在上篇文章中,我们介绍了硬件的失效种类,以及失效的数据来源,如下:
ISO26262功能安全硬件指标计算实践(上):理论基础和数据来源_NewCarRen的博客-CSDN博客在硬件度量指标计算过程中,会遇到一些操作的具体问题。本文通过在项目中的具体实践,结合功能安全分析软件REANA,对硬件指标计算中的相关概念和相关步骤进行了解释,并对分析计算过程给出了一些操作方法的建议。https://blog.csdn.net/NewCarRen/article/details/129129393?spm=1001.2014.3001.5501
本篇,我们介绍下如何对硬件进行量化的安全性评价。
功能安全的三个硬件指标中,单点故障度量SPFM和潜伏故障度量LFM需要通过FMEDA(FailureMode Effect&Diagnostic Analysis)方法分析计算得到,随机硬件失效概率度量PMHF通常通过定量FTA(Failure Tree Analysis)方法分析计算得到。本章介绍在FMEDA和FTA分析实践中的相关事项。
一、FMEDA分析计算
FMEDA是失效模式影响及诊断分析,图1为功能安全分析软件REANA里FMEDA的示例。图1中按照列可以分为三部分,A部分是各个元器件以及根据标准计算的FIT数值和失效模式的百分比,B部分用来分析各个故障是否可能直接违背安全目标(假设没有任何安全机制),同时根据诊断覆盖率确定单点故障(若有)和残余故障的FIT数值,C部分用来分析各个故障是否和双点故障相关,同时根据诊断覆盖率确定潜伏的双点故障的FIT数值。最终根据A、B、C三部分汇总分别得到整体的FIT数值、单点故障加残余故障的FIT数值以及潜伏的双点故障的FIT数值,最后根据公式计算得到SPFM和LFM的指标结果。
(1) 单点和残余故障的处理方法
图1中B部分涉及单点故障和残余故障与SPFM相关。首先需考虑各个故障在没有任何安全机制时是否可能违背安全目标,如果可能违背,则根据实施的安全机制确定诊断覆盖率。如果需要,可以同时填写多个安全机制。诊断覆盖率根据安全机制按照高中低的原则进行选择,通常不会达到100%。
图1 REANA工具进行FMEDA计算示例
(2) 潜伏的双点故障的处理方法
图1中C部分涉及潜伏的多点故障,与LFM相关,这部分中的诊断覆盖率有可能达到100%,即全部覆盖,没有潜伏的多点故障。
对于已经涉及B部分的故障,其中在B部分被安全机制覆盖的部分通常会对相应故障信息进行记录并且提示驾驶员,因此通常全部为可探测的双点故障,不含有潜伏的双点故障,所以此类故障在C部分中的诊断覆盖率可以达到100%。此类既涉及B部分又涉及C部分的故障通常为功能实现相关模块的故障。
对于不涉及B部分只涉及C部分的故障,在C部分确定诊断覆盖率时同样根据高中低的原则进行选择,通常不会达到100%。此类故障一般为安全机制的故障,比如看门狗和专门用于诊断信号的相关硬件电路等。
如前所述,通常所有涉及B部分的故障在FMEDA中都和C部分相关,同时在C部分的诊断覆盖率为100%即潜伏的双点故障是零。这样的结果和在C部分选择无关的结果是一样的。因此在实际操作中,对于涉及B部分的相关故障,在C部分的双点故障中可以选择无关,这样可以降低一些工作量,同时便于FMEDA的检查与维护。如果选择这样操作,需要在FMEDA中进行相应的说明。如果出现B部分被安全机制覆盖的部分没有全部通知驾驶员的情况,则需要在C部分选择双点故障相关,并且确定相应的诊断覆盖率(此时为被驾驶员感知到的部分,通常达不到100%),目前实践中还没有遇到这种情况。
(3) FMEDA分析的其他注意事项
FMEDA分析时应该按照模块对元器件进行分组,便于分析和检查的连贯性和按照模块对结果进行汇总,建议按照硬件设计中的模块对元器件进行分组。
分析某个故障是否可能违背安全目标时需要先考虑没有任何安全机制的情况,如果有多个安全机制,也需要假设这些安全机制全部没有时的情况。
和安全无关的元器件应选取为安全无关,去除这部分零件对FMEDA结果的影响。
硬件指标计算中的整体原则之一是保守,根据标准计算得到的FIT数值会偏保守,诊断覆盖率为高时覆盖率为99%也偏保守,在FMEDA分析中也应遵循保守的原则。如果分析过程中对某个故障是否可能违背安全目标难以确定,可以根据保守原则选择有可能违背,分析是否属于双点故障时也类似。为了得到比较理想的硬件指标结果,需要对元器件的故障进行仔细分析,减少出于保守原则进行的选择。
二、FTA分析计算
PMHF的计算中既包含单点故障以及残余故障,也包括双点故障同时发生导致违背安全目标的情况,一般采用定量FTA的分析方法进行计算。
