阅读说明：本技术 随机硬件故障的概率度量 (probability metric for random hardware faults ) 是由 里卡多·文塞利 阿戈斯蒂诺·切法洛 于 2017-04-13 设计创作，主要内容包括：公开一种用于确定包括元件和安全机制(SM)的诸如微控制器的电子系统的随机硬件故障的概率度量的方法。安全机制包括第一层安全机制(FL-SM)和第二层安全机制(SL-SM)。第一层安全机制可以提供部件故障的至少部分覆盖,且第二层安全机制可以提供第一层安全机制的故障的至少部分覆盖。该方法包括计算与第一层安全机制相关联的第一概率集合(KSM_D),计算与部件中的直接违例故障相关联的第二概率集合(KDvF_n),以及计算与部件中的间接违例故障相关联的第三概率集合(KrvF_n)。该方法包括依赖于第一概率集合、第二概率集合和第三概率集合获得随机硬件故障的概率度量的值。(a method for determining a probability metric for random hardware failures of an electronic system, such as a microcontroller, including elements and Safety Mechanisms (SMs) is disclosed. The security mechanisms include a first layer of security mechanisms (FL-SM) and a second layer of security mechanisms (SL-SM). A first layer of security mechanisms may provide at least partial coverage of component failures and a second layer of security mechanisms may provide at least partial coverage of failures of the first layer of security mechanisms. The method includes computing a first set of probabilities (KSM _ D) associated with a first layer of security mechanisms, computing a second set of probabilities (KDvF _ n) associated with a direct violation fault in a component, and computing a third set of probabilities (KrvF _ n) associated with an indirect violation fault in the component. The method comprises obtaining values of a probability metric for a random hardware fault in dependence on the first, second and third sets of probabilities.)

随机硬件故障的概率度量

技术领域

本发明涉及随机硬件故障的概率度量。

背景技术

ISO26262-5条款9提出了评估由于随机硬件故障引发安全目标违例的残留风险的两种备选方法。一种是称作“随机硬件故障的概率度量”(PMHF)的概率度量，其涉及使用例如定量故障树分析(FTA)评估安全目标违例，并以评估安全目标违例的残留风险是否足够低为目标而比较定量值与的结果目标值。另一个涉及单独地评估每个残留和单点故障，以及导致所考虑的安全目标的违例的每个双点故障。

PMHF是物品由于随机硬件故障而将实际上故障并因此违例其安全目标的概率。它考虑了单点故障(SPF)、残留故障(RF)和似真双点故障(DPF)的贡献以及它们的时间关系。双点故障的包括可以导致更复杂的时间函数。

在ISO26262-10中，PMHF使用FTA方案评估，计算支路上发生故障的概率，并通过将所有故障的概率求和(通过或门OR)或相乘(通过与门AND)而组合以获得在待分析系统中具有危险的总概率。

FTA方案可以使用图形符号表示，这可以帮助使得分析更易于理解。然而，该方案可导致非常大的树，且因为通过组合所有故障的概率而计算PMHF，导致可能是缓慢且涉及相当大处理的复杂计算。

发明内容

根据本发明的第一方面，提供一种用于确定包括元件和安全机制(SM)的诸如微控制器的电子系统的随机硬件故障的概率度量的方法。安全机制包括第一层安全机制(FL-SM)和第二层安全机制(SL-SM)。第一层安全机制可以提供部件的故障的至少部分覆盖，且第二层安全机制可以提供第一层安全机制的故障的至少部分覆盖。该方法包括计算与第一层安全机制相关联的第一概率集合(K_{SM_i})，计算与部件中的直接违例故障相关联的第二概率集合(K_{DVF_n})，以及计算与部件中的间接违例故障相关联的第三概率集合(K_{IVF_n})。该方法包括依赖于第一概率集合、第二概率集合和第三概率集合而获得随机硬件故障的概率度量的值。

这可以允许使用故障模式和效果分析(FMEA)类似分析而更快地计算PMHF。

故障可以是直接违例故障(DVF)，其缺乏任何安全机制时，具有直接地违例安全目标的潜在性。分类为直接违例故障且未被安全机制覆盖的故障可以导致ISO 26262单点故障(SPF)或ISO 26262残留故障(RF)。故障可以是间接违例故障(IVF)，其仅与一个或多个其他故障组合，具有违例安全目标的潜在性。分类为间接违例故障的故障可以导致ISO 26262多点故障(MPF)。故障可以是非违例故障(NVF)，其甚至与一个或多个其他故障组合，也不具有违例安全目标的潜在性。分类为非违例故障的故障可以分类为ISO 26262安全故障(SF)。

该方法可以包括存储第一、第二和/或第三概率集合，和/或存储随机硬件故障的概率度量的值。该方法可以包括显示随机硬件故障的概率度量的值。该方法可以进一步包括输出随机硬件故障的概率度量的值。

该方法可以包括自动地获得随机硬件故障的概率度量的值。该方法可以包括自动地输出随机硬件故障的概率度量的值。

获得随机硬件故障的概率度量的值可以包括：对第一、第二和第三概率集合求和。获得随机硬件故障的概率度量的值可以包括：除以(也即将包括对第一、第二和第三概率集合求和的结果除以)系统的评估使用期限(T_life)。

该方法可以进一步包括识别由第二层安全机制引起的故障率贡献的第四集合，其中获得随机硬件故障的概率度量的值包括：对故障率贡献的第一、第二、第三和第四集合求和，或者其中故障率贡献的第一和第二集合包括故障率贡献的第四集合。

