設(shè)計(jì)安全關(guān)鍵型嵌入式系統(tǒng)：在運(yùn)行時(shí)檢測(cè)SRAM故障的挑戰(zhàn)

作者：Henrik Nyholm，Jacob Lunn Lassen

在設(shè)計(jì)安全關(guān)鍵系統(tǒng)時(shí)，國(guó)際安全標(biāo)準(zhǔn)對(duì)我們選擇適當(dāng)?shù)牧鞒毯瓦m當(dāng)?shù)募夹g(shù)來(lái)檢測(cè)和避免最終產(chǎn)品中的危險(xiǎn)故障至關(guān)重要。這些標(biāo)準(zhǔn)確保我們不會(huì)像我們之前的安全工程師一樣陷入同樣的困境。

然而，這些標(biāo)準(zhǔn)的危險(xiǎn)在于，它們假設(shè)你對(duì)底層硬件（比如微控制器）有詳細(xì)的了解，這可能會(huì)導(dǎo)致經(jīng)驗(yàn)不足的安全工程師實(shí)施不安全的設(shè)計(jì)。例如，IEC（國(guó)際電工委員會(huì)）60730標(biāo)準(zhǔn)建議使用棋盤(pán)式存儲(chǔ)器測(cè)試來(lái)檢測(cè)B類軟件可變存儲(chǔ)器中的直流故障，這比看起來(lái)更具挑戰(zhàn)性。

本文介紹了SRAM的邏輯和物理布局之間未記錄的差異如何導(dǎo)致我們無(wú)意中錯(cuò)誤地實(shí)現(xiàn)內(nèi)存測(cè)試，例如棋盤(pán)算法。標(biāo)準(zhǔn)微控制器的數(shù)據(jù)表中通常沒(méi)有必要的信息，但幸運(yùn)的是，有些內(nèi)存測(cè)試算法不受SRAM邏輯和物理布局差異的影響。

在運(yùn)行時(shí)測(cè)試 SRAM 是否存在缺陷

SRAM存儲(chǔ)器顯然由IC供應(yīng)商在生產(chǎn)中進(jìn)行測(cè)試，并且有缺陷的產(chǎn)品不會(huì)運(yùn)送給消費(fèi)者。盡管如此，隨機(jī)的硬件缺陷在IC的使用壽命期間可能會(huì)并且將會(huì)出現(xiàn)，這是在安全關(guān)鍵應(yīng)用中需要在運(yùn)行時(shí)在微控制器中測(cè)試硬件的原因之一。

棋盤(pán)記憶測(cè)試

IEC 60730 （H.2.19.6.1） 等安全標(biāo)準(zhǔn)表明，對(duì)于必須符合 B 類安全級(jí)別的應(yīng)用，可以使用棋盤(pán)算法來(lái)識(shí)別 SRAM 中的某些缺陷（直流故障）。通常選擇棋盤(pán)測(cè)試，因?yàn)樗w了SRAM中最可能的故障，并且相對(duì)較快，這便于最大限度地減少對(duì)應(yīng)用本身的性能影響。除了直流故障（位永久卡在高處或低位）之外，棋盤(pán)算法還可以檢測(cè)相鄰位相互影響的缺陷。

SRAM在邏輯上由以單詞組織的許多位組成。這些字通常為 8 位、16 位或 32 位寬，但也可能更長(zhǎng)。在物理上，這些位被組織在數(shù)組中，其中每個(gè)位通常有八個(gè)相鄰位（參見(jiàn)圖1）。位中的物理缺陷會(huì)影響單個(gè)位，使其卡在高處或低位（直流故障），或者缺陷可能處于兩個(gè)位的分離中，在這種情況下，相鄰的侵略者單元（在圖1中標(biāo)記為紫色）可能會(huì)影響受害單元（在圖1中標(biāo)記為黃色）。攻擊者-受害者的情況通常被稱為耦合故障。從統(tǒng)計(jì)學(xué)上看，直流故障更容易發(fā)生，但檢測(cè)最可能的耦合故障仍然相關(guān)。

圖1 - 相鄰位之間的潛在耦合故障。

如果故障影響單個(gè)位，使該位卡在高位或低位，則可以通過(guò)寫(xiě)入值 1，通過(guò)回讀來(lái)驗(yàn)證值 1，然后寫(xiě)入值 0 并通過(guò)回讀來(lái)驗(yàn)證零，如圖 1 所示。另一方面，如果缺陷是兩個(gè)相鄰位之間的耦合故障，例如第2行中的位列9和10，則某些模式（例如所有1或全部0）不會(huì)顯示耦合故障，因?yàn)閱卧裨跍y(cè)試期間具有相同的值。

諸如相鄰單元（側(cè)面，上方和下方）之類的耦合故障具有相反的二進(jìn)制值。圖 1（右下角）說(shuō)明了位 10 中的位污染了位 9，并且由于位 9 不保持預(yù)期值 0，因此揭示了耦合故障。

SRAM 的物理與邏輯布局

要使棋盤(pán)算法正常工作，需要知道哪些位是相鄰位。事實(shí)證明，這是一個(gè)問(wèn)題，因?yàn)閿?shù)據(jù)手冊(cè)通常只描述SRAM的邏輯布局，而不是SRAM的物理組織方式。

