ISO 26262功能安全硬件指标计算实践(下):FMEDA和FTA分析计算

这篇具有很好参考价值的文章主要介绍了ISO 26262功能安全硬件指标计算实践(下):FMEDA和FTA分析计算。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

在上篇文章中,我们介绍了硬件的失效种类,以及失效的数据来源,如下:
ISO26262功能安全硬件指标计算实践(上):理论基础和数据来源_NewCarRen的博客-CSDN博客​在硬件度量指标计算过程中,会遇到一些操作的具体问题。本文通过在项目中的具体实践,结合功能安全分析软件REANA,对硬件指标计算中的相关概念和相关步骤进行了解释,并对分析计算过程给出了一些操作方法的建议。https://blog.csdn.net/NewCarRen/article/details/129129393?spm=1001.2014.3001.5501
本篇,我们介绍下如何对硬件进行量化的安全性评价。

功能安全的三个硬件指标中,单点故障度量SPFM和潜伏故障度量LFM需要通过FMEDA(FailureMode Effect&Diagnostic Analysis)方法分析计算得到,随机硬件失效概率度量PMHF通常通过定量FTA(Failure Tree Analysis)方法分析计算得到。本章介绍在FMEDA和FTA分析实践中的相关事项。

一、FMEDA分析计算

FMEDA是失效模式影响及诊断分析,图1为功能安全分析软件REANA里FMEDA的示例。图1中按照列可以分为三部分,A部分是各个元器件以及根据标准计算的FIT数值和失效模式的百分比,B部分用来分析各个故障是否可能直接违背安全目标(假设没有任何安全机制),同时根据诊断覆盖率确定单点故障(若有)和残余故障的FIT数值,C部分用来分析各个故障是否和双点故障相关,同时根据诊断覆盖率确定潜伏的双点故障的FIT数值。最终根据A、B、C三部分汇总分别得到整体的FIT数值、单点故障加残余故障的FIT数值以及潜伏的双点故障的FIT数值,最后根据公式计算得到SPFM和LFM的指标结果。

(1) 单点和残余故障的处理方法

图1中B部分涉及单点故障和残余故障与SPFM相关。首先需考虑各个故障在没有任何安全机制时是否可能违背安全目标,如果可能违背,则根据实施的安全机制确定诊断覆盖率。如果需要,可以同时填写多个安全机制。诊断覆盖率根据安全机制按照高中低的原则进行选择,通常不会达到100%。

ISO 26262功能安全硬件指标计算实践(下):FMEDA和FTA分析计算

图1 REANA工具进行FMEDA计算示例

(2) 潜伏的双点故障的处理方法

图1中C部分涉及潜伏的多点故障,与LFM相关,这部分中的诊断覆盖率有可能达到100%,即全部覆盖,没有潜伏的多点故障。

对于已经涉及B部分的故障,其中在B部分被安全机制覆盖的部分通常会对相应故障信息进行记录并且提示驾驶员,因此通常全部为可探测的双点故障,不含有潜伏的双点故障,所以此类故障在C部分中的诊断覆盖率可以达到100%。此类既涉及B部分又涉及C部分的故障通常为功能实现相关模块的故障。

对于不涉及B部分只涉及C部分的故障,在C部分确定诊断覆盖率时同样根据高中低的原则进行选择,通常不会达到100%。此类故障一般为安全机制的故障,比如看门狗和专门用于诊断信号的相关硬件电路等。

如前所述,通常所有涉及B部分的故障在FMEDA中都和C部分相关,同时在C部分的诊断覆盖率为100%即潜伏的双点故障是零。这样的结果和在C部分选择无关的结果是一样的。因此在实际操作中,对于涉及B部分的相关故障,在C部分的双点故障中可以选择无关,这样可以降低一些工作量,同时便于FMEDA的检查与维护。如果选择这样操作,需要在FMEDA中进行相应的说明。如果出现B部分被安全机制覆盖的部分没有全部通知驾驶员的情况,则需要在C部分选择双点故障相关,并且确定相应的诊断覆盖率(此时为被驾驶员感知到的部分,通常达不到100%),目前实践中还没有遇到这种情况。

