汽车功能安全诊断覆盖率的评估

诊断覆盖率的评估

D.1概述

本附件拟采用：

a.对诊断范围的评估，以产生以下理由：

Ø硬件架构度量的评估定义的单点失效和潜在失效度量；

Ø遵守评估安全目标违反，因为随机硬件失效，评估随机硬件失效导致的安全目标违规所定义；

b.准则，以选择适当的安全机制，在E/E中实施用于检测元素失效的架构。

图D.1显示了嵌入式系统的通用硬件。本系统硬件元件的典型失效模式见表D.1。最左边列中列出的每个元素都与元素右边列中捕获的一个或多个失效模式相关联。清单不要求详尽，可以根据其他已知的失效模式或根据应用程序进行调整。

每一行都引用与这些元件失效相关的安全机制的其他细节(表D.2至D.10)。根据这些典型的安全机制对给定元素的有效性进行分类，它们能够覆盖列出的失效模式，以实现元素的低、中或高诊断覆盖率。这些低、中、高诊断覆盖率排名分别对应于60%、90%或99%的典型覆盖率水平。

失效模式的分配及其相应的安全机制可能有所不同

列于表D.1，取决于：

1)诊断检测到的失效模式源的变化；

2)安全机制的有效性；

3)安全机制的具体实施；

4)安全机制的执行时机（周期性）；

5)系统中实现的硬件技术；

6)基于系统硬件的失效模式的概率；和

7)更详细地分析了失效模式及其分类为几个子类

8)不同的失效模式覆盖级别。

总之，表D.1提供了根据对系统要素的分析加以调整的准则。

这些准则没有处理安全概念中可以指定的具体限制，以避免违反安全目标。这些约束，例如时间方面（诊断的周期性），在通过安全机制评估通用的典型诊断覆盖时不被考虑。在评估项目中使用的安全机制的具体诊断覆盖率时，将考虑它们，以避免违反安全目标。

例一种安全机制可以在本附件中具有较高的通用典型诊断覆盖率，但如果所使用的诊断测试间隔大于符合相关容错时间间隔所需的诊断测试间隔，则避免违反安全目标的具体诊断覆盖率将低得多。

因此，表D.2至D.10可作为评估这些安全机制的诊断覆盖率的起点，所称的诊断覆盖率有适当的理由(例如。使用故障注入方法或分析参数)。此外，给定的信息旨在帮助定义元素的失效模式；然而，相关的失效模式最终取决于使用元素的应用。

图D.1——系统的通用硬件

表D.2至表D.10通过提供诊断测试技术指南来支持表D.1的信息。表D.1至表D.10不是详尽无遗的，可以使用其他技术，只要有证据支持所称的诊断范围。如果合理，可以估计更高的诊断覆盖率，对于简单或复杂的元素，可高达100%。

元素	见表格	分析了失效模式
通用元素
E.E系统	D2.E/E系统	无通用的失效模式 详细的分析是必要的
继电器	D3—电子元素	不通电或不断电 触点粘连 ·
线束包括连接器	开路 接触电阻 短路到地(d.c.coupled) 短路到电源 相邻引脚短路 引脚间阻抗漂移
传感器包括信号开磁	D9.传感器	详细的分析是必要的典型失效模式包括: —超范围 —偏移 —卡滞 —震荡
最终元素(打执行器,灯,蜂鸣器,屏幕…)	D.10.执行器	无通用的失效模式 详细的分析是必要的
电源	D.7电源	漂移和震荡 欠压和过压 电火花
注1相关的失效模式和失效模型是逐案识别的，通常取决于所使用的技术和实现。有关半导体失效模型的详细信息，请参阅ISO26262-11：2018，4.3.1。 如果一个元素的失效模式x、y和z的失效模式分布为X、Y、Z，则有效诊断覆盖率计算如下： KDC=X×KFMC，x+Y×KFMC，y+Z×KFMC，z 式中 KDC是硬件元素的诊断覆盖率； X：是失效模式x的失效模式分布；其中KFMC，x是失效模式x的失效模式覆盖； Y：是失效模式y的失效模式分布；KFMC，y是失效模式y的失效模式覆盖；. Z：是失效模式z的失效模式分布；KFMC，z是失效模式z的失效模式覆盖；X+Y+Z=100% 注2半导体，有关失效模型、失效模式和相关分布之间的关系的详细信息，请参阅ISO26262-11：2018，4.3。

