ISO 26262 被描述為汽車行業接受和遵循的標準，用于提供指導以降低電氣和電子 （E/E） 系統故障引起的風險。ISO 26262 第 5 部分是該標準的 12 卷之一，它致力于硬件級別的產品開發的功能安全合規性；瑞薩電子開發的用于車輛的半導體組件符合第 5 部分中定義的要求。本部分第 8 節進一步將硬件要求重點放在“評估架構指標”上。為此，我們將探討 FMEDA（故障模式影響和診斷分析）的概念以及對可定制工具的需求，以生成基于實際應用程序的指標結果進行分析。

這是我們功能安全系列中的第二個博客，將嘗試封裝用于控制和檢測故障、其計算和緩解技術的特定硬件架構指標的概念。由于有不同類型的故障可能導致故障，因此本分析下的指標僅限于隨機硬件故障。讓我們介紹這些指標和及時失敗 （ FIT ） 的概念：

FIT （failure in time） 是硬件（組件或元件）的固有特性，是一個單位，表示由于 E/E 元件中的故障而發生故障的概率。一次 FIT 等于每運行 10 億小時發生一次故障。計算給定組件或系統的基本故障率值（或原始 FIT）非常復雜，需要考慮多個來源和手冊以及專家意見?；竟收下适羌僭O不考慮緩解步驟的故障概率。

單點故障指標 （ SPFM ）：該指標用于評估設計對僅可能導致違反安全目標的故障的穩健性。例如，如果未檢測到損壞的數據，可能會導致執行器的輸出不正確并導致危急情況。對于標準中定義的最嚴格的安全等級（汽車安全完整性等級 D，或ASIL D），SPFM應達到 》 99%——簡單地說，應檢測和緩解超過 99% 的單點故障。

潛在故障度量 （ LFM ）：此度量用于評估設計對故障的魯棒性，這些故障只有在與其他故障相結合時才可能導致違反安全目標。這種“多點故障”的一個例子是

1） 已實施的安全機制中的故障，例如時鐘監視器，以及

2） 被監控時鐘中的故障。

不正確的時鐘頻率可能會對 ECU 中的任何數量的操作產生負面影響，從而導致故障。

對于ASIL D 合規性，應檢測和緩解 90% 以上的多點故障。

隨機硬件故障 （ PMHF ） 的概率度量：此度量是一個定量目標，表示系統運行生命周期內每小時的平均故障概率。對于ASIL D 合規性，E/E 系統的目標是實現低于 10 FIT的PMHF 。PMHF 和原始 FIT 都代表故障概率，不同之處在于原始 FIT 是技術穩健性的表達，而 PMHF 是解決方案穩健性（安全性）的表達。

對于我們的目的，通過FMEDA進行安全分析的關鍵點是評估設計滿足上述目標指標SPFM、LFM和PMHF的能力。必須考慮的另一個方面是 FMEDA 工具的可配置性需求。大多數打算在安全相關環境中使用的瑞薩電子組件的開發方式允許產品在多種系統、應用和車輛中使用。被稱為脫離上下文的安全元素 （ SEooC），所分析的所述元素的安全要求由目標用例決定；需要對 FMEDA 的配置進行更改才能進行精確的用例分析。（對于本討論的其余部分，所描述的 SEooC 將是一個“組件”。）

瑞薩電子開發了一種專有的 FMEDA 工具，稱為“ CAR工具”：CAR = 可定制的分析報告。這輛車工具實施了 TüV-NORD 批準的組件安全分析方法。［TüV-NORD 是著名的國際安全認證機構。］ 可用于系統和組件安全分析的可定制工具至關重要。根據系統集成商確定的安全目標，必須修改多個參數才能精確分析每個安全目標。這意味著對于每個安全目標，應該可以進行獨立分析，可以進行調整并分析結果，以確認該安全目標的目標ASIL合規性。

除了可定制之外，CAR 工具還可用于逐步指導系統集成商，以合理的方式調整參數和設置。這是通過使用各種模塊根據實際用例輸入和修改參數/值來實現的。我們將逐步完成高級定制，并在此過程中介紹其他關鍵概念。

為了進行適當的分析，需要適當級別的組件粒度。ISO 26262 建議使用術語“元素”來標識這些組件子部分或硬件部件；我們將繼續沿用這一命名法。

分析參數

可以為正在分析的 SEooC 定義多個安全目標，每個安全目標具有不同的時序參數（例如，緩解故障的時間約束）和 ASIL 目標。分析參數模塊提供了建立這些不同安全目標的條目。

FIT特性

FIT 是較早定義的，并指出為可以通過多種方法確定的計算/值。CAR 工具可以處理不同的 FIT 分布方法：手動、按公式、作為整個芯片的一部分或基于尺寸。雖然 CAR 工具引入了要在分析期間使用的 FIT 特性，但用戶還可以創建和添加 FIT 特性以代替或補充瑞薩定義的特性。

