故障模型

在我们现代世界，我们依赖于极其复杂的系统，从拥有数十亿晶体管的微处理器到全球互联的软件网络。我们如何才能保证这些系统能可靠工作？潜在的物理故障数量几乎是无限的，使得详尽测试成为不可能。这就带来了一个关键的知识鸿沟：我们需要一种系统化的方法来推理故障，而又不会迷失在无尽的物理可能性海洋中。工程和科学界对这一挑战的答案就是“故障模型”。它是一种强大的抽象，一种精确的语言，它描述的不是每一种可能的缺陷，而是最常见和最重要缺陷的逻辑后果。

本文探讨了故障模型的概念，揭示其作为现代工程基石的地位。首先，我们将审视其核心的“原理与机制”，探索固定型故障、延迟故障和可测试性设计（DFT）等基本思想如何使我们能够认证数字芯片的健康状况。之后，在“应用与跨学科联系”部分，我们将看到这一基本概念如何超越其在电子学中的起源，为在电力网、软件和量子计算等不同领域构建弹性系统提供了思想框架。

想象你是一名机械师，任务是保证一台全新、极其复杂的发动机永远不会失灵。它有数十亿个活动部件。你该从何入手？你不会去测试每一个原子。相反，你会依赖一个关于发动机典型故障方式的心理“模型”：电池没电、燃油管堵塞、火花塞故障。你会针对这些常见的故障模式设计专门的测试。

微芯片设计领域面临着类似但远为复杂的挑战。一个现代处理器拥有数十亿个晶体管，每个都是一个微小的电子开关。其物理上可能发生故障的方式几乎是无限的。为确保这些工程奇迹能可靠工作，我们无法对每一种可能性进行测试。取而代之，我们使用优雅的抽象——​​故障模型​​——来捕捉各种物理缺陷的逻辑行为。本章将带领我们探索这些模型背后的优美原理，揭示我们如何能够在逻辑上证明一个芯片是健康的，而无需迷失在其物理实现的微观丛林中。

让我们从数字电路最基本的组件——逻辑门开始。把一个简单的双输入与门想象成串联连接到一个灯泡的一对开关。只有当开关 A 和 开关 B 都闭合（逻辑 1）时，灯泡才会亮起。它最基本的损坏方式是什么？一个开关可能卡在打开位置（固定于逻辑 0）或焊死在闭合位置（固定于逻辑 1）。

这个简单直观的想法是基础最牢固的故障模型——​​单位固定型故障模型​​的核心。它假设整个电路中有一条且仅有一条线永久地“固定”在 0 或 1 的值上。那么，我们如何测试这种故障呢？让我们以输入为 $A$ 和 $B$、输出为 $Y$ 的与门为例。假设我们想检查输入 $A$ 是否​​固定为1​​（stuck-at-1）。

要捕获这个缺陷，我们需要在一个测试中完成两个动作。首先，我们必须尝试做一些故障会阻止的事情。我们需要将线 $A$ 上的实际输入信号设置为 0。如果它真的固定为 1，就会产生一个差异。这被称为​​故障激活​​。其次，这个差异必须在最终输出端产生影响。如果输入 $B$ 是 0，那么无论 $A$ 是什么，输出 $Y$ 都将是 0。故障就被隐藏了。为了使输出对 $A$ 敏感，我们必须将 $B$ 设置为 1。这被称为​​故障传播​​。

因此，检测“$A$ 固定为1”故障的唯一测试向量是 $(A,B) = (0,1)$。好的电路计算 $0 \land 1 = 0$，但有故障的电路在输入 $A$ 上看到一个 1，并计算 $1 \land 1 = 1$。输出不同了！通过应用同样的逻辑，我们发现要测试“$B$ 固定为1”，我们需要 $(1,0)$；而要测试任何输入（或输出）固定为0，我们需要 $(1,1)$ 来尝试将输出强制为 1。因此，捕获一个双输入与门上所有六种可能的单位固定型故障的最小测试向量集是 $\{(0,1), (1,0), (1,1)\}$。仅用四种可能输入模式中的三种，我们就能完全认证该门的静态行为。