优选地，随机硬件故障的概率度量的值根据ISO 26262标准获得。

该方法可以进一步包括：对于每个第一层安全机制，确定影响第一层安全机制的故障是直接违例故障还是间接违例故障，确定故障是否被第二层安全机制覆盖，依赖于故障被第二层安全机制覆盖，在第一层安全机制与第二层安全机制之间建立链接。

该方法可以进一步包括：对于每个元件，确定影响元件的故障是直接违例故障还是间接违例故障，确定故障是否被第一层安全机制覆盖，依赖于故障被第一层安全机制覆盖，在部件与第一层安全机制之间建立链接。

计算第一概率集合可以包括：对于每个第一层安全机制，计算归因于第一层安全机制中的单个直接违例故障的贡献，以及归因于在第二层安全机制中发生的第一故障与在第一层安全机制中发生的随后的第二直接违例故障的组合的贡献。

计算第二概率集合包括：对于每个部件，如果有的话，计算归因于直接违例故障的贡献；以及如果有的话，计算归因于间接违例故障的贡献。

计算第二概率集合可以包括：确定归因于部件中的直接违例故障而对随机硬件故障的概率度量的贡献。计算第二概率集合可以包括确定归因于部件中的间接违例故障而对随机硬件故障的概率度量的贡献。

计算第三概率集合可以包括：对于每个部件，确定部件是否链接至另一部件，以及对于部件和另一部件，确定归因于间接违例故障而对随机硬件故障的概率度量的贡献。

电子系统可以是集成电路或多个电子部件。例如，集成电路可以是微控制器。微控制器可以是配置用于车辆底盘应用中的微控制器。例如，微控制器可以包括FlexRay通信控制器。集成电路可以是专用集成电路(ASIC)。多个电子部件可以包括集成电路，诸如电阻器、二极管等的分立部件，MEMS装置，传感器和/或促动器。

根据本发明的第二方面，提供一种设计电子部件的方法。该方法包括准备电子部件的设计，产生用于电子部件的第一设计的功能安全数据，以及依赖于功能安全数据准备电子设备的修改设计。

根据本发明的第三方面，提供一种制造电子部件的方法。该方法包括设计电子部件并根据修改设计制造电子部件。

根据本发明的第四方面，提供一种计算机程序，其在由数据处理设备执行时使得数据处理设备执行所述方法。

根据本发明的第五方面，提供一种计算机程序产品(其可以是非临时的)，包括存储了计算机程序的计算机可读媒介。

根据本发明的第六方面，提供一种设计支持系统，包括数据处理设备，数据处理设备包含至少一个处理器和至少一个存储器。至少一个处理器被配置为执行所述方法。

根据本发明的第七方面，提供一种由所述制造方法所制造的电子系统。

附图说明

现在将借由示例的方式参照附图描述本发明的某些实施例，其中：

图1示意性地示出了电子系统的元件、为元件的一部分提供保护的第一层安全机制(FL-SM)以及为第一层安全机制提供保护的第二层安全机制(SL-SM)；

图2A图示了第一故障和第二故障的FTA分支；

图2B示出了图1A中所示的第一故障和第二故障的时间线；

图3示出了故障的时间线；

图4示出了其顺序是相关的两个故障的时间线；

图5示出了其顺序不相关的两个故障的时间线；

图6示出了其顺序是相关的且在时间跨度τ内发生的两个故障的时间线；

图7示出了包括其顺序不相关且在时间跨度内发生的第一故障和第二故障以及在该时间跨度结束后发生的第三故障的三个故障的时间线；

图8示出了包括在第一时间跨度内发生的第一故障、在第一时间跨度结束后的第二时间跨度内出现的第二故障以及在第二时间跨度结束后出现的第三故障的三个故障的时间线；

图9图示了第一和第二间接违例故障(IVF)故障的FTA分支；

图10是产生PHMF值的方法的过程流程图；

图11是导出兰姆达值SL-SM的方法的过程流程图；

图12是导出SL-SM的兰姆达值的方法的过程流程图；

图13是导出元件的兰姆达值的方法的过程流程图；

图14是确定来自FL-SM的基本贡献的方法的过程流程图；

图15是确定来自部件的基本贡献的方法的过程流程图；

图16是确定由于IVF故障而引起的PMHF贡献的方法的过程流程图；

图17图示了确定PMHF；

图18是包括存储了可定制分析报告的安全数据库的设计支持系统的示意框图；

图19是客户安全分析系统的示意框图；

图20是设计支持过程流程图；

图21是元件特性数据的示意图；以及

图22是电子系统或部件的示意框图。

具体实施方式

在此描述了可以使用FMEA类似分析而获得PMHF值的方法。这可以用于与使用FTA类似方案相比更容易和/或更快速地评估电子系统诸如集成电路或其一部分的安全性。

参照图1，示出了可以包括硬件的元件(在此也称作“部件”)。元件包括在系统(诸如集成电路、例如微控制器)中。元件可以例如是处理单元、易失性存储器、非易失性存储器、数据传输单元、各种类型接口单元、各种类型通信单元和计时器单元。可以为系统提供多个安全机制，每个可以以硬件、软件或者两者组合而实施。安全机制(在此称作“第一层安全机制”)可以为元件的全部或一部分提供覆盖。安全机制(在此称作“第二层安全机制”)可以为另一安全机制的全部或一部分提供覆盖。可以执行功能安全分析以确定元件的PMHF值，即元件由于随机硬件故障将失效(也因此违例其安全目标)的概率。考虑到安全机制，该过程涉及考虑故障的范围，诸如具有n＝2的SPF、RF和MPF。

