8.3.關于硬件的進一步解釋

8.3.1.在ISO26262系列標準應用的范疇內如何處理微控制器

微控制器是現代E/E汽車系統的組成零元器件。它們可以作為獨立于環境的安全要素來開發(SEooC，見第9條)。

它們的復雜性是通過結合對微控制器的元器件和子元器件的定性和定量安全分析來處理的，這些分析是在適當的抽象層面上進行的，即。從概念階段的框圖到產品開發階段的網表和布局層面。

ISO26262-11中介紹了一項準則，包括關于如何在ISO26262系列標準范圍內處理微控制器的非詳盡清單。

介紹了一種微控制器故障率的計算方法，包括如何考慮永久故障和瞬態故障。

其中包括：

?相關故障分析；

?避免微控制器設計過程中的系統故障；

?微控制器安全機制的驗證；及

?考慮微控制器在系統級的獨立分析。

8.3.2.安全分析方法

8.3.2.1概述

附件A討論了分析系統故障模式的技術，包括歸納分析和演繹分析。

8.3.2.2在隨機硬件故障概率度量(PMHF)計算對暴露持續時間的考量

如ISO26262-5：2018的9.4.2.4所述，定量分析提供了證據，證明要求ISO26262-5：2018的9.4.2.1的目標值已經實現。如ISO26262-5：2018的9.4.2.4所示，這種定量分析考慮了雙點故障情況下的暴露持續時間。本示例中高于n=2的故障場景被認為是安全的，不包括在計算中。

根據ISO26262-5：2018的9.4.2.4中的注2：，一旦故障發生，暴露持續時間就會開始。

包括：

?與每個安全機制相關的多點故障檢測間隔，或者如果故障沒有指示給駕駛員（潛在故障），車輛的生命周期；

?旅行的最長持續時間（在駕駛員被要求以安全的方式駐車的情況下）；及

?車間警告和車輛修理之間的平均時間間隔（在這種情況下，駕駛員被警告要修理車輛)。

8.3.2.3雙點失效的典型模式（預期的功能和安全機制）

提供了以下示例，以顯示考慮曝光持續時間的可能方法。在本例中，假定預期功能(任務塊“IF”)由安全機制“SM”監督。

架構假設如圖19所示。該示例假設預期功能IF的故障由安全機制SM1檢測和減輕。SM1還負責通知駕駛員IF故障狀態。此外，安全機制SM1中的故障由另一個安全機制SM2檢測，SM2負責緩解SM1故障，并將SM1故障狀態通知駕駛員。

說明：

箭頭原點的安全機制檢測箭頭尖端元器件的故障

圖19-示例的系統架構設計

圖19顯示了預期功能(IF)和安全機制(SM1)的典型雙點故障路徑，其目的是檢測IF中的故障。假設SM1和IF之間沒有相關故障，則考慮IF和SM1組合產生的雙點故障

?故障的發生順序；

?檢測和控制第一故障的速率；

?將檢測到的故障通知駕駛員的速率；及

?駕駛員通知后修理的時間。

從以上考慮，可以列出四種情況的雙點故障如表2所示。

表2-示例架構中的雙點故障模式

	第一次故障：SM1→第二次故障：IF	第一次故障：IF→第二次故障：SM1
無法通知駕駛員	模式1 SM1中的故障由SM2減輕，但沒有通知。故障暴露持續時間作為最壞情況下暴露持續時間的車輛生命周期。 或者 SM1中的一個故障不是由SM2減輕的。故障暴露持續時間作為最壞情況下暴露持續時間的車輛生命周期。	模式3 在IF中的故障由SM1減輕，但沒有通知。故障暴露持續時間作為最壞情況下暴露持續時間的車輛生命周期。
可以通知駕駛員	模式2 SM1中的一個故障被SM2減輕并通知。故障的暴露持續時間作為駕駛員將車輛帶入修理所需的預期時間。	模式4 在IF中的故障由SM1減輕并通知。故障的暴露持續時間作為駕駛員將車輛帶入修理所需的預期時間。

