ISO 26262中硬件安全性简介
ISO26262 《道路车辆功能安全》国际标准是针对总重不超过3.5吨八座乘用车,以安全相关电子电气系统的特点所制定的功能安全标准。
ISO26262-5对如何评估硬件安全性是否符合相应的ASIL等级(B级及以上)的方法进行了详细规定。
在对硬件整体架构安全性进行评估时,需要对硬件整个拓扑结构展开,分析各个元器件或子元器件层级(对MCU而言,为网表,布线)中的
a.故障模式
b.故障模式对违背安全目标的影响
c.故障模式的故障率和分布(故障率的比例)
d.故障模式的安全机制(即对故障的诊断和减轻的手段)
e.安全机制的对故障的覆盖能力
其中对于基础数据的获得,比如元器件的失效模式和失效率,安全机制的覆盖能力等,可采用业界公认数据(如来源于IEC和MIL的关于元器件可靠性数据),现场数据,实际运行历史数据,行业专家评估等,当然数据要尽可能地保守,以确保安全目标。
获得上述信息后开展对整体硬件架构的安全性评估,评估其是否达到预定的ASIL等级。
ISO26262标准的两个度量方法
标准中提供了两个度量方法:硬件架构度量和硬件随机失效概率度量,两者在对硬件安全评估时均需要进行详细评估。本文针对硬件架构度量进行详细叙述,下一篇文章针对硬件随机失效概率度量进行详述。
在进行评估前需要了解ISO26262中对硬件故障的分类,按照故障的成因以及故障的测试性,将故障分为
a.单点故障:单个硬件的故障会造成相关项违背安全目标,同时该故障没有相应的安全机制进行诊断和控制;
b.残余故障:单个硬件的故障会造成相关项违背安全目标,有安全机制的诊断,但无法完全覆盖而未被检测的部分;
c.多点故障:多个硬件故障联合时,才能导致违背安全目标;
d.可探测的多点故障:可被安全机制探测到的多点故障;
e.可感知的多点故障:可被驾驶员感受到的多点故障。
f.安全故障:故障不会造成安全目标的违背,或者由2个以上硬件单元共同组成的故障,即2阶以上故障。
对于多点故障,ISO26262中一般只考虑2阶故障,更高阶数的故障因其发生了极低,除非极特殊情况下(如安全概念现实他们会造成安全目标的违背),否则在评估时一般不进行分析。
ISO26262基于硬件架构度量(Hardware Architecture Metric)的有效性测量
用于评估硬件架构对解决违背安全目标故障的有效性,描述为硬件对非安全故障的监控或控制的覆盖率。具体的评估方式如下:
在明确安全目标定义下,比如当传感器采样温度高于85℃时,100ms内,安全阀门打开(进入安全状态),进行硬件架构的分析:
(1)确定硬件失效是否会违背安全目标,不违背就被定义为安全故障(安全分析时不予考虑);
(2)硬件失效的总失效率或各种失效模式的分布(参考数据手册),如硬件有几种失效模式,以及分别在整个硬件生命周期中的比例;
(3)确定硬件失效是否有相应的安全机制进行监控或控制(消除或减轻影响),是否有安全机制,决定故障分类和相应的统计方法;
(4)确定安全机制对故障诊断的覆盖率,一般分高99%,中90%,低60%三挡,具体的覆盖率根据安全机制所针对的对象不同而存在差异,可以查阅标准中的规定,也可以基于其他工程数据,明确相应的覆盖率;
(5)计算出单点故障(无安全机制的非安全故障)失效率,残余故障失效率(未被安全机制监测到的故障),潜伏故障失效率(多点一般指2阶故障)失效率;
(6)计算单点故障度量和潜伏故障度量,其中:单点故障度量(%)=1-(单点故障失效率+残余故障失效率)/总失效率 潜伏故障度量(%)=1-潜伏故障失效率/总失效率
(7)对照各ASIL等级对故障度量的要求,判定硬件架构是否达到了相应的等级,如下表所示为标准推荐值,当然也可以采用其他的目标值,取决于最终的集成方对ASIL等级的具体要求。
硬件架构度量(%)目标值
| ASIL B | ASIL C | ASIL D |
单点故障度量 | ≥90% | ≥97% | ≥99% |
潜伏故障度量 | ≥60% | ≥80% | ≥90% |
当发现硬件架构度量不符合相应的ASIL等级要求时,设计中需要增加安全机制提升故障诊断水平。