本期內容以系統架構設計為例，講解如何在ISO 26262產品開發過程中實施安全分析，半導體層面的芯片設計也可以參考本文相關內容執行安全分析。

安全分析方法

ISO 26262要求根據不同ASIL等級組合地使用“演繹分析”和“歸納分析”，如表1所示：

表1：安全分析方法

根據表1所列信息，開發團隊會常常誤認為ASIL B是不需要執行“演繹分析”。事實上，ISO 26262的要求對于連續數字（1，2，3……）所列方法，“+”、“++”分別是推薦、強烈推薦實施的。因此，ASIL B也是推薦實施“演繹分析”的（若沒有實施，則需要提供理由）。

演繹分析：人們以一定反映客觀規律的理論認識為依據，從服從該事物的已知部分，推理得到事物的未知部分的思維方法。即，從一般規律到個例。通常，“演繹分析”方法采用FTA（Fault Tree Analysis，故障樹分析）。

歸納分析：人們以一系列經驗事物或知識素材為依據，尋找出其服從的基本規律或共同規律，并假設同類事物中的其他事物也服從這些規律。即：從個例到一般規律。通常，“歸納分析”方法采用FMEA（Failure Mode and Effects Analysis，失效模式和影響分析）。

FMEA分析步驟

關于FMEA方法，建議參考AIAG-VDA FMEA手冊，市面上已經有很多成熟的軟件工具支持FMEA分析。值得一提的是，在根據AIAG-VDA第5版FMEA手冊中，增加FMEA-MSR（Monitoring and System Response，監視和系統響應），作為DFMEA的補充。

通常，FMEA按下圖所示的七步法進行：

圖1：FMEA七步法

1、DFMEA分析步驟

第1步-策劃和準備：確定負責人和團隊、項目名稱、時間安排和分析工具等信息。

第2步-結構分析：結構化分析對象，例如設計系統架構。

第3步-功能分析：產品功能可視化，例如確定系統架構要素的功能。第3步是在第2步的基礎上實施的，因此第2步的“要素”和第3步的“功能”是對應的。

第4步-失效分析：每個功能的潛在失效影響，失效模式和失效起因。

第5步-風險分析：分析針對失效起因的現行預防控制；分析針對失效起因和（或）失效模式的現行探測控制。

第6步-優化：識別、實施降低風險的必要措施。

第7步-結果文件化

將上述第1步～第6步的實施情況記錄在FMEA模板或分析工具中，形成完整的FMEA報告。FMEA的總結與分析，包含以下內容：

a.文件化FMEA過程中的所有分析記錄和采取的措施；

b.組織內部/顧客/供應商對結果和分析結論進行溝通，組織FMEA評審驗證；

c.持續跟進預防措施和探測措施的實施情況，定期動態更新AP值，確保在設計定稿前風險已降到可接受的程度。

2、FMEA-MSR2.1、FMEA-MSR決策流程

FMEA-MSR作為DFMEA的補充，更加關注產品在實際用戶條件下的失效，因此進一步地完善了FMEA在安全相關機電系統（所謂機電系統就是系統中至少包括傳感器、電子控制器和執行器或它們的組件）領域的應用。在實際項目開發過程中，研發人員容易把DFMEA和FMEA-MSR搞混，導致了許多重復或遺漏的分析工作。

下圖展示了FMEA-MSR決策流程，提供了一個DFMEA和FMEA-MSR配合使用的思路。

圖2：FMEA-MSR決策流程

1)在上述流程中，若一個失效模式的嚴重度被評為8、9、10分，則認為是違背法律法規或功能安全要求。

2)若上述1)不成立，繼續執行第5、6步的DFMEA分析。可選擇性地根據組織現有流程以及改進計劃，增加MSR機制。

3)若上述1)成立，則此時需要分析系統是否已經存在針對客戶操作期間發生該失效模式的MSR機制。

4)若上述3）不成立，繼續執行第5、6步的DFMEA分析，必須增加MSR機制。增加MSR機制后，由于作了設計變更，因此更新DFMEA，更新后上述第3)點成立，執行第5)點。這里需要注意的是，作為MSR本身而言，通過DFMEA來分析即可。