这种效率原则引出了另一个优美的概念：​​故障等效​​。考虑一个稍微复杂一点的电路：我们的与门输出连接到一个逆变器（非门），因此最终函数是 $Y = \lnot(A \land B)$，即一个与非门。现在，如果与门和非门之间的内部连线固定为0，会发生什么？非门会看到一个 0 并输出一个 1。如果换成最终输出线 $Y$ 固定为1呢？输出同样总是 1。从外部看，这两个截然不同的物理故障是无法区分的。它们属于同一个​​等效类​​。通过分析逻辑，我们发现电路中许多可能的故障会塌缩成一个更小的独特行为集合。对于我们简单的与非电路，10个可能的固定型故障会塌缩成仅4个等效类，这大大减少了我们需要生成的测试数量。

我们已经看到了如何手动设计测试，但是计算机如何为一个拥有十亿晶体管的芯片自动完成这个过程呢？核心任务是找到一个输入，使得好的电路和假设有故障的电路行为不同。最朴素的方法是为每一个故障模拟两个完整版本的芯片，这在计算上是不可能的。

突破来自于一个非常聪明的想法，即 D-算法，它使用一种特殊的​​五值逻辑​​。想象你只模拟一个电路，但在每条线上，你同时跟踪两个值：$(v_{\text{good}}, v_{\text{faulty}})$。

• 如果一条线在两个电路中都是 0，它的值就是 0，代表值对 $(0,0)$。
• 如果在两个电路中都是 1，它的值就是 1，代表 $(1,1)$。
• 如果我们不知道或不关心，它就是 X，代表 $(X,X)$。

神奇之处在于最后两个值。如果一条线在好的电路中是 1，但在故障电路中是 0，我们给它分配一个特殊符号 $D$，代表差异（Discrepancy）。所以，$D \equiv (1,0)$。反之，如果它在好的电路中是 0，在故障电路中是 1，我们称之为 $\overline{D}$，其中 $\overline{D} \equiv (0,1)$。

让我们看看它的实际应用。考虑一个电路，其中一个与门的输出 ($w = a \land b$) 连接到一个或门的输入 ($y = w \lor c$)。让我们测试“线 $w$ 固定为0”的故障。为了激活故障，我们需要在好的电路中 $w=1$，所以我们设置输入 $(a,b) = (1,1)$。故障电路会强制 $w$ 为 0。因此，在线 $w$ 上，我们有值对 $(1,0)$，即 $D$。现在我们必须将这个 $D$ 传播到输出 $y$。为此，我们必须确保或门的另一个输入 $c$ 不会阻塞信号。或门的“控制值”是 1（因为任何值与 1 或运算都是 1），所以我们必须将 $c$ 设置为非控制值 0。

现在计算机计算输出：$y = w \lor c = D \lor 0$。使用我们的值对定义，这等于 $(1,0) \lor (0,0)$。或运算是逐对进行的：$(1 \lor 0, 0 \lor 0) = (1,0)$。而 $(1,0)$ 是什么？它就是 $D$！$D$ 已经传播到了输出端。当自动化工具在主输出端看到 $D$ 或 $\overline{D}$ 的那一刻，它就知道找到了一个成功的测试向量。这比使用一个简单的 X 表示“未知”要强大得多，因为 X 会丢失值不仅是未知，而且是确定不同的关键信息。

到目前为止，我们处理的都是某些东西永久损坏的故障。但在现代电子产品的超高速世界里，一个仅仅是“慢”的组件和坏掉的组件一样糟糕。如果一个信号在千兆赫兹时钟的下一个节拍到来之前没有到达，计算就会出错。这把我们带到了​​延迟故障​​的领域。

一个简单而有效的模型是​​渡越故障模型​​。它将延迟缺陷抽象为一个二元条件：一个信号的渡越——无论是从 0 到 1（​​上升缓慢​​，Slow-To-Rise, STR）还是从 1 到 0（​​下降缓慢​​，Slow-To-Fall, STF）——是否太慢以至于无法在一个时钟周期内完成？为了测试这一点，我们需要一个由两个输入模式组成的序列。第一个模式 $V_1$ 将一个节点初始化为其起始值（比如 0）。第二个模式 $V_2$ 在下一个时钟周期应用，旨在发起一次渡越（到 1）。然后我们“全速”捕获结果。如果该节点仍然是 0，我们就检测到了一个渡越故障。

