ISO 26262系列文章之————5 硬件开发

这篇具有很好参考价值的文章主要介绍了ISO 26262系列文章之————5 硬件开发。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

A 名词解释

A.1 HSR

A.2 DFA

A.3 FMEA

A.4 FMEDA

A.5 FTA

A.6 FTA与FMEDA的交互

A.7 TSC

A.8 SPF

A.9 SPFM

A.10 LF

A.11 LFM

A.12 PMHF

A.13 1 FIT

A.14 PPM

A.15 ISO 26262-2018与 ISO 26262-2011在part5的文档的差异性

A.16 ISO 26262-2018与 ISO 26262-2011在part5的工作成果差异性

1 硬件开发流程

1.1 与传统硬件设计的区别点

1.2 ISO 26262 中硬件开发流程

2 开发过程中各环节说明

2.1 硬件安全需求规范

2.1.1 原则

2.1.2 验证

2.2 硬件设计

2.2.1 硬件架构设计

2.2.2 硬件详细设计

2.3 硬件架构度量的评估

2.3.1 硬件量化指标分类

2.3.2 硬件架构指标的定义

2.4 随机硬件失效违背安全目标的评估

2.4.1 安全相关的故障类型

2.4.2 硬件失效模式分类流程图​编辑

2.4.3 硬件失效率

2.4.4 随机失效率指标

2.4.5 FMEDA

2.4.6 指标计算示例

2.5 硬件集成和测试

2.5.1 原则

2.5.2 硬件集成和测试的验证方法


A 名词解释

A.1 HSR

Hardware Safety Requirement,硬件安全需求,由TSR得到HSR

A.2 DFA

dependent failure analysis,相关失效分析

A.3 FMEA

failure mode and effects analysis,失效模式及后果分析,一种自下而上的归纳分析方法,通过识别部件的失效模式来追溯失效影响,包含DFMEA(设计FMEA)和PFMEA(过程FMEA),FMEA适用于系统、软件、硬件层次

A.4 FMEDA

failure mode,effect and diagnostic analysis,失效模式影响及诊断分析,一种自下而上的归纳分析方法,在FMEA上对随机硬件失效率的计算,FMEDA适用于硬件层次,考虑独立的故障,工具相对简单

A.5 FTA

fault tree analysis,故障树分析,一种自上而下的演绎分析方法,通过危害事件来追溯失效原因,同时可反向计算顶部事件的失效率,FTA适用于系统、软件、硬件层次,考虑多个故障,需要专业的工具

A.6 FTA与FMEDA的交互

硬件架构度量,服务器,运维

A.7 TSC

Technical safety concept,制定技术安全需求,满足功能安全要求的系统架构

A.8 SPF

single point failures,单点故障

A.9 SPFM

single-point fault metric,单点故障度量,用于硬件架构度量的评估

A.10 LF

latent failures,潜在故障

A.11 LFM

latent fault metric,潜在故障度量,用于硬件架构度量的评估

A.12 PMHF

Probabilistic Metric of for random Hardware Failures,硬件随机失效概率度量,PMHF是用于评估硬件随机故障导致违背安全目标的残余风险足够低的方法之一,描述为相关项整个运行生命周期内每小时的平均概率,因此PMHF的单位与故障率单位一致,均为FIT

A.13 1 FIT

failure in time,失效率的单位,每小时失效的次数,1 FIT为/小时,例如: 某电阻失效率λ=2 FIT,即该电阻在10^9 h内存在两次失效。

A.14 PPM

part per million,百万分之一,为

A.15 ISO 26262-2018与 ISO 26262-2011在part5的文档的差异性

序号 part 2018 2011 备注
1 5:产品开发在硬件层面 “安全计划”位于2018:2-6“依赖于项目的安全管理” “安全计划”位于2011:5-5“启动硬件层面产品开发” 移动
2 删除2011:5-附录F“比例因子的应用” 删除
3

增加:

2018:5-附录F“满足9.4.2目标的示例”、

2018:5-附录G“由两个系统组成的项目的PMHF预算分配示例”、

2018:5-附录H“潜在故障处理示例”

