用于精确安全分析的可定制选项

ISO 26262 被描述为汽车行业接受和遵循的标准，用于提供指导以降低电气和电子 （E/E） 系统故障引起的风险。ISO 26262 第 5 部分是该标准的 12 卷之一，它致力于硬件级别的产品开发的功能安全合规性；瑞萨电子开发的用于车辆的半导体组件符合第 5 部分中定义的要求。本部分第 8 节进一步将硬件要求重点放在“评估架构指标”上。为此，我们将探讨 FMEDA（故障模式影响和诊断分析）的概念以及对可定制工具的需求，以生成基于实际应用程序的指标结果进行分析。

这是我们功能安全系列中的第二个博客，将尝试封装用于控制和检测故障、其计算和缓解技术的特定硬件架构指标的概念。由于有不同类型的故障可能导致故障，因此本分析下的指标仅限于随机硬件故障。让我们介绍这些指标和及时失败 （ FIT ） 的概念：

FIT （failure in time） 是硬件（组件或元件）的固有特性，是一个单位，表示由于 E/E 元件中的故障而发生故障的概率。一次 FIT 等于每运行 10 亿小时发生一次故障。计算给定组件或系统的基本故障率值（或原始 FIT）非常复杂，需要考虑多个来源和手册以及专家意见。基本故障率是假设不考虑缓解步骤的故障概率。

单点故障指标 （ SPFM ）：该指标用于评估设计对仅可能导致违反安全目标的故障的稳健性。例如，如果未检测到损坏的数据，可能会导致执行器的输出不正确并导致危急情况。对于标准中定义的最严格的安全等级（汽车安全完整性等级 D，或ASIL D），SPFM应达到 》 99%——简单地说，应检测和缓解超过 99% 的单点故障。

潜在故障度量 （ LFM ）：此度量用于评估设计对故障的鲁棒性，这些故障只有在与其他故障相结合时才可能导致违反安全目标。这种“多点故障”的一个例子是

1） 已实施的安全机制中的故障，例如时钟监视器，以及

2） 被监控时钟中的故障。

不正确的时钟频率可能会对 ECU 中的任何数量的操作产生负面影响，从而导致故障。

对于ASIL D 合规性，应检测和缓解 90% 以上的多点故障。

随机硬件故障 （ PMHF ） 的概率度量：此度量是一个定量目标，表示系统运行生命周期内每小时的平均故障概率。对于ASIL D 合规性，E/E 系统的目标是实现低于 10 FIT的PMHF 。PMHF 和原始 FIT 都代表故障概率，不同之处在于原始 FIT 是技术稳健性的表达，而 PMHF 是解决方案稳健性（安全性）的表达。

对于我们的目的，通过FMEDA进行安全分析的关键点是评估设计满足上述目标指标SPFM、LFM和PMHF的能力。必须考虑的另一个方面是 FMEDA 工具的可配置性需求。大多数打算在安全相关环境中使用的瑞萨电子组件的开发方式允许产品在多种系统、应用和车辆中使用。被称为脱离上下文的安全元素 （ SEooC），所分析的所述元素的安全要求由目标用例决定；需要对 FMEDA 的配置进行更改才能进行精确的用例分析。（对于本讨论的其余部分，所描述的 SEooC 将是一个“组件”。）

瑞萨电子开发了一种专有的 FMEDA 工具，称为“ CAR工具”：CAR = 可定制的分析报告。这辆车工具实施了 TÜV-NORD 批准的组件安全分析方法。［TÜV-NORD 是著名的国际安全认证机构。］ 可用于系统和组件安全分析的可定制工具至关重要。根据系统集成商确定的安全目标，必须修改多个参数才能精确分析每个安全目标。这意味着对于每个安全目标，应该可以进行独立分析，可以进行调整并分析结果，以确认该安全目标的目标ASIL合规性。

除了可定制之外，CAR 工具还可用于逐步指导系统集成商，以合理的方式调整参数和设置。这是通过使用各种模块根据实际用例输入和修改参数/值来实现的。我们将逐步完成高级定制，并在此过程中介绍其他关键概念。

为了进行适当的分析，需要适当级别的组件粒度。ISO 26262 建议使用术语“元素”来标识这些组件子部分或硬件部件；我们将继续沿用这一命名法。

分析参数

可以为正在分析的 SEooC 定义多个安全目标，每个安全目标具有不同的时序参数（例如，缓解故障的时间约束）和 ASIL 目标。分析参数模块提供了建立这些不同安全目标的条目。

FIT特性

FIT 是较早定义的，并指出为可以通过多种方法确定的计算/值。CAR 工具可以处理不同的 FIT 分布方法：手动、按公式、作为整个芯片的一部分或基于尺寸。虽然 CAR 工具引入了要在分析期间使用的 FIT 特性，但用户还可以创建和添加 FIT 特性以代替或补充瑞萨定义的特性。