但是，如果问题不是单个慢门，而是在一条长逻辑链的每一级都增加了一点微乎其微的延迟呢？这就像一场交通堵塞，每辆车只减速了一点点，但累积效应导致数英里外的交通陷入停滞。这需要一个更复杂的模型：​​路径延迟故障模型​​。该模型针对电路中特定结构路径上累积的总延迟。测试它同样需要一个双模式测试，但有一个关键约束：测试必须被构建以创建一条​​敏化路径​​，确保渡越信号唯一地沿着目标路径传播，而不受旁路干扰。这使得测试能够测量那一条路径且仅那一条路径的时序。

在这些模型之间的选择是一个深刻的工程决策。它取决于制造工艺的物理特性。一些工艺更容易出现分布式参数变化（如晶体管电学特性的微小变化），这会导致许多小延迟累加起来。对于这些情况，路径延迟模型是不可或缺的。其他工艺可能更容易受到局部缺陷（如一个成型不良的连接）的影响，从而产生一个大的单一延迟。在这种情况下，渡越故障模型更有效。通过分析预期物理缺陷的统计分布，工程师可以选择与真实世界时序故障最相关的故障模型，确保他们运行的测试针对的是最可能出现的问题。而这仅仅是个开始；还有一整套其他故障模型，比如​​桥接故障模型​​，它描述了两条线意外短路时的行为。

所有这些理论都很美妙，但我们如何将其应用于真实的芯片呢？一个关键的门可能深埋在数百万个晶体管之中，没有直接通向外部世界的路径。这就带来了​​可控性​​（在内部节点上设置一个值的能力）和​​可观测性​​（看到该节点值的能力）的根本挑战。对于一个深埋的门来说，这两者实际上都为零。

解决方案是设计工程史上最聪明的技巧之一：​​可测试性设计（DFT）​​，特别是​​扫描链​​。其洞见在于：在一个特殊的“测试模式”下，我们可以临时重新配置电路。所有的存储元件（触发器），通常是相互隔离的，被电子方式头尾相连地缝合在一起，形成一个巨大的移位寄存器。这条链有一个单一输入（扫描输入）和一个单一输出（扫描输出）。

现在，要测试电路，我们执行以下操作：

1. 将芯片置于测试模式。
2. 将期望的测试码型逐位移入扫描链。这使我们能够直接设置每个触发器的状态，从而对组合逻辑块的输入拥有近乎完美的控制。
3. 切换到正常模式，运行一个时钟周期。测试码型被应用，结果被触发器捕获。
4. 切换回测试模式，并将链的全部内容移出。这让我们能观察到从每一个触发器捕获的结果。

这将一个极其复杂的时序测试问题转化成一系列简单得多的组合测试问题。这就像能够将你的测试设备传送到引擎内部的任何一点。

这项强大的技术使得自动测试码型生成（ATPG）工具能够实现非常高的​​故障覆盖率​​——即被测试集检测到的建模故障的百分比。但真正的目标不仅仅是核对一张建模故障列表，而是捕获真实世界的物理缺陷。这通过​​缺陷覆盖率​​来衡量，即芯片上的实际缺陷被捕获的概率。通过使用按相应物理缺陷可能性加权的多种故障模型组合，工程师可以估算出最终的缺陷覆盖率。这反过来又使他们能够预测最终的质量衡量标准：​​百万缺陷数（DPPM）​​，即有多少有缺陷的芯片会逃过测试并送到客户手中 [@problem-agpl:4264523]。归根结底，这座由固定开关、明察秋毫、慢速路径和扫描链构成的美丽逻辑抽象之塔，建立在一个简单而实际的基础之上：制造能用的东西。

完美是一个美好的想法，但它可能是一个糟糕的工程原则。现实世界，在其所有的荣耀中，是一个充满不完美、随机波动和必然衰败的地方。一根电线腐蚀，一个晶体管过热，一束宇宙射线翻转了内存中的一个比特。要在这个混乱的现实中构建可靠运行的系统，我们不能仅仅期望完美；我们必须预测、理解并为故障而设计。“故障模型”是物理学家和工程师完成这项任务最强大的工具。它是一种精确、抽象的语言，用以描述事物可能出错的方式。它是我们设计的理想化蓝图与必须经受现实风暴的物理系统之间的桥梁。

在探索了故障模型的原理之后，现在让我们踏上一段旅程，看看这些思想将我们引向何方。我们将发现，这一个概念是一条金线，贯穿了现代技术的整个织锦，从你电脑的硅芯到量子力学的前沿。

