ISO 26262 被描述為汽車行業(yè)接受和遵循的標準，用于提供指導以降低電氣和電子 （E/E） 系統(tǒng)故障引起的風險。ISO 26262 第 5 部分是該標準的 12 卷之一，它致力于硬件級別的產(chǎn)品開發(fā)的功能安全合規(guī)性；瑞薩電子開發(fā)的用于車輛的半導體組件符合第 5 部分中定義的要求。本部分第 8 節(jié)進一步將硬件要求重點放在“評估架構指標”上。為此，我們將探討 FMEDA（故障模式影響和診斷分析）的概念以及對可定制工具的需求，以生成基于實際應用程序的指標結果進行分析。

這是我們功能安全系列中的第二個博客，將嘗試封裝用于控制和檢測故障、其計算和緩解技術的特定硬件架構指標的概念。由于有不同類型的故障可能導致故障，因此本分析下的指標僅限于隨機硬件故障。讓我們介紹這些指標和及時失敗 （ FIT ） 的概念：

FIT （failure in time） 是硬件（組件或元件）的固有特性，是一個單位，表示由于 E/E 元件中的故障而發(fā)生故障的概率。一次 FIT 等于每運行 10 億小時發(fā)生一次故障。計算給定組件或系統(tǒng)的基本故障率值（或原始 FIT）非常復雜，需要考慮多個來源和手冊以及專家意見?；竟收下适羌僭O不考慮緩解步驟的故障概率。

單點故障指標 （ SPFM ）：該指標用于評估設計對僅可能導致違反安全目標的故障的穩(wěn)健性。例如，如果未檢測到損壞的數(shù)據(jù)，可能會導致執(zhí)行器的輸出不正確并導致危急情況。對于標準中定義的最嚴格的安全等級（汽車安全完整性等級 D，或ASIL D），SPFM應達到 》 99%——簡單地說，應檢測和緩解超過 99% 的單點故障。

潛在故障度量 （ LFM ）：此度量用于評估設計對故障的魯棒性，這些故障只有在與其他故障相結合時才可能導致違反安全目標。這種“多點故障”的一個例子是

1） 已實施的安全機制中的故障，例如時鐘監(jiān)視器，以及

2） 被監(jiān)控時鐘中的故障。

不正確的時鐘頻率可能會對 ECU 中的任何數(shù)量的操作產(chǎn)生負面影響，從而導致故障。

對于ASIL D 合規(guī)性，應檢測和緩解 90% 以上的多點故障。

隨機硬件故障 （ PMHF ） 的概率度量：此度量是一個定量目標，表示系統(tǒng)運行生命周期內(nèi)每小時的平均故障概率。對于ASIL D 合規(guī)性，E/E 系統(tǒng)的目標是實現(xiàn)低于 10 FIT的PMHF 。PMHF 和原始 FIT 都代表故障概率，不同之處在于原始 FIT 是技術穩(wěn)健性的表達，而 PMHF 是解決方案穩(wěn)健性（安全性）的表達。

對于我們的目的，通過FMEDA進行安全分析的關鍵點是評估設計滿足上述目標指標SPFM、LFM和PMHF的能力。必須考慮的另一個方面是 FMEDA 工具的可配置性需求。大多數(shù)打算在安全相關環(huán)境中使用的瑞薩電子組件的開發(fā)方式允許產(chǎn)品在多種系統(tǒng)、應用和車輛中使用。被稱為脫離上下文的安全元素 （ SEooC），所分析的所述元素的安全要求由目標用例決定；需要對 FMEDA 的配置進行更改才能進行精確的用例分析。（對于本討論的其余部分，所描述的 SEooC 將是一個“組件”。）

瑞薩電子開發(fā)了一種專有的 FMEDA 工具，稱為“ CAR工具”：CAR = 可定制的分析報告。這輛車工具實施了 TüV-NORD 批準的組件安全分析方法。［TüV-NORD 是著名的國際安全認證機構。］ 可用于系統(tǒng)和組件安全分析的可定制工具至關重要。根據(jù)系統(tǒng)集成商確定的安全目標，必須修改多個參數(shù)才能精確分析每個安全目標。這意味著對于每個安全目標，應該可以進行獨立分析，可以進行調(diào)整并分析結果，以確認該安全目標的目標ASIL合規(guī)性。

除了可定制之外，CAR 工具還可用于逐步指導系統(tǒng)集成商，以合理的方式調(diào)整參數(shù)和設置。這是通過使用各種模塊根據(jù)實際用例輸入和修改參數(shù)/值來實現(xiàn)的。我們將逐步完成高級定制，并在此過程中介紹其他關鍵概念。

為了進行適當?shù)姆治?，需要適當級別的組件粒度。ISO 26262 建議使用術語“元素”來標識這些組件子部分或硬件部件；我們將繼續(xù)沿用這一命名法。

分析參數(shù)

可以為正在分析的 SEooC 定義多個安全目標，每個安全目標具有不同的時序參數(shù)（例如，緩解故障的時間約束）和 ASIL 目標。分析參數(shù)模塊提供了建立這些不同安全目標的條目。

FIT特性

FIT 是較早定義的，并指出為可以通過多種方法確定的計算/值。CAR 工具可以處理不同的 FIT 分布方法：手動、按公式、作為整個芯片的一部分或基于尺寸。雖然 CAR 工具引入了要在分析期間使用的 FIT 特性，但用戶還可以創(chuàng)建和添加 FIT 特性以代替或補充瑞薩定義的特性。

