功能安全之由两个系统组成的项目的PMHF预算分配的例

来源:公众号“汽车电子硬件设计”
2020-08-12
3337

作者|booksoser

来源|汽车电子硬件设计


G.1目标

在本例中,给出了两个系统的PMHF预算程序,这两个系统都有助于实现相同的安全目标

注意:为了突出某些程序的缺陷,这个例子被夸大了。

G.2相关项架构

该相关项由两个系统组成,系统A和系统B(见图G.1),它们连接到每个系统

其他通过车辆网络总线(例如。CAN、FlexRay或以太网)。

 

 

G.1——相关项的系统架构

系统B由一个ECUB和十个传感器组成,传感器B1到传感器B10。系统A由一个ECUA、一个传感器A1和一个执行器A组成。

G.3事件

传感器传感器B1到传感器B10将其信号SigB1转发到SigB10到ECUB(见图G.2)。ECUB使用这些信号计算新的信号值SigB11到SigB1000。从传感器接收到的信号SigB1到SigB10,然后由ECUB转发给ECUA。

 

G.2-事件链

ECUA使用信号SigB1到SigB1000和来自传感器A1的信号SigA1来计算控制值,然后将其应用于执行器。

G.4条件

下列条件适用:

Ø 安全目标SG_A:避免执行器A的不正确驱动超过100ms(ASILD);

Ø 每个信号SigA1,SigB1到SigB1000可能导致违反安全目标A,如果值不正确;

Ø ECUA没有可能检查SigB1到SigB1000;和

Ø 系统B需要检查SigB1到SigB1000的正确性。

G.5总体PMHF目标值

根据9.4.2.3,PMHF预算可以根据项目中的系统数量进行调整。在这种情况下,两个系统和车辆网络可能导致违反安全目标。每个系统的预算为10−8小时。此外,车辆网络的预算为10−10小时(例如)。从应用于类似设计的定量分析中得出)。因此,违反安全目标SG_A的总预算为2101×10−8小时(见图G.3)。


G.3-PMHF目标分配

G.6系统B的PMHF预算规范

作为第一步,识别系统B提供的所有信号,这些信号可能导致违反安全目标。它们被分配给一个信号组,例如。SigGroup_SG_A=[SigB1,.,SigB1000]。

作为下一步,分配给系统B的关于违反安全目标A的预算分配给信号组SigGroup_SG_A的一个或多个信号的崩溃。

SafReq_B1:防止输出一个或多个不正确的信号组SigGroup_SG_A(ASILD)与:

Ø PMHF≤10−8小时;

Ø SPFM≥99%;

Ø LFM≥90%;和

Ø 如果信号偏离正确值≥最大值(常数,x%),则信号被认为是不正确的信号。

这允许系统B的供应商在一个安全分析中识别所有相关的HW元素,同时根据供应商认为适当的情况分配失效率预算(例如。G.4)。

 

G.4-考虑HW元素的FTA

注:由于系统B提供的1000个信号中的每一个都可能违反SG_A,而且由于系统A不能检查这些信号的正确性,人们可能会倾向于将系统BPMHF预算平均分配给每个信号,从而导致PMHF预算为每个信号10−8/1000/h=10−11/h。在这种情况下,转发给系统A提供者的安全要求可以表述为“防止输出不正确的信号Bx值(ASILD,PMHF_SigBx≤10−11/h,SPFM≥99%,LFM≥90%),对于x=1至1000”。然而,系统B的总体PMHF计算认为这些信号具有共同的硬件元素(例如。ECUB),导致它们的失效率,使它们的失效不独立于彼此。在本例中,每个信号都可能受到ECUB中的失效的影响这意味着ECUB中的失效会损坏1到1000个信号。如果在不考虑这一事实的情况下,将每个信号的剩余失效率相加,这一总和可能高于整个系统B的基本失效率。因此,这种方法是不合适的。


收藏
点赞
2000