增加

A.16 ISO 26262-2018与 ISO 26262-2011在part5的工作成果差异性

ISO 26262-2018 ISO 26262-2011 分析
part5:产品开发在硬件层面 part3:产品开发在硬件层面
章节 名称 具体内容 章节 名称 具体内容
/ / / 5-5 启动硬件层面产品开发 5.5安全计划 删除旧版章节
5-10 硬件集成和测试 10.5.1硬件集成和验证规范 5-10 硬件集成和测试 / 新版新增1项工作成果

1 硬件开发流程

1.1 与传统硬件设计的区别点

●硬件架构度量的评估

●随机硬件失效违背安全目标的评估

1.2 ISO 26262 中硬件开发流程

硬件架构度量,服务器,运维

2 开发过程中各环节说明

2.1 硬件安全需求规范

2.1.1 原则

①硬件需求规范应从分配给硬件的技术安全要求中导出,即由TSR导出HSR

②硬件需求规范应包括与安全相关的每一条硬件要求,包括:

要求 具体说明
为控制要素硬件内部失效的安全机制的硬件安全要求和相关属性

●这包括用来覆盖相关瞬态故障(如由于所使用的技术而产生的瞬态故障)的内部安全机制

eg.属性可包括看门狗的定时和探测能力

为确保要素对外部失效容错的硬件安全要求和安全机制的相关属性 eg.当外部发生失效时,如ECU输入开路,要求ECU应具备的功能表现
为符合其他要素的安全要求的硬件安全要求和安全机制的相关属性 eg.对传感器或执行器的诊断
为探测内外部失效和发送失效信息的硬件安全要求及安全机制的相关属性

●该项中的硬件安全要求包括防止故障潜伏的安全机制

eg.安全机制中定义的硬件元器件的故障响应时间,要符合故障容错时间间隔

没有定义安全机制的硬件安全要求

eg.

—满足随机硬件失效目标值的硬件要素要求

—为避免特定行为的要求(如“一个特定传感器不应该有一个不稳定的输出”)

—分配给执行预期功能的硬件要素的要求

—定义线束或插接件的设计措施的要求

2.1.2 验证

2.1.2.1 验证内容:

●与TSC、系统设计规范和硬件规范的一致性

●与软件安全需求的一致性

●完备性

●正确性和精确性

2.1.2.2 验证的方法

①验证安全要求的方法

硬件架构度量,服务器,运维

②验证硬件设计与硬件安全需求的一致性和完整性方法

硬件架构度量,服务器,运维

2.2 硬件设计

●根据系统设计规范和硬件安全需求进行硬件设计

●硬件设计包括硬件架构设计和硬件详细设计

2.2.1 硬件架构设计

2.2.1.1 设计要点

①表示出所有硬件组件及彼此的关联

②硬件安全需求和实现之间的可追溯性

③考虑复用、考虑非功能因素,如无关功能的硬件也需考虑对于功能安全和可靠性存在潜在的影响

2.2.2 硬件详细设计

2.2.2.1 设计要点

①原理图级别、表示出构成组件的零部件的关联

②确保硬件零部件在环境和操作规范下的使用

③考虑鲁棒性设计原则

2.3 硬件架构度量的评估

2.3.1 硬件量化指标分类

硬件架构度量,服务器,运维

2.3.2 硬件架构指标的定义

2.3.2.1 架构中关于硬件要素的计算公式

①假设所有的失效都是互相独立的,且按照指数分布,计算公式如下:

硬件架构度量,服务器,运维

②指标定义:

指标名称 计算公式
单点故障指标(SPFM)

●SPFM=1 - (单点故障总和+残余故障总和) / (所有和安全相关失效率总和)

硬件架构度量,服务器,运维

—λSPF: 单点故障失效率

—λRF,est: 估算的残余故障的失效率

—λDC,RF: 残余故障的诊断覆盖率

潜伏故障指标(LFM)

 LFM=1 - (所有潜伏故障总和) / (所有和安全相关失效率总和 - 单点故障总和 - 残余故障总和)

