道路车辆功能安全(ISO26262)中如何处理潜伏故障
潜伏故障中的潜伏,来自医学术语潜伏期,潜伏期是指从病原体侵入人体起,至开始出现临床危害症状为止的时期。各种传染病的潜伏期不同,非典型肺炎的潜伏期通常在4-5天,艾滋病毒潜伏期平均为8-9年。
回到功能安全,类比医学上的潜伏期,潜伏故障本身在潜伏期没有能力造成危害,它埋伏在暗处,等待着时机,随时准备发动伏击。这里的时机是指有另外一个独立的故障发生,这两个故障组合起来会造成危害。
所以,功能安全的潜伏期和医学潜伏期还有些区别,在医学上从潜伏期到危害发生主要靠时间,在功能安全上从潜伏期到危害发生是靠另外一个故障的发生。
言归正传,下面通过三种情形来说明如何处理潜伏故障。
情形一,flash memory出现单比特位永久性位反转故障。如下图标记为红色标记位所示。
对情形1总结如下:
1.闪存里面发生了一位永久性位反转故障。
2.由于ECC的保护,MCU的core在读取这段闪存的时候会纠正此故障位,所以这个故障不会违反安全目标。
3.这种情况下,这个故障就是潜伏故障,因为该故障既不会被检测到,也不会被司机察觉到(因为对系统的功能没有影响)。所以这个故障就一直潜伏在这里,如果ECC逻辑也出现了故障,失去了纠错能力,两个故障的组合就会导致违反安全目标。
情形二,ECC逻辑单元发生故障,失去纠错能力。
对情形2总结如下:
1.ECC逻辑发生故障,失去纠错能力,这也是一种潜伏故障,因为ECC逻辑发生故障,不会违反安全目标,既不会被检测到,也不会被司机察觉到(因为对系统的功能没有影响)。所以这个故障一直潜伏在这里,如果flash memory发生位反转故障,此时ECC已经失去纠错能力,所以这两个故障的组合会导致违反安全目标。
下面结合情形1和情形2做一下FMEDA,如下表格所示:
假设相关的安全目标级别是ASIL B,分析结果为:SPFM=96%,LFM=0%,可以看出LFM与ASILB要求的60%相差很远。并且潜伏故障的潜伏期为车辆的整个生命周期。
那么采取哪些措施才能使潜伏故障指标满足要求呢?
下面看情形三:
情形三描述如下:
1)Flash memory发生单比特位反转故障,ECC逻辑单元对该故障位进行纠正并置flash memory error标志位,ECU检测到标志位后通过故障灯提醒驾驶员。
2)ECU在每个上电周期对ECC逻辑单元进行上电自检。
结合情形三,在情形一和情形二的基础上更新FMEDA如下:
分析结果为:SPFM=96%,LFM=93.75%,满足ASIL B的目标值,并且潜伏期缩短至一个上电周期。
根据以上分析得出如何处理潜伏故障的方法。
具体有以下两个方面:
1.如果安全机制只有控制故障的能力(比如只有纠正故障的能力),没有诊断及提醒驾驶员的能力,那么这个安全机制能控制的那一部分故障全部算为潜伏故障,改进措施是增加探测和提醒驾驶员的功能。
2.如果对安全机制本身的故障没有采取任何措施,那么安全机制的故障全部算为潜伏故障(假设安全机制本身的故障不违反安全目标),改进措施是增加安全机制的安全机制,比如上电或下电安全机制自身功能自检等。
声明:以上三种情形只是示例,不能直接应用到实际项目开发中。
版权声明:本文为知乎「rondo wang」的原创文章和投稿。
- 用户评论
