隨機硬件故障的分類和安全要求

8.1.隨機硬件故障的分類

8.1.1概述

通常，所考慮的故障組合僅限于兩個獨立的硬件故障的組合，除非基于功能或技術(shù)安全概念的分析表明，n>2的n點故障是相關(guān)的。因此，對于給定的安全目標(biāo)和給定的硬件元件，在大多數(shù)情況下，故障可以分為：

a.單點故障；

b.殘余故障；

c.可探測的雙點故障；

d.可感知的雙點故障；

e.潛在的雙點故障；或

f.安全故障。

對各種故障類別的解釋以及示例如下。

8.1.2單點故障

此故障：

?可以直接導(dǎo)致違反安全目標(biāo)；及

?是硬件元器件的故障，它沒有至少一個安全機制。

例如：一種非監(jiān)控電阻，至少有一種故障模式(例如：開路)有可能違反安全目標(biāo)。

注意，如果硬件要素被至少一個安全機制覆蓋(例如：微控制器失控的看門狗)，那么它的任何故障都不被歸類為單點故障。安全機制不能防止違反安全目標(biāo)的故障被歸類為殘余故障。

8.1.3殘余故障

本故障或零元器件本故障：

?直接導(dǎo)致違反安全目標(biāo)；及

?是至少一個安全機制和這些安全所覆蓋的硬件元器件的故障，安全機制不會減輕或控制此故障或此故障的一部分。

示例：如果隨機訪問存儲器(RAM)模塊僅由棋盤RAM（OK？？？March test???）測試安全機制檢查，則不會檢測到某些類型的橋接故障。安全機制沒有防止由于這些故障而違反安全目標(biāo)。這些故障是殘余故障的示例。

注：在這種情況下，安全機制的診斷覆蓋率小于100%。

8.1.4可探測的雙點故障

此故障：

?導(dǎo)致違反安全目標(biāo)，但只能導(dǎo)致安全目標(biāo)違反與其他獨立硬件故障相結(jié)合；及

?是通過一種安全機制來檢測的，它防止了它的潛在性。

示例1：受奇偶校驗保護的閃存：根據(jù)技術(shù)安全概念檢測并觸發(fā)反應(yīng)的單比特故障，如關(guān)閉系統(tǒng)并通過警告燈通知駕駛員。

示例2：受糾錯碼(ECC)保護的閃存：通過測試檢測到ECC邏輯中的故障，并根據(jù)技術(shù)安全概念觸發(fā)反應(yīng)，如通過警告燈通知駕駛員。

如果安全機制通過將相關(guān)項恢復(fù)到無故障狀態(tài)來減輕瞬態(tài)故障，則這種故障可以被視為檢測到的雙點故障，即使驅(qū)動器從未被告知其存在。

一個瞬態(tài)位翻轉(zhuǎn)，由ECC在數(shù)據(jù)提供給CPU之前進行校正，然后通過寫回正確的值進行校正。測井可以用來區(qū)分間歇故障和真實的瞬態(tài)故障。

注：雙點故障可分為初級雙點故障和次級雙點故障。主要的雙點故障本身不能導(dǎo)致安全目標(biāo)違反，即使沒有安全機制來控制其故障。次級的雙點故障確實有可能違反安全目標(biāo)，但存在一個安全機制，以減輕安全目標(biāo)的違反。

8.1.5可感知的雙點故障

此故障：

?導(dǎo)致違反安全目標(biāo)，但只會導(dǎo)致安全目標(biāo)違反與其他獨立硬件故障相結(jié)合；及

?在規(guī)定的時間內(nèi)由安全機制檢測或不檢測的駕駛員檢測。

示例：如果功能受到故障后果的顯著和明確影響，則駕駛員可以檢測到雙點故障。

注意，如果駕駛員檢測到雙點故障，以及通過安全機制檢測到，則可以將其歸類為檢測到的或檢測到的雙點故障。它不能被歸類為兩者，因為潛在故障度量將被錯誤地計算，因為一個故障隨后將導(dǎo)致檢測到的雙點故障以及檢測到的雙點故障，將此故障計數(shù)兩次。

