiān)控(例如用作共因失效傳感器的延遲線)防止在運行期間發(fā)生專門的生產(chǎn)測試；故障避免措施(例如物理分離/隔離、相應(yīng)的設(shè)計規(guī)則);相關(guān)失效引發(fā)源示例濕度/凝露；電磁干擾；外部施加的過壓；機械應(yīng)力；防止相關(guān)失效違背安影響的多樣化(例如主核和檢測核之間的時鐘延遲、多樣化的主核和檢徑);直接監(jiān)控環(huán)境條件(例如溫度傳感器)或間接監(jiān)控環(huán)境條件(例如用作防止在運行期間發(fā)生故障避免措施(例如保守的規(guī)格/魯棒性設(shè)計);物理分離(例如裸片與裸片外部的局部熱源的距離);降低敏感性的自適應(yīng)措施(例如電壓/工作頻率降低);限制訪問頻率或限制子元器件允許的運行周期(例如指定EEPROM的寫周期數(shù));相關(guān)失效引發(fā)源示例需求錯誤；規(guī)格錯誤；實施錯誤，即功能的不正確實施；避免串?dāng)_的設(shè)計措施缺乏或不足；閂鎖預(yù)防措施缺乏或不足；配置錯誤；布局錯誤(如錯誤的走線),例如區(qū)塊的過度冗余、絕緣不足、分離或隔離不裸片中功耗元器件發(fā)熱引起的溫度；防止相關(guān)失效違背安監(jiān)控器(例如協(xié)議檢查器)防止在運行期間發(fā)生設(shè)計流程符合GB/T34590;多樣性(根據(jù)相關(guān)失效引發(fā)源，多樣性可以是實施/功能/架構(gòu)的多樣性或開發(fā)多樣性)表25由制造故障引起的系統(tǒng)性相關(guān)失效引發(fā)源相關(guān)失效引發(fā)源示例與流程、程序和培訓(xùn)相關(guān)；控制計劃和特殊特性監(jiān)控的故障；與軟件刷寫和下線編程有關(guān)(例如錯誤的版本；錯誤的編程條件、協(xié)議或時序);掩模錯位；下線修整或熔斷不正確(例如標(biāo)定系數(shù)或自定義設(shè)置的激光修整、OTP或EEPROM編程)防止相關(guān)失效違背安無防止在運行期間發(fā)生專門的生產(chǎn)測試；符合GB/T34590(見4.9);多樣性(根據(jù)相關(guān)失效引發(fā)源，多樣性可以是實施/功能/架構(gòu)的多樣性或開發(fā)多樣性)表26由于安裝故障導(dǎo)致的系統(tǒng)性相關(guān)失效引發(fā)源相關(guān)失效引發(fā)源示例與線束走線有關(guān)；與元器件的互換性有關(guān)；相鄰相關(guān)項或元器件或要素的失效(例如將數(shù)據(jù)傳送到輸入連接接口的錯誤配置，或驅(qū)動輸出上的錯誤負載);PCB連接錯誤；配置錯誤(例如空閑的內(nèi)存使用)防止相關(guān)失效違背安無防止在運行期間發(fā)生專用安裝測試；符合GB/T34590(見4.9);多樣性(根據(jù)相關(guān)失效引發(fā)源，多樣性可以是實施/功能/架構(gòu)的多樣性或開發(fā)多樣性)本條介紹了對控制或避免相關(guān)失效的有效性進行評估的示例性方法。這些 使用文檔化的測試協(xié)議進行流片前仿真，以提供針對已識別的相關(guān)失效引發(fā)源的魯棒性 評估的詳細程度與相關(guān)失效引發(fā)源的類型、聲明的安全措施及應(yīng)用相稱。如GB/T34590.9—2022中7.4.7的示例所述，多樣性是可用于預(yù)防、減少或探測共因失效的措施。如果多樣性被作為控制或避免相關(guān)失效的方法，則需提供依據(jù)來證明所實施的多樣性的層級與目標(biāo)相關(guān)失效引發(fā)源相稱。4.7.6相關(guān)失效分析工作流程相關(guān)失效分析工作流程的目的是確定必要的主要活動，以理解所實施的確保安全要求達成的安全措施的運行，并驗證它們符合獨立性或免于干擾的要求。