5)若上述3）成立，則此時直接針對該失效模式進行FMEA-MSR分析。

總結上述內容，下圖提供一個形成DFMEA文件和FMEA-MSR文件的思路。事實上，兩者既可合并在一起，也可以單獨形成文件，取決于開發組織自身的流程。

圖3：DFMEA文件和FMEA-MSR文件

2.2、FMEA-MSR分析步驟

FMEA-MSR同樣采用圖1所示的七步法，且僅第5、6步與DFMEA不同，下面只針對這兩個步驟的分析展開描述。

第5步-風險分析（FMEA-MSR）：分析失效模式發生頻率F（也可稱為頻度），指系統在實際工作時間內產生失效的頻率，該頻率需要統計數據論證其合理性；分析針對失效起因的現行診斷監視；分析針對診斷到失效模式后的現行系統響應；分析MSR起作用后的失效影響嚴重度。

第6步-優化（FMEA-MSR）：識別、實施降低風險的必要措施。

FMEA分析示例

如下圖所示，假設現有一個用于ADAS系統的ALC（自動車道居中）的ECU（電子控制單元）的系統架構，其主要功能是從Ext_01接口接收外部傳感器SPI數據，作為MCU的路徑規劃決策輸入。

圖4：ALC的ECU系統架構

（注：該架構僅方便用于FMEA分析，不考慮其內部合理性，不作為真實架構用途）

1、DFMEA的分析示例

以下示例假設其中一個模塊（Sys_element01）故障，假設ECU針對Sys_element01故障沒有任何診斷監視措施，按照DFMEA的分析步驟展開。

圖5：帶故障的ECU

1）識別每個模塊的功能，例如Sys_element01的主要功能是向MCU傳輸傳感器數據；（DFMEA第3步）

2）識別模塊的失效行為，例如Sys_element01故障導致傳感器數據錯誤、延遲、丟失等；（DFMEA第4步）

3）確定傳感器數據錯誤將導致的后果嚴重程度（得到嚴重度S評分），例如：該故障發生時導致MCU路徑規劃錯誤，影響行車安全，嚴重度達到S=10；（DFMEA第4步）

4）確定是否存在預防控制措施，例如，該系統架構使用可信的設計方案、使用魯棒性設計、通過設計評審等；（DFMEA第5步）

5）定在上述預防控制措施之下該模塊的故障頻度（得到頻度O評分），例如：已使用可信設計、魯棒性設計、設計評審后，故障頻度可降至O=2；（DFMEA第5步）

6）確定是否存在探測控制措施，例如，功能測試、故障注入測試、DV測試、量產測試等；（DFMEA第5步）

7）確定上述探測控制措施的探測度（得到探測度D評分）；例如：實施功能測試、故障注入測試、DV測試、量產測試后，探測度可達D=3；（DFMEA第5步）

8）根據S、O、D評分，綜合得出措施優先級AP值，AP=L；（DFMEA第5步）

9）必要時，根據AP值，制定進一步的風險降低措施；（DFMEA第6步）

10）文件化將上述分析步驟。（DFMEA第7步）

根據第3)步驟顯示，該示例中的ECU是一個安全相關的機電系統，且存在失效模式導致違背功能安全，滿足2.1節FMEA-MSR決策流程第4)的條件，在后續的設計優化中必須增加MSR機制。

2、FMEA-MSR的分析示例

本節基于前面1節DFMEA的分析示例的ECU示例，在其基礎上增加了MSR機制，優化了該ECU的系統架構，如下圖所示。其中綠色模塊（安全相關）為分配了ASIL等級的安全需求，灰色模塊（非安全相關）開發為QM要素。其中：

· Sys_element04開發為安全要素；

· 增加Sys_element06用于診斷來自Sys_element01的數據的正確性和一致性；

· 增加Sys_element07故障收集和診斷模塊；

· 增加Sys_element08用于診斷MCU內部失效。

圖6：優化后的ECU系統架構（注：該架構僅方便用于FMEA分析，不考慮其內部合理性，不作為真實架構用途）

下面同樣假設其中一個模塊（Sys_element01）故障，假設ECU針對Sys_element01故障已經采取診斷監視措施，按照FMEA-MSR的分析步驟展開。