作为示例，元件可以是主振荡器。第一层安全机制可以以时钟监控器的形式提供。该时钟监控器可以提供时钟监控器的部分控制和检测(“C&D”)覆盖。然而，可以不存在用于时钟控制器的安全机制，换言之，不存在第二层安全机制。可以导致安全目标违例的单个故障或故障的组合包括：(1)链接至故障的主振荡器的未被覆盖部分中的任何故障；以及(2)在时钟监控器的被覆盖部分中的故障之后、使得时钟监控器不可用的故障。元件的未被覆盖部分链接至未被覆盖的失效/故障。

因此，可以使用安全分析以将主振荡器的故障率拆分为不同的兰姆达(lambda)值。

方法是基于对于每个故障类型诸如n＝2的SPF、RF和MPF限定或使用在此称作“基本贡献”(BC)的行为模型，对于每个基本贡献导出产生危险的概率，以及对贡献求和以获得总PMHF值。每个基本贡献可以表达为能够产生危险并由示出了故障的具体顺序的时间线而特征化的独立故障的序列。基本贡献是事件(时间线中所示)发生的概率。

图2A和图2B分别示出了FTA分支的示例以及对于基本贡献的第一故障F1和第二故障F2的对应时间线。图示和描述基本贡献的两种方式是可互换的。

在所示的示例中，如果第二故障F2在第一故障F1之后发生，则其将仅产生危险。当使用FTA分支表达时，该顺序利用第二故障F2左手侧的方框中字母“L”来指示。因此，在该示例中，第二故障F2必须是危险发生时的最后一个。因此，可以由对应的基本贡献替代FTA分支。

下文描述各个基本贡献的描述。

该方法是基于假设的集合和多个故障集合。示例性假设集合和故障集合的示例分别在表格1和2中阐述。可以修改假设。例如，可以使用其他假设。

表格1

表格2

指数“i”和“j”用于分别寻址第一层安全机制(或“FL-SM”)和第二层安全机制(或“SL-SM”)。指数意在创建部件(或FL-SM)与其对应的安全机制之间的明确链接。部件的示例包括例如可以包括在微控制器或其他集成电路中的CPU内核、嵌入式存储器或通信单元。

在下文中，为了方便起见可以关注单个第一层安全机制(或第二层安全机制)。然而实际上，影响部件的故障可以由多于一个安全机制覆盖，且接着在第一层安全机制中的故障可以由多于一个第二层安全机制覆盖。因此，即使说明书每次涉及单个安全机制，方法也可以考虑两个或更多安全机制一起作用的可能性。

表格2中介绍的集合是意在简化下文中所述基本贡献的描述的简化示例。例如，集合“Pa_DVF_Di_Dj”和“Pa_DVF_Di_U”可以没有含义，因为部件P_a中的故障被FL-SMi全部而非其一部分所覆盖。因此，故障由FL-SM的所有子部分所覆盖。换言之，可以使用更实际的应用、单个集合名为Pa_DVF_Di，其可以包括这两集合。表格2中展示的集合意在帮助提供对于如何使用基本贡献的更好理解。使用表格5中所述的集合进行PMHF的实际评估。

基本贡献的定义

该部分中的公式由概率论导出。为了简便起见，在该部分中，使用以下名称和符号：

F_i 故障i

λ_i 与F_i相关的FIT(或“故障率”)的部分

t_Fi F_i发生的时刻

T_life 待分析的物品的评估使用期限

τ 由可能的第二层SM对第一层SM进行的两个不同测试之间的评估时间跨度(在此也称作“测试间隔”)

FIT 故障容限时间

BC_single

BC_single是对于未被任何SM所覆盖的、在整个使用期限期间可以发生的单个故障的PMHF的贡献。图3示出了该贡献的时间线。根据概率论，能够使用公式1评估对于BC_single的PMHF的定量贡献，也即：

示例：未被任何SM覆盖的DVF故障可以在车辆的整个使用期限期间的任何时刻产生危险。可以随后使用公式1计算其对于PMHF的贡献。考虑可以被DVF故障影响的整个部件，必须对于每个故障评估该贡献；结果由公式2表示，也即

BC_{double_ord}

BC_{double_ord}是以有序顺序发生的两个故障的贡献，也即首次发生的第一故障F1和随后发生的第二故障F2。图4示出了该贡献的时间线。根据概率论，能够使用公式3评估对于BC_{double_ord}的PMHF的定量贡献，也即：

公式3中自变量的顺序与将要发生的危险的故障的序列中相同。注意，公式涉及乘法，且因此项的顺序是无关的。

示例：如果安全机制在故障发生之前变得不可用，则被能够控制并检测(也称作“C&D”或简称“CD”)的安全机制所覆盖的DVF故障可以仅产生危险。在该情形中导致危险的故障的序列示出在图4中，其中第一故障F1是使得安全机制变得不可用的故障，且第二故障F2是DVF故障。

