🚗 Семь раз отмерь, один раз ответь - почему без количественного анализа безопасность остаётся на словах? Количественный анализ аппаратных средств — обязательный элемент функциональной безопасности для изделий с уровнями ASIL (B), C и D по ISO 26262. Его часто воспринимают как сложную и трудоёмкую часть стандарта, необходимую лишь «для галочки» и прохождения аудита. Но именно количественный анализ позволяет подтвердить выбор безопасной аппаратуры. В отличие от качественных методов, он позволяет не просто перечислить возможные отказы, а оценить их вероятность и вклад в нарушение целей безопасности — и на основе цифр принимать инженерные решения. Сегодня разбираем, когда без количественного анализа действительно не обойтись, зачем тратить время на расчёты и какие выводы он позволяет сделать о безопасности аппаратной архитектуры. ❓В каких случаях без него не обойтись  На практике количественный анализ используется в нескольких ключевых ситуациях: 1️⃣ Оценка архитектурных метрик аппаратуры (Clause 8, ISO 26262-5) Применяется для оценки эффективности архитектуры с точки зрения обнаружения и контроля случайных аппаратных сбоев. 2️⃣ Оценка нарушений целей безопасности из-за случайных сбоев (Clause 9, ISO 26262-5) Необходима для подтверждения того, что остаточный риск нарушения целей безопасности находится на допустимом уровне. 3️⃣ Разработка сложных микросхем и полупроводников Количественный анализ дополняет качественный и используется для доказательства того, что дизайн полупроводникового компонента соответствует целевым значениям метрик. 4️⃣ Анализ по методу EEC (Evaluation of Each Cause) Метод основан на индивидуальной оценке каждой части оборудования и ее вклада в нарушение цели безопасности. Часто реализуется в виде количественной FMEA-таблицы. ❓Зачем тратить время на расчёты Главная цель количественного анализа — предсказать частоту отказов, а не просто перечислить их. Это принципиально отличает его от качественных методов, которые ограничиваются идентификацией видов отказов. На практике он позволяет: ▪️сравнивать различные варианты архитектур между собой — метрики быстро показывают, какое решение действительно безопаснее; ▪️оценивать диагностическое покрытие — насколько хорошо механизмы безопасности справляются с одиночными, остаточными и скрытыми сбоями; ▪️обосновывать дизайн — находить доказательство того, что проект соответствует целям безопасности с учетом интенсивности отказов компонентов. ▪️находить слабые места — расчёт помогает определить «топ-вкладчиков» в общую интенсивность опасных отказов для их дальнейшей доработки. ❓Что в итоге должно получится Результатом количественного анализа являются конкретные, проверяемые показатели: ▪️SPFM (Single-Point Fault Metric) — метрика одиночных точек отказа, подтверждающая устойчивость архитектуры к одиночным и остаточным сбоям. ▪️LFM (Latent-Fault Metric) — метрика скрытых отказов, подтверждающая, что механизмы контроля скрытых дефектов (например, самотестирование при включении) работают эффективно. ▪️PMHF (Probabilistic Metric for random Hardware Failures) — средняя вероятность нарушения цели безопасности в час на протяжении срока эксплуатации. ▪️Приемлемость каждого опасного отказа — подтверждается, что для каждой причины нарушения цели безопасности приняты адекватные меры (например, использование консервативных данных или специальных методов контроля) Количественный анализ — это не формальная «галочка» для соответствия ISO 26262, а инструмент поиска безопасных решений. Он позволяет перейти от общих рассуждений о безопасности аппаратуры к численно обоснованному дизайну, понять реальные риски архитектуры и целенаправленно снижать их еще на этапе разработки. 😃 [FTS] Экварта | Лицом к безопасности