功能安全之潜在失效处理例
作者|booksoser
来源|汽车电子硬件设计
H.1概述
本附件旨在澄清如何处理不同类型的安全机制,给出两个例子,以便按照8.4.8备选方案的要求评估HW指标,安全机制分为两类:基于失效检测和控制组合的安全机制(过渡到安全状态,即使安全机制随后失效也不会产生影响),以及仅基于失效效应控制的安全机制。本附件还旨在阐明应用8.4.8的替代c)仅限于进行失效检测和控制的安全机制的原因。
H.2例如基于失效检测和控制的安全机制
在第一个例子中(见图H.1),系统是用基于失效的安全机制设计的
检测和控制:
图H.1-基于失效检测和控制的安全机制
在此图形表示中:WD=窗口看门狗;UC=微控制器;C1=组件1。
窗口看门狗是监视uc的安全机制;它对uc的剩余失效(例如,)的诊断覆盖率。时钟相关问题等)是60%。在没有安全机制的情况下,有可能违反安全目标的覆盖失效的这一百分比被认为是检测到的多点失效(特别是它是双点失效),因为失效是由安全机制检测到的,并向司机表示,并防止违反安全目标(即。失效被控制)。一旦窗口看门狗检测到失效,就会将系统过渡到安全状态。
在窗口看门狗上发生的失效可以使其检测或错误控制能力失效。如果这种失效既没有被安全机制(WD启动测试)检测到,也没有被驾驶员感知(假设失效WD的影响不能被驾驶员感知),则被认为是潜在的失效。
考虑到刚才提到的分类,下表是定量分析摘录
描述HW度量的评估:
表H.1-基于失效检测和控制的安全机制的定量分析摘录
注1:8.4.8的备选c)可适用于每个安全机制,其不可用可能导致违反安全目标的系统,其基础是失效检测和控制。在这种情况下,替代的c)是有效的,因为安全机制监测的失效模式不会导致潜在的失效FIT。因此,对潜在失效FIT的唯一贡献来自于安全机制本身。
注2:uc(时钟相关问题-100FIT)的失效模式有可能违反安全目标;窗口看门狗是控制失效的安全机制。窗口看门狗的失效有可能与另一个失效相结合,违反安全目标。未通过看门狗启动测试检测到的窗口看门狗失效被视为潜在失效(4FIT)。安全机构防止uC失效模式违反安全目标的分数为60%(60FIT),因此与剩余失效相关的失效率为40FIT。通过安全机制(窗口看门狗)检测到防止违反安全目标的60%考虑的失效模式(60FIT),该机制检测失效并触发向安全状态的过渡。根据ISO26262-10的随机硬件失效分类,安全机构(60FIT)所涵盖的失效被认为是检测到的多点失效,因此,从定义上看,它们不能被认为是潜在失效。
注3组件C1中的失效由UC控制,DC为97%。
该参数对于基于失效检测和控制的安全机制是有效的;该参数对于仅执行失效影响控制的安全机制是无效的(例如。RAM的EDC没有错误信号)。
H.3例具有基于失效效应控制的安全机制
在第二个例中(见图H.2),该系统是基于失效影响控制的安全机制设计:
图H.2-基于失效影响控制的安全机制
在这个图形表示(图H.2)中:=组件A;过滤器=离散组件;B==组件B。
安全要求是“系统必须在其电气规范内提供信号”;违反安全要求可能导致违反安全目标。
注1假设组件A提供正确的信号,如果没有失效。
如果在组件A上发生失效,使A提供的信号受到干扰,显示出噪声,则由安全机制(滤波器)对其进行滤波。因此,如果信号显示永久噪声,它将始终被滤波器准时恢复,因为它工作正确。安全机构失效模式“信号噪声”的失效模式覆盖率为99.9%。由于在这种情况下,现有的安全机制执行永久和准时的恢复,在没有安全机制的情况下可能违反安全目标的失效受到控制,但既没有检测到也没有察觉到;因此,它被视为潜在的失效。
一旦组件A上的永久失效发生,当滤波器上的失效发生时,实现双点失效;直到那一刻,组件A上覆盖的失效将在系统级别上不可见。
注2:与例中的过滤器相似的安全机制不执行失效检测,但它们只控制失效。因此,系统无法区分失效和正常行为(安全机制的作用被触发,直到安全机制本身发生失效)。
表H.2-基于失效影响控制的安全机制的定量分析摘录
注38.4.8的备选c)不适用于该系统,其特点是基于失效效应控制的安全机制。因此,在这种情况下,8.4.8的备选方案a)和b)是唯一的可能性。
- 用户评论