边聊安全 | 安全通讯中的失效率量化评估-电子发烧友网

在评估硬件随机失效对安全目标的违反分析过程中，功能安全的分析通常集中于各个ECU子系统的PMHF（安全目标违反的潜在失效概率）计算。通过对ECU所有子系统的PMHF进行累加，可以整体评估相关项目在多个层面上是否会违背既定的安全目标。然而，在ISO 26262中，硬件随机故障矩阵的计算示例不仅包括子系统的PMHF分配，如下图的System A和System B，还涉及两个子系统之间的整车安全通讯总线Vehicle Bus。本文将围绕整车安全通讯总线Vehicle Bus是否需要考虑其错误失效，以及如何计算错误概率展开。

01.

什么是残余差错率

根据ISO 26262，硬件随机故障根据不同的影响类型进行分类，包括安全失效、单点失效、双点/多点失效和潜伏失效等。针对整车安全通信的失效及其相应概率，通常采用“残余差错率”（residual error rates）这一专门术语进行定义。残余差错率是指在一个通信系统中，经过所有已实施的错误检测和纠正措施后，仍然未被检测出或纠正的错误所占的比例。它用于评估系统在进行错误检测或纠错后，剩余的错误达到接收端的概率。这个概念可以参考国际标准IEC 61784-3。

02.

如何定义安全通信的失效率指标要求

以图示为例，ISO 26262在特定项目的安全完整性等级（ASIL D）目标前提下，整车安全通讯总线（Vehicle Bus）被分配了10-10/h的失效概率。这一分配相当于根据相关项要求的安全完整性等级目标的1/100。尽管ISO 26262未详细阐述此配置方案的具体考量，但在进行整体故障概率评估时，许多汽车行业专业人士似乎未充分关注这一阶段，该原则源自IEC 61784-3（见下图）。其旨在表明，若通信链路的错误概率不超过整个安全功能回路要求指标的1%，则可以忽略其对系统安全目标的影响，反之，则需通过计算进行量化评估。这便是以上PMHF分配示例中，给Vehicle Bus分配了10-10/h的理由。

03.

如何分析安全通讯的失效模式

在制定系统层面的技术安全需求（TSR）时，必须明确针对通信保护的安全机制，例如对特定信号实施端到端（E2E）保护措施。E2E保护措施包括CRC、RC、Timeout、Frame ID等机制。根据被检测对象的失效模式及其影响，来决定采用何种安全机制。那么通讯总线E2E保护控制措施包含的不同机制是为了响应哪种通信失效模式呢？相关内容可参考IEC 61784-3中的技术条款。

上表格展示了八种通信错误及相应的安全防护措施，具体定义可参考IEC 61784-3的相关章节。我们将这些典型通信错误及其对应的安全措施进行归类总结：

以上结果是在系统层面常见的几种针对通信保护E2E机制的安全措施。

04.

如何量化评估残余差错率

在产品设计过程中，通常会参考以往产品的通信设计方案或直接采用企标要求，例如针对CRC的多项式选择，在没有进一步结合产品探讨CRC的多项式选择是否合适时，是该选择CRC8，CRC16抑或是CRC32呢？同一种CRC又该采取哪种多项式（汉明距离不同）？针对这些问题，需要回到最开始的话题，即如何针对上述通信错误模型的残余差错率来量化评估通信故障，从而论证能够满足相关项目1%指标分配要求。

我们从4个维度出发，分别为数据完整性、数据及时性、数据真实性以及数据伪装，依次建立各通讯故障的计算模型，从而可以得到安全通讯中总的残余差错率。