ISO 26262 被描述為汽車行業(yè)接受和遵循的標(biāo)準(zhǔn)，用于提供指導(dǎo)以降低電氣和電子 （E/E） 系統(tǒng)故障引起的風(fēng)險。ISO 26262 第 5 部分是該標(biāo)準(zhǔn)的 12 卷之一，它致力于硬件級別的產(chǎn)品開發(fā)的功能安全合規(guī)性；瑞薩電子開發(fā)的用于車輛的半導(dǎo)體組件符合第 5 部分中定義的要求。本部分第 8 節(jié)進(jìn)一步將硬件要求重點放在“評估架構(gòu)指標(biāo)”上。為此，我們將探討 FMEDA（故障模式影響和診斷分析）的概念以及對可定制工具的需求，以生成基于實際應(yīng)用程序的指標(biāo)結(jié)果進(jìn)行分析。

這是我們功能安全系列中的第二個博客，將嘗試封裝用于控制和檢測故障、其計算和緩解技術(shù)的特定硬件架構(gòu)指標(biāo)的概念。由于有不同類型的故障可能導(dǎo)致故障，因此本分析下的指標(biāo)僅限于隨機(jī)硬件故障。讓我們介紹這些指標(biāo)和及時失敗 （ FIT ） 的概念：

FIT （failure in time） 是硬件（組件或元件）的固有特性，是一個單位，表示由于 E/E 元件中的故障而發(fā)生故障的概率。一次 FIT 等于每運行 10 億小時發(fā)生一次故障。計算給定組件或系統(tǒng)的基本故障率值（或原始 FIT）非常復(fù)雜，需要考慮多個來源和手冊以及專家意見。基本故障率是假設(shè)不考慮緩解步驟的故障概率。

單點故障指標(biāo) （ SPFM ）：該指標(biāo)用于評估設(shè)計對僅可能導(dǎo)致違反安全目標(biāo)的故障的穩(wěn)健性。例如，如果未檢測到損壞的數(shù)據(jù)，可能會導(dǎo)致執(zhí)行器的輸出不正確并導(dǎo)致危急情況。對于標(biāo)準(zhǔn)中定義的最嚴(yán)格的安全等級（汽車安全完整性等級 D，或ASIL D），SPFM應(yīng)達(dá)到 》 99%——簡單地說，應(yīng)檢測和緩解超過 99% 的單點故障。

潛在故障度量 （ LFM ）：此度量用于評估設(shè)計對故障的魯棒性，這些故障只有在與其他故障相結(jié)合時才可能導(dǎo)致違反安全目標(biāo)。這種“多點故障”的一個例子是

1） 已實施的安全機(jī)制中的故障，例如時鐘監(jiān)視器，以及

2） 被監(jiān)控時鐘中的故障。

不正確的時鐘頻率可能會對 ECU 中的任何數(shù)量的操作產(chǎn)生負(fù)面影響，從而導(dǎo)致故障。

對于ASIL D 合規(guī)性，應(yīng)檢測和緩解 90% 以上的多點故障。

隨機(jī)硬件故障 （ PMHF ） 的概率度量：此度量是一個定量目標(biāo)，表示系統(tǒng)運行生命周期內(nèi)每小時的平均故障概率。對于ASIL D 合規(guī)性，E/E 系統(tǒng)的目標(biāo)是實現(xiàn)低于 10 FIT的PMHF 。PMHF 和原始 FIT 都代表故障概率，不同之處在于原始 FIT 是技術(shù)穩(wěn)健性的表達(dá)，而 PMHF 是解決方案穩(wěn)健性（安全性）的表達(dá)。

對于我們的目的，通過FMEDA進(jìn)行安全分析的關(guān)鍵點是評估設(shè)計滿足上述目標(biāo)指標(biāo)SPFM、LFM和PMHF的能力。必須考慮的另一個方面是 FMEDA 工具的可配置性需求。大多數(shù)打算在安全相關(guān)環(huán)境中使用的瑞薩電子組件的開發(fā)方式允許產(chǎn)品在多種系統(tǒng)、應(yīng)用和車輛中使用。被稱為脫離上下文的安全元素 （ SEooC），所分析的所述元素的安全要求由目標(biāo)用例決定；需要對 FMEDA 的配置進(jìn)行更改才能進(jìn)行精確的用例分析。（對于本討論的其余部分，所描述的 SEooC 將是一個“組件”。）

