硬件失效安全性分析研究

劉偉超 師 進 黃彬彬 孟慶堯 江 明

（北京全路通信信號研究設計院有限公司，北京 100073）

劉偉超，男，碩士畢業于北京航空航天大學，工程師。主要研究方向為ATP底層平臺支持，曾參與8號線、長春輕軌3期等項目。

“故障-安全”是鐵路信號安全技術的核心和特點，也是所有安全相關信號設備所必須滿足的安全需求，設計團隊需要不斷“挖掘”并“修復”設計當中可能存在的各種“風險”。針對硬件電路設計，對于器件失效導致風險的分析過程常常采用的手段包括FTA、FMEA等，但這些傳統的方法本質上提供的是一種思想，是分析問題的一個思路，而具體的實現需要靠人和設計團隊。當電路規模較大或復雜度較高時，分析所花費的時間就會指數增加，人員占用嚴重，同時“漏判”的概率也在增加。基于以上原因，在電路仿真技術飛速發展的今天，考慮將電路仿真技術引入到FTA、FMEA分析當中，也就是將故障注入技術與電路仿真技術相結合，這也許是一種實現電路故障分析及設計的有效方法，能夠極大降低設計者的工作負擔，并提高設計的正確性。

在電路故障分析中引入計算機仿真的方案早在上世紀80年代起國外就已開始開展相關的研究，比如美國的ADEPT、DEPEND，丹麥的MFM，日本的GO_FLOW項目等，國內這方面起步較晚，且由于成本等多方面因素并未在民用領域廣泛推廣。本文闡述的仿真平臺是針對鐵路應用特殊需求并結合國內先進的電路仿真軟件開發的一套適合工程化應用的硬件分析平臺。

1 硬件故障注入的基本原理

硬件故障注入是以電路網表為核心進行的，基本原理如圖1所示。

最頂層為“仿真軟件系統控制”層，主要負責完成軟件的用戶接口功能以及各功能模塊的調度。電路仿真軟件讀取電路網表（SPICE）完成基本電路仿真并將仿真結果輸出；網表部分為待仿真電路的SPICE格式網表；器件故障模型庫存儲失效器件故障模型；風險識別模塊負責讀取電路仿真軟件的輸出，并根據風險判斷規則生成最終的報告。

下面以最簡單的一個例子說明系統的工作流程。

工作電路如圖2所示，是一個簡單的兩電阻分壓電路，R1、R2均為1 kΩ輸出output為2.5 V，現對于R1阻值在500 Ω至斷路范圍內變化（步長為1 Ω，斷路狀態等效于100 MΩ）進行失效仿真，假定輸出電壓大于3 V即定為危險狀態。

首先利用器件故障模型中R1=500 Ω器件替換當前網表內的R1電阻，進行電路仿真將電路輸出output（3.3 V）送至風險識別單元，風險識別單元根據危險狀態判斷原則判定該故障存在風險，并進行記錄；隨后系統利用R1=501 Ω器件替換當前網表內R1電阻，繼續上述流程直至所有R1可能取值被掃描完全。

2 硬件故障注入協同仿真的優勢

傳統的FMEA、FTA分析，僅僅給出方法論，最終的具體實現依靠設計團隊，在具體的實踐過程中，發現存在以下的弊端。

1）分析時間較長，人力資源占用嚴重；

2）分析結果與設計團隊人員水平相關；

3）多次迭代設計后，分析人員易產生固化思維，對于潛在問題的敏感度下降；

4）在FTA分析中，對于多器件組合失效的判斷較為困難，特別是在電路規模較大情況下，容易產生遺漏。

從上面論述可以看出，傳統分析方法的主要弊端在于人，因此“基于故障注入的電路仿真”盡量將人為因素排除，設計人員僅僅需要指定仿真范圍、各類器件的失效形式以及風險識別的原則，具體的識別過程是可重復的，由計算機負責完成，因此最大程度避免了上述傳統設計方法的弊端，這也是相對于傳統設計方法的優勢所在。

3 元器件失效的建模

針對失效仿真的元器件建模，主要考慮兩方面內容：一方面是元器件基本功能（正常行為）的模擬，該過程主要參考廠家提供的器件手冊；另一方面是元器件在失效情況下行為的模擬，該過程以EN50129為標準，并將EN50129所規定的定性故障模式進行量化。

3.1 元器件基本功能建模

我們當前所使用的仿真平臺也是以SPICE為核心。SPICE仿真所使用的均為基本的元件和單管，因此，對于基本元器件包括電容、電阻、普通二極管等都有標準的仿真模型可以直接使用，僅僅需要根據實際使用環境對參數進行調整即可。在此基礎上，對于較復雜的器件，可以按照其行為，利用基本器件進行搭建。

比如GDT器件，GTCS23，工作參數如表1所示。

表1 GTCS23 工作參數列表

按照GDT工作行為，利用單管及基本器件搭建等效電路如圖3所示。

針對該器件，進行DC測試結果如圖4所示。

AC測試結果如圖5所示。

以上結果可以看出，GDT模型設計基本滿足原有工作參數。

3.2 元器件失效行為建模

元器件的失效，可以認為元器件的參數發生惡化，導致對外行為的異常。針對與仿真應用，需要確定以下兩方面內容。

1）變化的參數是什么；

2）該參數變化值。

首先需要對變化的參數確認。對于器件，有些參數是明確可以認定的，比如電阻，當阻值變大或減小，變化的參數均為電阻值，很明確。但對于一些參數并不明確的器件，為了簡化建模過程，需要人為引入該參數。仍以上述GDT器件為例，EN50129中對于器件失效定義如圖6所示。