8.3.2.4計算公式

本分節中的公式是指表2所列的模式和ISO26262-5：2018的9.4.2.4的內容。

MPMHF=λSPF+λRF

+0,5×λSM1,DPF,latent×λIF,DPF×Tlifetime：模式1

+λSM1,DPF,detected×λIF,DPF×Tservice：模式2

+0,5×λIF,DPF,latent×λSM1,DPF×Tlifetime：模式3

+λIF,DPF,detected×λSM1,DPF×Tservice：模式4

式中：

MPMHF：是使用ISO26262-5：2018的9.4.2.2；確定的PMHF值

λSPF：是單點故障率；

λRF：是殘余故障率；

λIF，DPF：是IF的雙點故障率；

λIF，DPF.檢測：IF是否檢測到并通知雙點故障率；

λIF，DPF.延遲：IF的潛在雙點故障率（減輕但未通知）；

λSM1，DPF：是SM1的雙點故障率；

λSM1，DPF，檢測：SM1的檢測和通知雙點故障率；

λSM1，DPF，潛在：是SM1的潛在雙點故障率；

Tlifetime：是車輛的生命周期；

Tservice：是在通知駕駛員后修復的預期時間。

注1:在此示例中，由于所有硬件要素都由安全機制監控，單點故障率等于零(λSPF=0)。

注2：:在模式1和3中，雙點失效的單個故障發生的順序是重要的。在模式1中，SM1的潛在雙點故障發生在IF的雙點故障之前。在模式3中，IF的潛在雙點故障發生在SM1的雙點故障之前。

使用8.1.8中定義的術語，可以計算出不同的雙點故障率如下：

λIF,DPF=λIF,DPF,primary+λIF,DPF,secondaryλIF,DPF,primary=(1?FIF,safe)×(1?FIF,PVSG)×λIF

λIF,DPF,secondary=(1?FIF,safe)×FIF,PVSG×KFMC,SM1,RF×λIF

λIF,DPF.detected=λIF,DPF,detected,primary+λIF,DPF,detected,secondary

λIF,DPF,detected,primary=λIF,DPF,primary×KFMC1,SM1,MPF=(1?FIF,safe)×(1?FIF,PVSG)×KFMC1,SM1,MPF×λIF

λIF,DPF,detected,secondary=λIF,DPF,secondary×KFMC2,SM1,MPF=(1?FIF,safe)×FIF,PVSG×KFMC,SM1,RF×KFMC2,SM1,MPF×λIF

λIF,DPF.latent=λIF,DPF,latent,primary+λIF,DPF,latent,secondary

λIF,DPF,latent,primary=λIF,DPF,primary×(1?KFMC1,SM1,MPF)=(1?FIF,safe)×(1?FIF,PVSG)×(1?KFMC1,SM1,MPF)×λIF

λIF,DPF,latent,secondary=λIF,DPF,secondary×(1?KFMC2,SM1,MPF)=(1?FIF,safe)×FIF,PVSG×KFMC,SM1,RF×(1?KFMC2,SM1,MPF)×λIF

λSM1,DPF=λSM1,DPF,primary+λSM1,DPF,secondaryλSM1,DPF,primary=(1?FSM1,safe)×(1?FSM1,PVSG)×λSM1

λSM1,DPF,secondary=(1?FSM1,safe)×FSM1,PVSG×KFMC,SM2,RF×λSM1

λSM1,DPF.detected=λSM1,DPF,detected,primary+λSM1,DPF,detected,secondary

λSM1,DPF,detected,primary=λSM1,DPF,primary×KFMC1,SM2,MPF=(1?FSM1,safe)×(1?FSM1,PVSG)×KFMC1,SM2,MPF×λSM1

λSM1,DPF,detected,secondary=λSM1,DPF,secondary×KFMC2,SM2,MPF=(1?FSM1,safe)×FSM1,PVSG×

KFMC,SM2,RF×KFMC2,SM2,MPF×λSM1

λSM1,DPF.latent=λSM1,DPF,latent,primary+λSM1,DPF,latent,secondary

λSM1,DPF,latent,primary=λSM1,DPF,primary×(1?KFMC1,SM2,MPF)=(1?FSM1,safe)×(1?FSM1,PVSG)×(1?KFMC1,SM2,MPF)×λSM1

