做ISO 26262硬件安全时，PMHF即Probabilistic Metric for random Hardware Failures是最容易“算出来但说不清”的一项，因为它既要求你给出每小时量化结果，又要求你能把结果追溯到元器件失效率、失效模式分类与诊断覆盖的证据链。要把PMHF估算做得可复核、可审计，先按标准把目标值与分配边界定清楚，再用同一口径收集失效率数据并完成FMEDA分类，最后把计算表和证据包一起固化下来。

　　一、ISO 26262 PMHF怎样估算

　　PMHF估算的第一步不是套公式，而是先确认你算的是哪个Safety Goal在Item层的随机硬件失效贡献，并且目标值按ASIL落到可分配的上限。ISO 26262-5给出了可作为来源的随机硬件失效目标值，常见用法是先以该目标作为上限，再结合系统拆分把预算分配到各子系统与硬件元素。

　　1、先锁定Safety Goal与ASIL并取目标值

　　把Safety Goal编号、ASIL等级与Item边界写到同一页计算封面里，然后对照ISO 26262-5表6确认目标值，常见口径是ASIL D小于1E-8每小时，ASIL C小于1E-7每小时，ASIL B小于1E-7每小时，并在备注里写明是否基于现场统计数据做过适配。

　　2、选定计算路径并写清假设

　　如果你用的是近似法，明确采用ISO 26262-5附录F的近似构成，把单点故障、残余故障与双点故障相关项的处理方式写进假设区；如果你用的是更精细的原因分解法或故障树路径，也把建模颗粒度与是否按寿命平均写清楚，避免同一张表被不同审查人按不同口径解读。

　　3、搭FMEDA表把失效模式先分好类

　　按硬件元素逐行列出失效模式，并至少给出失效模式到Safety Goal的影响链路、是否安全失效、是否危险失效、是否被安全机制检测、检测覆盖率DC与故障暴露时间假设，保证后续能把每一条危险失效落到单点、残余、以及可检测与潜伏的分类上。

　　4、用表格把PMHF计算做成可重复操作

　　用Excel做时建议按三张表拆开：在【新建】工作簿里建立工作表【元素清单】、【失效模式】、【PMHF汇总】；在【数据】→【数据验证】把分类字段做成下拉，统一用单点、残余、可检测双点、潜伏双点这类固定枚举；在【数据】→【筛选】先筛出危险且会导致Safety Goal违背的行，再在【公式】里用SUMIFS按Safety Goal编号把对应行的每小时失效率求和，汇总单元格直接输出PMHF结果并与目标值对比。

　　5、把单位换算与寿命口径写进表头防止算错

　　失效率常见来源是FIT或每十亿小时失效数，建议在【PMHF汇总】表头固定写一条换算规则并在计算列做显式换算，例如1 FIT等于1E-9每小时；同时在备注列写明operational lifetime只统计运行小时，避免把日历小时直接带入导致结果偏保守或偏乐观。

　　二、ISO 26262失效率数据从哪获取

　　失效率数据来源要能解释清楚“为什么用它”，常见路径是优先使用供应商给出的功能安全失效率与FMEDA资料，其次使用行业手册类预测模型，再用现场数据与专家判断补齐缺口。不同来源的假设差异很大，尤其是任务剖面、温度循环、封装与焊点贡献，必须在证据包里把来源与假设一起保存。

　　1、优先拿供应商功能安全资料包

　　对半导体与关键器件，优先向供应商索取功能安全手册、安全分析或FMEDA相关交付物，很多厂商会基于IEC TR 62380或SN 29500给出时基故障率与失效模式分布，便于你直接把λ与FMD落到FMEDA表中。

　　2、用IEC TR 62380与SN 29500补齐通用器件失效率

　　当供应商资料缺失或需要一致口径对比时，可选用IEC TR 62380与SN 29500这类方法做预测，关键是把任务剖面与通电时间假设写清楚，避免不同项目用不同温度与开关循环假设导致数据不可比。

　　3、在系统层面可参考Telcordia与MIL-HDBK-217类手册

　　对设备级预测或非车规来源器件的补充估算，行业也常用Telcordia SR-332与MIL-HDBK-217类手册给出通用失效率模型或基准值，但要在假设区明确它们的适用范围与保守程度，避免把通信设备或军标场景的默认假设直接搬到乘用车任务剖面。

　　4、需要更贴近物理失效机理时可引用FIDES口径

　　若你的组织内部已有FIDES数据与流程，FIDES强调基于物理失效机理并结合试验与现场数据建模，你可以把它作为一种一致化口径，但同样要把输入的环境系数、工艺与质量等级来源记录清楚，保证审查人能复算。

　　5、用现场退货与专家判断补齐并按标准留痕

　　当你用现场统计数据时，把样本量、置信水平与统计模型写明，并在证据包中保存原始数据摘要；ISO 26262-5也明确如果基于现场统计数据进行评估，表6目标值可做适配以避免人为简化，但前提是你能把统计依据说清楚。

　　三、PMHF计算表如何复核与审计留痕

　　PMHF不是一次性计算，而是一个会随设计变更、供应商替换与诊断策略调整不断更新的量化结论。把复核流程做成固定动作，能显著减少评审时来回补证据的成本，也能避免同一套数据在不同版本里被重复解释。

　　1、把证据包按来源与版本号归档

　　在共享目录右键选择【新建文件夹】，按Safety Goal编号建立一级目录，再按数据来源建立二级目录，例如供应商FMEDA、IEC TR 62380与SN 29500预测、现场数据；每份资料用【重命名】加上版本号与日期，保证后续可追溯到当时使用的那一版数据。

　　2、用Word修订功能做审查闭环

　　把关键假设与PMHF汇总表导出成评审文档，在Word里打开【审阅】→【修订】并开启【接受】与【拒绝】的流程，审查意见必须落到具体行号，例如某个失效模式的分类、某个λ来源或某个DC取值，避免只留结论不留依据。

　　3、做两类快速一致性检查防止低级错误

　　第一类检查单位与换算，抽查FIT到每小时是否统一；第二类检查分类闭合度，确保所有会导致Safety Goal违背的危险失效都被纳入单点或残余或双点相关项，没有遗漏在安全失效或未影响中。

　　4、对结果做敏感性核对避免单点数据把结论带偏

　　对贡献最大的前十条失效模式做敏感性核对，分别把λ上调与下调一个合理范围，观察PMHF变化是否成比例；如果某一条占比异常高，优先回查它的失效模式分配与诊断覆盖假设是否过于保守或过于乐观。

　　5、把变更触发条件写成清单并绑定到版本发布

　　当发生器件替换、诊断机制改动、任务剖面变更、或Safety Goal分配调整时，把它们作为必须重算PMHF的触发条件写进发布清单，版本发布前在Excel里点击【保存】并输出【另存为】PDF快照，把当次版本的PMHF结果与证据包一起冻结。

　　总结

　　ISO 26262 PMHF怎样估算，核心是先用ISO 26262-5表6锁定ASIL对应的每小时目标值，再用一致口径的FMEDA分类把单点、残余与双点相关项的危险失效逐条纳入汇总；ISO 26262失效率数据从哪获取，优先取供应商功能安全资料与FMEDA，其次用IEC TR 62380与SN 29500等方法补齐，再结合Telcordia、MIL-HDBK-217与FIDES等口径与现场统计数据完成闭环，并把假设、来源、换算与审查记录按版本留痕，确保结果可复核可审计。