注1相关的失效模式和失效模型是逐案识别的，通常取决于所使用的技术和实现。有关半导体失效模型的详细信息，请参阅ISO26262-11：2018，4.3.1。

如果一个元素的失效模式x、y和z的失效模式分布为X、Y、Z，则有效诊断覆盖率计算如下：

KDC=X×KFMC，x+Y×KFMC，y+Z，KFMC，z

式中

KDC是硬件元素的诊断覆盖率；

X：是失效模式x的失效模式分布；KFMC，x是失效模式x的失效模式覆盖；

Y：是失效模式y的失效模式分布；KFMC，y是失效模式y的失效模式覆盖；

Z：是失效模式z的失效模式分布；KFMC，z是失效模式z的失效模式覆盖；X+Y+Z=100%

注2：半导体，有关失效模型、失效模式和相关分布之间的关系的详细信息，请参阅ISO26262-11：2018，4.3。

表D.1（续）

元素	见表格	分析了失效模式
时钟	D.8-方案 序列监测/锁定	不正确的频率抖动 另见ISO26262-11：2018，5.2
非易失性存储器	ISO26262-11：2018， 表32	见ISO26262-11：2018，5.1，表29
易失性存储器	ISO26262-11：2018， 表33	见ISO26262-11：2018，5.1，表29
数字I/O	D.5-模拟和数字I/O	不正确的I/O 另见ISO26262-11：2018，5.1，表30
模拟I/O	不正确的I/O 另见ISO26262-11：2018，5.2，表36
处理单元	D.4-处理单位/D.8-方案顺序监测/锁定	输出不正确 另见ISO26262-11：2018，5.1，表30
注1：相关的失效模式和失效模型是逐案识别的，通常取决于所使用的技术和实现。有关半导体失效模型的详细信息，请参阅ISO26262-11：2018，4.3.1。 如果一个元素的失效模式x、y和z的失效模式分布为X、Y、Z，则有效诊断覆盖率计算如下： KDC=X×KFMC，x+Y×KFMC，y+Z×KFMC，z 式中 KDC是硬件元素的诊断覆盖率； X：是失效模式x的失效模式分布；其中KFMC，x是失效模式x的失效模式覆盖； Y：是失效模式y的失效模式分布；KFMC，y是失效模式y的失效模式覆盖；. Z：是失效模式z的失效模式分布；KFMC，z是失效模式z的失效模式覆盖；X+Y+Z=100% 注2半导体，有关失效模型、失效模式和相关分布之间的关系的详细信息，请参阅ISO26262-11：2018，4.3。

表D.1（续）

元素	见表格	分析了失效模式
通讯
数据传输(用ISO26262-6：2018，D.2.4进行分析)	D.6-通信总线（串行、并行）	通信丢失同步消息 损坏消息 不可接受延迟消息 消息丢失 不正确的消息重复 不正确的消息排序 信息插入 伪装信息 信息地址不正确
注1相关的失效模式和失效模型是逐案识别的，通常取决于所使用的技术和实现。有关半导体失效模型的详细信息，请参阅ISO26262-11：2018，4.3.1。 如果一个元素的失效模式x、y和z的失效模式分布为X、Y、Z，则有效诊断覆盖率计算如下： KDC=X×KFMC，x+Y×KFMC，y+Z，KFMC，z 式中 KDC是硬件元素的诊断覆盖率； X：是失效模式x的失效模式分布；其中KFMC，x是失效模式x的失效模式覆盖； Y：是失效模式y的失效模式分布；KFMC，y是失效模式y的失效模式覆盖；. Z：是失效模式z的失效模式分布；KFMC，z是失效模式z的失效模式覆盖；X+Y+Z=100% 注2半导体，有关失效模型、失效模式和相关分布之间的关系的详细信息，请参阅ISO26262-11：2018，4.3。

表D.2-E/E系统

安全机制/措施	见技术概览	典型的诊断覆盖被认为是可以实现的	注释
失效检测通过在线监测	d.2.1.1	低	取决于失效检测的诊断覆盖率
比较器	d.2.1.2	高	取决于比较的质量
多数投票器	d.2.1.3	高	取决于投票的质量
动态原理	d.2.2.1	中等	取决于失效检测的诊断覆盖率
模拟监测数字信号.	d.2.2.2	低	—
两个独立单元之间通过软件交叉交换进行自检	d.2.3.3	中等	取决于自检质量.

表D.3-电气元件

安全机制/措施	见技术概述	典型的诊断覆盖被认为是可以实现的	注释
通过在线监测进行失效检测.	d.2.1.1	高	取决于失效检测的诊断覆盖率
注：本表仅涉及专用于电气元件的安全机制。一般技术，如基于数据比较的技术(见D.2.41.2)也能够检测电气元件的失效，但没有集成在本表中(已包括在表D.2-E/E系统中)。