(3) FMEDA分析的其他注意事项

FMEDA分析时应该按照模块对元器件进行分组,便于分析和检查的连贯性和按照模块对结果进行汇总,建议按照硬件设计中的模块对元器件进行分组。

分析某个故障是否可能违背安全目标时需要先考虑没有任何安全机制的情况,如果有多个安全机制,也需要假设这些安全机制全部没有时的情况。

和安全无关的元器件应选取为安全无关,去除这部分零件对FMEDA结果的影响。

硬件指标计算中的整体原则之一是保守,根据标准计算得到的FIT数值会偏保守,诊断覆盖率为高时覆盖率为99%也偏保守,在FMEDA分析中也应遵循保守的原则。如果分析过程中对某个故障是否可能违背安全目标难以确定,可以根据保守原则选择有可能违背,分析是否属于双点故障时也类似。为了得到比较理想的硬件指标结果,需要对元器件的故障进行仔细分析,减少出于保守原则进行的选择。

二、FTA分析计算

PMHF的计算中既包含单点故障以及残余故障,也包括双点故障同时发生导致违背安全目标的情况,一般采用定量FTA的分析方法进行计算。

FTA通过各个基本事件进行与门和或门的计算,可以对双点故障同时发生的概率进行计算,得到PMHF值。计算过程中,除了需要FMEDA计算所需的失效率FIT数值和诊断覆盖率之外,还需要Mission Time的参数,即系统运行的总时间,该时间通常来自系统设计规范,一般在几千到几万小时。该参数的作用是用来计算双点故障在这段时间内同时发生的概率。

(1) FTA中单点和残余故障的处理

FTA里单点故障通常作为基本事件通过几个或门最终连接到顶层事件,即安全目标的违背,这些或门表明这个基本事件单独即可导致顶层事件。

FTA里残余故障通常由基本事件与相应安全机制通过与门连接到上层事件,基本事件的参数为失效率FIT值,安全机制的参数为(1-DC),即没有被诊断覆盖的部分,此参数为与时间无关的固定值。

(2) FTA中双点故障的处理

如1.14节所述,双点故障通常有如下两种:故障X与其对应的安全机制同时失效,故障X与进入安全状态的路径同时失效,都会使得系统无法进入安全状态。

对于安全机制的失效,一般对于安全机制的检测会在每个驾驶循环进行一次,这就意味着在一个驾驶循环之内,安全机制的故障可能未被探测到。直到下一个驾驶循环,该故障才会被探测到并进行相应的处理。由于一个驾驶循环的时间相对于系统运行总时间很小,这部分可能由可探测的双点故障导致的失效在进行PMHF计算时可以忽略。

对于安全机制失效中的瞬时故障,由于瞬时故障最迟在下一个驾驶循环就会恢复,因此潜伏的双点故障中瞬时故障部分也可以进行忽略。

对于进入安全状态的路径失效的故障,如果每次上电时都对安全状态路径的功能进行检测,这部分可能由安全状态路径的故障导致的失效在进行PMHF计算时也可以忽略或降低。

因此PMHF计算中双点一般可以简化为被安全机制覆盖的功能失效与其对应的安全机制的潜伏的双点故障中永久故障部分。安全机制的实施通常由MCU或IC实施,不同安全机制对应的潜伏的双点故障FIT数值通常也不完全相同,通过对MCU或IC的详细FTA分析可以得到不同安全机制的潜伏的双点故障FIT数值。具体实践中通常不对MCU及IC进行详细的FTA分析,通常使用MCU及IC的FMEDA分析中得到的潜伏的双点故障的整体FIT数值作为安全机制失效的潜伏的双点故障。

