车规级干货 | ISO26262中对硬件安全性的定性和定量评估（上）

ISO26262 《道路车辆功能安全》国际标准是针对总重不超过3.5吨八座乘用车，以安全相关电子电气系统的特点所制定的功能安全标准。

ISO26262-5对如何评估硬件安全性是否符合相应的ASIL等级（B级及以上）的方法进行了详细规定。

在对硬件整体架构安全性进行评估时，需要对硬件整个拓扑结构展开，分析各个元器件或子元器件层级（对MCU而言，为网表，布线）中的：

a.故障模式

b.故障模式对违背安全目标的影响

c.故障模式的故障率和分布（故障率的比例）

d.故障模式的安全机制（即对故障的诊断和减轻的手段）

e.安全机制的对故障的覆盖能力

其中对于基础数据的获得，比如元器件的失效模式和失效率，安全机制的覆盖能力等，可采用业界公认数据（如来源于IEC和MIL的关于元器件可靠性数据），现场数据，实际运行历史数据，行业专家评估等，当然数据要尽可能地保守，以确保安全目标。

获得上述信息后开展对整体硬件架构的安全性评估，评估其是否达到预定的ASIL等级。

标准的两个度量方法

标准中提供了两个度量方法：硬件架构度量和硬件随机失效概率度量，两者在对硬件安全评估时均需要进行详细评估。本文针对硬件架构度量进行详细叙述，下一篇文章针对硬件随机失效概率度量进行详述。

在进行评估前需要了解ISO26262中对硬件故障的分类，按照故障的成因以及故障的测试性，将故障分为：

a.单点故障：单个硬件的故障会造成相关项违背安全目标，同时该故障没有相应的安全机制进行诊断和控制；

b.残余故障：单个硬件的故障会造成相关项违背安全目标，有安全机制的诊断，但无法完全覆盖而未被检测的部分；

c.多点故障：多个硬件故障联合时，才能导致违背安全目标；

d.可探测的多点故障：可被安全机制探测到的多点故障；

e.可感知的多点故障：可被驾驶员感受到的多点故障。

f.安全故障：故障不会造成安全目标的违背，或者由2个以上硬件单元共同组成的故障，即2阶以上故障。

对于多点故障，ISO26262中一般只考虑2阶故障，更高阶数的故障因其发生了极低，除非极特殊情况下（如安全概念现实他们会造成安全目标的违背，否则在评估时一般不进行分析。

基于硬件架构度量（Hardware Architecture Metric）的有效性测量

用于评估硬件架构对解决违背安全目标故障的有效性，描述为硬件对非安全故障的监控或控制的覆盖率。具体的评估方式如下：

在明确安全目标定义下，比如当传感器采样温度高于85℃时，100ms内，安全阀门打开（进入安全状态），进行硬件架构的分析：

（1）确定硬件失效是否会违背安全目标，不违背就被定义为安全故障（安全分析时不予考虑）；

（2）硬件失效的总失效率或各种失效模式的分布（参考数据手册），如硬件有几种失效模式，以及分别在整个硬件生命周期中的比例；

（3）确定硬件失效是否有相应的安全机制进行监控或控制（消除或减轻影响），是否有安全机制，决定故障分类和相应的统计方法；

（4）确定安全机制对故障诊断的覆盖率，一般分高99%，中90%，低60%三挡，具体的覆盖率根据安全机制所针对的对象不同而存在差异，可以查阅标准中的规定，也可以基于其他工程数据，明确相应的覆盖率；

（5）计算出单点故障（无安全机制的非安全故障）失效率，残余故障失效率（未被安全机制监测到的故障），潜伏故障失效率（多点一般指2阶故障）失效率；

（6）计算单点故障度量和潜伏故障度量，其中：单点故障度量（%）=1-（单点故障失效率+残余故障失效率）/总失效率

潜伏故障度量（%）=1-潜伏故障失效率/总失效率

（7）对照各ASIL等级对故障度量的要求，判定硬件架构是否达到了相应的等级，如下表所示为标准推荐值，当然也可以采用其他的目标值，取决于最终的集成方对ASIL等级的具体要求。

硬件架构度量（%）目标值

当发现硬件架构度量不符合相应的ASIL等级要求时，设计中需要增加安全机制提升故障诊断水平。

欢迎各位关注广电计量半导体服务号，后续将针对硬件随机失效概率度量进行详述。