Khorina · 10月30日

安全通讯中的失效率量化评估

安全通讯中的失效率量化评估

写在前面:

在评估硬件随机失效对安全目标的违反分析过程中,功能安全的分析通常集中于各个ECU子系统的PMHF(安全目标违反的潜在失效概率)计算。通过对ECU所有子系统的PMHF进行累加,可以整体评估相关项目在多个层面上是否会违背既定的安全目标。然而,在ISO 26262中,硬件随机故障矩阵的计算示例不仅包括子系统的PMHF分配,如下图的System A和System B,还涉及两个子系统之间的整车安全通讯总线Vehicle Bus。本文将围绕整车安全通讯总线Vehicle Bus是否需要考虑其错误失效,以及如何计算错误概率展开。

image.png

01.什么是残余差错率

根据ISO 26262,硬件随机故障根据不同的影响类型进行分类,包括安全失效、单点失效、双点/多点失效和潜伏失效等。针对整车安全通信的失效及其相应概率,通常采用“残余差错率”(residual error rates)这一专门术语进行定义。残余差错率是指在一个通信系统中,经过所有已实施的错误检测和纠正措施后,仍然未被检测出或纠正的错误所占的比例。它用于评估系统在进行错误检测或纠错后,剩余的错误达到接收端的概率。这个概念可以参考国际标准IEC 61784-3。

02.如何定义安全通信的失效率指标要求

image.png

以图示为例,ISO 26262在特定项目的安全完整性等级(ASIL D)目标前提下,整车安全通讯总线(Vehicle Bus)被分配了10-10/h的失效概率。这一分配相当于根据相关项要求的安全完整性等级目标的1/100。尽管ISO 26262未详细阐述此配置方案的具体考量,但在进行整体故障概率评估时,许多汽车行业专业人士似乎未充分关注这一阶段,该原则源自IEC 61784-3(见下图)。其旨在表明,若通信链路的错误概率不超过整个安全功能回路要求指标的1%,则可以忽略其对系统安全目标的影响,反之,则需通过计算进行量化评估。这便是以上PMHF分配示例中,给Vehicle Bus分配了10-10/h的理由。

image.png

03.如何分析安全通讯的失效模式

在制定系统层面的技术安全需求(TSR)时,必须明确针对通信保护的安全机制,例如对特定信号实施端到端(E2E)保护措施。E2E保护措施包括CRC、RC、Timeout、Frame ID等机制。根据被检测对象的失效模式及其影响,来决定采用何种安全机制。那么通讯总线E2E保护控制措施包含的不同机制是为了响应哪种通信失效模式呢?相关内容可参考IEC 61784-3中的技术条款。

image.png

上表格展示了八种通信错误及相应的安全防护措施,具体定义可参考IEC 61784-3的相关章节。我们将这些典型通信错误及其对应的安全措施进行归类总结:

image.png

以上结果是在系统层面常见的几种针对通信保护E2E机制的安全措施。

04.如何量化评估残余差错率

在产品设计过程中,通常会参考以往产品的通信设计方案或直接采用企标要求,例如针对CRC的多项式选择,在没有进一步结合产品探讨CRC的多项式选择是否合适时,是该选择CRC8,CRC16抑或是CRC32呢?同一种CRC又该采取哪种多项式(汉明距离不同)?针对这些问题,需要回到最开始的话题,即如何针对上述通信错误模型的残余差错率来量化评估通信故障,从而论证能够满足相关项目1%指标分配要求。

我们从4个维度出发,分别为数据完整性、数据及时性、数据真实性以及数据伪装,依次建立各通讯故障的计算模型,从而可以得到安全通讯中总的残余差错率。

image.png

在IEC61784-3中,残余差错率的计算模型如下:

image.png

式中:RRT表示时效性的残余错误率;RRA表示真实性的残余错误率;RRI表示数据完整性的残余错误率;RRM表示伪装的残余错误率。分别计算以上几种残余错误率,即可求得总的残余错误率。

根据经验,上述4个因子中数据完整性会占比较大的贡献,因此在计算过程中数据完整性需要重点考量。

数据完整性残余差错率RRI的计算公式如下:

image.png

式中:Pe表示位跳变概率,一般取值0.01;r表示CRC校验长度,采用CRC-16校验则取值16;n表示安全数据单元位长度;dmin表示最小汉明距离,根据不同CRC多项式而定。

简单来说,数据完整性的残余差错率主要受以下几个参数影响:CRC校验长度及其汉明距离、报文数量以及报文长度。安全数据报文数量越多,则单个报文的数据量越大,为了控制数据完整性的残余差错率,应选择校验长度合适的CRC多项式(如CRC16或CRC32)。

05.总结

针对大多数场景,由于整车安全通讯总线Vehicle Bus实际的残余差错率较低,因此在评估item的PMHF往往会将其忽略不计。正因如此,很多功能安全初学者会忽略这一块及其背后的原理。因此笔者结合之前的项目工作经验,对安全通信的量化评估进行了简单的原理背景阐述,希望能够对大家能有所帮助。

END

作者:边俊
文章来源:sasetech

推荐阅读

更多物联网安全,PSA等技术干货请关注平台安全架构(PSA)专栏。欢迎添加极术小姐姐微信(id:aijishu20)加入PSA技术交流群,请备注研究方向。
推荐阅读
关注数
4569
内容数
187
Arm发布的PSA旨在为物联网安全提供一套全面的安全指导方针,使从芯片制造商到设备开发商等价值链中的每位成员都能成功实现安全运行。
目录
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
安谋科技学堂公众号
关注安谋科技学堂
实时获取安谋科技及 Arm 教学资源
安谋科技招聘公众号
关注安谋科技招聘
实时获取安谋科技中国职位信息