对于影响部件的每个单个DVF故障，该贡献必须对于使得安全机制不可用的所有故障来评估。结果由公式4表示：

BC_{double_unord}

BC_{double_unord}是并未限制它们序列而发生的两个故障的贡献。图5示出了该贡献的时间线。故障之间的双箭头显示可以交换故障，因为它们发生的顺序不相关。根据概率论，能够使用公式5评估BC_{double_unord}的PMHF的定量贡献：

示例：如果以下条件的任一个被满足，则由提供控制但是不检测的安全机制所覆盖的DVF故障可以产生危险，也即(1)在故障发生之前使得安全机制不可用，以及(2)在P中故障已经发生之后使得安全机制不可用(且因此已经控制了剩余潜量)。由图5示出了两种条件且公式5表示该情形。

对于影响部件的每个DVF故障，该贡献必须对于使得安全机制不可用的所有故障来评估；结果由公式6表示：

BC_tau

BC_tau是在有限的时间跨度τ中以有序顺序发生的两个故障的贡献。该基本贡献类似于BC_{double_ord}，差异在于存在其中使得该贡献成为可能的时间跨度。图6示出了对于该贡献的故障的序列的时间线。根据概率论，能够使用公式7评估对于BC_tau的PMHF的定量贡献：

示例：这是其中由FL-SM控制(并可能检测)的DVF故障可以引起危险的可能方式之一，FL-SM接着由SL-SM监控(每隔τ执行测试)。

在由SL-SM执行的两个连续测试之间，无法知晓是否已经发生了故障(F1)且使得FL-SM不可用。因此如果另一故障在相同时间跨度内发生在部件中，那么将存在危险。

对于该贡献，尚未考虑SL-SM不可应用的可能性，因为由于SL-SM的周期特性(参见表格1)，图5中所示故障的序列能够导致危险而不论SL-SM是否正确地工作。

公式8给出总的BC_tau贡献，考虑了影响部件和安全机制的所有故障：

BC_test

BC_test是以特定时间约束而发生的三个故障的贡献：第一故障F1和第二故障F2必须发生在同一时间跨度[(n-1)τ,nτ]内，而第三故障必须发生在之后。第一故障F1和第二故障F2的发生顺序可以反转。图7示出了对于该贡献的故障的序列的时间线。根据概率论，能够使用公式9评估对于BC_test的PMHF的定量贡献：

示例：这是其中由FL-SM所控制的DVF故障可以引起危险的、与之前无关的另一可能方式，FL-SM接着由SL-SM监控(每隔τ执行测试)。

如果第一层安全机制和第二层安全机制两者在同一时间跨度[(n-1)τ,nτ]内均不可用，则将无法知晓第一层安全机制不再工作且因此将不覆盖P中发生的任何故障，于是引起危险。公式10给出了与部件、其相关的第一层和第二层安全机制整体相关的总BC_test贡献：

BC_cascade

BC_cascade是按以下顺序发生的三个故障的贡献：第一故障F1发生在间隔[(m-1)τ，mτ]中，第二故障F2发生在以及第三故障F3发生在图8示出了产生该贡献的故障的序列的时间线。根据概率论，能够使用公式11评估对于BC_cascade的PMHF的定量贡献：

示例：这又是其中由FL-SM所控制的DVF故障可引起危险的、与之前无关的可能方式，其中FL-SM接着由SL-SM监控(每隔τ执行测试)。

如果首先使得SL-SM不可用(F1)，则无法检测到FL-SM中出现的任何故障(F2)，使得如果发生DVF故障(F3)，则将引起危险。注意，第三故障F3不能与第二故障F2一样发生在间隔[(n-1)τ，nτ]中，否则BC_cascade将与BC_tau无关。公式12给出了与部件、其相关的第一层和第二层安全机制整体有关的总BC_cascade贡献：

BC_2Layers

在其中第一层和第二层安全机制均正在执行检测的情形中，可以仅计算其导致危险的总可能性，作为3个无关事件BC_tau,BC_test和BC_cascade的组合。因此，当一起使用三个基本层时，公式13中描述的新贡献(“BC_2layers”)可以定义为它们之和：

BC_2Layers(λ_F1,λ_F2,λ_F3)＝BC_tau(λ_F1,λ_F2)+

+BC_test(λ_F1,λ_F2,λ_F3)+BC_cascade(λ_F1,λ_F2,λ_F3) (13)

BC的应用

在安全分析过程中，可以通过对基本贡献的所有组合求和而计算PMHF，基本贡献与可引起由任何类型故障(DVF或IVF)导出的危险的所有不相交或不相关事件有关，故障可以由具有控制和/或检测能力的FL-SM覆盖，FL-SM接着可以由SL-SM监控或不监控。

表格3示出了对于DVF故障的每个集合，考虑哪些基本贡献以计算PMHF。在表格4中考虑了IVF故障。对于故障集合的详细描述，请再次参照表格2。

表格3

因为FL-SMi仅具有控制能力，因此需要ID 5中的项“BC_{double_ord}(λ_{Pa_DVF_Ci_Dj},λ_{FL-SMi_IVF_Dj})”。如果故障发生在Pa中，则其由FL-SMi控制但是并未通知。如果在此之后，故障使得FL-SMi不可用，则独立于SL-SMj而产生危险。保守的假设是对于DVF的FIT是0。在此之前所述的基本贡献的描述中提供的示例足以解释表格3中其他项。

参照图9，在FTA方案中，通过将与两个故障相关的两个支路的结果相乘(也即通过AND门组合)，而评估归因于两个独立IVF故障对PMHF的贡献。作为FTA方案与在此所述的方案之间相似性的结果，能够扩展以计算如表格4中所述的来自IVF故障的贡献。

