在汽车电子系统中,功能安全已成为强制性要求,其中ISO 26262标准对于硬件层面的功能失效提出了详细评估指标。硬件度量机制是整个硬件安全确认的核心环节,尤其是SPFM与LFM两个指标,直接反映系统对潜在失效的容忍度与失效检测能力。若计算或理解不到位,不仅难以通过ASIL等级认证,还可能埋下严重的安全隐患。
一、ISO 26262硬件度量如何评估
ISO 26262硬件度量主要用于评估硬件架构对单点失效和潜在失效的响应能力。其目的是定量分析设计是否满足目标ASIL要求,并支持失效模式分析与冗余策略。
1、识别所有硬件失效模式
以系统层或电子控制单元为边界,列出功能相关的所有失效路径,如断开、短路、偏移、卡死等,建立硬件失效列表。
2、分类失效类型
每类失效根据能否被检测、是否造成功能完全丧失,被划分为单点失效、可检测潜在失效、不可检测潜在失效等类别,为后续SPFM和LFM计算做准备。
3、确定元件故障率
参照IEC TR 62380、SN29500等失效率数据库,为每类元器件分配基础故障率,结合使用环境进行修正。
4、建立系统失效树
使用故障树或FMEDA方法,构建系统层失效传播图,明确各失效路径对功能安全目标的影响。
5、与ASIL等级匹配
根据目标ASIL等级,对应SPFM与LFM的最低阈值进行比对,判断是否达到合规性要求。如ASIL D级要求SPFM不低于99%,LFM不低于90%。
只有当度量指标在合规阈值之上,并伴随充分设计冗余与诊断机制,才算完成硬件架构的定量安全确认。
二、ISO 26262硬件度量SPFM与LFM应怎样计算
SPFM与LFM是评估硬件对功能丧失抵御能力的两个关键比例性指标。两者分别从单点故障影响和潜在故障覆盖度两个角度出发,表达系统的安全余量。
1、SPFM计算公式
SPFM等于系统中未被单点故障独占的安全相关部分故障率总和,与安全相关部分故障率总和之比。
表达式为:
SPFM=1-(λSPF/λSR)
其中,λSPF为单点失效导致功能丧失的总故障率,λSR为安全相关功能总故障率。
2、LFM计算公式
LFM衡量可被检测的潜在失效比例,其公式为:
LFM=λMPD/(λMPD+λMND)
λMPD为可诊断潜在失效的总故障率,λMND为不可诊断潜在失效的总故障率。
3、故障率数据来源
上述各项故障率必须以器件级FMEDA为基础,结合诊断覆盖率、器件工作模式与运行环境推导,不可直接套用原始数据库数值。
4、各类故障判定标准
单点失效需判断其是否直接导致安全目标完全丧失,潜在失效则指单独存在时不会引发危险,但与其他失效叠加可能影响系统功能。
5、计算过程中的数据归类
所有故障路径必须归属于明确的功能通道与器件模块,对应SPF、RF、MPD、MND等类型,并进行逐项验证,确保不漏算或误分类。
通过准确的数据分解与路径判断,结合功能映射与失效传播逻辑,才能得出有意义的SPFM与LFM指标,从而支撑整个硬件安全案例的有效性。
三、SPFM与LFM评估中的FMEDA建模关键细节
为了保障SPFM与LFM计算的准确性,FMEDA建模过程需做到完整性、层级一致性与工具合规性,避免低估风险或数据错漏。
1、组件级建模要细化至功能引脚
不仅需描述芯片、MOSFET、电容等元器件,还应覆盖其输入输出通道及复位引脚的行为与故障影响。
2、诊断机制覆盖度量化
如采用电流检测、电压监控、CRC校验、超时看门狗等机制,需标明诊断激活条件、响应时间与故障覆盖率,作为MPD判定依据。
3、定义ASIL分区映射关系
若系统中包含ASIL混合模块,需通过安全岛建模或ASIL decomposition形式,划分安全相关区域并独立评估其SPFM与LFM。
4、使用认证工具生成分析文档
推荐使用如Medini Analyze、Ansys medini、exida FMEDA Tool等具备ISO 26262支持功能的软件,可导出合规格式报告,提升文档透明度。
5、考虑动态运行条件与老化影响
计算应覆盖正常工作、电压突变、高温老化等典型工况,避免仅依据初始参数做理想化评估。
FMEDA建模的准确性直接决定了SPFM与LFM的可信度,而这两个指标又是最终安全等级认证的关键。流程不严或模型缺失都将直接影响评估结论。
总结
ISO 26262硬件度量是确保功能安全不可或缺的一环。通过系统级失效识别、故障率分解与FMEDA分析,最终获得SPFM与LFM两个核心指标,从而评估设计是否符合ASIL要求。特别是在SPFM判定中对单点风险的控制、LFM中对诊断覆盖度的界定,决定了系统面对潜在硬件故障时的生存能力。唯有依托详实建模、精确分类与合理工具辅助,才能完成真实可靠的硬件功能安全定量评估。