瑞薩電子開發(fā)了一種專有的 FMEDA 工具，稱為“ CAR工具”：CAR = 可定制的分析報告。這輛車工具實施了 TüV-NORD 批準(zhǔn)的組件安全分析方法。［TüV-NORD 是著名的國際安全認(rèn)證機(jī)構(gòu)。］ 可用于系統(tǒng)和組件安全分析的可定制工具至關(guān)重要。根據(jù)系統(tǒng)集成商確定的安全目標(biāo)，必須修改多個參數(shù)才能精確分析每個安全目標(biāo)。這意味著對于每個安全目標(biāo)，應(yīng)該可以進(jìn)行獨立分析，可以進(jìn)行調(diào)整并分析結(jié)果，以確認(rèn)該安全目標(biāo)的目標(biāo)ASIL合規(guī)性。

除了可定制之外，CAR 工具還可用于逐步指導(dǎo)系統(tǒng)集成商，以合理的方式調(diào)整參數(shù)和設(shè)置。這是通過使用各種模塊根據(jù)實際用例輸入和修改參數(shù)/值來實現(xiàn)的。我們將逐步完成高級定制，并在此過程中介紹其他關(guān)鍵概念。

為了進(jìn)行適當(dāng)?shù)姆治觯枰m當(dāng)級別的組件粒度。ISO 26262 建議使用術(shù)語“元素”來標(biāo)識這些組件子部分或硬件部件；我們將繼續(xù)沿用這一命名法。

分析參數(shù)

可以為正在分析的 SEooC 定義多個安全目標(biāo)，每個安全目標(biāo)具有不同的時序參數(shù)（例如，緩解故障的時間約束）和 ASIL 目標(biāo)。分析參數(shù)模塊提供了建立這些不同安全目標(biāo)的條目。

FIT特性

FIT 是較早定義的，并指出為可以通過多種方法確定的計算/值。CAR 工具可以處理不同的 FIT 分布方法：手動、按公式、作為整個芯片的一部分或基于尺寸。雖然 CAR 工具引入了要在分析期間使用的 FIT 特性，但用戶還可以創(chuàng)建和添加 FIT 特性以代替或補(bǔ)充瑞薩定義的特性。

故障表征

CAR 工具中有多個故障表征可以分配給每個元素。故障表征和相應(yīng)元素的常見示例：

具有單位故障、雙位故障、多位故障的故障特征的存儲器陣列（元件）。

具有低頻、高頻、抖動故障特征的時鐘/振蕩器（元件）。

在這兩個示例中，每個元素都被分配了具有三種故障模式的故障特征。Renesas 工具允許用戶修改這些模式的分布方式（三種模式的示例：50%/25%/25% 或 90%/8%/2% 等）。

用戶還可以添加和刪除故障模型和故障模式，甚至可以定義自己的故障特征。

硬件描述

硬件描述模塊包含元素的物理信息（例如尺寸、FIT、PIN/DIE 性質(zhì)），還包括其他基本組件特征（例如用于分析的粒度）。該模塊用于為每個元素分配故障表征和其他特征。

粒度——

定義組件粒度的重要考慮因素包括，例如

1） 能否針對故障模式和安全機(jī)制分配對元素進(jìn)行有效分析？

2）粒度大小是否實用，以便對每個元素的分析是可行的？

Renesas 已根據(jù)組件以及上述考慮因素定義了 CAR 工具中的粒度。架構(gòu)粒度不是 CAR 工具的可定制特性，但由于這也是安全專家熱衷的行業(yè)主題，IEEE 目前正在考慮允許客戶（系統(tǒng)集成商）和供應(yīng)商（如瑞薩電子）的粒度標(biāo)準(zhǔn)從一個共同的知識庫開始。

FIT 分配——

在 CAR 工具中，當(dāng)執(zhí)行永久性故障分析時，瑞薩電子將原始 FIT 分配給每個元件，純粹基于元件消耗的元件裸片尺寸的百分比。這僅僅意味著在芯片中/芯片上的任何位置都可能以相同的概率發(fā)生故障。