FTA通过各个基本事件进行与门和或门的计算,可以对双点故障同时发生的概率进行计算,得到PMHF值。计算过程中,除了需要FMEDA计算所需的失效率FIT数值和诊断覆盖率之外,还需要Mission Time的参数,即系统运行的总时间,该时间通常来自系统设计规范,一般在几千到几万小时。该参数的作用是用来计算双点故障在这段时间内同时发生的概率。
(1) FTA中单点和残余故障的处理
FTA里单点故障通常作为基本事件通过几个或门最终连接到顶层事件,即安全目标的违背,这些或门表明这个基本事件单独即可导致顶层事件。
FTA里残余故障通常由基本事件与相应安全机制通过与门连接到上层事件,基本事件的参数为失效率FIT值,安全机制的参数为(1-DC),即没有被诊断覆盖的部分,此参数为与时间无关的固定值。
(2) FTA中双点故障的处理
如1.14节所述,双点故障通常有如下两种:故障X与其对应的安全机制同时失效,故障X与进入安全状态的路径同时失效,都会使得系统无法进入安全状态。
对于安全机制的失效,一般对于安全机制的检测会在每个驾驶循环进行一次,这就意味着在一个驾驶循环之内,安全机制的故障可能未被探测到。直到下一个驾驶循环,该故障才会被探测到并进行相应的处理。由于一个驾驶循环的时间相对于系统运行总时间很小,这部分可能由可探测的双点故障导致的失效在进行PMHF计算时可以忽略。
对于安全机制失效中的瞬时故障,由于瞬时故障最迟在下一个驾驶循环就会恢复,因此潜伏的双点故障中瞬时故障部分也可以进行忽略。
对于进入安全状态的路径失效的故障,如果每次上电时都对安全状态路径的功能进行检测,这部分可能由安全状态路径的故障导致的失效在进行PMHF计算时也可以忽略或降低。
因此PMHF计算中双点一般可以简化为被安全机制覆盖的功能失效与其对应的安全机制的潜伏的双点故障中永久故障部分。安全机制的实施通常由MCU或IC实施,不同安全机制对应的潜伏的双点故障FIT数值通常也不完全相同,通过对MCU或IC的详细FTA分析可以得到不同安全机制的潜伏的双点故障FIT数值。具体实践中通常不对MCU及IC进行详细的FTA分析,通常使用MCU及IC的FMEDA分析中得到的潜伏的双点故障的整体FIT数值作为安全机制失效的潜伏的双点故障。
(3) FTA中残余故障与双点故障的结合
如果没有安全机制时故障X的发生会导致系统违背安全目标,那么故障X通常既有残余故障部分也有双点故障部分,在FTA处理时可以将两部分故障结合起来处理。
例如图2,左边是各个器件的故障,右边既包含1%的残余故障比例,也包含由99%的可探测的双点故障和安全机制的潜伏故障同时发生导致的失效。这样结合处理可以降低FTA里的基本事件数量,减少相应的工作量,同时便于FTA的检查与维护。
图2 REANA软件中的FTA示例
(4) FTA分析的其他注意事项
FTA同样应该按照模块进行树状结构的建立。
FTA的里基本事件应与FMEDA里(除安全故障)的基本事件相同。基本事件的FIT失效率数值应与FMEDA里的数值相同。FTA中同一个基本事件需要放在不同的分支时,需要将这些事件设定为重复事件或重复分支,否则会对计算结果有影响。
三、硬件指标评价
(1) 硬件指标评价
硬件指标计算完成后,需要对硬件指标进行评价,评价通常是根据功能安全标准的要求进行,即表1。
FMEDA计算结果中有单点故障度量SPFM和残余故障度量LFM,也有单点故障加残余故障的FIT数值。随机硬件失效概率度量PMHF计算的结果应该比FMEDA里单点故障加残余故障的数值稍大一些。
(2) 硬件指标与设计的关系
为了得到合格的硬件指标,在系统开发中需要对安全机制进行相应设计。
比如对于ASIL D等级的电控系统,首先安全机制需要覆盖所有可能违背安全目标的器件,同时尽可能选取诊断覆盖率为高的安全机制。这些安全机制的运行周期也要满足安全需求,通常在运行过程中这些安全机制需要一直工作。
对于安全机制自身的故障,也要尽量进行诊断,降低潜伏的双点故障FIT数值。对安全机制进行的诊断通常可以选择在上电时进行一次,不需要,很多情况下有也没办法做到在运行过程中对安全机制进行诊断。
(3) 总结
本文对功能安全硬件指标计算相关的概念进行了解释,并通过举例说明了相关故障类型与实际系统中元器件的关系。对硬件指标计算的相关步骤进行了解释,并对操作方法给出了一些建议,实际开发现场,因为量化指标计算涉及数据、公式和元器件较多,通常采用计算工具辅助加以计算,市场上既有专门用于FMEDA的计算工具,也有全面支持安全分析和计算的工具,REANA是一款支持FMEDA和FTA量化的计算的工具,它不仅能够自动化的完成FMEA,FMEDA和FTA的工作,还能自动化的关联,实现量化指标在不同系统之间的自动化传递。
详情可以加NewCarRen垂询。
猜你喜欢
网友评论
- 搜索
- 最新文章
- 热门文章