硬件架构度量,服务器,运维

—λMPF,L,est: 潜伏故障的估算的失效率

—λDC,MPF,L: 潜伏故障的诊断覆盖率

 ③架构指标

其中,可信设计:是指在批量量产后该设计已达到目标值要求的设计

硬件架构度量,服务器,运维

④SPFM及LFM对应不同ASIL的要求

硬件架构度量,服务器,运维

⑤指标计算方法

方法一:FTA

①先利用FTA进行定性分析,如下图所示,得到顶事件的失效原因

硬件架构度量,服务器,运维

②再对每个故障进行定量分析,将每个故障的失效值加进去,如下图所示,最后再一层一层推算,最后算出顶事件的失效率,可以通过软件计算该值

硬件架构度量,服务器,运维

方法二:元器件计数法

●源自可靠性预计方法

●计算公式:

硬件架构度量,服务器,运维

该值计算出来肯定偏大,偏大都能满足,那么肯定满足设计要求

2.4 随机硬件失效违背安全目标的评估

2.4.1 安全相关的故障类型

故障类型 说明
单点故障λSPF ●该故障能直接违反安全目标,且硬件元素中没有其他安全机制,导致无功能

残余故障

λRF

●安全机制无法覆盖的那部分故障(没有100%覆盖率的安全机制,如果一个安全机制覆盖率为90%,那剩余的10%则属于残余故障)

●该故障能直接违反安全目标,硬件元素中至少有一个安全机制

●eg.硬件要素可以有“开路”,“对地短路”,“短路接高”故障,但只有“开路”,“对地短路”的故障被安全机制所覆盖,如果“短路接高”故障导致违背了特定安全目标,且没有安全机制所覆盖,那么就是一个残余故障

双点(多点)故障

λDPF

●与其他独立故障可以联合导致多点失效的单个故障(单个故障不会违反安全目标,但是多个单点故障联合后导致违反安全目标的故障)

●多点故障又细分为可探测的双点故障、可感知的双点故障以及潜伏的双点故障

潜伏多点故障

λDPF_latent

●在多点故障检测时间间隔不能被安全机制检测出来的也不能被驾驶员识别的多点故障

安全故障

λS

●不会显著增加违反安全目标可能性的故障,例如某指示灯显示故障,但不影响其正常功能

●三点及以上的故障通常也被认为是安全故障(一般发生概率较低且所对应的安全机制过于复杂,所以归类为安全故障

可感知故障

λLF

●在规定的时间间隔内可由驾驶员推断出其存在的故障(可察觉的车辆故障,如发动机故障无动力)

多点可探测故障

λDPF_det

●在规定的时间内通过安全机制检测出的故障,如仪表报警灯叫可探测故障

●除单点故障,残余故障及双(多)点潜伏故障,剩余的则是可探测双点潜伏故障,公式为:

λDPF_det=λ*失效分布比例-λSPF/RF-λDPF_latent

硬件架构度量,服务器,运维

2.4.2 硬件失效模式分类流程图硬件架构度量,服务器,运维

2.4.3 硬件失效率

2.4.3.1 失效模式分布和失效率计算(单个硬件组件)

可靠度

●元件在时刻t完成功能的概率

硬件架构度量,服务器,运维

失效率

●在时间(t,)之间失效的元件个数和在t时刻没有失效的元件个数的比值

硬件架构度量,服务器,运维

●失效率依赖于很多因素,元件失效率计算公式如下:

硬件架构度量,服务器,运维

R(t)与λ(t)关系 硬件架构度量,服务器,运维
失效曲线

●浴盆曲线:

—大多数产品的失效率随时间变化的曲线形似浴盆

—分为3个阶段,第一阶段磨合期,故障多,属于系统性故障;第二阶段偶发期,即正常使用阶段,设计中无法消除,属于随机硬件故障,26262中硬件量化指标就是针对该阶段;第三阶段老年期,寿命到期后,故障率上升

硬件架构度量,服务器,运维

失效率数据的来源

①硬件的失效率和失效分布可参考相关的行业标准:

●IEC62380、SN29500、IEC61709、MIL HDBK 217F注2、RACHDBK 217加强版、NPRD95、EN50129附录C、EN62061附录D、RAC FMD97、MIL HDBK 338

②利用现场返回或测试所得的统计数据

●这种情况下得到的失效率估计值需要有较高的置信水平

③利用工程上定量和定性讨论建立的专家建议

失效模式分布

失效率可以根据失效模式进行分配

eg.电阻的失效模式为开路和短路

—总失效率假设为2FIT

—开路模式占90%,失效率为1.8FIT

—短路占10%,失效率为0.2FIT

2.4.4 随机失效率指标

2.4.4.1 随机失效指标(整个相关硬件)

