Количественный анализ аппаратных средств — обязательный элемент функциональной безопасности для изделий с уровнями ASIL (B), C и D по ISO 26262. Его часто воспринимают как сложную и трудоёмкую часть стандарта, необходимую лишь «для галочки» и прохождения аудита.
Но именно количественный анализ позволяет подтвердить выбор безопасной аппаратуры. В отличие от качественных методов, он позволяет не просто перечислить возможные отказы, а оценить их вероятность и вклад в нарушение целей безопасности — и на основе цифр принимать инженерные решения.
Сегодня разбираем, когда без количественного анализа действительно не обойтись, зачем тратить время на расчёты и какие выводы он позволяет сделать о безопасности аппаратной архитектуры.
❓В каких случаях без него не обойтись
На практике количественный анализ используется в нескольких ключевых ситуациях:
1. Оценка архитектурных метрик аппаратуры (Clause 8, ISO 26262-5)
Применяется для оценки эффективности архитектуры с точки зрения обнаружения и контроля случайных аппаратных сбоев.
2. Оценка нарушений целей безопасности из-за случайных сбоев (Clause 9, ISO 26262-5)
Необходима для подтверждения того, что остаточный риск нарушения целей безопасности находится на допустимом уровне.
3. Разработка сложных микросхем и полупроводников
Количественный анализ дополняет качественный и используется для доказательства того, что дизайн полупроводникового компонента соответствует целевым значениям метрик.
4. Анализ по методу EEC (Evaluation of Each Cause)
Метод основан на индивидуальной оценке каждой части оборудования и ее вклада в нарушение цели безопасности. Часто реализуется в виде количественной FMEA-таблицы.
❓Зачем тратить время на расчёты
Главная цель количественного анализа — предсказать частоту отказов, а не просто перечислить их. Это принципиально отличает его от качественных методов, которые ограничиваются идентификацией видов отказов.
На практике он позволяет:
▪️ сравнивать различные варианты архитектур между собой▪️с — метрики быстро показывают, какое решение действительно безопаснее;
▪️ оценивать диагностическое покрытие — насколько хорошо механизмы безопасности справляются с одиночными, остаточными и скрытыми сбоями;
▪️ обосновывать дизайн — находить доказательство того, что проект соответствует целям безопасности с учетом интенсивности отказов компонентов.
▪️ находить слабые места — расчёт помогает определить «топ-вкладчиков» в общую интенсивность опасных отказов для их дальнейшей доработки.
❓Что в итоге должно получится
Результатом количественного анализа являются конкретные, проверяемые показатели:
▪️ SPFM (Single-Point Fault Metric) — метрика одиночных точек отказа, подтверждающая устойчивость архитектуры к одиночным и остаточным сбоям.
▪️ LFM (Latent-Fault Metric) — метрика скрытых отказов, подтверждающая, что механизмы контроля скрытых дефектов (например, самотестирование при включении) работают эффективно.
▪️ PMHF (Probabilistic Metric for random Hardware Failures) — средняя вероятность нарушения цели безопасности в час на протяжении срока эксплуатации.
▪️ Приемлемость каждого опасного отказа — подтверждается, что для каждой причины нарушения цели безопасности приняты адекватные меры (например, использование консервативных данных или специальных методов контроля)
Количественный анализ — это не формальная «галочка» для соответствия ISO 26262, а инструмент поиска безопасных решений. Он позволяет перейти от общих рассуждений о безопасности аппаратуры к численно обоснованному дизайну, понять реальные риски архитектуры и целенаправленно снижать их еще на этапе разработки.