ISO26262 《道路車輛功能安全》國際標準是針對總重不超過3.5噸八座乘用車，以安全相關電子電氣系統的特點所制定的功能安全標準。

ISO26262-5對如何評估硬件安全性是否符合相應的ASIL等級（B級及以上）的方法進行了詳細規定。

在對硬件整體架構安全性進行評估時，需要對硬件整個拓撲結構展開，分析各個元器件或子元器件層級（對MCU而言，為網表，布線）中的：

a.故障模式

b.故障模式對違背安全目標的影響

c.故障模式的故障率和分布（故障率的比例）

d.故障模式的安全機制（即對故障的診斷和減輕的手段）

e.安全機制的對故障的覆蓋能力

其中對于基礎數據的獲得，比如元器件的失效模式和失效率，安全機制的覆蓋能力等，可采用業界公認數據（如來源于IEC和MIL的關于元器件可靠性數據），現場數據，實際運行歷史數據，行業專家評估等，當然數據要盡可能地保守，以確保安全目標。

獲得上述信息后開展對整體硬件架構的安全性評估，評估其是否達到預定的ASIL等級。

標準的兩個度量方法

標準中提供了兩個度量方法：硬件架構度量和硬件隨機失效概率度量，兩者在對硬件安全評估時均需要進行詳細評估。本文針對硬件架構度量進行詳細敘述，下一篇文章針對硬件隨機失效概率度量進行詳述。

在進行評估前需要了解ISO26262中對硬件故障的分類，按照故障的成因以及故障的測試性，將故障分為：

a.單點故障：單個硬件的故障會造成相關項違背安全目標，同時該故障沒有相應的安全機制進行診斷和控制；

b.殘余故障：單個硬件的故障會造成相關項違背安全目標，有安全機制的診斷，但無法完全覆蓋而未被檢測的部分；

c.多點故障：多個硬件故障聯合時，才能導致違背安全目標；

d.可探測的多點故障：可被安全機制探測到的多點故障；

e.可感知的多點故障：可被駕駛員感受到的多點故障。

f.安全故障：故障不會造成安全目標的違背，或者由2個以上硬件單元共同組成的故障，即2階以上故障。

對于多點故障，ISO26262中一般只考慮2階故障，更高階數的故障因其發生了極低，除非極特殊情況下（如安全概念現實他們會造成安全目標的違背，否則在評估時一般不進行分析。

基于硬件架構度量（Hardware Architecture Metric）的有效性測量

用于評估硬件架構對解決違背安全目標故障的有效性，描述為硬件對非安全故障的監控或控制的覆蓋率。具體的評估方式如下：

在明確安全目標定義下，比如當傳感器采樣溫度高于85℃時，100ms內，安全閥門打開（進入安全狀態），進行硬件架構的分析：

（1）確定硬件失效是否會違背安全目標，不違背就被定義為安全故障（安全分析時不予考慮）；

（2）硬件失效的總失效率或各種失效模式的分布（參考數據手冊），如硬件有幾種失效模式，以及分別在整個硬件生命周期中的比例；

（3）確定硬件失效是否有相應的安全機制進行監控或控制（消除或減輕影響），是否有安全機制，決定故障分類和相應的統計方法；

（4）確定安全機制對故障診斷的覆蓋率，一般分高99%，中90%，低60%三擋，具體的覆蓋率根據安全機制所針對的對象不同而存在差異，可以查閱標準中的規定，也可以基于其他工程數據，明確相應的覆蓋率；

（5）計算出單點故障（無安全機制的非安全故障）失效率，殘余故障失效率（未被安全機制監測到的故障），潛伏故障失效率（多點一般指2階故障）失效率；

（6）計算單點故障度量和潛伏故障度量，其中：單點故障度量（%）=1-（單點故障失效率+殘余故障失效率）/總失效率

潛伏故障度量（%）=1-潛伏故障失效率/總失效率

（7）對照各ASIL等級對故障度量的要求，判定硬件架構是否達到了相應的等級，如下表所示為標準推薦值，當然也可以采用其他的目標值，取決于最終的集成方對ASIL等級的具體要求。

硬件架構度量（%）目標值

當發現硬件架構度量不符合相應的ASIL等級要求時，設計中需要增加安全機制提升故障診斷水平。

歡迎各位關注廣電計量半導體服務號，后續將針對硬件隨機失效概率度量進行詳述。