故障表征

CAR 工具中有多個故障表征可以分配給每個元素。故障表征和相應元素的常見示例：

具有單位故障、雙位故障、多位故障的故障特征的存儲器陣列（元件）。

具有低頻、高頻、抖動故障特征的時鐘/振蕩器（元件）。

在這兩個示例中，每個元素都被分配了具有三種故障模式的故障特征。Renesas 工具允許用戶修改這些模式的分布方式（三種模式的示例：50%/25%/25% 或 90%/8%/2% 等）。

用戶還可以添加和刪除故障模型和故障模式，甚至可以定義自己的故障特征。

硬件描述

硬件描述模塊包含元素的物理信息（例如尺寸、FIT、PIN/DIE 性質），還包括其他基本組件特征（例如用于分析的粒度）。該模塊用于為每個元素分配故障表征和其他特征。

粒度——

定義組件粒度的重要考慮因素包括，例如

1） 能否針對故障模式和安全機制分配對元素進行有效分析？

2）粒度大小是否實用，以便對每個元素的分析是可行的？

Renesas 已根據組件以及上述考慮因素定義了 CAR 工具中的粒度。架構粒度不是 CAR 工具的可定制特性，但由于這也是安全專家熱衷的行業主題，IEEE 目前正在考慮允許客戶（系統集成商）和供應商（如瑞薩電子）的粒度標準從一個共同的知識庫開始。

FIT 分配——

在 CAR 工具中，當執行永久性故障分析時，瑞薩電子將原始 FIT 分配給每個元件，純粹基于元件消耗的元件裸片尺寸的百分比。這僅僅意味著在芯片中/芯片上的任何位置都可能以相同的概率發生故障。

對于瞬態故障的分析，根據元件的性質（F/F、RAM 位、FLASH 位）分配 FIT 特性。

故障特征分配——

在本模塊中，為每個元素分配了一個故障特征（如上定義）。

硬件元素功能

——CAR 工具允許分析與單個元素相關的不同用例，或創建涉及多個元素的更大用例。通過考慮下一節中描述的每個元素的“安全相關性”，這種用例分析是可行的。

SR/NSR——

安全相關與非安全相關屬性允許系統集成商考慮給定元素是否需要給定安全目標。如果一個元素被認為是 NSR，那么在分析中不考慮分配給它的 FIT；不需要安全機制。每個元素應指定為 SR 或 NSR。

安全機制

前面提到的一個概念是“安全機制”。安全機制是 E/E 系統中的功能，用于檢測和減輕故障，以便組件具有提高的能力以滿足其安全目標。這可以通過 ECU 組件中的純硬件電路（例如時鐘監視器或電壓監視器）、系統級別的專用組件（例如看門狗定時器）、用于確認安全相關計算的軟件代碼片段或數據，或任何這些的組合。

安全機制的時機也很關鍵：該機制需要多長時間才能檢測到故障并減輕和防止故障？CAR 工具會考慮到這一點，并在定義的安全機制時間不足以進行修改時提醒用戶（例如，通過使用不同的安全機制，或調整 SW 機制的時間）。

（請注意，本文中的圖片，已經使用demo庫進行概念介紹；在真實的產品版本中，設計的復雜性和深度要詳細得多。）

在這個 CAR Tool 模塊中，定義了許多安全機制；用戶可以考慮和添加額外的機制，啟用/禁用每個機制，并調整安全機制的時序。

硬件分析

當我們在分析接近尾聲時，為了確定是否可以達到目標指標，該模塊用于設置故障分析的重要屬性。可以分配和修改故障影響和故障覆蓋率。指向前面模塊內容的鏈接支持分析，從而限制了用戶出錯的機會?？梢詫⑶懊婺K中定義的安全機制分配給具有相應覆蓋級別的元素。

分析結果

最后一個模塊通過在用戶定義的級別上提供 SPFM 和 LFM 的度量值來展示 FMEDA 分析的結果；可以看到已實現的指標將組件匯總、每個選定的用戶定義的設計子集或元素級別。PMHF 的結果可在相同的粒度級別獲得。

ISO 26262 第 10 部分告訴我們，每個元件和每個組件的所有故障都可以分為六類之一；CAR 工具分析結果模塊也包括此細分。

其他功能：

除了錯誤記錄和更改歷史等標準工具功能外，CAR 工具還包括其他用于深入分析、審計/評估證據、結果圖形視圖等的寶石……

過濾器在解析潛在的海量組件庫方面非常有用。

可以嵌入文檔以便快速訪問。

單個設備的多個變體可由單個 CAR 工具項目處理（差異可能包括不同的內存大小或減少/增加的外圍設備集。）

引腳分析：從用例的角度來看，組件 I/O 的處理可能會有很大差異。即將推出的 CAR 工具版本將包括一個用于精確 I/O 定義和分析的集成模塊。

關于作者：Bartt Richards，Agostino Cefalo

審核編輯：郭婷