8.3.關(guān)于硬件的進一步解釋

8.3.1.在ISO26262系列標(biāo)準(zhǔn)應(yīng)用的范疇內(nèi)如何處理微控制器

微控制器是現(xiàn)代E/E汽車系統(tǒng)的組成零元器件。它們可以作為獨立于環(huán)境的安全要素來開發(fā)(SEooC，見第9條)。

它們的復(fù)雜性是通過結(jié)合對微控制器的元器件和子元器件的定性和定量安全分析來處理的，這些分析是在適當(dāng)?shù)某橄髮用嫔线M行的，即。從概念階段的框圖到產(chǎn)品開發(fā)階段的網(wǎng)表和布局層面。

ISO26262-11中介紹了一項準(zhǔn)則，包括關(guān)于如何在ISO26262系列標(biāo)準(zhǔn)范圍內(nèi)處理微控制器的非詳盡清單。

介紹了一種微控制器故障率的計算方法，包括如何考慮永久故障和瞬態(tài)故障。

其中包括：

?相關(guān)故障分析；

?避免微控制器設(shè)計過程中的系統(tǒng)故障；

?微控制器安全機制的驗證；及

?考慮微控制器在系統(tǒng)級的獨立分析。

8.3.2.安全分析方法

8.3.2.1概述

附件A討論了分析系統(tǒng)故障模式的技術(shù)，包括歸納分析和演繹分析。

8.3.2.2在隨機硬件故障概率度量(PMHF)計算對暴露持續(xù)時間的考量

如ISO26262-5：2018的9.4.2.4所述，定量分析提供了證據(jù)，證明要求ISO26262-5：2018的9.4.2.1的目標(biāo)值已經(jīng)實現(xiàn)。如ISO26262-5：2018的9.4.2.4所示，這種定量分析考慮了雙點故障情況下的暴露持續(xù)時間。本示例中高于n=2的故障場景被認(rèn)為是安全的，不包括在計算中。

根據(jù)ISO26262-5：2018的9.4.2.4中的注2：，一旦故障發(fā)生，暴露持續(xù)時間就會開始。

包括：

?與每個安全機制相關(guān)的多點故障檢測間隔，或者如果故障沒有指示給駕駛員（潛在故障），車輛的生命周期；

?旅行的最長持續(xù)時間（在駕駛員被要求以安全的方式駐車的情況下）；及

?車間警告和車輛修理之間的平均時間間隔（在這種情況下，駕駛員被警告要修理車輛)。

8.3.2.3雙點失效的典型模式（預(yù)期的功能和安全機制）

提供了以下示例，以顯示考慮曝光持續(xù)時間的可能方法。在本例中，假定預(yù)期功能(任務(wù)塊“IF”)由安全機制“SM”監(jiān)督。

架構(gòu)假設(shè)如圖19所示。該示例假設(shè)預(yù)期功能IF的故障由安全機制SM1檢測和減輕。SM1還負(fù)責(zé)通知駕駛員IF故障狀態(tài)。此外，安全機制SM1中的故障由另一個安全機制SM2檢測，SM2負(fù)責(zé)緩解SM1故障，并將SM1故障狀態(tài)通知駕駛員。

說明：

箭頭原點的安全機制檢測箭頭尖端元器件的故障

圖19-示例的系統(tǒng)架構(gòu)設(shè)計

圖19顯示了預(yù)期功能(IF)和安全機制(SM1)的典型雙點故障路徑，其目的是檢測IF中的故障。假設(shè)SM1和IF之間沒有相關(guān)故障，則考慮IF和SM1組合產(chǎn)生的雙點故障

