汽車功能安全診斷覆蓋率的評估

診斷覆蓋率的評估

D.1概述

本附件擬采用：

a.對診斷范圍的評估，以產生以下理由：

?硬件架構度量的評估定義的單點失效和潛在失效度量；

?遵守評估安全目標違反，因為隨機硬件失效，評估隨機硬件失效導致的安全目標違規(guī)所定義；

b.準則，以選擇適當?shù)陌踩珯C制，在E/E中實施用于檢測元素失效的架構。

圖D.1顯示了嵌入式系統(tǒng)的通用硬件。本系統(tǒng)硬件元件的典型失效模式見表D.1。最左邊列中列出的每個元素都與元素右邊列中捕獲的一個或多個失效模式相關聯(lián)。清單不要求詳盡，可以根據其他已知的失效模式或根據應用程序進行調整。

每一行都引用與這些元件失效相關的安全機制的其他細節(jié)(表D.2至D.10)。根據這些典型的安全機制對給定元素的有效性進行分類，它們能夠覆蓋列出的失效模式，以實現(xiàn)元素的低、中或高診斷覆蓋率。這些低、中、高診斷覆蓋率排名分別對應于60%、90%或99%的典型覆蓋率水平。

失效模式的分配及其相應的安全機制可能有所不同

列于表D.1，取決于：

1)診斷檢測到的失效模式源的變化；

2)安全機制的有效性；

3)安全機制的具體實施；

4)安全機制的執(zhí)行時機（周期性）；

5)系統(tǒng)中實現(xiàn)的硬件技術；

6)基于系統(tǒng)硬件的失效模式的概率；和

7)更詳細地分析了失效模式及其分類為幾個子類

8)不同的失效模式覆蓋級別。

總之，表D.1提供了根據對系統(tǒng)要素的分析加以調整的準則。

這些準則沒有處理安全概念中可以指定的具體限制，以避免違反安全目標。這些約束，例如時間方面（診斷的周期性），在通過安全機制評估通用的典型診斷覆蓋時不被考慮。在評估項目中使用的安全機制的具體診斷覆蓋率時，將考慮它們，以避免違反安全目標。

例一種安全機制可以在本附件中具有較高的通用典型診斷覆蓋率，但如果所使用的診斷測試間隔大于符合相關容錯時間間隔所需的診斷測試間隔，則避免違反安全目標的具體診斷覆蓋率將低得多。

因此，表D.2至D.10可作為評估這些安全機制的診斷覆蓋率的起點，所稱的診斷覆蓋率有適當?shù)睦碛?例如。使用故障注入方法或分析參數(shù))。此外，給定的信息旨在幫助定義元素的失效模式；然而，相關的失效模式最終取決于使用元素的應用。

圖D.1——系統(tǒng)的通用硬件

表D.2至表D.10通過提供診斷測試技術指南來支持表D.1的信息。表D.1至表D.10不是詳盡無遺的，可以使用其他技術，只要有證據支持所稱的診斷范圍。如果合理，可以估計更高的診斷覆蓋率，對于簡單或復雜的元素，可高達100%。

注1相關的失效模式和失效模型是逐案識別的，通常取決于所使用的技術和實現(xiàn)。有關半導體失效模型的詳細信息，請參閱ISO26262-11：2018，4.3.1。

如果一個元素的失效模式x、y和z的失效模式分布為X、Y、Z，則有效診斷覆蓋率計算如下：

KDC=X×KFMC，x+Y×KFMC，y+Z，KFMC，z

式中

KDC是硬件元素的診斷覆蓋率；

X：是失效模式x的失效模式分布；KFMC，x是失效模式x的失效模式覆蓋；

Y：是失效模式y(tǒng)的失效模式分布；KFMC，y是失效模式y(tǒng)的失效模式覆蓋；

Z：是失效模式z的失效模式分布；KFMC，z是失效模式z的失效模式覆蓋；X+Y+Z=100%

注2：半導體，有關失效模型、失效模式和相關分布之間的關系的詳細信息，請參閱ISO26262-11：2018，4.3。

表D.1（續(xù)）

表D.1（續(xù)）

表D.2-E/E系統(tǒng)

表D.3-電氣元件

注：下表涉及主要應用于系統(tǒng)級別組件的安全機制。關于可以集成在組件中的安全機制的更多細節(jié)在ISO26262-11：2018中描述：

?5.1數(shù)字組件；

?5.2模擬和混合信號元件；

?5.3可編程邏輯器件；

?5.4多核組件；和

?5.5傳感器和傳感器。

表D.4-處理單元

表D.5-模擬和數(shù)字I/O

表D.6-通信總線（串行、并行）

表D.7-電源

表D.8-程序順序監(jiān)測/鎖定

表D.9-傳感器

表D.10-執(zhí)行器