式中：

λIF：是IF的故障率；

λSM1：是SM1的故障率；

FIFO，安全：是IF的安全故障比率；

FSM1，安全：是SM1的安全故障比率

FIFO，PVSG：是在沒有安全機制的情況下，有可能直接違反安全目標的IF故障的比率；

FSM1，PVSG：是SM1在沒有安全機制的情況下有可能直接違反安全目標的故障比率。

注：某些安全機制的失效可能會導致自身的安全目標違反，例如。一個ECC可以通過錯誤地糾正它來破壞一個正確的值。

KFMC，SM1，RF：是IF對殘余故障(SM1)的診斷覆蓋率；

KFMC1，SM1，MPF：是IF對主要多點故障(SM1)的檢測和通知診斷覆蓋；

KFMC2，SM1，MPF：是IF對次級多點故障(SM1)的檢測和通知診斷覆蓋；

KFMC，SM2，RF：是SM1對殘余故障(SM2)的診斷覆蓋率；

KFMC1，SM2，MPF：是SM1對主要多點故障(SM2)的檢測和通知診斷覆蓋；

KFMC2，SM2，MPF：是SM1對次級多點故障(SM2)的檢測和通知診斷覆蓋。

示例：8.3.2.4中的公式MPMHF可以根據表3中的值根據

雙點故障率計算方程如下：

λIF,DPF=33e-9/h

λIF,DPF,detected=24,9e-9/hλIF,DPF,latent=8,1e-9/hλSM1,DPF=23,5e-9/h

λSM1,DPF,detected=7,6e-9/h

λSM1,DPF,latent=15,9e-9/h

MPMHF=18,5e-9/h+0,5×15,9e-9/h×33e-9/h×10000h+7,6e-9/h×33e-9/h×20h+0,5×8,1e-9/h×23,5e-9/h×10000h+24,9e-9/h×23,5e-9/h×20h=18,504e-9/h

例如

FIF,safe=0(theIFhasnosafefaults),

FSM1,safe=0(SM1hasnosafefaults),

FIF,PVSG=1(theIFhasonlyfaultswiththepotentialtoviolatethesafetygoalinabsenceofasafetymechanism),and

FSM1,PVSG=0(SM1hasnofaultswiththepotentialtoviolatethesafetygoalinabsenceofasafetymechanism),

Thedual-pointfailureratecouldbecalculatedasfollows:

λIF,DPF=KFMC,SM1,RF×λIF

λIF,DPF.detected=KFMC,SM1,RF×KFMC2,SM1,MPF×λIFλIF,DPF.latent=KFMC,SM1,RF×(1?KFMC2,SM1,MPF)×λIFλSM1,DPF=λSM1

λSM1,DPF.detected=KFMC1,SM2,MPF×λSM1λSM1,DPF.latent=(1?KFMC1,SM2,MPF)×λSM1

這一小節中的公式假設指數故障率模型和一階近似[e.g.Tlifetime×λSM1andTlifetime×λIFbothsmall(typically<0,1)]。

在以下情況下評估Tservice的貢獻，其中對MPMHF進行計算，以驗證是否可以通過考慮的硬件設計假設來實現PMHF目標值：

如果PMHF目標值高于或等于λSPF+λSM1、DPF×λIF、DPF×T生命周期，則PMHF目標值可以獨立于Tservice的值實現。

注：MPMHF=λSPF+λRF+λSM1,DPF×λIF,DPF×Tlifetime，當所有雙點故障被假定為潛在的計算時。

如果PMHF目標值低于λSPF+λRF+(λSM1,DPF,latent×λIF,DPF+λIF,DPF,latent×λSM1,DPF)×0,5×Tlifetime，PMHF目標值不能獨立于Tservice的值來實現。

注：MPMHF=λSPF+λRF+(λSM1,DPF,latent×λIF,DPF+λIF,DPF,latent×λSM1,DPF)×0,5×Tlifetime假設Tservice等于零進行計算。

如果PMHF目標值低于λSPF++λSM1、DPF×λIF、DPF×T生命周期時間，并且高于或等于λSPF++(λSM1、DPF、潛在×λIF、DPF、潛在×、DPF)、0、5、T生命周期時間，ervice的值滿足以下方程，則可以實現PMHF目標值：

Tservice≤(PMHFtargetvalue?λSPF?λRF(λSM1,DPF,latent×λIF,DPF+λIF,DPF,latent×λSM1,DPF)×0,5×Tlifetime)/(λSM1,DPF,detected×λIF,DPF+λIF,DPF,detected×λSM1,DPF)。

注：本方程在12.3.1.2中使用。

責任編輯：xj

原文標題：關于硬件的進一步解釋ISO26262:2018-10-8.3

文章出處：【微信公眾號：汽車電子硬件設計】歡迎添加關注！文章轉載請注明出處。