航空電子過程管理 大氣輻射影響 第3部分：考慮大氣輻射單粒子效應(yīng)（SEE）的系統(tǒng)設(shè)計(jì)優(yōu)化 征求意見稿

1GB/TXXXX.3—202X/IEC62396IEC62396的這一部分為航空電子系統(tǒng)和設(shè)備的設(shè)計(jì)人員提供指導(dǎo)，備在大氣輻射誘導(dǎo)SEE的影響下的必要要求。該部分所描述的活動(dòng)和目標(biāo)輸出將成為更高層級(jí)認(rèn)證和所需證據(jù)的輸入。它以IEC62396-1：2012中關(guān)于單粒子效應(yīng)的系統(tǒng)級(jí)方法為基礎(chǔ)，同時(shí)為航空IEC/TS62239-1航空電子設(shè)模擬單粒子瞬態(tài)ASETanaloguesingleeventtr雙糾錯(cuò)三檢錯(cuò)DECTEDdoubleerrorcorrectiontripleerro2GB/TXXXX.3—202X/IEC623注1：此類故障可能表現(xiàn)為軟故障，因?yàn)樵陔S后的測(cè)試中可能無法發(fā)注1：硬錯(cuò)誤包含SEB、SEGR和SEL。此類錯(cuò)誤主要表現(xiàn)為半導(dǎo)體材料（包括體硅CMOS）中的寄生p-n-p-n電路被觸發(fā)，導(dǎo)致寄生鎖存電流超過保注1：閂鎖是軟故障（固件/軟錯(cuò)誤）的一平均故障間隔時(shí)間MTBFmeantimebet注1：此術(shù)語來自世界航空公司技術(shù)術(shù)語表，指的是在役設(shè)備或系統(tǒng)兩次故障之間的平均時(shí)間，在這段時(shí)間內(nèi)需要更換損壞的器平均非計(jì)劃拆卸間隔時(shí)間MTBURmeantimebetweenun3GB/TXXXX.3—202X/IEC62396注1：此術(shù)語來自世界航空公司技術(shù)術(shù)語表，指的是設(shè)備或系統(tǒng)在使用中因軟故障而導(dǎo)致非計(jì)劃拆卸之間的平均時(shí)間，因此，它單錯(cuò)誤糾正雙錯(cuò)誤檢測(cè)SECDEDsingleerrorcorrectiondo4GB/TXXXX.3—202X/IEC62396這種狀態(tài)在器件上電狀態(tài)會(huì)持續(xù)存在。鎖定可能是軟故障(固5GB/TXXXX.3—202X/IEC623注1：此類故障不涉及LRU中永久損壞元器件的替換，但需要在系統(tǒng)恢復(fù)全部功能之前將邏輯單元術(shù)實(shí)現(xiàn)的功能中，曾懷疑存在此類故障條件，即“未發(fā)生故障”綜為了全面解決設(shè)計(jì)方法論中涉及SEE的問題，并驗(yàn)證設(shè)計(jì)所需的證據(jù)，需要對(duì)幾個(gè)不同的——系統(tǒng)級(jí)流程很可能需要解決SEE問題，并就如何在整個(gè)開發(fā)過程中處理、溝通和反饋這些流程提供具體的指導(dǎo)。這一點(diǎn)很重要，因?yàn)榕c標(biāo)準(zhǔn)可靠性數(shù)據(jù)相比，SEE問題已被反饋到設(shè)計(jì)過程中，——元器件管理計(jì)劃需要修改，以解決初始器件選擇時(shí)的SEE問題，以及制造商修修復(fù)器件時(shí)的問題。根據(jù)系統(tǒng)的關(guān)鍵程度，可通過一些過程控制以確保在制造過程中使用的新器件從SEE角度來看與原6GB/TXXXX.3—202X/IEC62396為這些器件故障率的主要因素。