表格4

在表格4中，指数“h”和“v”用于分别寻址与部件P_b相关的FL-SM和SL-SM。记住该变化，表格2可以仍然用于描述与部件P_b相关的故障的集合。

在表格4中，每个公式包含因子0.5。引入这以避免对归因于IVF故障的贡献的过度评估。考虑到以上表格的示例，归因于部件P_a和P_b中的IVF故障而对PMHF的总贡献(K_{Pa_Pb})是：

K_{Pa_Pb}＝K_{IVF_a}·K_{IVF_b}

可以容易地看到，将与Pa相关的所有贡献求和(表格4中的“PMHF贡献”列)，结果(K_{IVF_a})是：

K_{IVF_a}＝0.5·K_Pa·K_Pb

也可以对P_b进行该求和(K_{IVF_b})以也获得：

K_{IVF_b}＝0.5·K_Pb·K_Pa

总的贡献于是可以评估为：

K_{Pa_Pb}＝K_{IVF_a}+K_{IVF_b}＝0.5·K_Pa·K_Pb+0.5·K_Pb·K_Pa＝K_Pa·K_Pb

参照以上表格4，在IVF的情形中，存在比DVF的情形更大的FIT，且在大多数情形中，这使得SL-SM恰好能够检测FL-SM的不可用性。通过检测FL-SM的不可用性，避免了危险且因此可以忽略该贡献，且在该情形中引入项“BC_{double_ord}(λ_{Pa_IVF_Ci_Dj},λ_{FL-SMi_IVF_Dj})”甚至比DVF更保守。

仍然参照表格4，已经以其最普通方式编写了列“注意”中的K_Pb的公式，考虑了作用于其IVF故障的SM的所有可能组合(FL和SL型两种)。应该注意，如果故障的集合不存在于部件P_b中，则FIT的相关部分以及相关联的BC是0。

如果例如，在部件P_b中，不存在由FL-SM检测的故障，则λ_{Pb_IVF_Dh_U}和λ_{Pb_IVF_Dh_Dv}两者都等于0，且因此使用那些λ的BC也等于0(BC_{double_ord}(λ_{FL-SMh_IVF_U_U},λ_{Pb_IVF_Dh_U)},BC_2Layers(λ_{Pb_IVF_Dh_Dv},λ_{FL-SMh_IVF_Dv},λ_SL-SMv))。一旦已经对于整个设计评估了所有基本贡献，能够通过对所有基本贡献求和而计算总PMHF，如公式14中所述，其中K_IVF考虑了归因于IVF故障所影响的部件的贡献：

PMHF＝∑BC_single+∑BC_{double_ord}+∑BC_{double_unord}+∑BC_2Layers+∑BC_IVF

(14)

集成至安全分析流中

参照图10，示出了一种确定PMHF值的方法。该方法包括导出第二层安全机制的λ值(步骤S8.1)，导出第一层安全机制的λ值(步骤S8.2)，导出部件的λ值(步骤S8.3)，确定来自第一层安全机制的基本贡献(步骤S8.4)，确定来自部件的基本贡献(步骤S8.5)，确定归因于IVF故障的PMHF贡献(步骤S8.6)，以及计算PMHF(步骤S8.7)。

如此前所述，使用与表格2中所述不同的故障集合进行实际PMHF评估。在详细描述该方法之前，将首先描述故障集合的描述：

表格5

在表格5中，最后一列用于帮助理解被提出用以评估PMHF贡献的公式。这显示哪些描述性集合(表格2中所用)构成故障的实际集合。进一步，当实际集合由两个描述性集合构成时，第四项中的公式以两种不同字体书写(正常和斜体)，以区分与不同描述性集合相关的项。在最后一列中使用相同的记号以帮助链接公式和集合，也即倒数第二列中以斜体书写的公式与最后一列中斜体的描述性集合相关。

以下步骤使用表格5作为参考而构建。如果故障的集合不存在于部件(或FL-SM)中，则FIT的对应部分以及因此相关联的基本贡献是零。

导出SL-SM的λ(步骤S8.1)

参照图10，该方法确定FIT的与设计中所提供的第二层安全机制相关联的部分。因为用于开发模型的假设之一是该安全机制的不当行为无法直接产生危险，因此与给定SL-SM(SL-SMj)相关联的FIT全部添加至λ_SL-SMj(步骤S8.1.1至S8.1.7)。

导出FL-SM的λ(步骤S2)

参照图11，该方法确定FIT的与第一层安全机制相关联的部分(步骤S8.2.1至S8.2.14)。合理的假设是，这些安全机制的至少一些具有直接产生危险的潜力。为此原因，对这些第一层安全机制执行第一检查，以识别影响了给定SM(FL-SMi)的故障是DVF或IVF(步骤S8.2.3)。执行第二检查以查看故障是否由安全机制覆盖(步骤S8.2.4)。当发现故障待由安全机制覆盖时，在FL-SM和SL-SM之间建立链接(步骤S8.2.5和S8.2.10)。该链接以兰姆达分类数据47(图19)形式至少临时地存储在工作存储器48(图19)中。该链接允许当评估基本贡献时寻址待用于公式中的FIT的正确部分。当发现故障由多于一个安全机制覆盖时，链接仅发给最高排名的一个。