下面依次實現上述失效形式（器件標號參考圖 3）。

1）Interruption：調節R3電阻值至100 MΩ，此時對于GDT在電路中行為與斷開一致；

2）Short-circuit：調節R1電阻值至0.01Ω，此時對于GDT在電路中行為與短路一致；

3）Increase of breakdown voltage：提高穩壓管D2擊穿電壓值，此時對于GDT外部行為與擊穿電壓提高一致；

4）Decrease of breakdown voltage：降低穩壓管D2擊穿電壓值，此時對于GDT外部行為與擊穿電壓降低一致；

5）Increase of residual current：增加電感L1的電感量，GDT被擊穿后殘流增加；

對于上述實現，GDT參數改變分兩類：一類是實現GDT正常行為所必須的，比如2）、3）、4）、5）條，所針對的器件本身在實現GDT正常行為過程中發揮重要作用；另一類是為實現GDT失效型式所引入的，比如第1）條當中的R3，這個器件對于實現GDT正常行為的模擬沒有作用，但能夠更簡潔實現Interruption的行為。

在確認變化的參數后，對于器件參數變化范圍需要進行明確規定。因為涉及到計算機仿真，因此對于簡單的電阻短路、斷路不能使用理想0 Ω或∞，這對于計算機容易造成除0錯誤或算法不收斂。因此這里假定對于短路情況電阻設定為0.01 Ω，對于斷路情況，電阻設定為100 MΩ即可，其他情況以此類推。

4 安全側的定義和檢驗

在圖1中，“風險識別”模塊是整個仿真平臺的核心。在具體實踐過程中，設計人員首先利用自然語言描述系統的安全側（該描述應來源于系統需求），針對于具體電路，設定并量化接口側的對應關系（由于利用計算機進行器件失效分析，因此電路內部工作結果可以考慮，僅僅需要定義輸入、輸出的關系）。最后，根據量化后的接口對應關系以及系統安全側定義確定“風險描述”，概括起來就是“在A輸入條件下如果產生輸出為B時，將會導致系統風險”（A、B均為量化條件）。

在風險識別階段，“風險識別”模塊讀入仿真輸出結果（接口側的電壓、電流值），并根據上述定義的“風險描述”篩選可能出現風險的case并形成最終報告。在具體實踐過程中，風險識別的判斷通過SPICE的measure語句實現。

5 實踐案例

原理如圖7所示。

該電路為簡單的輸入采集電路，當輸入IN0為高電平（24 V）時，輸出I_CPU0為低電平‘0’；當輸入IN0為低電平（0 V）時，輸出I_CPU0為高電平（3.3 V）。同理，對應第二通道。定義：“當沒有輸入的情況下采集到輸入視為危險情況”，對應電路中，當IN0為‘0’（V_IN < 9 V）且I_CPU0為‘0’ （V_ I_CPU0 < 2 V）或當IN1為‘0’（V_IN < 9 V）且 I_CPU1 為‘0’ （V_ I_CPU1< 2 V）時，定義為危險情況。按照下述步驟進行。

1）利用Protel輸出該電路網表“testcase.nsx”；

2）設定電路激勵：IN0為5 Hz方波，IN1為2.5 Hz方波；

3）設定器件掃描范圍：對于所有器件的所有失效模式進行掃描，存在最大兩器件組合同時失效情況；

4）設定風險識別原則：“當IN0為低電平時，若I_CPU0為低電平，則為危險側或當IN1為低電平時，若I_CPU1為低電平，則為危險側”，并編寫對應的measure語句；

共掃描案例8 408個，耗時177.63 s，數據如圖8所示。

如圖9所示，根據掃描結果判定當d1或d5短路后將出現IN0與IN1間串擾；U1或U2的ce間短路將造成電壓的誤采集；r6斷開并且d1反向漏電流增加時的組合故障導致輸出電壓I_CPU0出現錯誤電平（在本案例中，r6斷開導致I_CPU0呈現高阻態，但在實際工作過程中，由于I_CPU0將會接有負載，因此該種失效模式不會帶來風險）， 同理r3斷開與d5反向漏流的增加同樣導致I_CPU1出現錯誤電平。分析結果與實際工程人員FTA分析一致。

6 面臨的問題及挑戰

從建模上可以看到，引入仿真系統后最大的工作量就是器件的建模過程，對于新增加的器件往往要付出比較大的時間進行模型建立及驗證；對于較為復雜的元器件比如大、中規模集成電路建模過程更為復雜，實現難度較高；

從計算角度而言，隨著電路規模增加、分析同時失效器件數目的增多，系統的計算量將呈指數形式增長。但隨著多核技術以及云計算技術的發展，仿真計算速度將有質的飛躍。

7 結束語

本文闡述了基于電路仿真技術的失效仿真技術的基本原理以及基本的建模方法，并通過簡單的案例證明的該技術的可實施性，該方法具有很高的工程實用價值，可以貫穿產品的整個設計周期。放眼將來，隨著計算機技術的發展，計算機仿真技術將滲透到傳統信號設備設計周期的各個方面，仿真技術的應用將會大大提高設計效率、減少設計中的缺陷、提高產品的安全性與可靠性。

[1]趙廣燕，孫宇峰，楊立波.電路功能可靠性仿真平臺的設計[J]. 系統仿真學報，2005,17(12):2931-2934.

[2] EN50129 Railway applications: safety related electronic systems for signaling[S].

[3]郭梁，馬立元，郭禮，等.基于仿真的電子元器件故障模型研究[J].工程設計學報，2008,15(2):145-148.