通過合適的模擬器或地面設(shè)備測(cè)試小尺寸次級(jí)中子集成芯片的SEE率正因此，器件內(nèi)的中子SEE效應(yīng)可能足以導(dǎo)致正確輸出出現(xiàn)短時(shí)間——硬故障，即導(dǎo)致受影響的LRU永久失效的故障，以及這些類別源于器件的SEE：元器件的大氣輻射效應(yīng)可能導(dǎo)致功能可恢復(fù)的軟故障，或者導(dǎo)致元永久失效的硬故障。軟故障的影響應(yīng)通過電子設(shè)備中的糾正措施進(jìn)行補(bǔ)償。正如IEC62396-1：20誤/故障類型（及其相關(guān)術(shù)語）都將被歸類為硬故障或軟故障。那些會(huì)影響平均故障間隔時(shí)間(MTBF)的換操作時(shí)，將反映在該項(xiàng)目的MTBF值歷史記錄中。在電子設(shè)備中，SEE引起的永久性故障（元器件或7GB/TXXXX.3—202X/IEC62396軟故障很可能成為MTBUR指標(biāo)中CND/NFF類別的一個(gè)因素。為了滿足系統(tǒng)的故障率標(biāo)準(zhǔn)（進(jìn)而使飛機(jī)（航空器）功IEC62396-1：2012中已經(jīng)明確指出，在實(shí)現(xiàn)飛機(jī)功能的系統(tǒng)中，評(píng)估是數(shù)字）元器件安全影響的方法應(yīng)與傳統(tǒng)上公認(rèn)的評(píng)估其它故障模式和影響而導(dǎo)致的功能危險(xiǎn)的方法如，表1提供了適航標(biāo)準(zhǔn)第23部分（通用航空類飛機(jī)[2])和第25部分（運(yùn)輸類飛機(jī)[3])各種類型失效影根據(jù)AC/AMJ1309和ARP4754的功能故障狀態(tài)分類發(fā)生概率（每飛行小時(shí)）災(zāi)難性的致命的/危險(xiǎn)的嚴(yán)重的輕微的無影響的8GB/TXXXX.3—202X/IEC62396通過在系統(tǒng)級(jí)和設(shè)備級(jí)進(jìn)行適當(dāng)?shù)脑O(shè)計(jì)，并精心選擇和管理（參見IEC62396-1:2012、7.4和為系統(tǒng)性能下降，并可能包括在移除和重啟電源或刷新時(shí)清除的故障或錯(cuò)誤(SEFI、SE部分全權(quán)數(shù)字發(fā)動(dòng)機(jī)控制（FADEC）系統(tǒng)也被歸類為A級(jí)。安裝在第25部分飛機(jī)上的FADEC軟件和復(fù)雜電子硬件具有共模威脅的特性而被歸類為A級(jí)。因此，實(shí)現(xiàn)某些關(guān)鍵功能（如超速、反9GB/TXXXX.3—202X/IEC62396軟故障不需要更換數(shù)字器件來恢復(fù)系統(tǒng)的全部性能。它們的影響可以在系統(tǒng)、電子設(shè)備或器件級(jí)進(jìn)行緩解。6.3.1.3節(jié)中給出了一些軟故障檢測(cè)/緩解方法。附錄B提供了在電子設(shè)備層級(jí)，通過優(yōu)化設(shè)計(jì)來緩解電子元器件的SEE可以獲得最大效益。目前很多技術(shù)能夠在元器件級(jí)檢測(cè)和糾正由SEE引起的軟故障。只要數(shù)字計(jì)算機(jī)的硬件處理單元保持運(yùn)行，軟件緩解元器件級(jí)的軟故障，例如SEU(單粒子/單粒子多位翻轉(zhuǎn)等)通?？梢栽谠O(shè)備級(jí)檢測(cè)到并且在設(shè)備內(nèi)GB/TXXXX.3—202X/IEC62396邏輯電平到故障電平的快速瞬變。