(3) FTA中残余故障与双点故障的结合

如果没有安全机制时故障X的发生会导致系统违背安全目标,那么故障X通常既有残余故障部分也有双点故障部分,在FTA处理时可以将两部分故障结合起来处理。

例如图2,左边是各个器件的故障,右边既包含1%的残余故障比例,也包含由99%的可探测的双点故障和安全机制的潜伏故障同时发生导致的失效。这样结合处理可以降低FTA里的基本事件数量,减少相应的工作量,同时便于FTA的检查与维护。

ISO 26262功能安全硬件指标计算实践(下):FMEDA和FTA分析计算

图2 REANA软件中的FTA示例

(4) FTA分析的其他注意事项

FTA同样应该按照模块进行树状结构的建立。

FTA的里基本事件应与FMEDA里(除安全故障)的基本事件相同。基本事件的FIT失效率数值应与FMEDA里的数值相同。FTA中同一个基本事件需要放在不同的分支时,需要将这些事件设定为重复事件或重复分支,否则会对计算结果有影响。

三、硬件指标评价

(1) 硬件指标评价

硬件指标计算完成后,需要对硬件指标进行评价,评价通常是根据功能安全标准的要求进行,即表1。

FMEDA计算结果中有单点故障度量SPFM和残余故障度量LFM,也有单点故障加残余故障的FIT数值。随机硬件失效概率度量PMHF计算的结果应该比FMEDA里单点故障加残余故障的数值稍大一些。

(2) 硬件指标与设计的关系

为了得到合格的硬件指标,在系统开发中需要对安全机制进行相应设计。

比如对于ASIL D等级的电控系统,首先安全机制需要覆盖所有可能违背安全目标的器件,同时尽可能选取诊断覆盖率为高的安全机制。这些安全机制的运行周期也要满足安全需求,通常在运行过程中这些安全机制需要一直工作。

对于安全机制自身的故障,也要尽量进行诊断,降低潜伏的双点故障FIT数值。对安全机制进行的诊断通常可以选择在上电时进行一次,不需要,很多情况下有也没办法做到在运行过程中对安全机制进行诊断。

(3) 总结

本文对功能安全硬件指标计算相关的概念进行了解释,并通过举例说明了相关故障类型与实际系统中元器件的关系。对硬件指标计算的相关步骤进行了解释,并对操作方法给出了一些建议,实际开发现场,因为量化指标计算涉及数据、公式和元器件较多,通常采用计算工具辅助加以计算,市场上既有专门用于FMEDA的计算工具,也有全面支持安全分析和计算的工具,REANA是一款支持FMEDA和FTA量化的计算的工具,它不仅能够自动化的完成FMEA,FMEDA和FTA的工作,还能自动化的关联,实现量化指标在不同系统之间的自动化传递。
详情可以加NewCarRen垂询。 文章来源地址https://www.toymoban.com/news/detail-432603.html

到了这里,关于ISO 26262功能安全硬件指标计算实践(下):FMEDA和FTA分析计算的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【BMS软开系列】1、 ISO 26262功能安全标准 (一)

    这是第一篇关于BMS相关的文章,也是记录和加深自己对知识的一个掌握程度,如果您也是研究这一方面的可以关注公众号加我好友,一起学习交流。进入正题 红色:重点 粉色:次重点 绿色:了解 黄色:专业名词 紫色:可探究点 BMS(Battery Management System),也叫电池管理系统。

    2024年02月01日
    浏览(64)
  • 一文解读ISO26262安全标准:如何通过计算ASIL安全等级?

