ISO 26262标准应用（三）

进行定量分析可以得出系统的单点、潜在和概率故障指标。失效模式影响诊断分析（FMEDA）是一种定量分析，用于推导出系统的单点和潜在故障指标。FMEDA有助于识别故障模式和发生概率。此外，它还有助于评估和提高系统的故障诊断能力。

它用于计算硬件架构指标，例如硬件的单点故障指标（SPFM）和潜在故障指标（LFM）。然后可以使用这些数据计算出随机硬件故障（PMHF）率。FMEDA需要以FMEA分析作为基础。因此FMEDA的第一步是得出每个模块的故障率。

对于基于FPGA的设计，模块中使用的LUT和RAM块的数量可用于计算每个模块的故障率。而通过FPGA设计综合工具可以知道每个模块LUT和RAM块的数量。

在“错误！未找到参考源”的截图中，列出了RTL设计初案中的不同模块，以及每个模块中LUT和RAM块的数量。

图11：莱迪思Dianmond RTL设计综合工具得出LUT数量

每个LUT和RAM块的故障率（FIT）是根据如下所示的数学方程式计算得出的：

方程组1：可靠性预测的数学模型

根据方程组1中的λ值来计算FPGA的每个LUT和RAM块的故障率。表2列出了所有的影响因素。然后得出单个模块的故障率（FIT）。

表2：莱迪思FPGA的die和封装故障率示意表

在确定每个模块的故障率和故障模式后，接下来的一个重要步骤是根据为每个故障分配的安全机制获得每个模块的诊断覆盖率。同样，标准第5章附录D可用来确定为每个安全机制假定的诊断覆盖率（diagnostic coverage）的数值。

表3：FPGA模块的诊断覆盖率示意表

表3的示例显示的是FPGA中的I2C模块。我们可以通过与时钟生成功能相关的LUT数量估算与子组件相关的故障率。然后将故障率分为安全故障和非安全故障。对于逻辑设计而言，50%的故障被认为是非安全故障。（根据ISO 26262:10, 8.1.8 - g）

然后根据所选的安全机制将诊断覆盖率与故障关联起来。例如，在下图中，为时钟生成功能选择的安全机制是看门狗定时器。这可以被认为是编程序列的时序监控和逻辑监控组合。因此，与之相关的DC很高（99%）。而如果诊断覆盖率较低，则可以使用经过修订的安全机制。

FMEDA提供有关故障模式的信息，这些信息可以经识别关联到适当的FTA事件。因此，将FMEDA事件与FTA事件关联可以在条目层面实现完整的安全分析。

图12：从FMEDA 得出的量化FTA的故障率

量化FTA用于推导系统的PMHF。对于定量FTA而言，定性FTA是基础，并且更多的事件/门会添加到硬件FTA的基础事件中。一旦顶层故障分解为硬件层面的基本事件，故障率就会添加到基本事件中。

故障率可以从MIL-HDBK-217美国军用标准可靠性预计手册或FMEDA中得出。本示例展示了FMEDA的5V8调节器模块的结果，用于以规定的方式馈送给基本事件。对于每个导致违反硬件FTA安全目标的已识别的硬件子模块，可以重复相同的操作。对于可能违反相关门安全目标的所有安全相关硬件添加基本事件的故障率。所有模块的故障率汇总形成了最终数据。一旦完成，就能得出故障树的PMHF。

ISO26262-2011的第10章详细解释了与PMHF计算相关的因素。用于PMHF计算的公式包括从FMEDA得出的残余和多点故障的组合故障率。

方程2：计算PMFH的方程

图13：在Isograph 工具中通过Q-FTA得出的PMHF

对功能安全设计的所有方面都十分重要的一个问题就是有多少时间可以识别故障，然后采取行动防止危险发生。这段时间称为容错时间间隔（FTTI）。为保证系统安全，从检测到故障起到系统恢复安全状态的时间，应小于安全目标的FTTI。

诊断测试间隔（DTI）+错误反应时间间隔（FRTI）< FTTI

图14：容错时间间隔

除了安全管理流程之外，安全项目的其他关键方面还包括彻底的评审、工作产品的可追溯性以及所用第三方IP和工具的资质。

图15：使用Reqtify 工具绘制的可追溯图

虽然审查可能需要手工进行，但认可评审、视察评审和安全审计等不同级别的审查可以防止项目中发生任何系统性故障。

为了确保项目各个阶段的工作产品的可追溯性，可以使用Reqtify或Doors等可追溯性工具。可追溯性工具可以确保所有已识别的安全特性都对应到FPGA中的适当功能，与已确定的安全生命周期保持同步。

图15是从Reqtify工具获取的可追溯性图表的示例。该图将需求规范分为硬件和软件需求、相关的高层和低层设计文档以及与每个部分相关的测试计划。

由于需要依赖工具确保设计安全，因此需要对工具进行安全认证。在关键安全项目中，仅需要对某些工具进行认证。为了明确是否需要工具认证，ISO 26262（ISO 26262-8:2011，表3）描述了如何通过简单的两个步骤，来确定我们对特定工具的信任程度。如果无需置信度，我们就得到最低的工具置信度等级（TCL 1），此时不需要工具认证。测试工具（如Polyspace静态分析工具、Unity单元测试工具、模拟器等）通常需要较高的置信度，因此必须进行工具认证。

虽然工具认证可能是个昂贵且耗时的过程，但一些权威机构（如TÜV）的工具预认证服务几乎可以为用户免除这方面的工作。工具供应商还可以提供工具认证流程或直接进行安全认证。Lattice Diamond® 3.10 SP3（Build 3.10.3.144.3）软件工具和工具流程满足“软件工具验证”的要求，最高可实现ASIL D TCL3级别。此外，莱迪思器件系列及资源库满足ASIL D级别的独立安全单元（SEooC）要求。

软件工具合规性信息是产品开发安全包的一部分，旨在满足ISO 26262功能安全要求。此外，在项目过程中，可能会采购和使用各种第三方IP以确保快速完善的设计架构。这些第三方IP也需要经过认证，确保可以安全使用。模块级测试、FMEA和DFA分析可以确保这些IP的安全使用。

激烈的竞争环境要求制造商开发能够提供高质量产品的智能、功能安全的设计，同时还要满足具有竞争力的上市时间、成本和性能目标。作为莱迪思设计合作伙伴的Tata Elxsi已成功将ISO 26262标准的各个部分应用于基于莱迪思FPGA设计的所有模块，实现安全的设计，简化了应用开发流程和缩短了周转时间。此外，Tata Elxsi还在持续的安全分析中展示了工具使用和开发安全文档的有效方法。

基于FPGA的设计方法改变了安全设计的实现方式，大大减少了开发工作、系统复杂性和上市时间。上述安全方法包括归纳和演绎安全分析，旨在实现安全设计，用户可以组合使用两者来达到预期的结果。安全方法可以让FPGA用户设计定制的安全系统和控制器，比传统微控制器或基于ASIC的设计具有更大的竞争优势。