ISO 26262中硬件隨機失效度量指標(PMHF)的分解

楊帆

（安全技術(shù)專家組，雅析安全系統(tǒng)上海有限公司，上海 200000）

主題詞：ISO 26262PMHF ASIL分解 ASIL 硬件隨機失效 分配

1 簡介

ISO 26262道路車輛-功能安全是IEC 61508基于汽車領(lǐng)域的衍生標準。它提出涵蓋功能安全相關(guān)開發(fā)的各個過程（包括規(guī)劃、設(shè)計、執(zhí)行、驗證和確認）的要求，通過避免和控制系統(tǒng)性失效和硬件隨機失效，從而讓產(chǎn)品來自于電子電氣系統(tǒng)的風(fēng)險降低到可以接受的合理范圍。ISO 26262是目前汽車領(lǐng)域最先進的工程開發(fā)方法。

ASIL分解是ISO 26262道路車輛功能安全的一個非常重要的安全活動。ASIL分解是一種可以在概念、系統(tǒng)和軟硬件開發(fā)階段實施的ASIL裁剪方法。這種方法是將冗余的安全要求分配給具有足夠獨立性的要素，以達到相同的安全要求，減少分配給相應(yīng)要素的冗余的安全要求的ASIL[1]。

在車用領(lǐng)域的分布式開發(fā)中，整車企業(yè)通常會進行較高層級的開發(fā)集成行為，各個供應(yīng)商承擔(dān)系統(tǒng)產(chǎn)品或者零部件的開發(fā)。因此根據(jù)分布式開發(fā)的特點，整車企業(yè)會對供應(yīng)商輸出對應(yīng)的系統(tǒng)和零部件需求，要求供應(yīng)商在產(chǎn)品的開發(fā)過程滿足其提出的要求。如果在整車企業(yè)執(zhí)行了分解的行為，那么在對供應(yīng)商提出的需求中必須含有分解之后的相關(guān)指標的具體要求，否則很容易出現(xiàn)無法滿足需求的情況。例如，如果在某個系統(tǒng)的開發(fā)中，整車廠要求對于系統(tǒng)總的指標-系統(tǒng)總質(zhì)量不允許超過100 kg.如果系統(tǒng)由A，B，C三家共同開發(fā)，后由整車企業(yè)進行產(chǎn)品集成。如果沒有針對A或B或C的單獨細化的要求，供應(yīng)商如果各自按照小于100 kg為限值，那最終集成產(chǎn)品很可能超過總成的總質(zhì)量要求。因此，在進行了ASIL分解之后，如果承擔(dān)分解之后需求的隸屬于不同的開發(fā)組織，有必要對各自提出細化的分解之后的要求。

ISO 26262在第9章ASIL分解部分的需求和推薦中明確指出，對于硬件架構(gòu)指標和違反安全目標的硬件隨機度量指標，不允許進行分解[1-3]。本文要進行分析的就是違反安全目標的硬件隨機失效度量指標（Probabilistic Metric for random Hardware Failures以后簡寫為PMHF）對分解后系統(tǒng)的分配問題。

上文中所謂的不允許在ASIL分解過程中對PMHF進行分解的含義通過示例說明如下：原有需求的屬性是ASILD，分解之后的兩個需求的屬性均為：ASILB(D)和ASILB(D)。從而根據(jù)分解后得到的ASILB(D)的需求，根據(jù)下表1中的ASIL級別及對應(yīng)的PMHF目標值，作為其分解之后所需要達到的目標值。以上描述的這種根據(jù)分解之后的ASIL來定義其PMHF目標值的行為是被ISO 26262所禁止的。在此，ISO 26262中并沒有定義ASILA和QM的PMHF目標，出于經(jīng)驗，針對ASILA和QM（區(qū)別于ASIL，表達常規(guī)質(zhì)量管理的含義）都對其PMHF定義為比ASILB的目標值低一個量級.ISO 26262對于ASILB的需求的PMHF目標僅為一般推薦并非強制推薦，因此可以按照一般推薦值來做為其目標值。