?故障的發(fā)生順序；

?檢測和控制第一故障的速率；

?將檢測到的故障通知駕駛員的速率；及

?駕駛員通知后修理的時間。

從以上考慮，可以列出四種情況的雙點故障如表2所示。

表2-示例架構(gòu)中的雙點故障模式

8.3.2.4計算公式

本分節(jié)中的公式是指表2所列的模式和ISO26262-5：2018的9.4.2.4的內(nèi)容。

MPMHF=λSPF+λRF

+0,5×λSM1,DPF,latent×λIF,DPF×Tlifetime：模式1

+λSM1,DPF,detected×λIF,DPF×Tservice：模式2

+0,5×λIF,DPF,latent×λSM1,DPF×Tlifetime：模式3

+λIF,DPF,detected×λSM1,DPF×Tservice：模式4

式中：

MPMHF：是使用ISO26262-5：2018的9.4.2.2；確定的PMHF值

λSPF：是單點故障率；

λRF：是殘余故障率；

λIF，DPF：是IF的雙點故障率；

λIF，DPF.檢測：IF是否檢測到并通知雙點故障率；

λIF，DPF.延遲：IF的潛在雙點故障率（減輕但未通知）；

λSM1，DPF：是SM1的雙點故障率；

λSM1，DPF，檢測：SM1的檢測和通知雙點故障率；

λSM1，DPF，潛在：是SM1的潛在雙點故障率；

Tlifetime：是車輛的生命周期；

Tservice：是在通知駕駛員后修復(fù)的預(yù)期時間。

注1:在此示例中，由于所有硬件要素都由安全機制監(jiān)控，單點故障率等于零(λSPF=0)。

注2：:在模式1和3中，雙點失效的單個故障發(fā)生的順序是重要的。在模式1中，SM1的潛在雙點故障發(fā)生在IF的雙點故障之前。在模式3中，IF的潛在雙點故障發(fā)生在SM1的雙點故障之前。

使用8.1.8中定義的術(shù)語，可以計算出不同的雙點故障率如下：

λIF,DPF=λIF,DPF,primary+λIF,DPF,secondaryλIF,DPF,primary=(1?FIF,safe)×(1?FIF,PVSG)×λIF

λIF,DPF,secondary=(1?FIF,safe)×FIF,PVSG×KFMC,SM1,RF×λIF

λIF,DPF.detected=λIF,DPF,detected,primary+λIF,DPF,detected,secondary

λIF,DPF,detected,primary=λIF,DPF,primary×KFMC1,SM1,MPF=(1?FIF,safe)×(1?FIF,PVSG)×KFMC1,SM1,MPF×λIF

λIF,DPF,detected,secondary=λIF,DPF,secondary×KFMC2,SM1,MPF=(1?FIF,safe)×FIF,PVSG×KFMC,SM1,RF×KFMC2,SM1,MPF×λIF

λIF,DPF.latent=λIF,DPF,latent,primary+λIF,DPF,latent,secondary

λIF,DPF,latent,primary=λIF,DPF,primary×(1?KFMC1,SM1,MPF)=(1?FIF,safe)×(1?FIF,PVSG)×(1?KFMC1,SM1,MPF)×λIF

λIF,DPF,latent,secondary=λIF,DPF,secondary×(1?KFMC2,SM1,MPF)=(1?FIF,safe)×FIF,PVSG×KFMC,SM1,RF×(1?KFMC2,SM1,MPF)×λIF

λSM1,DPF=λSM1,DPF,primary+λSM1,DPF,secondaryλSM1,DPF,primary=(1?FSM1,safe)×(1?FSM1,PVSG)×λSM1

λSM1,DPF,secondary=(1?FSM1,safe)×FSM1,PVSG×KFMC,SM2,RF×λSM1

λSM1,DPF.detected=λSM1,DPF,detected,primary+λSM1,DPF,detected,secondary

λSM1,DPF,detected,primary=λSM1,DPF,primary×KFMC1,SM2,MPF=(1?FSM1,safe)×(1?FSM1,PVSG)×KFMC1,SM2,MPF×λSM1

λSM1,DPF,detected,secondary=λSM1,DPF,secondary×KFMC2,SM2,MPF=(1?FSM1,safe)×FSM1,PVSG×

KFMC,SM2,RF×KFMC2,SM2,MPF×λSM1

λSM1,DPF.latent=λSM1,DPF,latent,primary+λSM1,DPF,latent,secondary

λSM1,DPF,latent,primary=λSM1,DPF,primary×(1?KFMC1,SM2,MPF)=(1?FSM1,safe)×(1?FSM1,PVSG)×(1?KFMC1,SM2,MPF)×λSM1

