在評(píng)估硬件隨機(jī)失效對(duì)安全目標(biāo)的違反分析過程中，功能安全的分析通常集中于各個(gè)ECU子系統(tǒng)的PMHF（安全目標(biāo)違反的潛在失效概率）計(jì)算。通過對(duì)ECU所有子系統(tǒng)的PMHF進(jìn)行累加，可以整體評(píng)估相關(guān)項(xiàng)目在多個(gè)層面上是否會(huì)違背既定的安全目標(biāo)。然而，在ISO 26262中，硬件隨機(jī)故障矩陣的計(jì)算示例不僅包括子系統(tǒng)的PMHF分配，如下圖的System A和System B，還涉及兩個(gè)子系統(tǒng)之間的整車安全通訊總線Vehicle Bus。本文將圍繞整車安全通訊總線Vehicle Bus是否需要考慮其錯(cuò)誤失效，以及如何計(jì)算錯(cuò)誤概率展開。

01.

什么是殘余差錯(cuò)率

根據(jù)ISO 26262，硬件隨機(jī)故障根據(jù)不同的影響類型進(jìn)行分類，包括安全失效、單點(diǎn)失效、雙點(diǎn)/多點(diǎn)失效和潛伏失效等。針對(duì)整車安全通信的失效及其相應(yīng)概率，通常采用“殘余差錯(cuò)率”（residual error rates）這一專門術(shù)語進(jìn)行定義。殘余差錯(cuò)率是指在一個(gè)通信系統(tǒng)中，經(jīng)過所有已實(shí)施的錯(cuò)誤檢測(cè)和糾正措施后，仍然未被檢測(cè)出或糾正的錯(cuò)誤所占的比例。它用于評(píng)估系統(tǒng)在進(jìn)行錯(cuò)誤檢測(cè)或糾錯(cuò)后，剩余的錯(cuò)誤達(dá)到接收端的概率。這個(gè)概念可以參考國際標(biāo)準(zhǔn)IEC 61784-3。

02.

如何定義安全通信的失效率指標(biāo)要求

以圖示為例，ISO 26262在特定項(xiàng)目的安全完整性等級(jí)（ASIL D）目標(biāo)前提下，整車安全通訊總線（Vehicle Bus）被分配了10-10/h的失效概率。這一分配相當(dāng)于根據(jù)相關(guān)項(xiàng)要求的安全完整性等級(jí)目標(biāo)的1/100。盡管ISO 26262未詳細(xì)闡述此配置方案的具體考量，但在進(jìn)行整體故障概率評(píng)估時(shí)，許多汽車行業(yè)專業(yè)人士似乎未充分關(guān)注這一階段，該原則源自IEC 61784-3（見下圖）。其旨在表明，若通信鏈路的錯(cuò)誤概率不超過整個(gè)安全功能回路要求指標(biāo)的1%，則可以忽略其對(duì)系統(tǒng)安全目標(biāo)的影響，反之，則需通過計(jì)算進(jìn)行量化評(píng)估。這便是以上PMHF分配示例中，給Vehicle Bus分配了10-10/h的理由。

03.

如何分析安全通訊的失效模式

在制定系統(tǒng)層面的技術(shù)安全需求（TSR）時(shí)，必須明確針對(duì)通信保護(hù)的安全機(jī)制，例如對(duì)特定信號(hào)實(shí)施端到端（E2E）保護(hù)措施。E2E保護(hù)措施包括CRC、RC、Timeout、Frame ID等機(jī)制。根據(jù)被檢測(cè)對(duì)象的失效模式及其影響，來決定采用何種安全機(jī)制。那么通訊總線E2E保護(hù)控制措施包含的不同機(jī)制是為了響應(yīng)哪種通信失效模式呢？相關(guān)內(nèi)容可參考IEC 61784-3中的技術(shù)條款。

上表格展示了八種通信錯(cuò)誤及相應(yīng)的安全防護(hù)措施，具體定義可參考IEC 61784-3的相關(guān)章節(jié)。我們將這些典型通信錯(cuò)誤及其對(duì)應(yīng)的安全措施進(jìn)行歸類總結(jié)：

以上結(jié)果是在系統(tǒng)層面常見的幾種針對(duì)通信保護(hù)E2E機(jī)制的安全措施。

04.