要了解SRAM的物理布局，必須區(qū)分面向位的存儲(chǔ)器（BOM）和面向字的存儲(chǔ)器（WOM），前者當(dāng)時(shí)可以訪問(wèn)一個(gè)位，后者在當(dāng)時(shí)讀取和寫(xiě)入n位字。雖然大多數(shù)現(xiàn)實(shí)世界的內(nèi)存都是以口碑形式實(shí)現(xiàn)的，但科學(xué)文獻(xiàn)中的經(jīng)典內(nèi)存測(cè)試算法通常采用BOM實(shí)現(xiàn)。

對(duì)于口碑存儲(chǔ)器，構(gòu)成單詞的位的物理組織有三個(gè)主要類別：相鄰、交錯(cuò)和子數(shù)組。邏輯布局將每個(gè)單詞放在同一列中前一個(gè)單詞的下面（類似地址空格），但相鄰的記憶將每個(gè)單詞放在同一行中，如圖 2 所示。交錯(cuò)架構(gòu)將單詞的每個(gè)位分隔到SRAM陣列的不同列和行中。最后，子陣列組織將單詞的每個(gè)位放在SRAM的不同物理上獨(dú)立的塊中?，F(xiàn)實(shí)情況是，您不知道正確實(shí)施棋盤(pán)測(cè)試所需的物理布局。

圖 2 - 面向單詞的記憶的物理布局示例。

棋盤(pán)測(cè)試的性能和缺點(diǎn)

實(shí)現(xiàn)棋盤(pán)算法的簡(jiǎn)單方法是交替地將值0xAA（假設(shè)是8位數(shù)據(jù)字）寫(xiě)入第一個(gè)地址，并在下一個(gè)地址中0x55，直到所有被測(cè)地址都用1和0的棋盤(pán)模式填充。然后驗(yàn)證該模式以檢測(cè)相鄰單元之間的任何直流或耦合故障。然后使用反向模式重復(fù)該過(guò)程。如前所述，有一個(gè)問(wèn)題：內(nèi)存邏輯布局中的棋盤(pán)模式可能不是底層物理布局中的棋盤(pán)模式，如圖 3 所示。

圖3 - 邏輯與物理SRAM的數(shù)據(jù)模式。

補(bǔ)償邏輯和物理布局之間的差異似乎是顯而易見(jiàn)的，但在器件的數(shù)據(jù)表中很少提供必要的信息。那么，你該怎么辦？接受較低的覆蓋范圍，畢竟診斷仍然會(huì)覆蓋直流故障和相鄰位之間的一些耦合故障嗎？向IC供應(yīng)商請(qǐng)求布局，并為每個(gè)器件定制棋盤(pán)測(cè)試的實(shí)現(xiàn)？或者選擇其他算法？

既然您已經(jīng)意識(shí)到棋盤(pán)測(cè)試的潛在缺點(diǎn)，您可以做出明智的決定。

用于 SRAM 運(yùn)行時(shí)測(cè)試的替代算法

IEC 60730中針對(duì)C類安全級(jí)別提出的存儲(chǔ)器測(cè)試技術(shù)具有更高的故障檢測(cè)覆蓋率，但這些算法屬于可以被認(rèn)為是生產(chǎn)測(cè)試算法的算法：它們需要更長(zhǎng)的時(shí)間來(lái)運(yùn)行，也可以檢測(cè)更罕見(jiàn)的故障類型，但通常會(huì)破壞存儲(chǔ)在SRAM中的數(shù)據(jù)，因?yàn)樗鼈冊(cè)谡麄€(gè)SRAM上運(yùn)行，而不是在子塊中運(yùn)行。

一般來(lái)說(shuō)，對(duì)于我們的嵌入式設(shè)計(jì)，我們不能很好地容忍這一點(diǎn)。因此，我們建議您考慮從生產(chǎn)測(cè)試 March 算法改編的混合 March 算法：這些算法可用于 WOM 優(yōu)化實(shí)現(xiàn)，并提供高測(cè)試覆蓋率。此外，可以實(shí)現(xiàn)這些混合 March 算法，使其在 SRAM 的較小重疊部分上運(yùn)行，以避免一次擦除 SRAM 中的所有數(shù)據(jù)，這意味著可以避免嵌入式系統(tǒng)的重新啟動(dòng)。March算法的缺點(diǎn)是它們比傳統(tǒng)的棋盤(pán)算法計(jì)算量更大，但這是安全關(guān)鍵系統(tǒng)可能需要的費(fèi)用。

如果您考慮將傳統(tǒng)的棋盤(pán)測(cè)試與March測(cè)試交換，則可以從一些微控制器供應(yīng)商處找到此類實(shí)現(xiàn)。Microchip是提供March C-算法的性能優(yōu)化實(shí)現(xiàn)的公司之一，作為其軟件診斷庫(kù)的一部分。Microchip實(shí)現(xiàn)支持整個(gè)SRAM的測(cè)試，通常在啟動(dòng)時(shí)完成，以獲得最大的測(cè)試覆蓋率，以及更小的內(nèi)存塊的測(cè)試，旨在減少對(duì)應(yīng)用的實(shí)時(shí)影響。該實(shí)現(xiàn)可以從微芯片的網(wǎng)站免費(fèi)下載，作為IEC 60730 B類庫(kù)的一部分。該實(shí)現(xiàn)適用于PIC?和AVR?微控制器，但可以移植到其他微芯片MCU。

審核編輯：郭婷