對于瞬態(tài)故障的分析，根據(jù)元件的性質(zhì)（F/F、RAM 位、FLASH 位）分配 FIT 特性。

故障特征分配——

在本模塊中，為每個元素分配了一個故障特征（如上定義）。

硬件元素功能

——CAR 工具允許分析與單個元素相關(guān)的不同用例，或創(chuàng)建涉及多個元素的更大用例。通過考慮下一節(jié)中描述的每個元素的“安全相關(guān)性”，這種用例分析是可行的。

SR/NSR——

安全相關(guān)與非安全相關(guān)屬性允許系統(tǒng)集成商考慮給定元素是否需要給定安全目標(biāo)。如果一個元素被認(rèn)為是 NSR，那么在分析中不考慮分配給它的 FIT；不需要安全機(jī)制。每個元素應(yīng)指定為 SR 或 NSR。

安全機(jī)制

前面提到的一個概念是“安全機(jī)制”。安全機(jī)制是 E/E 系統(tǒng)中的功能，用于檢測和減輕故障，以便組件具有提高的能力以滿足其安全目標(biāo)。這可以通過 ECU 組件中的純硬件電路（例如時鐘監(jiān)視器或電壓監(jiān)視器）、系統(tǒng)級別的專用組件（例如看門狗定時器）、用于確認(rèn)安全相關(guān)計算的軟件代碼片段或數(shù)據(jù)，或任何這些的組合。

安全機(jī)制的時機(jī)也很關(guān)鍵：該機(jī)制需要多長時間才能檢測到故障并減輕和防止故障？CAR 工具會考慮到這一點，并在定義的安全機(jī)制時間不足以進(jìn)行修改時提醒用戶（例如，通過使用不同的安全機(jī)制，或調(diào)整 SW 機(jī)制的時間）。

（請注意，本文中的圖片，已經(jīng)使用demo庫進(jìn)行概念介紹；在真實的產(chǎn)品版本中，設(shè)計的復(fù)雜性和深度要詳細(xì)得多。）

在這個 CAR Tool 模塊中，定義了許多安全機(jī)制；用戶可以考慮和添加額外的機(jī)制，啟用/禁用每個機(jī)制，并調(diào)整安全機(jī)制的時序。

硬件分析

當(dāng)我們在分析接近尾聲時，為了確定是否可以達(dá)到目標(biāo)指標(biāo)，該模塊用于設(shè)置故障分析的重要屬性。可以分配和修改故障影響和故障覆蓋率。指向前面模塊內(nèi)容的鏈接支持分析，從而限制了用戶出錯的機(jī)會。可以將前面模塊中定義的安全機(jī)制分配給具有相應(yīng)覆蓋級別的元素。

分析結(jié)果

最后一個模塊通過在用戶定義的級別上提供 SPFM 和 LFM 的度量值來展示 FMEDA 分析的結(jié)果；可以看到已實現(xiàn)的指標(biāo)將組件匯總、每個選定的用戶定義的設(shè)計子集或元素級別。PMHF 的結(jié)果可在相同的粒度級別獲得。

ISO 26262 第 10 部分告訴我們，每個元件和每個組件的所有故障都可以分為六類之一；CAR 工具分析結(jié)果模塊也包括此細(xì)分。

其他功能：

除了錯誤記錄和更改歷史等標(biāo)準(zhǔn)工具功能外，CAR 工具還包括其他用于深入分析、審計/評估證據(jù)、結(jié)果圖形視圖等的寶石……

過濾器在解析潛在的海量組件庫方面非常有用。

可以嵌入文檔以便快速訪問。

單個設(shè)備的多個變體可由單個 CAR 工具項目處理（差異可能包括不同的內(nèi)存大小或減少/增加的外圍設(shè)備集。）

引腳分析：從用例的角度來看，組件 I/O 的處理可能會有很大差異。即將推出的 CAR 工具版本將包括一個用于精確 I/O 定義和分析的集成模塊。

關(guān)于作者：Bartt Richards，Agostino Cefalo

審核編輯：郭婷