故障表征

CAR 工具中有多個故障表征可以分配給每個元素。故障表征和相應元素的常見示例：

具有單位故障、雙位故障、多位故障的故障特征的存儲器陣列（元件）。

具有低頻、高頻、抖動故障特征的時鐘/振蕩器（元件）。

在這兩個示例中，每個元素都被分配了具有三種故障模式的故障特征。Renesas 工具允許用戶修改這些模式的分布方式（三種模式的示例：50%/25%/25% 或 90%/8%/2% 等）。

用戶還可以添加和刪除故障模型和故障模式，甚至可以定義自己的故障特征。

硬件描述

硬件描述模塊包含元素的物理信息（例如尺寸、FIT、PIN/DIE 性質(zhì)），還包括其他基本組件特征（例如用于分析的粒度）。該模塊用于為每個元素分配故障表征和其他特征。

粒度——

定義組件粒度的重要考慮因素包括，例如

1） 能否針對故障模式和安全機制分配對元素進行有效分析？

2）粒度大小是否實用，以便對每個元素的分析是可行的？

Renesas 已根據(jù)組件以及上述考慮因素定義了 CAR 工具中的粒度。架構粒度不是 CAR 工具的可定制特性，但由于這也是安全專家熱衷的行業(yè)主題，IEEE 目前正在考慮允許客戶（系統(tǒng)集成商）和供應商（如瑞薩電子）的粒度標準從一個共同的知識庫開始。

FIT 分配——

在 CAR 工具中，當執(zhí)行永久性故障分析時，瑞薩電子將原始 FIT 分配給每個元件，純粹基于元件消耗的元件裸片尺寸的百分比。這僅僅意味著在芯片中/芯片上的任何位置都可能以相同的概率發(fā)生故障。

對于瞬態(tài)故障的分析，根據(jù)元件的性質(zhì)（F/F、RAM 位、FLASH 位）分配 FIT 特性。

故障特征分配——

在本模塊中，為每個元素分配了一個故障特征（如上定義）。

硬件元素功能

——CAR 工具允許分析與單個元素相關的不同用例，或創(chuàng)建涉及多個元素的更大用例。通過考慮下一節(jié)中描述的每個元素的“安全相關性”，這種用例分析是可行的。

SR/NSR——

安全相關與非安全相關屬性允許系統(tǒng)集成商考慮給定元素是否需要給定安全目標。如果一個元素被認為是 NSR，那么在分析中不考慮分配給它的 FIT；不需要安全機制。每個元素應指定為 SR 或 NSR。

安全機制

前面提到的一個概念是“安全機制”。安全機制是 E/E 系統(tǒng)中的功能，用于檢測和減輕故障，以便組件具有提高的能力以滿足其安全目標。這可以通過 ECU 組件中的純硬件電路（例如時鐘監(jiān)視器或電壓監(jiān)視器）、系統(tǒng)級別的專用組件（例如看門狗定時器）、用于確認安全相關計算的軟件代碼片段或數(shù)據(jù)，或任何這些的組合。

安全機制的時機也很關鍵：該機制需要多長時間才能檢測到故障并減輕和防止故障？CAR 工具會考慮到這一點，并在定義的安全機制時間不足以進行修改時提醒用戶（例如，通過使用不同的安全機制，或調(diào)整 SW 機制的時間）。

（請注意，本文中的圖片，已經(jīng)使用demo庫進行概念介紹；在真實的產(chǎn)品版本中，設計的復雜性和深度要詳細得多。）

在這個 CAR Tool 模塊中，定義了許多安全機制；用戶可以考慮和添加額外的機制，啟用/禁用每個機制，并調(diào)整安全機制的時序。

硬件分析

當我們在分析接近尾聲時，為了確定是否可以達到目標指標，該模塊用于設置故障分析的重要屬性?？梢苑峙浜托薷墓收嫌绊懞凸收细采w率。指向前面模塊內(nèi)容的鏈接支持分析，從而限制了用戶出錯的機會?？梢詫⑶懊婺K中定義的安全機制分配給具有相應覆蓋級別的元素。

分析結果

最后一個模塊通過在用戶定義的級別上提供 SPFM 和 LFM 的度量值來展示 FMEDA 分析的結果；可以看到已實現(xiàn)的指標將組件匯總、每個選定的用戶定義的設計子集或元素級別。PMHF 的結果可在相同的粒度級別獲得。

ISO 26262 第 10 部分告訴我們，每個元件和每個組件的所有故障都可以分為六類之一；CAR 工具分析結果模塊也包括此細分。

其他功能：

除了錯誤記錄和更改歷史等標準工具功能外，CAR 工具還包括其他用于深入分析、審計/評估證據(jù)、結果圖形視圖等的寶石……

過濾器在解析潛在的海量組件庫方面非常有用。

可以嵌入文檔以便快速訪問。

單個設備的多個變體可由單個 CAR 工具項目處理（差異可能包括不同的內(nèi)存大小或減少/增加的外圍設備集。）

引腳分析：從用例的角度來看，組件 I/O 的處理可能會有很大差異。即將推出的 CAR 工具版本將包括一個用于精確 I/O 定義和分析的集成模塊。

關于作者：Bartt Richards，Agostino Cefalo

審核編輯：郭婷