作为这些检查的结果，安全机制的FIT分成以下不同(也即不连接)的集合，也即λ_{FL-SMi_DVF_U},λ_{FL-SMi_DVF_Cj},λ_{FL-SMi_IVF_U}和λ_{FL-SMi_IVF_Cj}。因为假设第二层安全机制仅可以检测故障(而不控制它们)，因此无需区分第一层安全机制中的故障是否仅能控制或者也能够检测。

导出部件的λ(步骤S8.3)

参照图12，该方法确定FIT的与部件相关联的部分(步骤S8.3.1至S8.3.18)。

导出部件的λ类似于导出第一层安全机制的λ，主要差异在于仅被控制的故障与也被检测的故障之间做出区分。因此，该方法检查故障是否仅被控制(步骤S8.3.6和S8.3.13)。

对于导出第一层安全机制的λ，在部件与覆盖其故障的安全机制之间创建链接(步骤S8.3.5和S8.3.12)。类似地，当发现故障被多于一个安全机制覆盖时，链接仅发给最高排名的一个。

在该步骤结束处，λ的以下集合是可用的，也即λ_{Pn_DVF_U},λ_{Pn_DVF_Di},λ_{Pn_DVF_Ci},λ_{Pn_IVF_U},λ_{Pn_IVF_Di},和λ_{Pn_IVF_Ci}。可以以不同顺序执行步骤S1至S3，且可以修改一个或多个步骤。

确定来自FL-SM的基本贡献(步骤S8.4)

参照图13，一旦已经导出了电子系统(诸如微控制器)的部件和安全机制的FIT的子集合，则该方法确定归因于安全机制中的DVF故障的PMHF贡献(步骤S8.4.1至S8.4.4)。归因于第i个安全机制的DVF故障的贡献被标记为K_{SM_i}。如果第i安全机制SMi未被DVF故障影响，则K_{SM_i}＝0。

一旦评估了K_{SM_i}，其在公式中直接用于计算PMHF。

根据表格3，对于第一层安全机制仅考虑归因于DVF故障的贡献。在分析被安全机制自身所覆盖部件期间将直接考虑归因于它们的IVF故障的贡献。

确定来自部件的基本贡献(步骤S8.5)

参照图14，该方法确定归因于影响给定部件P_n的IVF和DVF故障而对PMHF的贡献(步骤S8.5.1至S8.5.7)。

该步骤的输出是：

K_{DVF_n}：归因于DVF故障的贡献；如果P_n不具有DVF故障，则K_{DVF_n}＝0；K_{DVF_n}一旦被评估，则在公式中直接用于PMHF的计算；以及

K_{IVF_n}：归因于IVF故障的贡献；如果P_n不具有IVF故障，则K_{IVF_n}＝0。在公式中使用K_{IVF_n}计算PMHF之前，需要执行另一评估步骤。

如在公式15和16中所列的，分别计算项“ΣBC_{double_unord}(λ_{Pn_IVF_Ci},λ_{FL-SMi_IVF_U})”和“ΣBC_2Layers(λ_{Pn_IVF_Di},λ_{FL-SMi_IVF_Dj},λ_SL-SMj)”。示例中使用的FIT的集合描述在表格6中：

表格6

∑BC_{double_unord}(λ_{Pn_IVF_Ci},λ_{FL-SMi_IVF_U})＝

＝BC_{double_unord}(λ_{Pn_IVF_C1},λ_{FL-SM1_IVF_U})+

+BC_{double_unord}(λ_{Pn_IVF_C2},λ_{FL-SM2_IVF_U})

(15)

∑BC_2Layers(λ_{Pn_IVF_Di},λ_{FL-SMi_IVF_Dj},λ_SL-SMj)＝

＝BC_2Layers(λ_{Pn_IVF_D3},λ_{FL-SM3_IVF_D2},λ_SL-SM2)+

+BC_2Layers(λ_{Pn_IVF_D3},λ_{FL-SM3_IVF_D3},λ_SL-SM3)+

+BC_2Layers(λ_{Pn_IVF_D4},λ_{FL-SM4_IVF_D1},λ_SL-SM1)

(16)

确定归因于IVF故障的PMHF贡献(步骤S8.6)

参照图15，该方法确定归因于IVF而对PMHF的贡献(步骤S8.6.1至S8.6.7)。在IVF的情形中，识别两个并发部件中的每一个以适当地评估PMHF贡献。如果影响P_A的IVF被需要以便P_B中的IVF导致安全目标的违例，则第一部件P_A与第二部件P_B并发。并发是可交换的，使得如果第一部件P_A与第二部件P_B并发，则第二部件P_B与第一部件P_A并发。

该步骤确定部件是否提供安全机制并根据部件是否提供安全机制而调节贡献。如果部件不提供安全机制，则没有贡献；如果部件提供安全机制，则以0.5的因子减小贡献。

在安全分析方法中，IVF并发部件使用部件层级分析报告10(图18)的元件特性17(图21)中的“IVF_concurrent”属性49而可识别。

在一些情形中，可能无法识别并发部件。例如，如果手动评估故障影响，则假设故障无法自己产生危险，且以保守的方式，如果故障并未分类为NVF，则故障变为IVF。对于该情形，该方法允许识别设计的“最坏IVF部件”，也即P_g。

