冗余架构与投票表决 — 1oo2 / 2oo3 / lockstep

最简单,单 MCU 单通道。任何一个失效就完全失效。SIL 1 / ASIL A 上限,不能用于 SIL 2 以上系统。

适用:消费电子、低风险工业、QM 级汽车控制。

双通道,任一通道认为危险就触发安全功能。voting 逻辑是 OR-gate。

• 安全性高:两通道同时失效才漏检 — 概率 ${\lambda }^2\tau$,极低
• 可用性低:任一误触发都让系统停 — 误停率高
• 典型应用:工业 STO / E-stop(宁错杀不漏)

1oo2 的升级版,增加 cross-check 诊断。当两通道结果不一致时:

• 诊断判断哪通道错(通过自检 / 内置 BIST)
• 错的通道排除,健康通道继续工作(degraded mode)
• 报警 + 限时维护(几小时内修复)

1oo2D 的 "D" 表示 Diagnostics(诊断率 > 90%),是 SIL 3 / ASIL D 的主流方案。同时满足高可用 + 高安全。

双通道,两通道都同意才触发。voting 逻辑是 AND-gate。

• 可用性高:不轻易误停 — 数据中心 / 通信典型
• 安全性低:两通道协同失效就漏 — 实际 SIL 1
• 典型应用:UPS、PLC 双热备份(防误停优先)

注意 2oo2 不能替代 1oo2 做安全,它的设计目标是"防误停",不是"防危险"。

三通道,3 选 2 多数同意才触发(majority voting)。可同时降级到 1oo2D。

• 单通道失效仍正常(2oo2)
• 双通道失效自动降到 1oo1(仍能工作)
• 三通道失效才完全失效

代价:成本 3×,但安全性 + 可用性都最高。SIL 4(航空 / 铁路 / 核电)必需。

把上面 5 种架构横向对照,可以一眼看出通道数 / voting 逻辑 / 失效组合 / 可用性 / SIL 范围的对应关系——选型时按 SIL 等级反查右列,再判可用性约束。

① 正常态(双通道一致)

• CH-A 和 CH-B 输出一致
• cross-check 通过 → 输出 = 双通道一致值
• 系统状态:full operation
• SIL 3 / ASIL D 满足

② 单 fault(诊断捕获)

• CH-A 输出漂移 / CH-B 输出正常
• cross-check 发现不一致 → 启动自检
• 诊断判断 CH-A 错 → 输出 = CH-B
• 系统状态:degraded mode
• SIL 降到 SIL 2(单通道运行)
• 报警 + 限时维护

③ 双 fault(完全失效)

• 两通道都漂移
• 进入 safe state(STO)
• 系统状态:shutdown
• 必须修复后重启
• 概率 $\propto {\lambda }^2\tau$,极低

1oo2D 真正起作用的前提是两通道异构:

• CH-A = AURIX TC3xx,CH-B = NXP S32K3(不同 MCU)
• CH-A = ARM Cortex-M7,CH-B = Cortex-R5
• 不同时钟 / 不同电源 / 不同 PCB layer
• 软件团队也独立,代码独立验证

原因:抗 systematic 失效(同 errata / 同 firmware bug),否则两通道同样的 bug 会同时被触发,冗余形同虚设。

cross-check 是 1oo2D 的灵魂——两通道必须实时互相验证,否则失效就漏检。工程上靠下面 4 个手段叠出 DC > 90%:

• SPI / CAN 心跳 + checksum
• 定期 challenge-response(类似 e-GAS Q&A WD)
• 输出差异 > 容差(典型 $5\%$ + $1\mathrm{ms}$ debounce)→ 触发降级
• DC(诊断覆盖率)目标 $>90\%$ —— 这是 "1oo2D" 名字中 D 的来源

双通道 PFH_d 由两部分构成:

代入典型值:

• $\lambda =1000FIT$(单 MCU,SIL 2 级)
• $\beta =1\%$(异构 + 物理分离)
• $\tau =8\mathrm{h}$(test interval)