8.1.6潛在的雙點故障

此故障：

導(dǎo)致違反安全目標(biāo)，但只會導(dǎo)致違反安全目標(biāo)與其他獨立故障相結(jié)合；及

既沒有被安全機制檢測到，也沒有被駕駛員檢測到。直到第二次獨立故障的發(fā)生，系統(tǒng)仍可操作，不通知駕駛員故障。

示例1：在受ECC保護的閃存的情況下：一個永久的單比特故障，當(dāng)讀取時，該值被ECC校正，但在閃存中既沒有校正，也沒有發(fā)出信號。在這種情況下，故障不能導(dǎo)致安全目標(biāo)違反（因為故障位被糾正)，但它既沒有檢測到(因為單位故障沒有信號)，也沒有檢測到(因為對應(yīng)用程序的功能沒有影響）。如果在ECC邏輯中發(fā)生額外的故障，它可能導(dǎo)致對這個單位故障的控制喪失，導(dǎo)致潛在的違反安全目標(biāo)。

示例2：在受ECC保護的閃存的情況下：ECC邏輯中的永久單個故障導(dǎo)致ECC不可用，并且沒有在最大故障處理時間間隔內(nèi)檢測和控制。

8.1.7安全故障

安全故障可以是兩類故障之一：

a.n>2的全部n 點故障，除非安全概念表明它們是安全目標(biāo)違反的相關(guān)貢獻者；或

b.不會導(dǎo)致違反安全目標(biāo)的故障。

示例1：在受ECC保護的閃存和循環(huán)冗余檢查(CRC)的情況下：由ECC糾正但沒有信號的單比特故障。該故障被防止違反安全目標(biāo)，但沒有被ECC發(fā)出信號。如果ECC邏輯失效，則由CRC檢測故障，系統(tǒng)關(guān)閉。只有當(dāng)閃存中存在一個比特故障，并且ECC邏輯失效，CRC校驗和監(jiān)督失效時，才能發(fā)生違反安全目標(biāo)的情況(n=3)。

示例2：在三個電阻串聯(lián)連接以克服短路情況下單點故障的問題時，每個單獨電阻的短路可以被認(rèn)為是安全故障，因為需要三個獨立的短路(n=3)。

故障分類和故障類別貢獻計算的8.1.8流程圖

硬件要素的故障模式可以分類，如ISO26262-5：2018的圖B所示。使用ISO26262-5：2018中描述的流程圖，圖B.2.圖10顯示了考慮不同失效模式(殘余VS)的基本故障率和覆蓋率的各種故障率的計算。潛在的)。

圖10-故障類別的分類和相應(yīng)故障率的計算

A.故障模式有待分析。

B.λFMi，ith是與所考慮的硬件要素的故障模式相關(guān)的故障率，其中DFMI是故障模式的故障模式分布。

C.如果正在考慮的硬件元件的任何故障模式與安全相關(guān)，則硬件元器件與安全相關(guān)。

D.λFMi，nSR是“與安全無關(guān)”的故障率。

E.在單點故障度量中不考慮與安全無關(guān)的硬件元件的故障或者潛在故障度量。

F.λFMi，SR是“安全相關(guān)”的故障率，并考慮在單點故障度量和潛在故障度量中。

G.FFMi,safe是這種故障模式的安全故障的一部分。安全故障對違反安全目標(biāo)沒有顯著貢獻。對于復(fù)雜的硬件要素(例如：微控制器)很難給出確切的比例。在這種情況下，保守的Fsafe為0.5(即。50%)可以假定。

H.λFMi，S是“安全”故障的故障率。

I.λFMi，S將有助于安全故障的總發(fā)生率。

J.λFMi，NS：“非安全”故障率。其中包括單點故障、殘余故障和多點故障(其中n=2)。

K.事實上，PVSG是非安全故障的一部分，有可能直接違反安全目標(biāo)，而不考慮任何可能存在的安全機制來防止這一點。不需要額外的獨立故障來違反安全目標(biāo)。

L.λFMi，PVSG是潛在直接違反安全目標(biāo)的故障的故障率，而不考慮任何可能存在的安全機制來防止這一情況。

M.如果導(dǎo)致所考慮的故障模式的故障是單點故障，則決定。

單點故障沒有安全機制來防止正在考慮的硬件元器件的任何故障直接違反安全目標(biāo)。

N.λFMi，SPF是“單點故障”的故障率。如果沒有至少一個安全機制來控制所考慮的硬件元器件的故障，所有導(dǎo)致λFMi的故障，PVSG是單點故障。

O.λFMi，SPF將導(dǎo)致單點故障的總發(fā)生率。

P.對于正在考慮的硬件元件，如果有至少一個安全機制阻止其至少一個故障模式直接違反安全目標(biāo)，則導(dǎo)致正在考慮的故障的故障不是單點故障。在接下來的λFMi過程中，PVSG被分成殘余故障，并檢測、檢測和潛在的多點故障。