故障模型最自然的归宿是在数字电子的世界，即零和一的王国。想象一个由管道和阀门组成的庞大而复杂的网络，这是对现代计算机芯片的一个恰当类比。可能会出什么问题？一个阀门可能会永久卡在打开或关闭的位置。这就是最简单也最著名的故障模型——​​固定型故障​​的本质。电路中的一条线被建模为永久固定在逻辑 0 或逻辑 1 上。

这个简单的想法带来了深远的影响。例如，考虑计算机中构成数据总线的一组并行导线。为了防止错误，我们可能会增加一根额外的线用于“奇偶校验位”，这是一种简单的错误检查方案。通过使用固定型故障模型，我们可以从第一性原理出发，数学上证明这个单位奇偶校验位能够检测到任何一根导线（包括其自身）上的任何单位固定型故障。该模型使我们能够量化我们防御措施的能力。

但现实世界比仅仅是固定的导线要复杂得多。“阀门”本身——晶体管——也可能失效。在一个标准的CMOS逻辑门中，比如构成大部分数字逻辑基础的与非门，一个晶体管可能在该导通时未能导通。这是一种“断路型”故障。通过为门中的每个晶体管建立此类故障的概率模型，制造商可以预测其制造工艺的​​功能良率​​——也就是说，芯片上数百万个门中有多少百分比能正常工作。这是从物理缺陷模型到半导体制造业经济学的直接联系。

随着芯片包含数十亿个晶体管，对每一个进行测试变得不可能。解决方案不是测试所有东西，而是测试我们故障模型中的所有东西。工程师们开发了巧妙的“可测试性设计”（DFT）技术。其中最重要的一种是​​扫描链​​，它在测试期间有效地将芯片上所有的存储元件（触发器）重新连接成一个长长的移位寄存器。这使得测试人员能够直接控制和观察芯片的内部状态。它让他们能够设置激活潜在故障所需的精确条件——比如固定型故障，或者更微妙的、信号太慢的​​渡越故障​​——并查看电路是否按预期运行。扫描链是故障模型的物理体现，直接构建在硅片中，使不可见变为可见。

故障模型的效用远远超出了逻辑门的二元世界。对于与物理世界交互的系统，它同样至关重要。考虑一下电动汽车或工业机器人中的电力电子设备。一个大功率逆变器使用开关来精确地斩波直流电压以驱动电机。如果其中一个开关因永久性开路而失效会发生什么？通过对这种特定故障进行建模，工程师可以设计​​容错控制算法​​。这些算法可以检测到故障，动态地重新配置系统（例如，通过改变其余开关的操作方式），并使电机能够继续运行，也许功率有所降低，但能确保安全。这门科学防止了单个组件的故障演变成灾难性的系统故障。

随着我们的系统变得越来越智能，我们看到了故障模型角色的一个引人入胜的演变。在​​信息物理系统​​和​​数字孪生​​领域，我们构建高保真度的计算机模型，与现实世界的资产（如喷气发动机或电网）并行运行。数字孪生由真实的传感器数据驱动，不断预测物理系统应该在做什么。预测与现实之间的差异被称为“残差”。

在这里，故障模型的概念引出了一个深刻的分叉路。如果我们有一个已知问题的库——涡轮叶片裂纹有这种特征，燃料喷射器堵塞有那种特征——我们就在进行​​故障诊断​​。我们将观察到的残差与已知的故障模型匹配，就像医生根据症状列表诊断已知疾病一样。但是，如果我们只是看到了一个与我们库中任何东西都不匹配的奇怪偏差呢？这就是​​异常检测​​。我们的“故障模型”仅仅是“不正常”。挑战在于在不知道其原因的情况下，检测任何与健康运行状态的显著偏离。这种区别，源于是否存在特定的故障模型，定义了两种截然不同的维护复杂系统健康的方法。

在光谱的最极端，存在着最具挑战性的故障模型：​​拜占庭故障​​。这个模型源于一个涉及将军们试图协调攻击的著名思想实验，它不仅仅假设一个组件是坏的。它假设该组件是主动恶意的。分布式系统中的一个拜占庭节点不仅仅是死的；它是一个叛徒，发送谎言和冲突信息以图制造混乱。要构建能够抵御此类对手的系统——这对于飞机控制、金融网络和自主车队同步是必需的——协议必须被设计成即使在一部分组件表现出最坏行为的情况下也能工作。例如，要在网络中实现时钟同步，需要最少数量的诚实节点（$N > 3f$，其中 $f$ 是拜占庭叛徒的数量）来过滤掉恶意的时基信号。拜占庭故障模型是对鲁棒性的终极考验，迫使我们为恶意而非仅仅为不幸而设计。