硬件架构度量,服务器,运维

2.4.4.2 随机失效指标计算公式

PMHF=∑λSPF + ∑λRF + ∑λDPF_det × λDPF_latent × TLifetime

●λSPF: 单点故障的失效率

●λRF: 残余故障的失效率

●λDPF_det: 双点故障的可探测失效率

●λDPF_latent: 双点故障的潜伏失效率

●TLifetime: 车辆生命周期

 2.4.4.3 PMHF对应不同ASIL的要求

硬件架构度量,服务器,运维

2.4.5 FMEDA

eg.MCU的FMEDA

●一般芯片厂商都会给出FMEDA表格,表里有失效率指标,失效模式分布等等

●在设计中,硬件指标要尽量远远小于ISO 26262的要求,这样对于其他器件更容易设计

硬件架构度量,服务器,运维

2.4.6 指标计算示例

示例来源于下面这篇文章:

09 - 汽车功能安全(ISO 26262)系列: 硬件开发 - 随机硬件失效量化FMEDA - 知乎文章来源地址https://www.toymoban.com/news/detail-674105.html

下图为某ECU硬件设计图,针对其安全目标: ''当速度超过 10km/h 时关闭阀1的时间不得长于20 ms''。安全目标被分配为 ASIL C 等级。安全状态为:阀1打开(I61控制阀1)。

硬件架构度量,服务器,运维

针对该安全目标,罗列所有硬件组件,如下表所示,根据FMEDA步骤1至4,分别查询硬件组件失效率,失效模式及分布比例,并计算相应的硬件度量指标。

 硬件架构度量,服务器,运维

例如, 对于控制芯片uc而言,其失效率为100 FIT,存在两种失效模式,其分布比例各占50%,只有第一种失效模式和安全相关,第二种失效模式则无需考虑。

由于安全机制SM4的存在,对该硬件组件第一种故障的诊断覆盖率为90%,该硬件组件

单点或残余故障失效率为:

硬件架构度量,服务器,运维

由于安全机制SM4还能够对该故障进行探测,防止其成为潜伏故障,其诊断覆盖率为100%,则该硬件组件的双点潜伏故障失效率为:

硬件架构度量,服务器,运维

除单点故障,残余故障及双(多)点潜伏故障,剩余的则是可探测双点潜伏故障,则硬件组件的双(多)点故障的可探测失效率为:

硬件架构度量,服务器,运维

 依此计算所有硬件组件的相关故障失效率,并进行如下统计:

硬件架构度量,服务器,运维

 则该ECU硬件整体概率化度量指标计算如下:

硬件架构度量,服务器,运维

 根据该安全目标ASIL C,判断其可知,除SPFM没有>=97%外,其他指标均满足相应安全要求,所以该硬件设计基本满足安全目标ASIL C等级需求。当然,也可以对硬件设计进行进一步优化,提高SPFM架构度量值。

2.5 硬件集成和测试

2.5.1 原则

①通过测试确保硬件符合硬件安全需求

②集成和测试应按照相应的ASIL等级采用不同方法进行验证

③集成测试活动应参照ISO 26262-8条款9开展

④集成测试活动应参考系统阶段所指定的计划开展

2.5.2 硬件集成和测试的验证方法

①为保证安全机制实现的完整性和正确性,采用测试方法验证:

硬件架构度量,服务器,运维

 ②应当验证硬件抵抗外部应力的鲁棒性

硬件架构度量,服务器,运维

————————————————————————

参考资料:

iso26262之2018版与2011版主要内容对比与分析…_汽车功能安全-商业新知

车规级 | ISO26262中对硬件安全性的定性和定量评估 - 知乎

EPB功能安全笔记(14):FTA定量分析之ISO26262对随机硬件失效的要求 - 知乎

09 - 汽车功能安全(ISO 26262)系列: 硬件开发 - 随机硬件失效量化FMEDA - 知乎

到了这里,关于ISO 26262系列文章之————5 硬件开发的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 基于 VPX 总线的工件台运动控制系统研究与开发-DSP+FPGA硬件架构(一)