表1 不同ASIL和QM對應(yīng)的PMHF目標值[1]

但是如果我們在需求分解的過程中進行了PMHF的分解，結(jié)果會違反初始或分解之前的PMHF指標嗎？

本文將依據(jù)以下思路來展開分析：

a)ASIL分解根據(jù)分解對象的性質(zhì)，可以分成如下兩種：功能和功能的分解或功能和對應(yīng)安全機制的分解。本文只討論功能和功能的分解而不討論功能和安全機制的分解。

b)根據(jù)分解對象ASIL不同，分解的結(jié)果也會不同。由于PMHF在ISO 26262中僅僅對ASILC和ASILD強制要求，因此在以下章節(jié)，會僅針對分解前需求屬性為ASILC和ASILD的情況對應(yīng)分析。因此下文中針對不同的分解方式進行分析，ASILC和ASILD的所有分解方式如表2所述5種情況。

c)根據(jù)被分解需求,對于安全目標覆蓋的范圍不同，會呈現(xiàn)不同的分解結(jié)果。比如需求的分解既可以是針對整條安全目標所需功能的分解，也可以是其中一部分。舉例說明如下，如果整個安全目標是當(dāng)電池出現(xiàn)過壓的時候，高壓電路必須斷開。那么針對整個安全目標的安全功能-過壓斷開可以分解成足夠獨立的兩條功能：一個功能路徑持續(xù)檢測電壓，判斷是否過壓，一旦過壓進行切斷處理。另外一條與之獨立的功能路徑也持續(xù)檢測電壓，判斷是否過壓，一旦過壓進行切斷處理。此外，需求分解也可以是檢測電壓和判斷過壓都依照原有的ASIL開發(fā)，而切斷部分通過兩個路徑的冗余需求進行需求分解。此處，第二種分解方式就是部分分解--只針對輸出部位進行分解，或者說對于整個安全目標實現(xiàn)進行局部需求分解。

表2 ASILD和ASILC的分解方式[1]

因此，在下面的分析過程中會對這兩種（全部和部分）覆蓋范圍進行區(qū)分分析。

以下的分析過程會做如下分析假定：

1）假定分解之后的冗余路徑的獨立性可以被保證，即分解之后的兩個部分不存在共因失效和級聯(lián)失效。

2）假定分解之前的系統(tǒng)和分解之后的子系統(tǒng)系統(tǒng)工作的所有工時均為8 000 h。

3）假定失效概率的計算中所有的λ×T〈〈1，那么就可以直接使用失效概率P=λ×T。

此處λ是失效率，T是系統(tǒng)工作的總時間。分解之前的最大失效可能性根據(jù)以上公式計算得到。分解之后的冗余路徑的最大失效可能性根據(jù)概率布爾運算法則得到。

2 完整安全功能的需求分解

首先，針對完整安全功能的需求分解情況。因為分解是針對的是整個安全目標，因此分解前最大的失效率（即PMHF）為完全引用自表1.

表3 完成安全功能的分解分析

在表3中，第3列為根據(jù)分解前需求的ASIL級別定義出的PMHF得目標值。第5列為根據(jù)PMHF目標值和時間計算得到的失效概率（P=λ×T）。第6列為分解之后根據(jù)ASIL級別定義出的PMHF目標值。第8列為分解之后各自路徑的失效概率值。第9列為基于兩個獨立路徑的失效概率值計算得到的基于布爾運算的總體失效概率值。這樣，只要保證分解之后計算得到的總體失效概率值（第9列）小于等于分解之前的失效概率值（第5列），即可滿足原PMHF要求。

從以上結(jié)果可以看出，分解之后的最大失效可能性小于分解之前的PMHF計算出的最大失效可能性。因此在這種情況下即使在ASIL分解過程中執(zhí)行PMHF分解，依然可以達到分解之前對于PMHF要求的結(jié)果。

3 局部安全功能的需求分解

其次，針對不完整安全功能的需求分解情況。因為分解是針對的部分的安全功能，因此分解前最大的失效率為原來的失效率可能性的1/3。此處1/3并沒有特殊含義，只是考慮如果不能全部繼承來與安全目標的PMHF的目標值而得到的一個小于原目標值的某一個值。

