在評估硬件隨機(jī)失效對安全目標(biāo)的違反分析過程中，功能安全的分析通常集中于各個ECU子系統(tǒng)的PMHF（安全目標(biāo)違反的潛在失效概率）計算。通過對ECU所有子系統(tǒng)的PMHF進(jìn)行累加，可以整體評估相關(guān)項(xiàng)目在多個層面上是否會違背既定的安全目標(biāo)。然而，在ISO 26262中，硬件隨機(jī)故障矩陣的計算示例不僅包括子系統(tǒng)的PMHF分配，如下圖的System A和System B，還涉及兩個子系統(tǒng)之間的整車安全通訊總線Vehicle Bus。本文將圍繞整車安全通訊總線Vehicle Bus是否需要考慮其錯誤失效，以及如何計算錯誤概率展開。

01.

什么是殘余差錯率

根據(jù)ISO 26262，硬件隨機(jī)故障根據(jù)不同的影響類型進(jìn)行分類，包括安全失效、單點(diǎn)失效、雙點(diǎn)/多點(diǎn)失效和潛伏失效等。針對整車安全通信的失效及其相應(yīng)概率，通常采用“殘余差錯率”（residual error rates）這一專門術(shù)語進(jìn)行定義。殘余差錯率是指在一個通信系統(tǒng)中，經(jīng)過所有已實(shí)施的錯誤檢測和糾正措施后，仍然未被檢測出或糾正的錯誤所占的比例。它用于評估系統(tǒng)在進(jìn)行錯誤檢測或糾錯后，剩余的錯誤達(dá)到接收端的概率。這個概念可以參考國際標(biāo)準(zhǔn)IEC 61784-3。

02.

如何定義安全通信的失效率指標(biāo)要求

以圖示為例，ISO 26262在特定項(xiàng)目的安全完整性等級（ASIL D）目標(biāo)前提下，整車安全通訊總線（Vehicle Bus）被分配了10-10/h的失效概率。這一分配相當(dāng)于根據(jù)相關(guān)項(xiàng)要求的安全完整性等級目標(biāo)的1/100。盡管ISO 26262未詳細(xì)闡述此配置方案的具體考量，但在進(jìn)行整體故障概率評估時，許多汽車行業(yè)專業(yè)人士似乎未充分關(guān)注這一階段，該原則源自IEC 61784-3（見下圖）。其旨在表明，若通信鏈路的錯誤概率不超過整個安全功能回路要求指標(biāo)的1%，則可以忽略其對系統(tǒng)安全目標(biāo)的影響，反之，則需通過計算進(jìn)行量化評估。這便是以上PMHF分配示例中，給Vehicle Bus分配了10-10/h的理由。

03.

如何分析安全通訊的失效模式

在制定系統(tǒng)層面的技術(shù)安全需求（TSR）時，必須明確針對通信保護(hù)的安全機(jī)制，例如對特定信號實(shí)施端到端（E2E）保護(hù)措施。E2E保護(hù)措施包括CRC、RC、Timeout、Frame ID等機(jī)制。根據(jù)被檢測對象的失效模式及其影響，來決定采用何種安全機(jī)制。那么通訊總線E2E保護(hù)控制措施包含的不同機(jī)制是為了響應(yīng)哪種通信失效模式呢？相關(guān)內(nèi)容可參考IEC 61784-3中的技術(shù)條款。

上表格展示了八種通信錯誤及相應(yīng)的安全防護(hù)措施，具體定義可參考IEC 61784-3的相關(guān)章節(jié)。我們將這些典型通信錯誤及其對應(yīng)的安全措施進(jìn)行歸類總結(jié)：

以上結(jié)果是在系統(tǒng)層面常見的幾種針對通信保護(hù)E2E機(jī)制的安全措施。

04.

如何量化評估殘余差錯率

在產(chǎn)品設(shè)計過程中，通常會參考以往產(chǎn)品的通信設(shè)計方案或直接采用企標(biāo)要求，例如針對CRC的多項(xiàng)式選擇，在沒有進(jìn)一步結(jié)合產(chǎn)品探討CRC的多項(xiàng)式選擇是否合適時，是該選擇CRC8，CRC16抑或是CRC32呢？同一種CRC又該采取哪種多項(xiàng)式（漢明距離不同）？針對這些問題，需要回到最開始的話題，即如何針對上述通信錯誤模型的殘余差錯率來量化評估通信故障，從而論證能夠滿足相關(guān)項(xiàng)目1%指標(biāo)分配要求。

我們從4個維度出發(fā)，分別為數(shù)據(jù)完整性、數(shù)據(jù)及時性、數(shù)據(jù)真實(shí)性以及數(shù)據(jù)偽裝，依次建立各通訊故障的計算模型，從而可以得到安全通訊中總的殘余差錯率。

在IEC61784-3中，殘余差錯率的計算模型如下：

式中：RRT表示時效性的殘余錯誤率；RRA表示真實(shí)性的殘余錯誤率；RRI表示數(shù)據(jù)完整性的殘余錯誤率；RRM表示偽裝的殘余錯誤率。分別計算以上幾種殘余錯誤率，即可求得總的殘余錯誤率。

根據(jù)經(jīng)驗(yàn)，上述4個因子中數(shù)據(jù)完整性會占比較大的貢獻(xiàn)，因此在計算過程中數(shù)據(jù)完整性需要重點(diǎn)考量。

數(shù)據(jù)完整性殘余差錯率RRI的計算公式如下：

式中：Pe表示位跳變概率，一般取值0.01；r表示CRC校驗(yàn)長度，采用CRC-16校驗(yàn)則取值16；n表示安全數(shù)據(jù)單元位長度；dmin表示最小漢明距離，根據(jù)不同CRC多項(xiàng)式而定。

簡單來說，數(shù)據(jù)完整性的殘余差錯率主要受以下幾個參數(shù)影響：CRC校驗(yàn)長度及其漢明距離、報文數(shù)量以及報文長度。安全數(shù)據(jù)報文數(shù)量越多，則單個報文的數(shù)據(jù)量越大，為了控制數(shù)據(jù)完整性的殘余差錯率，應(yīng)選擇校驗(yàn)長度合適的CRC多項(xiàng)式（如CRC16或CRC32）。

05.

總結(jié)

針對大多數(shù)場景，由于整車安全通訊總線Vehicle Bus實(shí)際的殘余差錯率較低，因此在評估item的PMHF往往會將其忽略不計。正因如此，很多功能安全初學(xué)者會忽略這一塊及其背后的原理。因此筆者結(jié)合之前的項(xiàng)目工作經(jīng)驗(yàn)，對安全通信的量化評估進(jìn)行了簡單的原理背景闡述，希望能夠?qū)Υ蠹夷苡兴鶐椭?/p>

作者

邊俊

磐時創(chuàng)始人/首席安全專家

汽車安全社區(qū)SASETECH發(fā)起人；智能網(wǎng)聯(lián)預(yù)期功能安全工作組核心成員；國內(nèi)最早從事汽車功能安全、預(yù)期功能安全的專家之一