得:${\mathrm{PFH}}_d\approx 10^{-8}/\mathrm{h}$ — SIL 3 阈值 $10^{-7}$/h 余 10×。

注意:第二项 $\beta \cdot \lambda$ 主导(CCF 是 PFH_d 的瓶颈),这是为什么 β < 1% 是 SIL 3 的硬约束。

物理 CCF

• 同批 IC 同 EOS 烧毁(同一根原料 wafer)
• 同温度异常击穿
• 同振动 / 冲击疲劳

环境 CCF

• 同一 EMI 干扰(雷击 / 电机近场)
• 同一电源 ripple(共用 12V)
• 同一温度环境(共用 PCB / 机箱)

软件 CCF

• 同 errata 同时触发
• 同 firmware bug
• 同 OS 同 task scheduling

IEC 61508-6 Annex C 给出 β 模型:

其中 $(1-\beta )\lambda$ 是独立失效部分(可被冗余抓住),$\beta \lambda$ 是共因失效(冗余抓不住)。

典型 β 值:

PFH_d 关于 β 的曲线:

• β = 0.1%:PFH_d ≈ $10^{-9}$/h → SIL 4
• β = 1%:PFH_d ≈ $10^{-7}$/h → SIL 3
• β = 5%:PFH_d ≈ $5\times 10^{-7}$/h → SIL 2
• β = 10%:PFH_d ≈ $10^{-6}$/h → SIL 2 边缘

β > 1% 时 SIL 3 失败,即使两通道完全独立运行也无济于事。

β 不是天生固定,工程上有 4 类干预,叠加使用可把 β 从 10% 压到 0.3%——这是 SIL 3 项目的常规组合,缺一条都可能在审计时被挑出来。

实战推荐:三招同用,可把 β 从 10% 降到 0.3%,SIL 跨等级。

汽车量产场景 cost 极度敏感,3 颗 MCU 的 2oo3 几乎不可行;1oo2D 用 lockstep + SBC 异构监控就能达 ASIL D,是当前主流方案。三个典型 case:

• EPS(Electric Power Steering):AURIX TC3xx lockstep(2 个 TriCore 硬件同步)+ SBC TLE9263 异构监控 = 1oo2D(ASIL D)
• EV inverter 主驱:e-GAS L1+L2 同芯片不同 task + SBC 异构 WD = 1oo2D(ASIL D)
• BMS / OBC:ASIL D 主路 + ASIL B(D) 备路,ASIL 分解降成本

选 1oo2D 的原因:成本敏感(mass production),3 个 MCU 不划算。AURIX 内部 lockstep core 提供 1oo2 硬件级,SBC 提供 D(诊断)。

工业场景 SIL 等级跨度大(SIL 1-4),架构选择按等级走——SIL 2 用 1oo2 即可,SIL 3+ 化工 ESD 必上 2oo3,数据中心 UPS 偏可用性而非纯安全。

• 工业 STO(SIL 2):1oo2 双 opto 通道 + 反馈
• 化工 ESD(SIL 3-4):2oo3 PLC + majority voter
• 数据中心 UPS:2oo2 + N+1 冗余(高可用优先)

详见 topic-iec-61800-5-2-stopping。

这些行业单价高、寿命长,成本约束几乎消失,可以直接走最高安全等级——异构 + 物理分离 + 多重 voter 全堆,2oo3 是入门,2oo4 / 高阶在核电常见。

• 航空 FCS(DAL A):3 个异构计算机(不同 CPU + OS + compiler)+ 投票
• 铁路 ATP(ETCS Level 3, SIL 4):2oo3 + 物理分离 + 异步时钟
• 核电 SCRAM:2oo4 / 2oo3 多重(IEC 61513 / IEEE 603)

这些行业单价高(数千美元一台),成本不是约束 — 优先选最高安全等级。

EPS 卡在量产成本 / PCB 面积约束上——SIL 3 / ASIL D 已达,再叠 2oo3 是 over-engineering。下面 5 维对比看清楚边界:

EPS 是 mass-production 件,1oo2D 是 sweet spot。