汽车功能安全专家不轻易教的方法--如何判断安全机制的诊断覆盖率
如何判断安全机制的诊断覆盖率
Carson
最近工作中遇到关于安全机制的诊断覆盖率值,因其差之毫厘而谬以千里,FMEDA评估结果不达标,导致项目设计需要作出重大变更。如何确定安全机制的诊断覆盖率,ISO 26262 2011提供了诊断覆盖率(DC)的典型估计值,用于定量分析期间的各种安全机制。
但是,针对这个具体的诊断覆盖率的估计值,大家理解相当不一样,同时这个取值也是值得推敲,必须是60%,90%或99%,答案肯定不是的,这就需要我们做出严谨的分析了,结合实际的应用场景确定合适的诊断覆盖率值。所以发现在在ISO26262 2018中,这三个值被悄然的挪走了, 留给大家发挥的空间了。其实针对诊断覆盖率,主要有两个问题:1. 单个安全机制的诊断覆盖率如何定值;2. 当有多个安全机制同时适用于单一故障模式时,如何定值。
1. 单个安全机制的诊断覆盖率如何定值?
下面就传感器相关安全机制的诊断覆盖率做例子进行简单的分析。下表是ISO26262 推荐的传感器的一些安全机制的诊断覆盖率的级别信息。
透过这张表发表,valid range的检查算是比较low的一种,如果按照之前的2011版的,只有60%的覆盖率。如果针对传感器的手册来看,诊断覆盖率其实可以做一些简单的计算评估。下图是某款传感器的电压输出有效范围,基于ADC采样去判断其有效范围。假设ADC的量程是0~5V,对失效模式短路到地和短路到电源的诊断范围,可以理解为超出有效输出范围都是故障模式,诊断覆盖率可以简单计算为1-(1.205-0.174)/5=79%。这个值比之前标准推荐的60%相对更加合理一些。
传感器相互校验的目标是用冗余传感器探测范围内的传感器漂移、偏移或其他错误。通过同时比较两个相同或相似的传感器,以检测范围内的故障,如漂移,补偿,或停滞。下图给出了两个斜率相等但方向相反的传感器的例子。对于每个传感器,超出范围的区域是不同的。通常与使用ADC读取ECU的传感器一起使用。这种安全机制的使用下,绝大部分的失效模式都可以被探测到,诊断覆盖率可以认为是99%。如果结合IC级别的FMEDA报告,可以得出更加合理的诊断覆盖率的值。
针对上述的例子,安全机制的诊断覆盖率需要结合实际的应用场景,仔细分析和研究,给出合适的诊断覆盖率的值,而不是机械式执行标准推荐的典型值。
2. 当有多个安全机制同时适用于单一故障模式时,如何定值?
当有多个安全机制同时适用于单一故障模式时,我们该怎么办呢?在这样一个真实的场景中,如何估计诊断覆盖率? 在多个安全机制诊断单一故障模式的情况下,我们需要提供足够的理论依据,同时评估所有同步诊断的有效覆盖率,以检测特定的故障。以下是一些方法,可以用来估计有效的诊断覆盖率。假设有3种安全机制SM1 (DC1 = 90%), SM2 (DC2 = 60%)和SM3 (DC3 = 50%)适用于故障模式。然后我们可以使用几种方法中的一种。
方法1:
•等效DC = 最有效安全机制 SM1的DC
•这是最保守的方法,因为不考虑效率较低的安全机制
方法2:
•每一个适用的安全机制都覆盖故障的独立部分。例如,SM1检测到90%的故障模式,SM2检测到SM1之后剩余故障的60%,SM3检测到SM1和SM2之后剩余故障的50%
•这是最乐观的方法
方法3:
•等效DC =独立SM的DC +其他安全机制的平均值(假设独立于SM1)
•这一估计认为,检测到的一小部分故障是安全机制之间的常见故障 (SM2和SM3)
方法4:
•下限由最有效的安全机制SM1 90%定义
•计算剩余安全机制的有效DC,假设最坏情况 0% DC 为下界安全机制
•这种方法是最合适的,因为它结合了上述所有方法的优点,并提供了一个合理的估计,既不过于保守也不过于宽容
方法5:
•在理想情况下,将详细研究每种安全机制及其对各种失效模式的适用性。相同的安全机制适用于不同的失效模式,可能会产生不同的效果
•评估这一点的一种方法是进行故障注入测试,观察安全机制的反应,然后定义它们的有效性
•这可能是一种非常单调乏味的方法,并且可能被认为在正常项目的时间尺度内执行是不切实际的
针对上述几种方法,笔者也是在实际项目中遇到类似情况。个人建议以方法1作为第一步的评估的手法,如果最终的结果跟目标值差之毫厘的时候,再着重调整关键性的安全机制的诊断覆盖率。方法2 需要保证安全机制之间的完全独立性,评审容易遇到挑战,需要更多的分析和证明。方法3和4,需要你再当一次概率论老师,解释原理。方法5,最好,但是可实施性太低。
- 用户评论