故障表征

CAR 工具中有多个故障表征可以分配给每个元素。故障表征和相应元素的常见示例：

具有单位故障、双位故障、多位故障的故障特征的存储器阵列（元件）。

具有低频、高频、抖动故障特征的时钟/振荡器（元件）。

在这两个示例中，每个元素都被分配了具有三种故障模式的故障特征。Renesas 工具允许用户修改这些模式的分布方式（三种模式的示例：50%/25%/25% 或 90%/8%/2% 等）。

用户还可以添加和删除故障模型和故障模式，甚至可以定义自己的故障特征。

硬件描述

硬件描述模块包含元素的物理信息（例如尺寸、FIT、PIN/DIE 性质），还包括其他基本组件特征（例如用于分析的粒度）。该模块用于为每个元素分配故障表征和其他特征。

粒度——

定义组件粒度的重要考虑因素包括，例如

1） 能否针对故障模式和安全机制分配对元素进行有效分析？

2）粒度大小是否实用，以便对每个元素的分析是可行的？

Renesas 已根据组件以及上述考虑因素定义了 CAR 工具中的粒度。架构粒度不是 CAR 工具的可定制特性，但由于这也是安全专家热衷的行业主题，IEEE 目前正在考虑允许客户（系统集成商）和供应商（如瑞萨电子）的粒度标准从一个共同的知识库开始。

FIT 分配——

在 CAR 工具中，当执行永久性故障分析时，瑞萨电子将原始 FIT 分配给每个元件，纯粹基于元件消耗的元件裸片尺寸的百分比。这仅仅意味着在芯片中/芯片上的任何位置都可能以相同的概率发生故障。

对于瞬态故障的分析，根据元件的性质（F/F、RAM 位、FLASH 位）分配 FIT 特性。

故障特征分配——

在本模块中，为每个元素分配了一个故障特征（如上定义）。

硬件元素功能

——CAR 工具允许分析与单个元素相关的不同用例，或创建涉及多个元素的更大用例。通过考虑下一节中描述的每个元素的“安全相关性”，这种用例分析是可行的。

SR/NSR——

安全相关与非安全相关属性允许系统集成商考虑给定元素是否需要给定安全目标。如果一个元素被认为是 NSR，那么在分析中不考虑分配给它的 FIT；不需要安全机制。每个元素应指定为 SR 或 NSR。

安全机制

前面提到的一个概念是“安全机制”。安全机制是 E/E 系统中的功能，用于检测和减轻故障，以便组件具有提高的能力以满足其安全目标。这可以通过 ECU 组件中的纯硬件电路（例如时钟监视器或电压监视器）、系统级别的专用组件（例如看门狗定时器）、用于确认安全相关计算的软件代码片段或数据，或任何这些的组合。

安全机制的时机也很关键：该机制需要多长时间才能检测到故障并减轻和防止故障？CAR 工具会考虑到这一点，并在定义的安全机制时间不足以进行修改时提醒用户（例如，通过使用不同的安全机制，或调整 SW 机制的时间）。

（请注意，本文中的图片，已经使用demo库进行概念介绍；在真实的产品版本中，设计的复杂性和深度要详细得多。）

在这个 CAR Tool 模块中，定义了许多安全机制；用户可以考虑和添加额外的机制，启用/禁用每个机制，并调整安全机制的时序。

硬件分析

当我们在分析接近尾声时，为了确定是否可以达到目标指标，该模块用于设置故障分析的重要属性。可以分配和修改故障影响和故障覆盖率。指向前面模块内容的链接支持分析，从而限制了用户出错的机会。可以将前面模块中定义的安全机制分配给具有相应覆盖级别的元素。

分析结果

最后一个模块通过在用户定义的级别上提供 SPFM 和 LFM 的度量值来展示 FMEDA 分析的结果；可以看到已实现的指标将组件汇总、每个选定的用户定义的设计子集或元素级别。PMHF 的结果可在相同的粒度级别获得。

ISO 26262 第 10 部分告诉我们，每个元件和每个组件的所有故障都可以分为六类之一；CAR 工具分析结果模块也包括此细分。

其他功能：

除了错误记录和更改历史等标准工具功能外，CAR 工具还包括其他用于深入分析、审计/评估证据、结果图形视图等的宝石……

过滤器在解析潜在的海量组件库方面非常有用。

可以嵌入文档以便快速访问。

单个设备的多个变体可由单个 CAR 工具项目处理（差异可能包括不同的内存大小或减少/增加的外围设备集。）

引脚分析：从用例的角度来看，组件 I/O 的处理可能会有很大差异。即将推出的 CAR 工具版本将包括一个用于精确 I/O 定义和分析的集成模块。

关于作者：Bartt Richards，Agostino Cefalo

审核编辑：郭婷