從上表4結(jié)果可以看出，分解之后的最大失效可能性小于分解之前的PMHF計算出的最大失效可能性。因此即使以上情況下的ASIL分解過程中執(zhí)行PMHF分解，依然可以達到分解之前對于PMHF要求的結(jié)果。

但是并不是所有情況都可以得到以上結(jié)論。下表中調(diào)整原有的最大失效率為安全目標PMHF目標值得1/130的分析計算結(jié)果。

從上表5結(jié)果可以看出，分解之后的最大失效可能性大于分解之前的PMHF計算出的最大失效可能性。因此在這樣針對一部分安全功能需求分解過程中執(zhí)行PMHF分解，并不能一定可以達到分解之前對于PMHF要求的結(jié)果。

表4 不完整安全功能的分解分析

分解之前的最大PMHF目標值在原有基礎(chǔ)上縮小130倍，那如果針對后面的PMHF目標也同樣縮小130倍，結(jié)果如何？表6針對這種情況進行了分析計算。

表5 分解前PMHF目標值縮小為1/130之后的分解分析

表6 分解前后PMHF目標值均縮小為1/130之后的分解分析

從表6結(jié)果可以看出，在這樣針對一部分安全功能ASIL分解過程中執(zhí)行PMHF分解，如果分解后的PMHF目標即使縮小到一定程度，如果對應(yīng)的分解之后的PMHF對應(yīng)縮小同樣的倍數(shù)，仍然可以達到分解之前對于PMHF要求的結(jié)果。

對于以上兩種情況，當(dāng)分解后路徑的工作時間偏大時，也可以導(dǎo)致分解之后的總體最大失效可能性值大于分解之前的最大失效可能性值，從而不滿足PMHF的目標要求。但是這種情況在常規(guī)車用控制器開發(fā)中并不普遍，因為對于冗余路徑的時間要求并沒有那么大。

因此，表3、表4、表5和表6的計算分析結(jié)果表明，在保證足夠獨立的分解情況下，不論進行整個安全目標的PMHF的分解，還是部分PMHF目標值得分解，只要保證分解之后的失效概率值小于等于分解之前的失效概率，進行PMHF分解并不會違反原有的要求。

此處，雖然本文轉(zhuǎn)中多次使用PMHF的分解的字樣，實際上所表達的含義是在進行了ASIL分解之后對于子系統(tǒng)的PMHF值的定義或者分配。從以上計算可以看出，我們進行比較的一直是失效概率值（P，P=λ×T），而非失效率值（PMHF/λ）。

4 結(jié)束語

ASIL分解是工程人員對于需求分解的通俗稱呼，其分解過程的關(guān)注重點并不分解硬件隨機失效的應(yīng)對舉措。而硬件隨機失效在需求分解中所做的是根據(jù)分解關(guān)系把分解前總體失效概率指標分配給分解后的功能元素。

基于上述表格的計算分析，那么不進行分解的理由至少可以認為含有如下兩項。

（1）上表結(jié)果表明，依據(jù)同樣的倍率進行PMHF分解后，得到的失效的可能性更低，這樣就很可能造成過設(shè)計。從這點可以認為ISO 26262在避免過設(shè)計，以規(guī)避沒必要的成本增加。此處，所謂的過設(shè)計是指如果在可以滿足系統(tǒng)的安全或者性能指標的基礎(chǔ)上，額外所做的設(shè)計內(nèi)容。如果按照上文的（更嚴格的）PMHF指標要求分配給供應(yīng)商，實際上分解之后的PMHF即使再大一些也可以滿足上層的需求，而在底層軟硬件設(shè)計中會加大額外的不必要的開發(fā)成本。

（2）避免進行分配之后（倍率縮小后）較小的PMHF在分解過程中發(fā)生系統(tǒng)性失效，沒有有效的倍率調(diào)整，造成最終能無法到達分解前PMHF的結(jié)果。