故障模型不仅适用于外部系统或硬件组件；它们对于理解计算本身结构（包括软件和未来计算机架构）的可靠性也至关重要。

大多数程序员想当然地认为计算机的内存和管理它的运行时系统是完美无缺的。但如果它们不是呢？考虑一个​​垃圾回收器​​（GC），这个软件负责自动查找和回收不再使用的内存。GC维护着复杂的元数据，比如空闲内存块的列表。如果RAM中一个随机的比特翻转——例如由宇宙射线引起的——破坏了这个空闲列表中的一个指针会怎样？一个设计不当的GC可能会错误地将一个包含关键活动数据的块解释为空闲的。下一次内存分配可能会覆盖这些数据，导致灾难性的、令人费解的应用程序崩溃。一个健壮的、容错的GC必须在设计时就考虑到故障模型，或许可以在其元数据中包含校验和，并且最重要的是，通过定期直接从应用程序的状态重新推导出哪些内存是活动的真相，而不是盲目地相信自己可能已损坏的记录。

随着我们推动硬件的极限，新型故障也随之出现。为了延续摩尔定律，工程师们现在正在​​3D集成电路​​中垂直堆叠芯片，通过称为硅通孔（TSV）的微小垂直导线将它们连接起来。这些新结构带来了新的失效模式：一个TSV可能电阻过大，减慢信号；它可能有微小裂纹，造成开路；或者它可能向周围的硅泄漏电流。为了测试这些高耸的硅摩天大楼，我们必须首先回到物理学，为这些新的失效机制创建故障模型。只有这样，我们才能设计出正确的电气测试，以确保这些3D堆叠芯片的可靠性。

展望更远的未来，模拟大脑的计算机又如何呢？​​神经形态硬件​​旨在构建由人工神经元和突触组成的大规模并行系统。就像生物大脑一样，这种硬件不会是完美的。一些物理神经元可能在出厂时就是“死的”，一些突触可能是“固定导通”或“固定关闭”的。目标不是扔掉芯片，而是设计能够对这些缺陷具有弹性的软件。这是通过将故障模型直接整合到将所需神经网络映射到物理硬件的算法中来实现的。映射算法将死神经元和故障突触视为硬约束，解决一个复杂的优化问题，以找到一个能够“绕过”硬件不完美之处的有效配置 [@problem-id:4050849]。这是对大脑自身可塑性和弹性的美妙呼应。

我们的最后一站是迄今为止构想出的最奇特、最脆弱的计算范式：量子计算。一个经典比特是稳健的；而一个量子比特（qubit）则绝非如此。它以一种脆弱的态叠加形式存在，与外界最轻微的相互作用——一个杂散的电磁场、一次热振动——都可能在一个称为退相干的过程中破坏其量子信息。

在这个领域，“固定型”故障这种简单的想法是不够的。我们面对的是持续不断的噪声。然而，故障建模的原则依然成立。我们可以创建简化的模型来捕捉主要的错误来源。例如，我们可以对​​门故障​​（$p_g$）（量子逻辑门在量子比特上引入一个小错误）和​​测量故障​​（$p_m$）（读取量子比特状态时给出错误答案）的概率进行建模。

通过分析这些不同的物理故障如何在​​量子纠错​​电路——一种旨在保护逻辑量子比特免受噪声影响的程序——中传播，我们可以理解哪种类型的错误最具破坏性。对于一个给定的量子编码，我们可以计算出概率比，例如 $p_m/p_g$，在该比值下，一次测量错误导致最终逻辑错误的概率与一次门错误相同。这项分析是构建真正容错量子计算机的第一步。它告诉我们应该将工程努力集中在哪里——是应该制造更好的门还是更好的测量设备？没有故障模型，我们将在量子力学的奇异世界中盲目飞行。

从一根简单的固定导线到一个退相干的量子比特，故障模型是我们穿越不完美世界的原则性指南。它证明了我们有能力直面现实，为失败命名并赋予其结构，并在此过程中，构建出远比其脆弱部件总和更具弹性的系统。这门关于何事可能出错的科学，矛盾地，却是让事情正确运行的基础。