相關(guān)失效分析工作流程見圖23。是是否降低風(fēng)險的否是安全措施可以是表明失效與相關(guān)失效分析不相關(guān)的活動。圖23相關(guān)失效分析工作流程相關(guān)失效分析決策和軟硬件要素的識別(B1)按照GB/T34590.9—2022第7章，每當(dāng)半導(dǎo)體要素被要求具有獨立性或免于干擾時，應(yīng)進行相關(guān)的證據(jù)(見GB/T34590.9—2022第5章)。此步驟驗證現(xiàn)有文檔是否提供了足夠的認知來分析前一步驟中所引入安控制或避免相關(guān)失效的有效性評估(B10)用以減輕或避免相關(guān)失效而引入的安全措施的有效性需得到驗證。按照GB/T34590.5—2022第10章，可應(yīng)用的驗證方法與用于避免或減輕隨機硬件失效影響或系統(tǒng)性失效影響的安全措施的驗證——故障樹分析(FTA)、事件樹分析(ETA)、失效模式和 按照GB/T34590.5—2022第8章和第9章，定量分析中包括用于實現(xiàn)安全措施的要素。評估風(fēng)險降低的充分性并在需要時改進定義的對于殘余風(fēng)險可被量化的情況，可在定量分析中進行核算(如果尚未按照B5和B9定量分析途徑按照本章進行相關(guān)失效分析的詳細示例見附錄B。通常單獨考慮硬件和軟件相關(guān)失效。如果處理硬件的安全機制在軟件中實現(xiàn)，則會共同考慮硬件當(dāng)安全概念涉及半導(dǎo)體組件時，半導(dǎo)體組件層面的故障注入是一種已知的方法(見參考文獻[41], 根據(jù)安全機制的要求，支持其流片前驗證，包括其探測故障和控制故障影響(故障響應(yīng))的特別地，驗證計劃應(yīng)明確描述并證明以下內(nèi)容?！收夏Ｐ秃拖嚓P(guān)的抽象層級：·正如以下各章所闡述的DFA、數(shù)字、模擬和PLD,故障注入可以在適當(dāng)?shù)膶蛹壣线M行，具體取決于所考慮的故障模型、具體的半導(dǎo)體技術(shù)、可行性、可觀察性以及用例；●觀察故障影響(觀測點)的層級和觀察安全機制反應(yīng)(診斷點)的層級。——故障注入方法。根據(jù)目的、可行性和可觀察性，故障注入可以通過不同的方法實現(xiàn)?！鶕?jù)要被驗證的失效模式來考慮即將注入故障的位置(故障點)和數(shù)量(故障列表)?！收献⑷肫陂g使用的測試臺架(工作負載)。根據(jù)具體目的，測試臺架可以來自電路的功能測試套件，或來自與預(yù)期用例相似的測試臺架。4.8.3故障注入結(jié)果故障注入的結(jié)果可用于驗證4.8.1列出的安全概念和基本假設(shè)(例如安全機制的有效性、診斷覆蓋率和安全故障數(shù)量)。GB/T34590.7—2022第5章和第6章的首要目標(biāo)是開發(fā)和維護安裝在道路車輛中安全相關(guān)的要半導(dǎo)體產(chǎn)品通常采用標(biāo)準(zhǔn)化生產(chǎn)流程，如晶圓加工和裸片裝配操作。為特定的產(chǎn)品或封裝開發(fā)生產(chǎn)流程是可能的，但這比使用標(biāo)準(zhǔn)化流程要少見。通常不可能將過程流中的不同步驟識別為與安全相半導(dǎo)體產(chǎn)品通常使用目標(biāo)工藝制程和相關(guān)的器件模型庫來設(shè)計，這些模型庫體現(xiàn)了采用該制程的計可以以一定的工藝制程來實現(xiàn)，其中每項制造工藝通常都有適當(dāng)?shù)姆椒▉頊p輕風(fēng)險，例如過程FMEA和控制計劃。在產(chǎn)品開發(fā)過程中使用的器件模型庫體現(xiàn)了以該工藝制程制造的器件(如晶體求。產(chǎn)品和流程也都通過制造測試來驗證。制造測試根據(jù)要素的電氣規(guī)范來評估要素的性能。制造工藝的性能根據(jù)流程控制計劃中制定的流程控制規(guī)范來進行評估。