圖7：帶故障的ECU及其診斷路徑

1）識別每個模塊的功能，例如Sys_element01的主要功能是向MCU傳輸傳感器數據；（FMEA-MSR第3步）

2）識別模塊的失效行為；例如：假設Sys_element01（SPI通信模塊）故障導致傳感器數據錯誤；（FMEA-MSR第4步）

3）確定傳感器數據錯誤將導致的后果嚴重程度（得到嚴重度S評分），例如：該故障發生時導致MCU路徑規劃錯誤，影響行車安全，嚴重度達到S=10；（FMEA-MSR第4步）

4）確定該模塊的故障頻率（得到頻率F評分），例如，這里假設Sys_element01在其使用生命周期內故障發生的概率非常低（實際項目中應結合可靠性預測結果來評估），頻率F=3；（FMEA-MSR第5步）

5）確定系統中是否有監控措施（即監視和系統響應，或者稱之為安全機制）及其監控能力，例如，該Sys_element01發生故障時，不能通過Sys_element06的校驗，由Sys_element07向上級系統發出錯誤警報（如圖7紅色曲線路徑所示），假設該安全機制的診斷覆蓋率為99%，監視則可評定為M=3。在汽車功能安全中，一個非常重要的概念是FTTI（故障容錯時間間隔），如下圖所示。

圖8：功能安全概念中的時間約束

FTTI可以用來衡量安全機制的有效性，它來自車輛層面的安全目標，用于表示車輛部件在某個場景下發生故障直到產生對人身產生危害事件的這段時間間隔。進一步地細分，相關的時間概念還有FDTI（故障檢測時間隔離）、FRTI（故障響應時間時間）以及FHTI（故障處理時間間隔）。在設計監視和系統響應機制時需要考慮上述時間約束，確保系統或子系統滿足分配其的時間要求：FDTI + FRTI = FHTI < FTTI。（FMEA-MSR第5步）

6）分析在MSR起有效作用后，即系統響應安全機制后失效的嚴重度；例如，如上述第5)點的監控措施啟動后，車輛通知向駕駛員發出接管方向盤的警示，盡管車道偏離可能已經偏離，但在FTTI的時間內駕駛員已經及時接管方向盤并將方向回正（假設駕駛員有能力處理這種情況），此時原先定義的嚴重度可適當降低到S=6；（FMEA-MSR第5步）

7）根據S、F、M評分，綜合得出措施優先級AP值，AP=L；（FMEA-MSR第5步）

8）必要時，根據AP值，制定進一步的風險降低措施；（FMEA-MSR第6步）

9）文件化將上述分析步驟。（DFMEA第7步）

這里需要注意的是，如2.1FMEA-MSR決策流程第4）點所述，對比DFMEA的分析示例：

· Sys_element04由于設計變更（由原先的QM要素開發為安全要素），需要更新其先前的DFMEA結果；

· 新增Sys_element06~08的三個模塊，需要新增它們的DFMEA。

廣電計量功能安全服務能力

廣電計量在汽車、鐵路系統產品檢測方面擁有豐富的技術經驗和成功案例，能為主機廠、零部件供應商、芯片設計企業提供整機、零部件、半導體、原材料等全面的檢測、認證服務，保障產品的可靠性、可用性、可維護性和安全性。

廣電計量擁有技術領先的功能安全團隊，專注于功能安全（包括工業、軌道、汽車、集成電路等領域）、信息安全和預期功能安全領域的專家，具有豐富的集成電路、零部件和整機功能安全實施經驗，可根據相應行業的安全標準為不同行業的客戶提供培訓、檢測、審核和認證一站式服務。

廣電計量半導體服務優勢

• 工業和信息化部“面向集成電路、芯片產業的公共服務平臺”。

工業和信息化部“面向制造業的傳感器等關鍵元器件創新成果產業化公共服務平臺。

國家發展和改革委員會“導航產品板級組件質量檢測公共服務平臺”。

廣東省工業和信息化廳“汽車芯片檢測公共服務平臺”。

江蘇省發展和改革委員會“第三代半導體器件性能測試與材料分析工程研究中心。

上海市科學技術委員會“大規模集成電路分析測試平臺”。

在集成電路及SiC領域是技術能力最全面、知名度最高的第三方檢測機構之一，已完成MCU、AI芯片、安全芯片等上百個型號的芯片驗證，并支持完成多款型號芯片的工程化和量產。

在車規領域擁有AEC-Q及AQG324全套服務能力，獲得了近50家車廠的認可，出具近400份AEC-Q及AQG324報告，助力100多款車規元器件量產。