安全通讯中的失效率量化评估

安全通讯中的失效率量化评估

写在前面：

在评估硬件随机失效对安全目标的违反分析过程中，功能安全的分析通常集中于各个ECU子系统的PMHF（安全目标违反的潜在失效概率）计算。通过对ECU所有子系统的PMHF进行累加，可以整体评估相关项目在多个层面上是否会违背既定的安全目标。然而，在ISO 26262中，硬件随机故障矩阵的计算示例不仅包括子系统的PMHF分配，如下图的System A和System B，还涉及两个子系统之间的整车安全通讯总线Vehicle Bus。本文将围绕整车安全通讯总线Vehicle Bus是否需要考虑其错误失效，以及如何计算错误概率展开。

01.什么是残余差错率

根据ISO 26262，硬件随机故障根据不同的影响类型进行分类，包括安全失效、单点失效、双点/多点失效和潜伏失效等。针对整车安全通信的失效及其相应概率，通常采用“残余差错率”（residual error rates）这一专门术语进行定义。残余差错率是指在一个通信系统中，经过所有已实施的错误检测和纠正措施后，仍然未被检测出或纠正的错误所占的比例。它用于评估系统在进行错误检测或纠错后，剩余的错误达到接收端的概率。这个概念可以参考国际标准IEC 61784-3。

02.如何定义安全通信的失效率指标要求

以图示为例，ISO 26262在特定项目的安全完整性等级（ASIL D）目标前提下，整车安全通讯总线（Vehicle Bus）被分配了10-10/h的失效概率。这一分配相当于根据相关项要求的安全完整性等级目标的1/100。尽管ISO 26262未详细阐述此配置方案的具体考量，但在进行整体故障概率评估时，许多汽车行业专业人士似乎未充分关注这一阶段，该原则源自IEC 61784-3（见下图）。其旨在表明，若通信链路的错误概率不超过整个安全功能回路要求指标的1%，则可以忽略其对系统安全目标的影响，反之，则需通过计算进行量化评估。这便是以上PMHF分配示例中，给Vehicle Bus分配了10-10/h的理由。

03.如何分析安全通讯的失效模式

在制定系统层面的技术安全需求（TSR）时，必须明确针对通信保护的安全机制，例如对特定信号实施端到端（E2E）保护措施。E2E保护措施包括CRC、RC、Timeout、Frame ID等机制。根据被检测对象的失效模式及其影响，来决定采用何种安全机制。那么通讯总线E2E保护控制措施包含的不同机制是为了响应哪种通信失效模式呢？相关内容可参考IEC 61784-3中的技术条款。

上表格展示了八种通信错误及相应的安全防护措施，具体定义可参考IEC 61784-3的相关章节。我们将这些典型通信错误及其对应的安全措施进行归类总结：

以上结果是在系统层面常见的几种针对通信保护E2E机制的安全措施。

04.如何量化评估残余差错率

在产品设计过程中，通常会参考以往产品的通信设计方案或直接采用企标要求，例如针对CRC的多项式选择，在没有进一步结合产品探讨CRC的多项式选择是否合适时，是该选择CRC8，CRC16抑或是CRC32呢？同一种CRC又该采取哪种多项式（汉明距离不同）？针对这些问题，需要回到最开始的话题，即如何针对上述通信错误模型的残余差错率来量化评估通信故障，从而论证能够满足相关项目1%指标分配要求。

我们从4个维度出发，分别为数据完整性、数据及时性、数据真实性以及数据伪装，依次建立各通讯故障的计算模型，从而可以得到安全通讯中总的残余差错率。

在IEC61784-3中，残余差错率的计算模型如下：

式中：RRT表示时效性的残余错误率；RRA表示真实性的残余错误率；RRI表示数据完整性的残余错误率；RRM表示伪装的残余错误率。分别计算以上几种残余错误率，即可求得总的残余错误率。

根据经验，上述4个因子中数据完整性会占比较大的贡献，因此在计算过程中数据完整性需要重点考量。

数据完整性残余差错率RRI的计算公式如下：

式中：Pe表示位跳变概率，一般取值0.01；r表示CRC校验长度，采用CRC-16校验则取值16；n表示安全数据单元位长度；dmin表示最小汉明距离，根据不同CRC多项式而定。

简单来说，数据完整性的残余差错率主要受以下几个参数影响：CRC校验长度及其汉明距离、报文数量以及报文长度。安全数据报文数量越多，则单个报文的数据量越大，为了控制数据完整性的残余差错率，应选择校验长度合适的CRC多项式（如CRC16或CRC32）。

05.总结

针对大多数场景，由于整车安全通讯总线Vehicle Bus实际的残余差错率较低，因此在评估item的PMHF往往会将其忽略不计。正因如此，很多功能安全初学者会忽略这一块及其背后的原理。因此笔者结合之前的项目工作经验，对安全通信的量化评估进行了简单的原理背景阐述，希望能够对大家能有所帮助。

END

作者：边俊
文章来源：sasetech

推荐阅读

• 一文了解汽车故障诊断的几个层级
• 冗余供电网络如何避免相关失效？
• 全面带你了解端到端大模型的底层逻辑（一）
• 深入解析与使用感受：Isograph、Medini与REANA可靠性分析软件对比
• 汽车功能安全(ISO 26262)系列: 软件安全分析FMEA你会吗？

更多物联网安全，PSA等技术干货请关注平台安全架构(PSA)专栏。欢迎添加极术小姐姐微信（id:aijishu20)加入PSA技术交流群，请备注研究方向。