該測試流程有助于確保所制造的要素和第6章的要求。如果半導(dǎo)體供應(yīng)商或分包商擁有符合類似標(biāo)準(zhǔn)的質(zhì)量管理體系，則可以部分或完全復(fù)用現(xiàn)有的工作成果，以滿足GB/T34590.7—2022第5章和第6章的要求。在DIA中可以包含半導(dǎo)體供應(yīng)商和客戶在服務(wù)和報廢方面的預(yù)期共識。GB/T34590.8—2022第5章描述了對相關(guān)項和要素進行分布式開發(fā)的流程并分配了職責(zé)。本條如果半導(dǎo)體開發(fā)方作為供應(yīng)商參與分布式開發(fā)，則其應(yīng)遵守GB/T34590.8—2022第5章的要求。關(guān)于安全相關(guān)的開發(fā)責(zé)任，客戶(即一級供應(yīng)商或半導(dǎo)體集成商)負責(zé)將管理。在此背景下，可由半導(dǎo)體開發(fā)方執(zhí)行的GB/T34590.8—2022第5章的工作成果包括但不限于：——開發(fā)接口協(xié)議(GB/T34590.8—2022中的5.5.2);——供應(yīng)商安全計劃(GB/T34590.半導(dǎo)體開發(fā)方也可以是分布式開發(fā)中的客戶。半導(dǎo)體開發(fā)方的供應(yīng)商可以來自半導(dǎo)體開發(fā)方組織的內(nèi)部或外部。在所有這些情況下，半導(dǎo)體開發(fā)方負責(zé)管理其供應(yīng)商的安全相關(guān)開發(fā)責(zé)任。供應(yīng)商提供的符合GB/T34590.8—2022第5章的工作成果，將成為半導(dǎo)體開發(fā)方安全證據(jù)的一部分。在此情——開發(fā)接口協(xié)議(GB/T34590.8—2022中的5.5.2);——供應(yīng)商選擇報告(GB/T34590.8—2022中的5.5.1);與安全相關(guān)的分布式開發(fā)的最低層級是安全責(zé)任終止的層級?？扇?zé)任，例如制造材料的供應(yīng)商。這些較低層級的供應(yīng)商可以按照GB/T34590范圍之外的要求進行這些條款對半導(dǎo)體的適用性是根據(jù)評估半導(dǎo)體器件的應(yīng)用場景而裁剪的。SEooC開發(fā)的，則可以按照GB/T34590.10—2022的指導(dǎo)方針進行裁剪。在知識產(chǎn)權(quán)方面，可表27和表28展示了如何將GB/T34590.5—2022表10和表11應(yīng)用于半導(dǎo)體中。表27導(dǎo)出半導(dǎo)體層面硬件集成測試的測試用例的方法半導(dǎo)體層面的說明需求分析將相關(guān)的安全要求分配給半導(dǎo)體器件。在半導(dǎo)體行業(yè)內(nèi)部和外部接口分析與集成電路的集成和集成電路IOs相關(guān)的動都可以聲明依照了此條目標(biāo)準(zhǔn)(如果存在)表28驗證半導(dǎo)體層面硬件安全要求實施的完整性和正確性的硬件集成測試半導(dǎo)體層面的說明電氣測試可以通過流片后驗證技術(shù)進行覆蓋，僅限于可見4.8 錯誤。多比特位翻轉(zhuǎn)不能通過簡單的糾錯碼(ECC)進行校正(例如，單比特位錯誤校5.1.3存儲器詳細故障模型存儲故障模型可能因存儲架構(gòu)和存儲技術(shù)而有所差異。半導(dǎo)體存儲器的典型故障模型如表29所示。該表并不完備，也可以根據(jù)其他已知故障或結(jié)合實際應(yīng)用進行調(diào)整。表29存儲器要素故障模型故障模型閃存(NAND、嵌入式)卡滯、其他故障模型、軟錯誤模型卡滯、其他故障模型電可擦可編程只讀存儲器卡滯、其他故障模型卡滯、其他故障模型”、軟錯誤模型卡滯、其他故障模型”、軟錯誤模型例如，卡滯開路故障(SOFs),某種耦合故障?