该方法首先导出K_Pg(步骤S8.6.1)，其是影响部件的所有IVF故障的贡献并被考虑为评估归因于IVF故障而对PMHF的贡献所需的独立分支之一。

该方法随后在P_n部件之中选择具有IVF故障和空白“IVF_concurrent”属性的P_g，其具有最高的K_{IVF_n}(步骤S8.6.3和S8.6.4)。部件P_g中的故障随后视为与IVF故障并发，IVF故障的父类部件在“IVF_concurrent”属性中具有空白项(步骤S8.6.3)。

存在两种可能性，也即(1)部件通过元件特性17(图21)中的属性“IVF_concurrent”17(图21)明确地链接至另一部件，或者(2)部件并未链接至任何其他部件且其在元件特性17(图21)中的相关属性“IVF_concurrent”17(图21)留白。

在第一情形中，计算是直接的且仅需要组合两个并发部件的在之前步骤期间计算的基本贡献(步骤S8.6.3、S8.6.8和S8.6.10，由箭头A标记)。在第二情形中，评估对PMHF的贡献要求额外步骤，也即选择“最坏IVF部件”(步骤S6.1)。

对于在元件特性17(图21)中具有空白“IVF_concurrent”属性17(图21)的部件，将P_n与最坏IVF部件P_g(其选择稍后给出)相关联而计算K_{IVF_n}。否则，遵循以元件特性17(图21)中的“IVF_concurrent”属性17(图21)中表示的链接而评估并发分支。

检查“n＝g？”(步骤S8.6.4)允许如果待分析的部件是分类为“最坏IVF部件”的一个，则跳过归因于影响部件的IVF故障的贡献。

现在将解释引入该步骤的原因。

P_g的分析应提供贡献：

其中k的值使得P_k是链接至P_g的部件，而与P_g相关联的部件的每一个应提供

K_{IVF_k}＝0.5·K_{IVF_k_side}·K_{IVF_k*}＝0.5·K_{IVF_k_side}·K_Pg

使得可以容易地发现P_g以及与其相关联的所有部件的总贡献，K_{Pg_Pk}是：

为了评估K_Pg，该方法应理想地留意与P_g相关联的每一个部件。然而这要求处理资源。因此，可以使用更容易的方案，由此简单地评估总K_{Pg_Pk}。由于检查“n＝g？”，因此采用的方案提供K’_{IVF_g}＝0，而同时在一系列步骤S6.4和S6.9(由箭头B标记)之后，给出：

可以将采用该不同方案评估的P_g以及与其相关联的所有部件的总贡献(K’_{Pg_Pk})计算为精确地等同于之前计算的值，也即：

计算PMHF(步骤S8.7)

参照图16，该方法计算PMHF(步骤S8.7)。这通过将所有贡献K_{SM_i},K_{DVF_n}和K_{IVF_ne}求和而完成。

设计支持系统1

参照图17，示出了用于产生诸如微控制器的电子部件的功能安全数据的设计支持系统1。

设计支持系统1包括开发者安全分析系统2、客户安全分析系统3以及用于存储安全数据的共享数据库4，安全数据包括可定制分析报告6和用于准备可定制分析报告6的故障列表7。

可定制分析报告6包括分析配置数据8、分析报告9、部件层级分析报告10、以及安全机制报告11。分析报告9包括故障影响分析数据12、故障覆盖分析数据13、兰姆达值14以及硬件度量值和随机硬件故障的概率度量(PMHF)值15。部件层级分析报告10包括元件列表16、元件特性数据17以及故障相关性分析18。如图18中所示，故障相关性分析18包括故障影响分析数据12和故障覆盖分析数据13。故障列表7包括故障影响分析故障列表19和故障覆盖分析故障列表20。可定制分析报告6和/或故障列表7可以以表格集合的形式而存储。

故障影响分析数据12和故障覆盖分析数据13无需包括在分析报告9中。同样，故障影响分析数据12和故障覆盖分析数据13无需包括在部件层级分析报告10中。

故障影响分析数据12和故障覆盖分析数据13可以与分析报告9和/或部件层级分析报告10分离地存储。故障影响分析数据12和故障覆盖分析数据13可以复制(例如通过镜像)并存储在分析报告9和/或部件层级分析报告10的一个或两者中。

设计支持系统1也包括开发者数据库21、22、23的集合。

兰姆达分类数据47可以存储在安全数据库4中。兰姆达分类数据47可以包括在可定制分析报告16中。

当诸如微控制器的设计电子部件时，开发者可以产生可定制分析报告6。开发者和/或客户可以改变分析配置数据8、故障影响分析数据12和故障覆盖13，并检查如此进行对兰姆达值14以及硬件度量值和PMHF值15的影响。

可定制分析报告6的一些部分对于开发者可以是可见的，但是对于客户不可见。可定制分析报告6的一些部分可以是可见的，但是不可由客户改变。可定制分析报告6的一些部分可以由客户改变，但是可以限制客户改变位于开发者所指定的范围中或具有特殊值的值。以这些方式的一个或多个限制可定制分析报告6可以有助于防止客户做出意外或无效的改变。

设计支持系统1可以采取数据库和数据库管理系统的形式。可定制分析报告6可以以电子数据表和文本文件的形式存储。

图19更详细说明了设计支持系统1的开发者侧。

参照图19，设计支持系统1包括开发者数据库21、22、23的集合，该集合包括设计数据库21、故障列表数据库22以及假设数据库23。设计数据库21存储电子部件的设计的描述24，例如以包括尺寸信息的版图前、门级网表的形式。然而，描述24可以包括关于版图的额外信息，诸如逻辑块之间的距离。版图信息可以用于识别桥接故障。描述24可以包括在更高或更低抽象层级下的信息。描述24可以包括来自多于一个抽象层级的信息。