Q.什么比例的λFMi，PVSG被安全機制阻止違反安全目標(biāo)？

這個分?jǐn)?shù)相當(dāng)于殘余故障的故障模式覆蓋(另見ISO26262-5：2018的附件E硬件架構(gòu)度量的示例計算：“單點故障度量”和“潛在故障度量”)。KFMCi，RF是故障模式覆蓋的縮寫。

R.λFMi，RF是“殘余故障”故障率。

S.λFMi，RF對殘余故障的總發(fā)生率有貢獻。

T.λFMi，MPF，secondary是（secondary）“多點故障”的故障率,λFMi，PVSG，由安全機制控制。λFMi,MPF,secondaryisthe(secondary)“Multiple-PointFaults”failurerateresultingfromtheλFMi,PVSGthatarecontrolledbyasafetymechanism.

U.λFMi，MPF是由一級和二級多點故障引起的整體“多點故障”故障率。

V.識別檢測到的故障和未檢測到的故障。MPF是針對多點故障的故障模式覆蓋。

W.λFMi，MPF，det是“多點故障，檢測到”的故障率。

注意，如果主、次多點故障的故障模式覆蓋率不同，則可以以下方式計算檢測到的多點故障率：

λFMi,MPF,det=KFMCi,MPF,primary×λFMi,MPF,primary+KFMCi,MPF,secondary×λFMi,MPF,secondary

X.λFMi、MPF、det對檢測到的多點故障的總比率有貢獻。

Y.λFMi，MPF，pl是“多點故障，檢測或潛在”故障率。

注：如果主、次多點故障的故障模式覆蓋率不同，則可按以下方式計算檢測或潛在的多點故障率：

λFMi,MPF,pl=(1?KFMCi,MPF,primary)×λFMi,MPF,primary+(1?KFMCi,MPF,secondary)×λFMi,MPF,secondary

Z.FFMi,per是沒有檢測到但被駕駛員檢測的多點故障的一部分。

aa：λFMi，MPF，p是“多點故障，檢測”故障率。

注：如果初級和次級多點故障的檢測分?jǐn)?shù)不同，則可按以下方式計算檢測多點故障率：

λFMi，MPF，p=FFMI，每，初級×(1?KFMCi，MPF，初級)×λFMi，MPF，初級+FFMI，每，次級×

(1?KFMCi，MPF，次級)×λFMi，MPF，次級

ab：λFMi，MPF，p貢獻了檢測多點故障的總比率。

ac：λFMi，MPF，l是“多點故障，潛在”故障率。

注意，如果初級和次級多點故障的檢測分?jǐn)?shù)不同，則可以以下列方式計算潛在的多點故障率：

λFMi,MPF,l=(1?FFMi,per,primary)×(1?KFMCi,MPF,primary)×λFMi,MPF,primary+(1?FFMi,per,secondary)×(1?KFMCi,MPF,secondary)×λFMi,MPF,secondary

ad：λFMi，MPF，l對潛在多點故障的總比率有貢獻。

ae：λFMi，MPF，主要是（主要）“多點故障”的故障率，由導(dǎo)致違反安全目標(biāo)，但不能直接違反它自己(即。至少需要另一個獨立的故障，以潛在地違反安全目標(biāo))。

注意，只有在相關(guān)的診斷覆蓋、故障模式覆蓋或檢測分?jǐn)?shù)不同的情況下，才能區(qū)分給定故障模式的主要和次要多點故障。

8.1.9如何考慮與基于軟件的安全機制相關(guān)的多點故障的故障率，以解決隨機硬件故障。

雖然在ISO26262系列標(biāo)準(zhǔn)中沒有量化軟件和硬件的系統(tǒng)故障，但可以計算出硬件資源的隨機硬件故障的故障率，這些硬件資源支持執(zhí)行解決隨機硬件故障的基于軟件的安全機制。

如果這些硬件資源與有可能直接違反安全目標(biāo)的功能共享，則選擇故障模型來反映這一點，并考慮潛在的相關(guān)故障。

原文標(biāo)題：安全要求的定義和管理ISO26262:2018-10-8.1

文章出處：【微信公眾號：汽車電子硬件設(shè)計】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。

責(zé)任編輯：haq