如何量化評(píng)估殘余差錯(cuò)率

在產(chǎn)品設(shè)計(jì)過程中，通常會(huì)參考以往產(chǎn)品的通信設(shè)計(jì)方案或直接采用企標(biāo)要求，例如針對(duì)CRC的多項(xiàng)式選擇，在沒有進(jìn)一步結(jié)合產(chǎn)品探討CRC的多項(xiàng)式選擇是否合適時(shí)，是該選擇CRC8，CRC16抑或是CRC32呢？同一種CRC又該采取哪種多項(xiàng)式（漢明距離不同）？針對(duì)這些問題，需要回到最開始的話題，即如何針對(duì)上述通信錯(cuò)誤模型的殘余差錯(cuò)率來量化評(píng)估通信故障，從而論證能夠滿足相關(guān)項(xiàng)目1%指標(biāo)分配要求。

我們從4個(gè)維度出發(fā)，分別為數(shù)據(jù)完整性、數(shù)據(jù)及時(shí)性、數(shù)據(jù)真實(shí)性以及數(shù)據(jù)偽裝，依次建立各通訊故障的計(jì)算模型，從而可以得到安全通訊中總的殘余差錯(cuò)率。

在IEC61784-3中，殘余差錯(cuò)率的計(jì)算模型如下：

式中：RRT表示時(shí)效性的殘余錯(cuò)誤率；RRA表示真實(shí)性的殘余錯(cuò)誤率；RRI表示數(shù)據(jù)完整性的殘余錯(cuò)誤率；RRM表示偽裝的殘余錯(cuò)誤率。分別計(jì)算以上幾種殘余錯(cuò)誤率，即可求得總的殘余錯(cuò)誤率。

根據(jù)經(jīng)驗(yàn)，上述4個(gè)因子中數(shù)據(jù)完整性會(huì)占比較大的貢獻(xiàn)，因此在計(jì)算過程中數(shù)據(jù)完整性需要重點(diǎn)考量。

數(shù)據(jù)完整性殘余差錯(cuò)率RRI的計(jì)算公式如下：

式中：Pe表示位跳變概率，一般取值0.01；r表示CRC校驗(yàn)長度，采用CRC-16校驗(yàn)則取值16；n表示安全數(shù)據(jù)單元位長度；dmin表示最小漢明距離，根據(jù)不同CRC多項(xiàng)式而定。

簡單來說，數(shù)據(jù)完整性的殘余差錯(cuò)率主要受以下幾個(gè)參數(shù)影響：CRC校驗(yàn)長度及其漢明距離、報(bào)文數(shù)量以及報(bào)文長度。安全數(shù)據(jù)報(bào)文數(shù)量越多，則單個(gè)報(bào)文的數(shù)據(jù)量越大，為了控制數(shù)據(jù)完整性的殘余差錯(cuò)率，應(yīng)選擇校驗(yàn)長度合適的CRC多項(xiàng)式（如CRC16或CRC32）。

05.

總結(jié)

針對(duì)大多數(shù)場(chǎng)景，由于整車安全通訊總線Vehicle Bus實(shí)際的殘余差錯(cuò)率較低，因此在評(píng)估item的PMHF往往會(huì)將其忽略不計(jì)。正因如此，很多功能安全初學(xué)者會(huì)忽略這一塊及其背后的原理。因此筆者結(jié)合之前的項(xiàng)目工作經(jīng)驗(yàn)，對(duì)安全通信的量化評(píng)估進(jìn)行了簡單的原理背景闡述，希望能夠?qū)Υ蠹夷苡兴鶐椭?/p>

作者

邊俊

磐時(shí)創(chuàng)始人/首席安全專家

汽車安全社區(qū)SASETECH發(fā)起人；智能網(wǎng)聯(lián)預(yù)期功能安全工作組核心成員；國內(nèi)最早從事汽車功能安全、預(yù)期功能安全的專家之一