；诖鎯ζ鹘Y(jié)構(gòu)，例如，尋址故障(AF)、尋址延遲故障(ADF)轉(zhuǎn)換故障(TFs)、鄰域模式敏感故障(NPSFs)、感應(yīng)晶體管缺陷(STDs)、字線擦除干擾(WE(BED)、字線編程干擾(WPD)、位線編程干擾(BPD)。這些故障模型是針對隨機存儲器的。但對于嵌入式閃存或與非型閃存(NANDFLASH),相同的故障模型依然有效，即使是由不同的現(xiàn)象引起的(見參考文獻[58]、5.1.4數(shù)字組件的失效模式本條舉例說明了如何根據(jù)數(shù)字組件的功能規(guī)范來描述其失效模式。作為分類的示例，對于要素的任何功能，可以將要素失效模型化為：——功能時序：功能執(zhí)行時序錯誤(FM3);——功能值：功能提供不正確的輸出(FM4)。失效模式可以適用到任何邏輯功能。在安全分析(GB/T34590.9—2022第8章)中，通過根本原因影響分析來增強失效模式的描述，以了解失效模式如何傳遞到其他元器件或子元器件。 示例：FM3(時序)和FM4(值)可能是由卡滯故障或影響某些內(nèi)部邏輯功能的軟錯誤引起的。假如FM3和FM4由功能失效模式應(yīng)考慮的方面中央處理單元按照給定的指令集架構(gòu)執(zhí)行給定的CPU_FM1:給定指令流未執(zhí)行(完全遺漏)CPU_FM2:非預(yù)期指令流被執(zhí)行(誤啟動)CPU_FM3:指令流執(zhí)行時間錯誤(過早/過晚)CPU_FM4:指令流結(jié)果不正確如有必要，可將CPU_FM1進一步細化為：——CPU_FM1.1:由于程序計數(shù)器掛起，給行(完全遺漏):CPU_FM1.2:由于指令取指掛起，給定(完全遺漏)CPU中斷處理電路(CPU_INTH)按照中斷請求執(zhí)行中斷服務(wù)程序CPU_INTH_FM1:ISR未執(zhí)行(遺漏/太少)CPU_INTH_FM2:非預(yù)期ISR執(zhí)行(誤啟動/太多)CPU_INTH_FM3:延遲的ISR執(zhí)行(過早/過晚)CPU_INTH_FM4:不正確的ISR執(zhí)行(見CPU_INCPU存儲器管理單元(CPU_MMU)——將虛擬地址轉(zhuǎn)換為物理地址；CPU_MMU_FM4:轉(zhuǎn)換的物理地址不正確CPU_MMU_FM5:非預(yù)期的阻止訪問CPU_MMU_FM6:非預(yù)期的允許訪問CPU_MMU_FM7:延遲的訪問中斷控制單元級),向給定的CPU發(fā)送中斷請求。ICU_FM1:對CPU的中斷請求丟失ICU_FM2:無觸發(fā)事件時，向CPU請求中斷ICU_FM3:中斷請求過早/過晚ICU_FM4:中斷請求發(fā)送錯誤數(shù)據(jù)表30數(shù)字組件失效模式示例(續(xù))功能直接內(nèi)存訪問據(jù)從源地址移到目標(biāo)地址，并通知數(shù)據(jù)傳輸完成。被傳送的數(shù)據(jù)集稱為一個消息DMA_FM1:請求的數(shù)據(jù)傳送未發(fā)生。消息未按目標(biāo)地址(第一級抽象)總線和互連(內(nèi)部通信)按照預(yù)期的服務(wù)質(zhì)量，將從給定總地址(TXFR)。數(shù)據(jù)帶SDRAM控制器的外部同步動態(tài)隨機存儲器SDRAM_RW_FM1:給定的寫入/讀取訪問未執(zhí)行(遺漏)SDRAM_RW_FM2:非預(yù)期的寫入/讀取訪問被執(zhí)行(誤啟SDRAM_RW_FM3:寫入/讀取訪問結(jié)果不正確(過早/過晚)SDRAM_RW_FM4:寫入/讀取訪問結(jié)果不正確或(第二級抽象)帶SDRAM控制器的外部同步動態(tài)隨機存儲器SDRAM控制器提供行地址，以便SDRAM_RA_FM1:給定的行地址未被訪問(遺漏)SDRAM_RA_FM2:非預(yù)期的行地址被訪問(誤啟動)SDRAM_RA_FM3:行地址結(jié)果延遲(過早/過晚)帶SDRAM控制器的外部同步動態(tài)隨機存儲器SDRAM控制器提供列地址，以訪問數(shù)據(jù)進行讀寫運行SDRAM_CA_FM1:給定的列地址未被訪問(遺漏)SDRAM_CA_FM2:非預(yù)期的列地址被訪問(誤啟動)SDRAM_CA_FM3:列地址結(jié)果延遲(過早/過晚)帶SDRAM控制器的外部同步動態(tài)隨機存儲器獲取用于讀或?qū)戇\行的數(shù)據(jù)SDRAM_IN_FM1:給定指令未執(zhí)行(遺漏)SDRAM_IN_FM2:非預(yù)期的指令被執(zhí)行(誤啟動)SDRAM_IN_FM3:指令結(jié)果延遲(過早/過晚)帶SDRAM控制器的外部同步動態(tài)隨機存儲器SDRAM數(shù)據(jù)路徑提供對存儲器陣SDRAM_DW_FM1:給定數(shù)據(jù)字未執(zhí)行(遺漏)SDRAMDW_FM2:非預(yù)期的數(shù)據(jù)字被執(zhí)行(誤啟動)SDRAM_DW_FM3:數(shù)據(jù)字結(jié)果延遲(過早/過晚)帶閃存控制器的非易失性存儲器按照閃存控制器的(寫)到給定的地址FLASH_RW_FM1:給定的寫入/讀取訪問未執(zhí)行(遺漏)FLASH_RW_FM2:非預(yù)期的寫入/讀取訪問被執(zhí)行(誤啟動)FLASHRWFM3:寫入/讀取訪問結(jié)果延遲(過早/過晚)FLASH_RW_FM4:寫入/讀取訪功能失效模式應(yīng)考慮的方面(第一級抽象)儲器為變量和/或常量提供存儲空間。行的，從硬件要素發(fā)起命令的角度來看，該邏輯稱為SRAM控制器。讀取-修改-寫入SRAM_RW_FM1:給定命令未執(zhí)行(遺漏)SRAM_RW_FM2;非預(yù)期的命令被執(zhí)行(誤啟動)SRAM_RW_FM3:命令結(jié)果延遲(過早/過晚)SRAM_RW_FM4:命令結(jié)果不正確儲器靜態(tài)隨機存儲器硬宏(HM):按照SRAM_HM_FM1:來自SRAM控制器的命令未執(zhí)行(遺漏)SRAM_HM_FM2:非預(yù)期訪問SRAM,例如，由瞬態(tài)故障引起的非預(yù)期訪問SRAM_HM_FM3:SRAM命令延遲(過早/過晚),例如，由內(nèi)SRAM_HM_FM4:最終SRAM數(shù)據(jù)制器的嵌入式閃存(eFLASH)非易失性存儲器(NVM)存儲程序eFLASHEFM3:編程或擦除時間不正確非易失性存儲器(NVM)存儲程序eFLASHRFM2:未請求的讀取訪問eFLASHRFM3:讀取訪問時間不正確量基于參考文獻[62]COHERENCYFM1:寫入存儲器A未執(zhí)行(A處于非一致狀態(tài)。COHERENCY_FM2:非預(yù)期寫入存儲器A(情況可能與多個內(nèi)核試圖寫入同一位置的情況有關(guān)。COHERENCY_FM3:存儲器A的更新(寫入)COHERENCY_FM4:存儲器A的內(nèi)容已損壞。這可能是由錯誤的寫入命令(例如SRAM)或存儲要素中的缺陷造成的可適用于CAN、網(wǎng)、SPI按照接口協(xié)議接收和處理外部接口被傳輸?shù)臄?shù)據(jù)集稱為消息表30數(shù)字組件失效模式示例(續(xù))功能失效模式應(yīng)考慮的方面加速器(如GPU、DSP)按照給定的器數(shù)據(jù))獲取高帶寬信號并對其進行處理(如算術(shù)處理)。這通常是為了減輕通用CPU的工作負荷，而務(wù)。