故障列表数据库22存储了可能故障25的列表。故障列表25可以采取表格的形式，例如电子数据表或文本文件，列出了可能的故障，诸如“卡在0处”或“卡在1处”。

假设数据库23存储了关于将如何使用电子部件的假设26。假设26可以采取表格的形式，例如电子数据表或文本文件，列出了假设，诸如“假设1：系统正在使用外部看门狗，外部看门狗如果不清零则每隔10微秒产生复位”。

开发者安全分析系统2包括用于产生可定制分析报告6的模块27、27、29、30、30、32、46。开发者安全分析系统2包括设计划分模块27、故障概率特性模块28、故障影响分析模块29、安全机制分析模块30、故障覆盖分析模块31、安全参数产生模块32以及PMHF产生模块46。

设计支持系统1允许开发者和客户在电子部件的开发期间协作。使用在此所述的系统1和方法，可以允许系统性方案量化电子部件的安全性能并评估其研发。设计支持系统1可以加速设计电子部件的进程。

图21更详细示出了元件特性数据17。

参照图21，元件特性数据17包括元件的输入项70的集合，每个输入项70包括：包含元件标识符(ID)的第一属性字段71，包含元件名称的第二属性字段72，包含用于标记部件是否与安全相关的指示符的第三属性字段73，包含故障特征名称的第四属性字段74，包含故障率特征名称的第五属性字段75 35，以及包含该元件待链接至的另一元件的标识符或者名称的第六属性字段49，或者如果没有链接，同样例如通过设置为空值或虚设值而标记属性(在此称作“空白”)。

元件特性数据17也可以包括关于元件的尺寸信息。

元件特性数据17存储在安全数据库4(图18)中作为部件层级分析报告10中的区段。

安全分析的概述

参照图18、图19、图20和图22，示出了分析电子部件的功能安全性能的整体方案。在此，将使用微控制器的示例。然而，方案可以适用于其他类型集成电路，诸如芯片上系统(SoC)、存储器、专用集成电路(ASIC)、模拟IC、混合信号IC和功率IC，以及其他电子部件。该方案可以适用于包括多个电子部件的电子系统。

准备电子部件、在该示例中为微控制器的设计51(步骤S1)。

划分设计51以限定元件52，其包括诸如CPU内核、嵌入式存储器和通信单元的部件52₁，以及诸如宏和数字标准单元块的子部件52₂(步骤S2)。

一旦已经识别了元件52，则识别具有影响每个元件52的潜力的物理缺陷，且通过将以时间故障(FIT)为单位测量的故障率(其是每109个装置操作小时所预期的故障数目)分配给元件52、通过将一个或多个故障模型分派给元件52、以及如果存在多于一个故障模型而通过在不同故障模型之间分派故障率的分布而特征化每个元件52(步骤S3)。

识别嵌入在微控制器中或假设在微控制器外的诸如自校验逻辑或回送逻辑的安全机制，且调查它们的特性(步骤S4)。如稍后将更详细所述，安全机制可以完全实施在硬件中，完全在软件中，或使用硬件和软件两者，或提供在微控制器外。一旦已经识别了安全机制，确定安全机制的整体有效性(步骤S5)。

独立于安全机制的任何考虑，确定故障对于元件52的影响(步骤S6)。如稍后更详细所述，可以做出关于微控制器的使用的假设。

一旦已经评估了故障覆盖和故障影响，则进行故障分类，这产生微控制器的故障率和硬件度量(步骤S7)。

结果14、15输出在报告6中并存储在安全数据库4中。如稍后将更详细所述，报告6是可定制的。开发者和/或客户可以改变输入参数以查看结果14、15如何变化。

可以评估由于随机硬件故障而导致的安全目标违例的概率(步骤S8)。如之前所述，可以使用FMEA类似分析而获得PMHF的值。

可以检查相对于量化目标的结果顺应性(步骤S9)。这包括检查硬件度量值，以及相对于所限定的目标的随机硬件故障的概率度量(PMHF)/割集方法，以检查似真性和顺应性。可以分析芯片上模块之间的相互作用(步骤S10)。

进行安全分析、硬件度量值和PMHF/割集结果的回顾(步骤S11)。可以更新设计(步骤S12)且方法重复直至实现了令人满意的设计。

系统的进一步细节可以在EP2757476A2中找到，在此通过引用并入本文。在此以及EP2757476A2中的相同的特征由相同的附图标记指示。

修改

应该知晓，可以对此前所述实施例做出各种修改。该修改可以包括在安全分析系统及其部件的设计、制造和使用中已经已知且可以替代于在此已经描述过的特征或者除此之外而使用的等价形式和其他特征。一个实施例的特征可以由另一实施例的特征替代或替换。

尽管已经在本申请中对于特征的特定组合阐明了权利要求，但应该理解，本发明的公开的范围也包括明确或隐含地在此所公开的任何创新特征或者特征的任何创新组合或者其泛化，不论其是否涉及任何权利要求中展现的相同发明，也不论其是否如本发明一样减轻了相同技术问题的任意或全部。申请人由此通告，可以在本申请或由此导出的任何进一步申请的诉讼期间阐明对于该特征和/或该特征的组合的新权利要求。