ISO26262 《道路車輛功能安全》國際標準是針對總重不超過3.5噸八座乘用車，以安全相關(guān)電子電氣系統(tǒng)的特點所制定的功能安全標準。

ISO26262-5對如何評估硬件安全性是否符合相應(yīng)的ASIL等級（B級及以上）的方法進行了詳細規(guī)定。

在對硬件整體架構(gòu)安全性進行評估時，需要對硬件整個拓撲結(jié)構(gòu)展開，分析各個元器件或子元器件層級（對MCU而言，為網(wǎng)表，布線）中的：

a.故障模式

b.故障模式對違背安全目標的影響

c.故障模式的故障率和分布（故障率的比例）

d.故障模式的安全機制（即對故障的診斷和減輕的手段）

e.安全機制的對故障的覆蓋能力

其中對于基礎(chǔ)數(shù)據(jù)的獲得，比如元器件的失效模式和失效率，安全機制的覆蓋能力等，可采用業(yè)界公認數(shù)據(jù)（如來源于IEC和MIL的關(guān)于元器件可靠性數(shù)據(jù)），現(xiàn)場數(shù)據(jù)，實際運行歷史數(shù)據(jù)，行業(yè)專家評估等，當然數(shù)據(jù)要盡可能地保守，以確保安全目標。

獲得上述信息后開展對整體硬件架構(gòu)的安全性評估，評估其是否達到預(yù)定的ASIL等級。

標準的兩個度量方法

標準中提供了兩個度量方法：硬件架構(gòu)度量和硬件隨機失效概率度量，兩者在對硬件安全評估時均需要進行詳細評估。本文針對硬件架構(gòu)度量進行詳細敘述，下一篇文章針對硬件隨機失效概率度量進行詳述。

在進行評估前需要了解ISO26262中對硬件故障的分類，按照故障的成因以及故障的測試性，將故障分為：

a.單點故障：單個硬件的故障會造成相關(guān)項違背安全目標，同時該故障沒有相應(yīng)的安全機制進行診斷和控制；

b.殘余故障：單個硬件的故障會造成相關(guān)項違背安全目標，有安全機制的診斷，但無法完全覆蓋而未被檢測的部分；

c.多點故障：多個硬件故障聯(lián)合時，才能導致違背安全目標；

d.可探測的多點故障：可被安全機制探測到的多點故障；

e.可感知的多點故障：可被駕駛員感受到的多點故障。

f.安全故障：故障不會造成安全目標的違背，或者由2個以上硬件單元共同組成的故障，即2階以上故障。

對于多點故障，ISO26262中一般只考慮2階故障，更高階數(shù)的故障因其發(fā)生了極低，除非極特殊情況下（如安全概念現(xiàn)實他們會造成安全目標的違背，否則在評估時一般不進行分析。

基于硬件架構(gòu)度量（Hardware Architecture Metric）的有效性測量

用于評估硬件架構(gòu)對解決違背安全目標故障的有效性，描述為硬件對非安全故障的監(jiān)控或控制的覆蓋率。具體的評估方式如下：

在明確安全目標定義下，比如當傳感器采樣溫度高于85℃時，100ms內(nèi)，安全閥門打開（進入安全狀態(tài)），進行硬件架構(gòu)的分析：

（1）確定硬件失效是否會違背安全目標，不違背就被定義為安全故障（安全分析時不予考慮）；

（2）硬件失效的總失效率或各種失效模式的分布（參考數(shù)據(jù)手冊），如硬件有幾種失效模式，以及分別在整個硬件生命周期中的比例；

（3）確定硬件失效是否有相應(yīng)的安全機制進行監(jiān)控或控制（消除或減輕影響），是否有安全機制，決定故障分類和相應(yīng)的統(tǒng)計方法；

（4）確定安全機制對故障診斷的覆蓋率，一般分高99%，中90%，低60%三擋，具體的覆蓋率根據(jù)安全機制所針對的對象不同而存在差異，可以查閱標準中的規(guī)定，也可以基于其他工程數(shù)據(jù)，明確相應(yīng)的覆蓋率；

（5）計算出單點故障（無安全機制的非安全故障）失效率，殘余故障失效率（未被安全機制監(jiān)測到的故障），潛伏故障失效率（多點一般指2階故障）失效率；

（6）計算單點故障度量和潛伏故障度量，其中：單點故障度量（%）=1-（單點故障失效率+殘余故障失效率）/總失效率

潛伏故障度量（%）=1-潛伏故障失效率/總失效率

（7）對照各ASIL等級對故障度量的要求，判定硬件架構(gòu)是否達到了相應(yīng)的等級，如下表所示為標準推薦值，當然也可以采用其他的目標值，取決于最終的集成方對ASIL等級的具體要求。

硬件架構(gòu)度量（%）目標值

當發(fā)現(xiàn)硬件架構(gòu)度量不符合相應(yīng)的ASIL等級要求時，設(shè)計中需要增加安全機制提升故障診斷水平。

歡迎各位關(guān)注廣電計量半導體服務(wù)號，后續(xù)將針對硬件隨機失效概率度量進行詳述。