安全通讯中的失效率量化评估
写在前面:
在评估硬件随机失效对安全目标的违反分析过程中,功能安全的分析通常集中于各个ECU子系统的PMHF(安全目标违反的潜在失效概率)计算。通过对ECU所有子系统的PMHF进行累加,可以整体评估相关项目在多个层面上是否会违背既定的安全目标。然而,在ISO 26262中,硬件随机故障矩阵的计算示例不仅包括子系统的PMHF分配,如下图的System A和System B,还涉及两个子系统之间的整车安全通讯总线Vehicle Bus。本文将围绕整车安全通讯总线Vehicle Bus是否需要考虑其错误失效,以及如何计算错误概率展开。
01.
什么是残余差错率
根据ISO 26262,硬件随机故障根据不同的影响类型进行分类,包括安全失效、单点失效、双点/多点失效和潜伏失效等。针对整车安全通信的失效及其相应概率,通常采用“残余差错率”(residual error rates)这一专门术语进行定义。残余差错率是指在一个通信系统中,经过所有已实施的错误检测和纠正措施后,仍然未被检测出或纠正的错误所占的比例。它用于评估系统在进行错误检测或纠错后,剩余的错误达到接收端的概率。这个概念可以参考国际标准IEC 61784-3。
02.
如何定义安全通信的失效率指标要求
以图示为例,ISO 26262在特定项目的安全完整性等级(ASIL D)目标前提下,整车安全通讯总线(Vehicle Bus)被分配了10-10/h的失效概率。这一分配相当于根据相关项要求的安全完整性等级目标的1/100。尽管ISO 26262未详细阐述此配置方案的具体考量,但在进行整体故障概率评估时,许多汽车行业专业人士似乎未充分关注这一阶段,该原则源自IEC 61784-3(见下图)。其旨在表明,若通信链路的错误概率不超过整个安全功能回路要求指标的1%,则可以忽略其对系统安全目标的影响,反之,则需通过计算进行量化评估。这便是以上PMHF分配示例中,给Vehicle Bus分配了10-10/h的理由。
03.
如何分析安全通讯的失效模式
在制定系统层面的技术安全需求(TSR)时,必须明确针对通信保护的安全机制,例如对特定信号实施端到端(E2E)保护措施。E2E保护措施包括CRC、RC、Timeout、Frame ID等机制。根据被检测对象的失效模式及其影响,来决定采用何种安全机制。那么通讯总线E2E保护控制措施包含的不同机制是为了响应哪种通信失效模式呢?相关内容可参考IEC 61784-3中的技术条款。
上表格展示了八种通信错误及相应的安全防护措施,具体定义可参考IEC 61784-3的相关章节。我们将这些典型通信错误及其对应的安全措施进行归类总结:
以上结果是在系统层面常见的几种针对通信保护E2E机制的安全措施。
04.
如何量化评估残余差错率
在产品设计过程中,通常会参考以往产品的通信设计方案或直接采用企标要求,例如针对CRC的多项式选择,在没有进一步结合产品探讨CRC的多项式选择是否合适时,是该选择CRC8,CRC16抑或是CRC32呢?同一种CRC又该采取哪种多项式(汉明距离不同)?针对这些问题,需要回到最开始的话题,即如何针对上述通信错误模型的残余差错率来量化评估通信故障,从而论证能够满足相关项目1%指标分配要求。
我们从4个维度出发,分别为数据完整性、数据及时性、数据真实性以及数据伪装,依次建立各通讯故障的计算模型,从而可以得到安全通讯中总的残余差错率。
在IEC61784-3中,残余差错率的计算模型如下:
式中:RRT表示时效性的残余错误率;RRA表示真实性的残余错误率;RRI表示数据完整性的残余错误率;RRM表示伪装的残余错误率。分别计算以上几种残余错误率,即可求得总的残余错误率。
根据经验,上述4个因子中数据完整性会占比较大的贡献,因此在计算过程中数据完整性需要重点考量。
数据完整性残余差错率RRI的计算公式如下:
式中:Pe表示位跳变概率,一般取值0.01;r表示CRC校验长度,采用CRC-16校验则取值16;n表示安全数据单元位长度;dmin表示最小汉明距离,根据不同CRC多项式而定。
简单来说,数据完整性的残余差错率主要受以下几个参数影响:CRC校验长度及其汉明距离、报文数量以及报文长度。安全数据报文数量越多,则单个报文的数据量越大,为了控制数据完整性的残余差错率,应选择校验长度合适的CRC多项式(如CRC16或CRC32)。
05.
总结
针对大多数场景,由于整车安全通讯总线Vehicle Bus实际的残余差错率较低,因此在评估item的PMHF往往会将其忽略不计。正因如此,很多功能安全初学者会忽略这一块及其背后的原理。因此笔者结合之前的项目工作经验,对安全通信的量化评估进行了简单的原理背景阐述,希望能够对大家能有所帮助。
作者
边俊
磐时创始人/首席安全专家
汽车安全社区SASETECH发起人;智能网联预期功能安全工作组核心成员;国内最早从事汽车功能安全、预期功能安全的专家之一
往 期 精 选
JOIN US
长期招募
杭州
— 高级信息安全工程师
欢迎将个人简历发送至邮箱:
double.ma@sasetime.com
SASETECH是国内首个由汽车安全专家发起组建的技术社区,致力于为汽车安全的从业者提供交流、学习、合作的中立性平台。
SASETECH
扫码联系管理员加入交流群→