通常，這些處理需要滿足實時性要求SP_FM1:處理停滯，沒有輸出或輸出定值(服務(wù)遺漏)SPFM2:未請求的輸出或中斷(服務(wù)意外啟動)SP_FM3:輸出結(jié)構(gòu)性損壞，例如，幀損壞(服務(wù)時間)SP_FM4:輸出結(jié)構(gòu)正常，但數(shù)據(jù)錯誤(服務(wù)值)失效模式可能由永久性隨機硬件故障和瞬態(tài)隨機硬如GB/T34590.9—2022第8章所示，在概念和產(chǎn)品 ●邏輯塊級構(gòu)造；●從數(shù)字組件寄存器傳輸級(RTL)描述(獲取功能信息)和門級網(wǎng)表(獲取功能和結(jié)構(gòu)信息)●用來評估子功能間潛在不確定的交互的信息(相關(guān)失效，見4.7);●用以驗證某些特定故障模型(如橋接故障)的診斷覆蓋率的信息(見5.1.2),這僅適用于某●有理由支持的專家判斷，以及對系統(tǒng)級措施有效性的仔細考慮。 由于數(shù)字組件的元器件和子元器件可在單個物理組件中實現(xiàn)，因此5.1.7數(shù)字組件的定量分析說明如何考慮數(shù)字組件的永久性故障失效率計算的通用性要求和建議在GB/T34590.5—2022中進行了定義，并在4.6中針對半導(dǎo)體組件進行了裁剪。按照GB/T34590.5—2022附錄E給出的示例，數(shù)字組件永久性故障的失效率和度量可以通過以下方式計算?！鶕?jù)需要將數(shù)字組件分為層級(元器件、子元器件或基礎(chǔ)子元器件)?！缢?，可以使用以下兩種方法之一計算每個元器件或子元器件的失效率：●如果給出了整個數(shù)字組件裸片(即不包含封裝和鍵合)的總失效率(以FIT為單位),則可以假設(shè)元器件或子元器件的失效率等于元器件或子元器件的占用面積(即與門、觸發(fā)器以及互連有關(guān)的相應(yīng)面積)除以數(shù)字組件芯片的總面積，再乘以總的失效率；或失效率的3%?！袢绻o出了基礎(chǔ)失效率，比如數(shù)字組件的基本子元器件(如門電路)的失效率，則認為元器件或子元器件的失效率等于基本子元器件的數(shù)量乘以其失效率的乘積的最后總和?！ㄟ^將故障分為安全故障、殘余故障、可探測的雙點故障和潛伏的雙點故障，來完成評估。——確定元器件或子元器件的殘余故障和潛伏故障的對應(yīng)的失效模式覆蓋率。如GB/T34590.5—2022中8.4.7的注2所述，當(dāng)瞬態(tài)故障與所用技術(shù)相關(guān)時，要考慮這些瞬態(tài)故障?？梢酝ㄟ^指定并確認一個特定的“單點故障度量”目標(biāo)值，或通過一個定性理由來處理這類瞬態(tài)理邏輯電路或數(shù)字組件的其他元器件相關(guān)的失效率。因此，按照GB/T34590.5—2022中8.4.7的注1有關(guān)硬件架構(gòu)和詳細設(shè)計的一般要求和建議分別在GB/T34590.5—2022中的7.4.1和GB/T34590.5—2022中的7.4.2定義。此外，與硬件驗證相關(guān)的要求在GB/T34590.5—2022中的 設(shè)計入口電路功能的描述以易于閱讀的方式構(gòu)建，即通過描述就可以直觀地理解電路功能，而無需模擬仿真工作言(HDL)使用硬件描述語言(例如VHDL或Verilog)通過靜態(tài)形式驗證針對VHDL或Verilog中需求驅(qū)動驗證“自下而上”流片前驗證，比如基于斷言的流以VHDL或Verilog描述的電路，其中屬性魯棒性設(shè)計原則限制使用異步構(gòu)造用的：在這種情況下，目的是提出額外的注意事項以處理和驗證這些電路魯棒性設(shè)計原則主要輸入的同步與亞穩(wěn)定的控制路行為不確定功能和結(jié)構(gòu)覆蓋率驅(qū)動的目標(biāo)的覆蓋率)功能測試期間，針對所用的驗證場景進行定量評估。