ISO26262 《道路車輛功能安全》國際標(biāo)準(zhǔn)是針對(duì)總重不超過3.5噸八座乘用車，以安全相關(guān)電子電氣系統(tǒng)的特點(diǎn)所制定的功能安全標(biāo)準(zhǔn)。

ISO26262-5對(duì)如何評(píng)估硬件安全性是否符合相應(yīng)的ASIL等級(jí)（B級(jí)及以上）的方法進(jìn)行了詳細(xì)規(guī)定。

在對(duì)硬件整體架構(gòu)安全性進(jìn)行評(píng)估時(shí)，需要對(duì)硬件整個(gè)拓?fù)浣Y(jié)構(gòu)展開，分析各個(gè)元器件或子元器件層級(jí)（對(duì)MCU而言，為網(wǎng)表，布線）中的：

a.故障模式

b.故障模式對(duì)違背安全目標(biāo)的影響

c.故障模式的故障率和分布（故障率的比例）

d.故障模式的安全機(jī)制（即對(duì)故障的診斷和減輕的手段）

e.安全機(jī)制的對(duì)故障的覆蓋能力

其中對(duì)于基礎(chǔ)數(shù)據(jù)的獲得，比如元器件的失效模式和失效率，安全機(jī)制的覆蓋能力等，可采用業(yè)界公認(rèn)數(shù)據(jù)（如來源于IEC和MIL的關(guān)于元器件可靠性數(shù)據(jù)），現(xiàn)場(chǎng)數(shù)據(jù)，實(shí)際運(yùn)行歷史數(shù)據(jù)，行業(yè)專家評(píng)估等，當(dāng)然數(shù)據(jù)要盡可能地保守，以確保安全目標(biāo)。

獲得上述信息后開展對(duì)整體硬件架構(gòu)的安全性評(píng)估，評(píng)估其是否達(dá)到預(yù)定的ASIL等級(jí)。

標(biāo)準(zhǔn)的兩個(gè)度量方法

標(biāo)準(zhǔn)中提供了兩個(gè)度量方法：硬件架構(gòu)度量和硬件隨機(jī)失效概率度量，兩者在對(duì)硬件安全評(píng)估時(shí)均需要進(jìn)行詳細(xì)評(píng)估。本文針對(duì)硬件架構(gòu)度量進(jìn)行詳細(xì)敘述，下一篇文章針對(duì)硬件隨機(jī)失效概率度量進(jìn)行詳述。

在進(jìn)行評(píng)估前需要了解ISO26262中對(duì)硬件故障的分類，按照故障的成因以及故障的測(cè)試性，將故障分為：

a.單點(diǎn)故障：?jiǎn)蝹€(gè)硬件的故障會(huì)造成相關(guān)項(xiàng)違背安全目標(biāo)，同時(shí)該故障沒有相應(yīng)的安全機(jī)制進(jìn)行診斷和控制；

b.殘余故障：?jiǎn)蝹€(gè)硬件的故障會(huì)造成相關(guān)項(xiàng)違背安全目標(biāo)，有安全機(jī)制的診斷，但無法完全覆蓋而未被檢測(cè)的部分；

c.多點(diǎn)故障：多個(gè)硬件故障聯(lián)合時(shí)，才能導(dǎo)致違背安全目標(biāo)；

d.可探測(cè)的多點(diǎn)故障：可被安全機(jī)制探測(cè)到的多點(diǎn)故障；

e.可感知的多點(diǎn)故障：可被駕駛員感受到的多點(diǎn)故障。

f.安全故障：故障不會(huì)造成安全目標(biāo)的違背，或者由2個(gè)以上硬件單元共同組成的故障，即2階以上故障。

對(duì)于多點(diǎn)故障，ISO26262中一般只考慮2階故障，更高階數(shù)的故障因其發(fā)生了極低，除非極特殊情況下（如安全概念現(xiàn)實(shí)他們會(huì)造成安全目標(biāo)的違背，否則在評(píng)估時(shí)一般不進(jìn)行分析。

基于硬件架構(gòu)度量（Hardware Architecture Metric）的有效性測(cè)量

用于評(píng)估硬件架構(gòu)對(duì)解決違背安全目標(biāo)故障的有效性，描述為硬件對(duì)非安全故障的監(jiān)控或控制的覆蓋率。具體的評(píng)估方式如下：

在明確安全目標(biāo)定義下，比如當(dāng)傳感器采樣溫度高于85℃時(shí)，100ms內(nèi)，安全閥門打開（進(jìn)入安全狀態(tài)），進(jìn)行硬件架構(gòu)的分析：

（1）確定硬件失效是否會(huì)違背安全目標(biāo)，不違背就被定義為安全故障（安全分析時(shí)不予考慮）；

（2）硬件失效的總失效率或各種失效模式的分布（參考數(shù)據(jù)手冊(cè)），如硬件有幾種失效模式，以及分別在整個(gè)硬件生命周期中的比例；

（3）確定硬件失效是否有相應(yīng)的安全機(jī)制進(jìn)行監(jiān)控或控制（消除或減輕影響），是否有安全機(jī)制，決定故障分類和相應(yīng)的統(tǒng)計(jì)方法；

（4）確定安全機(jī)制對(duì)故障診斷的覆蓋率，一般分高99%，中90%，低60%三擋，具體的覆蓋率根據(jù)安全機(jī)制所針對(duì)的對(duì)象不同而存在差異，可以查閱標(biāo)準(zhǔn)中的規(guī)定，也可以基于其他工程數(shù)據(jù)，明確相應(yīng)的覆蓋率；

（5）計(jì)算出單點(diǎn)故障（無安全機(jī)制的非安全故障）失效率，殘余故障失效率（未被安全機(jī)制監(jiān)測(cè)到的故障），潛伏故障失效率（多點(diǎn)一般指2階故障）失效率；

（6）計(jì)算單點(diǎn)故障度量和潛伏故障度量，其中：?jiǎn)吸c(diǎn)故障度量（%）=1-（單點(diǎn)故障失效率+殘余故障失效率）/總失效率

潛伏故障度量（%）=1-潛伏故障失效率/總失效率

（7）對(duì)照各ASIL等級(jí)對(duì)故障度量的要求，判定硬件架構(gòu)是否達(dá)到了相應(yīng)的等級(jí)，如下表所示為標(biāo)準(zhǔn)推薦值，當(dāng)然也可以采用其他的目標(biāo)值，取決于最終的集成方對(duì)ASIL等級(jí)的具體要求。

硬件架構(gòu)度量（%）目標(biāo)值

當(dāng)發(fā)現(xiàn)硬件架構(gòu)度量不符合相應(yīng)的ASIL等級(jí)要求時(shí)，設(shè)計(jì)中需要增加安全機(jī)制提升故障診斷水平。

歡迎各位關(guān)注廣電計(jì)量半導(dǎo)體服務(wù)號(hào)，后續(xù)將針對(duì)硬件隨機(jī)失效概率度量進(jìn)行詳述。