車輛中心 研究發展處 鄭守益

車輛中心(ARTC)於2015年取得SGS頒發國際車電系統最高標準ISO 26262功能安全（Functional Safety）流程認證，2016年為了實現具有高可靠度/安全性的車用主動安全系統控制器，於硬體設計過程中導入ISO 26262功能安全Part 5硬體層級安全機制(Safety Mechanism)，可有效保護控制器失效時對系統造成危害。有關ISO 26262硬體功能安全設計分析方法主要有失效模式與影響分析（Failure Mode and Effect Analysis, FMEA）、失效樹分析(Fault Tree Analysis, FTA)及失效模式影響與診斷分析(Failure Mode Effect and Diagnostic Analysis, FMEDA)三種，本文藉由FMEDA控制器硬體安全設計分析方法，經由SGS輔導研發團隊來量化與分析控制器安全性能指標，藉此技術來強化硬體電路設計，減少車輛系統控制器設計不良造成人員損傷。

ISO 26262的發展流程係先進行系統危害分析與風險評估（Hazard Analysis and Risk Assessment, HARA）、定義車輛安全完整性等級（Automotive Safety Integrity Level, ASIL）與安全目標（Safe Goals, SG），ASIL等級由ASIL A到ASIL D組成，其中ASIL A的等級最低而ASIL D等級最高，且等級越高則代表系統功能安全需求越嚴苛。透過功能安全概念（Functional Safe Concept, FSC）滿足系統安全目標條件，以技術安全概念（Technical Safe Concept, TSC）實現功能安全需求，並分配以軟體或硬體去實施此技術，提高系統自我異常診斷能力，接續發展到硬體端的FMEDA失效模式影響與診斷分析，評估控制器硬體具備之安全量化指標是否滿足ASIL等級要求。

圖. ISO 26262功能安全設計發展流程

資料來源：ISO 26262

由ASIL等級可明確地得到單點故障指標（Single Point Fault Metric, SPFM）與潛在故障指標（Latent Fault Metric, LFM）兩項分數，其中SPFM較LFM的數值較難達成，故硬體設計時首先應避免單點失效情況發生，在電源端電路設計時透過電容串聯設計，可提高整體SPFM數值。於元件故障發生時需有安全機制來提高SPFM及LFM的數值，安全機制可由軟體或硬體做診斷方式(法)，如兩者搭配可提高診斷覆蓋率（Diagnostic Coverage, DC）數值。診斷覆蓋率分為High（99%）、Medium（90%）、Low（60%）三個層級，電路設計時需選擇高診斷覆蓋率的方式(法)，詳細內容可參考ISO 26262 Part 5 Table D.1。

表：ASIL等級-SPFM與LFM數值

資料來源：ISO 26262

先進駕駛輔助系統（Advanced Driver Assistance System , ADAS）為車輛產業近幾年重點發展技術，ARTC將自動緊急煞車系統（Autonomous Emergency Braking System, AEB）控制器列為須通過ASIL C認證，歷時4個月與SGS技術專家討論及檢閱後完成硬體層級FMEDA分析，確認系統於失效模式發生時都有相對應診斷安全處理機制，結果符合功能安全ASIL C等級目標。研發團隊將此功能安全需求技術擴及相關車輛控制器，藉以提升與精進整車電控系統操作安全等級。

表：AEB自動緊急煞車系統之FMEDA分析結果

ISO 26262 Part 5 除了描述使用FMEDA方法評估硬體安全等級外，建議可搭配FMEA與FTA兩種方法來分析系統、硬體與軟體開發設計中是否有遺漏或不足，充分利用每個工具的特點來協助系統故障分析，使得車用主動安全系統控制器更加可靠與強健。