覆蓋率的目標(biāo)等級被定義和證明魯棒性設(shè)計原則遵守編碼準(zhǔn)則和語義正確設(shè)計入口樣式”)仿真結(jié)果歸檔數(shù)據(jù)需要歸檔時序約束檢查，或傳輸延遲的靜態(tài)分析(STA-靜態(tài)時序分析)門級網(wǎng)表與參考模型的比對(形式等效檢查)歸檔定義的約束均需要歸檔7,4.2.4魯棒性設(shè)計原則技術(shù)，需要留有足夠的時間裕度即使工藝和參數(shù)有強烈的波動，也能保證所測試性)可測試性設(shè)計(取決于測試覆蓋率的百分比)率，應(yīng)避免不可測或不易測的結(jié)構(gòu)測試性)百分比，采用ATPG(自動測試模式生成)時測試覆蓋率的證明路徑、BIST),可確定所期望的測試覆蓋覆蓋率的目標(biāo)等級和故障模型被定義和證明真，或?qū)鞑パ訒r的靜態(tài)分析(STA)在測試插入期間，對所達到的時序約束的測試插入后的門級網(wǎng)表與參考模型的比較(形式等效檢查)為檢查時序約束，在布局在后端設(shè)計期間，對所達到的時序約束的考模型的比較(形式等效檢查)設(shè)計規(guī)則檢查(DRC)7.4.5生產(chǎn)、運行、服務(wù)和芯片生產(chǎn)中安全的到的測試覆蓋率在生產(chǎn)測試期間，根據(jù)數(shù)字組件安全相關(guān)的7.4.5生產(chǎn)、運行、服務(wù)和(GOI):高溫/高壓下運行(老化)、大電流運(NBTI)測試7.4.5生產(chǎn)、運行、服務(wù)和10硬件集成與驗證確定和執(zhí)行鑒定測試，如(HTOL)測試和功能測試用例對于具有集成掉電探測功能的數(shù)字組件，測置為定義的狀態(tài)(例如通過在復(fù)位狀態(tài)下停的任何電源電壓達到正確操作定義的下邊界時，由其他方式(例如通過使能安全狀態(tài)信號)指示欠壓狀態(tài)。對于沒有集成掉電探測功能的數(shù)字組件，測降至零時，數(shù)字組件是否將其輸出設(shè)置為定義的狀態(tài)(例如通過在復(fù)位狀態(tài)下停止數(shù)字級RTL設(shè)計過程中的系統(tǒng)性失效。由于軟件開發(fā)與使用寄存器傳輸級RTL進行硬件設(shè)計的不同，不可以直接應(yīng)用GB/T34590.6—2022的內(nèi)容，需要對其作適當(dāng)?shù)牟眉舨⒉杉{5.1.10使用故障注入仿真進行驗證如4.8所述，針對半導(dǎo)體組件，故障注入是一種有效的方法。這對于數(shù)字電路尤其如此，對于其特定的故障模型來說，在硬件層面上進行單粒子翻轉(zhuǎn)的故障注入測試是不可行的，甚至是不可能的。因此，使用設(shè)計模型(例如在門級網(wǎng)表中完成的故障注入)進行故障注入，有助于完成驗證步驟。利用設(shè)計模型進行故障注入，可以成功地用于輔助安全故障的驗證，及其數(shù)量和失效模式覆蓋率的對通過故障注入進行計算和驗證的置信度的評估可基于： 用于激勵被測電路的測試臺的質(zhì)量和完整性； 故障注入活動的完整性，是以被覆蓋的故障場景占所有可能場景的比率來衡量的；——電路表示的詳細程度；——提供所仿真的安全機制的詳細信息。關(guān)于卡滯之外其他故障模型的驗證5.1.2表明，可考慮除卡滯之外的故障模型。如果正確運用，從卡滯仿真中得出的方法(如N-detect測試，見參考文獻[46],[47],[48])也可用于驗證非卡滯故障模型。提供給系統(tǒng)集成商工作產(chǎn)出物的必要信息，包括需求在此基礎(chǔ)上，SEooC數(shù)字組件的安全文檔可以包括開發(fā)接口協(xié)議(DIA)中指定的以下文件或其中部分文件： GB/T34590.2—2022所述的與執(zhí)行安全計劃適用步驟有關(guān)的證據(jù) 與執(zhí)行驗證計劃和其他計劃中適用步驟有關(guān)的報告，見GB/T34590.5—2022和GB/T34590.8—2022,例如硬件安全要求驗證報告、硬件設(shè)計驗證報告、硬件集成和驗證 件失效導(dǎo)致違背安全目標(biāo)評估的評審報告和相關(guān)失效分析結(jié)果。 處理時間間隔和多點故障檢測間隔