    危害分析和风险评估,简称HaRa,该工作通常由整车厂商进行。 本文介绍如何进行HaRa分析,并给出ASIL的过程。 那么如何进行危害分析和风险评估? (1)风险R的相关因素 先了解这几个概念:严重度(S)、暴露概率(E)、可控性(C)。如果将风险(R)描述为一个函数(F)

    2024年03月22日
    浏览(59)
  • ISO 26262系列文章之————5 硬件开发

    目录 A 名词解释 A.1 HSR A.2 DFA A.3 FMEA A.4 FMEDA A.5 FTA A.6 FTA与FMEDA的交互 A.7 TSC A.8 SPF A.9 SPFM A.10 LF A.11 LFM A.12 PMHF A.13 1 FIT A.14 PPM A.15 ISO 26262-2018与 ISO 26262-2011在part5的文档的差异性 A.16 ISO 26262-2018与 ISO 26262-2011在part5的工作成果差异性 1 硬件开发流程 1.1 与传统硬件设计的

    2024年02月11日
    浏览(45)
  • 一文解读ISO26262安全标准:术语

    做汽车行业的人,都知道安全标准ISO26262,但是仔细说说它到底讲的是什么?好像又说不出来,这是个玄之又玄的话题,笔者试图将这份标准以简明扼要、并且容易理解的形式梳理出来,供大家作为一点参考。 首先,ISO26262是以IEC61508为基础,为满足汽车上的电子电气系统的需

    2024年01月17日
    浏览(40)
  • ISO 26262:引领汽车安全的新标准

    引言: 随着汽车行业的快速发展,车辆的安全性能已经成为消费者关注的重点。为了确保汽车的安全和可靠性,国际标准化组织(ISO)于2011年发布了ISO 26262标准,旨在规范汽车电子系统的功能安全设计和开发过程。本文将介绍ISO 26262的背景、主要内容以及在汽车行业中的应

    2024年01月25日
    浏览(50)
  • ISO13849功能安全从入门到精通(2):安全功能的设计和技术实现_iso13849讲解(2)

    先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7 深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前! 因此收集整理了一份《2024年最新网络安全全套学习资料》

    2024年04月26日
    浏览(27)
  • 芯原第二代面向汽车应用的ISP系列IP已通过ISO 26262 ASIL B和ASIL D认证

    ISP8200-FS系列IP可满足快速增长的汽车市场持续演进的需求 2024年1月8日,美国拉斯维加斯——芯原股份(芯原,股票代码:688521.SH)今日宣布其专为高性能汽车应用而设计的图像信号处理器(ISP)IP ISP8200-FS和ISP8200L-FS已通过汽车功能安全标准ISO 26262认证,达到随机故障安全等级

    2024年01月23日
    浏览(49)
  • 三款远程控制软件对比,5大挑选指标:安全、稳定、易用、兼容、功能

    陈老老老板🤴 🧙‍♂️本文专栏:生活(主要讲一下自己生活相关的内容)生活就像海洋,只有意志坚强的人,才能到达彼岸。 🧙‍♂️本文简述:三款远程控制软件对比,5大挑选指标:安全、稳定、易用、兼容、功能 🧙‍♂️上一篇文章: 年度总结-你觉得什么叫生活?

    2024年02月12日
    浏览(38)
  • ABB机器人安全板硬件功能介绍+接线方法示例

    ABB机器人有以下几种硬件停止功能,这些均属于EN 13849-1中描述的安全类别3,该安全类别是双通道发起的停止,如果发生单通道故障(例如接线不良),则会发生安全链报警。 ES1,ES2紧急停止; AS1,AS2自动模式停止(一般连接安全门、光幕等); GS1,GS2常规停止; SS1,SS2上级停止

    2023年04月23日
    浏览(63)
  • 【宝藏系列】一文带你了解STM32内置的硬件功能安全属性

    对于功能安全,ST MCU 从芯片内置的硬件安全属性,经过认证的软件自检库和完备的安全文档三个层面来支持STM32用户在系统级进行开发,达到要求的功能安全等级。 下表中列出了STM32MCU内置的一些主要硬件安全属性。下面我们一起来看看这些属性在功能安全中的用处。 🌸🌸

    2024年02月10日
    浏览(36)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包