    作为光刻机核心单元之一,超精密工件台主要负责实现快速扫描、上下片、精密定位、调平调焦等功能。目前,较为成熟的方案大多采用 VME 并行总线架构来建立超精密工件台控制系统,由于随着系统性能要求的提升,VME 总线以及相应的处理器已无法满足需求,所以必须设计

    2024年02月03日
    浏览(46)
  • 【BMS软开系列】1、 ISO 26262功能安全标准 (一)

    这是第一篇关于BMS相关的文章,也是记录和加深自己对知识的一个掌握程度,如果您也是研究这一方面的可以关注公众号加我好友,一起学习交流。进入正题 红色:重点 粉色:次重点 绿色:了解 黄色:专业名词 紫色:可探究点 BMS(Battery Management System),也叫电池管理系统。

    2024年02月01日
    浏览(64)
  • MCU嵌入式开发-硬件和开发语言选择

    主要考虑以下方面来决定是否需要RTOS支持: 需要实现高响应时的多任务处理能力 需要实现实时性能要求高的任务 需要完成多个复杂的并发任务 具备满足工控系统实时性要求的各项功能特性。通过它提供的硬件库、线程支持、中断支持等,可以完全控制微控制器的各个外设,实

    2024年02月12日
    浏览(62)
  • 硬件开发软件介绍

      本文主要简单介绍一下硬件开发过程中所用到的软件,并简要说明一下优缺点   立创EDA集成了原理图设计、PCB设计的功能,器件库、封装库丰富(而且共享),同时器件可以直接在立创商城采购,pcb制板和芯片贴片都可以在嘉立创进行生产加工,总之,立创集团提供了

    2024年02月08日
    浏览(40)
  • 芯原第二代面向汽车应用的ISP系列IP已通过ISO 26262 ASIL B和ASIL D认证

    ISP8200-FS系列IP可满足快速增长的汽车市场持续演进的需求 2024年1月8日,美国拉斯维加斯——芯原股份(芯原,股票代码:688521.SH)今日宣布其专为高性能汽车应用而设计的图像信号处理器(ISP)IP ISP8200-FS和ISP8200L-FS已通过汽车功能安全标准ISO 26262认证,达到随机故障安全等级

    2024年01月23日
    浏览(49)
  • NodeMCU ESP8266硬件开发板的熟悉

    什么是 ESP8266 NodeMCU? ESP8266 是乐鑫开发的一款低成本 Wi-Fi 芯片。 ESP8266可以作为一共独立的设备进行运行,也可以作为一款WiFi模块,通过AT指令进行控制。 例如,您可以将 ESP8266 连接到 单片机,通过串口AT指令实现增加 Wi-Fi 的功能。最实际的应用是将它其用作独立设备。

    2024年02月06日
    浏览(67)
  • 【Android Framework (十二) 】- 智能硬件设备开发

    针对我过往工作经历,曾在一家智能科技任职Android开发工程师,简单介绍下关于任职期间接触和开发过的一些项目经历,智能多与物联网(LOT)进行联系,从对Android智能硬件一无所知到现在算是略有小成,期间踩了很多坑,也接触到了许多非Android方面的知识,现用文章的方

    2024年02月12日
    浏览(45)
  • 游戏开发与硬件结合,开启全新游戏体验!

    游戏与硬件的结合可以通过多种方式实现,从改善游戏体验到创造全新的游戏玩法。以下是一些常见的游戏与硬件结合的方式: 虚拟现实(VR)和增强现实(AR)技术:VR和AR技术使玩家能够沉浸式地体验游戏世界,或者将虚拟元素融入到现实世界中。玩家可以佩戴VR头盔,与

    2024年02月11日
    浏览(39)
  • 【Linux下6818开发板(ARM)】硬件空间挂载

    (꒪ꇴ꒪ ),hello我是 祐言 博客主页:C语言基础,Linux基础,软件配置领域博主🌍 快上🚘,一起学习! 送给读者的一句鸡汤🤔: 集中起来的意志可以击穿顽石! 作者水平很有限,如果发现错误,可在评论区指正,感谢🙏         在嵌入式系统开发中,经常需要使用外部硬件

    2024年02月14日
    浏览(41)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包