式中：

λIF：是IF的故障率；

λSM1：是SM1的故障率；

FIFO，安全：是IF的安全故障比率；

FSM1，安全：是SM1的安全故障比率

FIFO，PVSG：是在沒有安全機制的情況下，有可能直接違反安全目標(biāo)的IF故障的比率；

FSM1，PVSG：是SM1在沒有安全機制的情況下有可能直接違反安全目標(biāo)的故障比率。

注：某些安全機制的失效可能會導(dǎo)致自身的安全目標(biāo)違反，例如。一個ECC可以通過錯誤地糾正它來破壞一個正確的值。

KFMC，SM1，RF：是IF對殘余故障(SM1)的診斷覆蓋率；

KFMC1，SM1，MPF：是IF對主要多點故障(SM1)的檢測和通知診斷覆蓋；

KFMC2，SM1，MPF：是IF對次級多點故障(SM1)的檢測和通知診斷覆蓋；

KFMC，SM2，RF：是SM1對殘余故障(SM2)的診斷覆蓋率；

KFMC1，SM2，MPF：是SM1對主要多點故障(SM2)的檢測和通知診斷覆蓋；

KFMC2，SM2，MPF：是SM1對次級多點故障(SM2)的檢測和通知診斷覆蓋。

示例：8.3.2.4中的公式MPMHF可以根據(jù)表3中的值根據(jù)

雙點故障率計算方程如下：

λIF,DPF=33e-9/h

λIF,DPF,detected=24,9e-9/hλIF,DPF,latent=8,1e-9/hλSM1,DPF=23,5e-9/h

λSM1,DPF,detected=7,6e-9/h

λSM1,DPF,latent=15,9e-9/h

MPMHF=18,5e-9/h+0,5×15,9e-9/h×33e-9/h×10000h+7,6e-9/h×33e-9/h×20h+0,5×8,1e-9/h×23,5e-9/h×10000h+24,9e-9/h×23,5e-9/h×20h=18,504e-9/h

例如

FIF,safe=0(theIFhasnosafefaults),

FSM1,safe=0(SM1hasnosafefaults),

FIF,PVSG=1(theIFhasonlyfaultswiththepotentialtoviolatethesafetygoalinabsenceofasafetymechanism),and

FSM1,PVSG=0(SM1hasnofaultswiththepotentialtoviolatethesafetygoalinabsenceofasafetymechanism),

Thedual-pointfailureratecouldbecalculatedasfollows:

λIF,DPF=KFMC,SM1,RF×λIF

λIF,DPF.detected=KFMC,SM1,RF×KFMC2,SM1,MPF×λIFλIF,DPF.latent=KFMC,SM1,RF×(1?KFMC2,SM1,MPF)×λIFλSM1,DPF=λSM1

λSM1,DPF.detected=KFMC1,SM2,MPF×λSM1λSM1,DPF.latent=(1?KFMC1,SM2,MPF)×λSM1

這一小節(jié)中的公式假設(shè)指數(shù)故障率模型和一階近似[e.g.Tlifetime×λSM1andTlifetime×λIFbothsmall(typically<0,1)]。

在以下情況下評估Tservice的貢獻(xiàn)，其中對MPMHF進行計算，以驗證是否可以通過考慮的硬件設(shè)計假設(shè)來實現(xiàn)PMHF目標(biāo)值：

如果PMHF目標(biāo)值高于或等于λSPF+λSM1、DPF×λIF、DPF×T生命周期，則PMHF目標(biāo)值可以獨立于Tservice的值實現(xiàn)。

注：MPMHF=λSPF+λRF+λSM1,DPF×λIF,DPF×Tlifetime，當(dāng)所有雙點故障被假定為潛在的計算時。

如果PMHF目標(biāo)值低于λSPF+λRF+(λSM1,DPF,latent×λIF,DPF+λIF,DPF,latent×λSM1,DPF)×0,5×Tlifetime，PMHF目標(biāo)值不能獨立于Tservice的值來實現(xiàn)。

注：MPMHF=λSPF+λRF+(λSM1,DPF,latent×λIF,DPF+λIF,DPF,latent×λSM1,DPF)×0,5×Tlifetime假設(shè)Tservice等于零進行計算。

如果PMHF目標(biāo)值低于λSPF++λSM1、DPF×λIF、DPF×T生命周期時間，并且高于或等于λSPF++(λSM1、DPF、潛在×λIF、DPF、潛在×、DPF)、0、5、T生命周期時間，ervice的值滿足以下方程，則可以實現(xiàn)PMHF目標(biāo)值：

Tservice≤(PMHFtargetvalue?λSPF?λRF(λSM1,DPF,latent×λIF,DPF+λIF,DPF,latent×λSM1,DPF)×0,5×Tlifetime)/(λSM1,DPF,detected×λIF,DPF+λIF,DPF,detected×λSM1,DPF)。

注：本方程在12.3.1.2中使用。

責(zé)任編輯：xj

原文標(biāo)題：關(guān)于硬件的進一步解釋ISO26262:2018-10-8.3

文章出處：【微信公眾號：汽車電子硬件設(shè)計】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。