它們通常與時(shí)鐘信號(hào)相對(duì)應(yīng)并在短時(shí)間內(nèi)發(fā)生，被稱為單粒子瞬態(tài)b)速率變化。在定義的正常系統(tǒng)操作條件下，模擬參數(shù)或數(shù)值的最大速率變化是有備的能力和功能性。此外，對(duì)于特征尺寸較大的某類元器件(例如SRAM存儲(chǔ)器)，其可用性可能會(huì)出現(xiàn)——通過監(jiān)測(cè)兩個(gè)或更多冗余計(jì)算元件之間的狀態(tài)，可以檢測(cè)到軟故障的發(fā)生(如三重模數(shù)冗余微b)基于可追溯到測(cè)試結(jié)果的故障/故障率的故障/故障模型（在某些情況下，對(duì)所有器件使用平均SEE錯(cuò)誤率，某些元器件的SEE錯(cuò)誤率可能較高，而其它元器件的SEE錯(cuò)誤率可GB/TXXXX.3—202X/IEC623<>否是<>否是否否否是否是是是是是GB/TXXXX.3—202X/IEC62396在芯片級(jí)，可以使用許多不同的技術(shù)。航空電子而該字本身仍然會(huì)保持錯(cuò)誤狀態(tài)。為了避免這種情況，通常使用交錯(cuò)技術(shù)，即在理上與其它位分開，這大大減少了兩個(gè)錯(cuò)誤位于同一字中的可能性。這是因?yàn)閱斡凇被颉靶∮凇庇谩按笥诨虻扔凇被颉靶∮诨虻扔凇贝鎭韺?shí)現(xiàn)，并且在可能的情況使用“大于或等于”或“小于或等于”代替“等于”。這是計(jì)數(shù)GB/TXXXX.3—202X/IEC62396會(huì)有短暫的錯(cuò)誤。數(shù)據(jù)應(yīng)該以這樣的速率刷新，即在刷新周期內(nèi)，錯(cuò)轉(zhuǎn)可以通過改變決定程序執(zhí)行的操作碼或數(shù)據(jù)值，來中斷處理器的操作。由此微處理器的緩解技術(shù)包括奇偶校驗(yàn)、低端流水線刷新、緩存刷新和采用雙處工作原理是，存儲(chǔ)器的三個(gè)部分執(zhí)行相同的操作，并將結(jié)果進(jìn)行比較和表決，以方式相互操作。電路中的故障將表現(xiàn)為兩個(gè)電路之間結(jié)果的差異，如果出現(xiàn)錯(cuò)誤字方法的方式，可以通過比較來檢測(cè)偏離值。三重模塊和鎖步是GB/TXXXX.3—202X/IEC62396延遲路徑的三個(gè)分支（直接、單延遲、雙延遲）具有交錯(cuò)延遲，GB/TXXXX.3—202X/IEC62396示例系統(tǒng)C.1.1主飛行控制系統(tǒng)主飛行控制系統(tǒng)根據(jù)飛行機(jī)組、自動(dòng)駕駛儀和飛行管理系統(tǒng)的指令，操縱舵、副翼、方向舵）的位置，以使飛機(jī)按所需飛行姿態(tài)進(jìn)行飛行。執(zhí)行主飛行控？）C.1.2主飛行指引系統(tǒng)Primaryflightdirector主飛行指引系統(tǒng)向飛行機(jī)組提供至關(guān)重要的飛行安全和著陸信息。在此情GB/TXXXX.3—202X/IEC62396主飛行指C.2.1發(fā)動(dòng)機(jī)控制系統(tǒng)發(fā)動(dòng)機(jī)控制系統(tǒng)根據(jù)當(dāng)前發(fā)動(dòng)機(jī)條件和駕駛艙指令，以及飛行姿態(tài)要處理，如果飛機(jī)有配備了多個(gè)發(fā)動(dòng)機(jī)，則發(fā)動(dòng)機(jī)推力損失可能會(huì)受到冗余性地影雙冗余的，即兩個(gè)控制通