功能安全之由两个系统组成的项目的PMHF预算分配的例
作者|booksoser
来源|汽车电子硬件设计
G.1目标
在本例中,给出了两个系统的PMHF预算程序,这两个系统都有助于实现相同的安全目标
注意:为了突出某些程序的缺陷,这个例子被夸大了。
G.2相关项架构
该相关项由两个系统组成,系统A和系统B(见图G.1),它们连接到每个系统
其他通过车辆网络总线(例如。CAN、FlexRay或以太网)。
图G.1——相关项的系统架构
系统B由一个ECUB和十个传感器组成,传感器B1到传感器B10。系统A由一个ECUA、一个传感器A1和一个执行器A组成。
G.3事件链
传感器传感器B1到传感器B10将其信号SigB1转发到SigB10到ECUB(见图G.2)。ECUB使用这些信号计算新的信号值SigB11到SigB1000。从传感器接收到的信号SigB1到SigB10,然后由ECUB转发给ECUA。
图G.2-事件链
ECUA使用信号SigB1到SigB1000和来自传感器A1的信号SigA1来计算控制值,然后将其应用于执行器。
G.4条件
下列条件适用:
Ø 安全目标SG_A:避免执行器A的不正确驱动超过100ms(ASILD);
Ø 每个信号SigA1,SigB1到SigB1000可能导致违反安全目标A,如果值不正确;
Ø ECUA没有可能检查SigB1到SigB1000;和
Ø 系统B需要检查SigB1到SigB1000的正确性。
G.5总体PMHF目标值
根据9.4.2.3,PMHF预算可以根据项目中的系统数量进行调整。在这种情况下,两个系统和车辆网络可能导致违反安全目标。每个系统的预算为10−8小时。此外,车辆网络的预算为10−10小时(例如)。从应用于类似设计的定量分析中得出)。因此,违反安全目标SG_A的总预算为2101×10−8小时(见图G.3)。
图G.3-PMHF目标分配
G.6系统B的PMHF预算规范
作为第一步,识别系统B提供的所有信号,这些信号可能导致违反安全目标。它们被分配给一个信号组,例如。SigGroup_SG_A=[SigB1,.,SigB1000]。
作为下一步,分配给系统B的关于违反安全目标A的预算分配给信号组SigGroup_SG_A的一个或多个信号的崩溃。
SafReq_B1:防止输出一个或多个不正确的信号组SigGroup_SG_A(ASILD)与:
Ø PMHF≤10−8小时;
Ø SPFM≥99%;
Ø LFM≥90%;和
Ø 如果信号偏离正确值≥最大值(常数,x%),则信号被认为是不正确的信号。
这允许系统B的供应商在一个安全分析中识别所有相关的HW元素,同时根据供应商认为适当的情况分配失效率预算(例如。图G.4)。
图G.4-考虑HW元素的FTA
注:由于系统B提供的1000个信号中的每一个都可能违反SG_A,而且由于系统A不能检查这些信号的正确性,人们可能会倾向于将系统BPMHF预算平均分配给每个信号,从而导致PMHF预算为每个信号10−8/1000/h=10−11/h。在这种情况下,转发给系统A提供者的安全要求可以表述为“防止输出不正确的信号Bx值(ASILD,PMHF_SigBx≤10−11/h,SPFM≥99%,LFM≥90%),对于x=1至1000”。然而,系统B的总体PMHF计算认为这些信号具有共同的硬件元素(例如。ECUB),导致它们的失效率,使它们的失效不独立于彼此。在本例中,每个信号都可能受到ECUB中的失效的影响这意味着ECUB中的失效会损坏1到1000个信号。如果在不考虑这一事实的情况下,将每个信号的剩余失效率相加,这一总和可能高于整个系统B的基本失效率。因此,这种方法是不合适的。
- 用户评论