注：下表涉及主要应用于系统级别组件的安全机制。关于可以集成在组件中的安全机制的更多细节在ISO26262-11：2018中描述：

Ø5.1数字组件；

Ø5.2模拟和混合信号元件；

Ø5.3可编程逻辑器件；

Ø5.4多核组件；和

Ø5.5传感器和传感器。

表D.4-处理单元

安全机制/措施	见技术概述	典型的诊断覆盖被认为是可以实现的	注释
软件自测：模式数量有限（一个通道）.	d.2.3.1	中等	取决于自检质量.
两个独立单元之间通过软件交叉交换进行自检	d.2.3.3	中等	取决于自检质量.
硬件（一通道）支持的自检.	d.2.3.2	中等	取决于自检质量.
软件多元化冗余（一个硬件通道）.	d.2.3.4	高	取决于多样化的质量。共模式失效可以减少诊断覆盖率.
用软件进行相互比较	d.2.3.5	高	取决于比较的质量
HW冗余(例如双核锁步，非对称冗余，编码处理)	d.2.3.6	高	这取决于冗余的质量。共模式失效可以减少诊断覆盖率.
配置寄存器测试	d.2.3.7	高	只有配置寄存器
上溢/下溢检测	d.2.3.8	低	仅堆栈边界测试
集成硬件一致性监控.	d.2.3.9	高	仅涵盖非法硬件例外
注：本表仅涉及专用于处理单元的安全机制。一般技术，如基于数据比较的技术(见D.2.41.2)也能够检测电气元件的失效，但没有集成在本表中(已包括在表D.2-E/E系统中)。

表D.5-模拟和数字I/O

安全机制/措施	见技术概述	典型的诊断覆盖被认为是可以实现的	注释
通过在线监测(数字I/O)a进行失效检测.	d.2.1.1	低	取决于失效检测的诊断覆盖率
测试样式	d.2.4.1	高	取决于模式的类型
数字I/O的代码保护	d.2.4.2	中等	取决于编码的类型
多通道并行输出.	d.2.4.3	高	—
监测的输出	d.2.4.4	高	只有当数据流在诊断测试间隔内发生变化时
输入比较/投票(1oo2，2oo3或更好的冗余)	d.2.4.5	高	只有当数据流在诊断测试间隔内发生变化时
a	数字I/O可以是周期性的。

表D.6-通信总线（串行、并行）

安全机制/措施	见技术概览	典型的诊断覆盖被认为是可以实现的	注释
一位硬件冗余	D2.5.1	低	—
多位硬件冗余	D.2.5.2	中	—
发送信息回读	D25.9	中	—
全硬件冗余	D.2.5.3	高	Commonmodefailurescanreducediagnosticcoverage
测试样式检查	D.2.5.4	高	—
传输冗余	D.2.5.5	中	取决于冗余的类型。仅对瞬态故障有效
信息冗余	D.2.5.6	中	取决于冗余的类型
帧计数	D.2.5.7	中	—
超时监控	D.2.5.8	中	—
信息冗余,帧计数和超时监控相组合	D25.6,D.257andD.2.5.8	高	对于没有硬件冗余或测试模式的系统，高覆盖率可以归因于这些机制的组合

表D.7-电源

安全机制/措施	见技术概述	典型的诊断覆盖被认为是可以实现的	注释
电压或电流控制（输入）.	d.2.6.1	低	—
电压或电流控制（输出）.	d.2.6.2	高	—

表D.8-程序顺序监测/锁定

安全机制/措施	见技术概述	典型的诊断覆盖被认为是可以实现的	注释
带独立时间基准的看门狗，没有时间窗口	d.2.7.1	低	—
带独立时间基准和时间窗口的看门狗	d.2.7.2	中等	取决于时间窗口的时间限制
程序顺序的逻辑监测.	d.2.7.3	中等	只有在外部时间事件影响逻辑程序流时钟失效时才有效。为内部硬件失效（如中断频率错误）提供覆盖，这些失效可能导致软件运行不符合顺序.
程序顺序的时间和逻辑监测相结合	d.2.7.4	高	—
			为内部硬件失效提供覆盖
程序序列的时间和逻辑监测与时间依赖的结合	d.2.7.5	高	导致软件没有顺序。 当采用非对称设计实现时，提供关于主设备和监视设备之间通信顺序的覆盖
			注方法的设计，以考虑执行抖动从中断，CPU加载等。

表D.9-传感器

安全机制/措施	见技术概述	典型的诊断覆盖被认为是可以实现的	注释
失效检测 在线监测	d.2.1.1	低	取决于失效检测的诊断覆盖率
测试模式	d.2.4.1	高	—
输入比较/投票 (1oo2，2oo3或更好的冗余)	d.2.4.5	高	只有当数据流在诊断测试间隔内发生变化时
传感器有效范围	d.2.8.1	低	检测短路接地或电源和一些开路
传感器相关性	d.2.8.2	高	探测范围失效
传感器合理性检查	d.2.8.3	中等	—

表D.10-执行器

安全机制/措施	见技术概述	典型的诊断覆盖被认为是可以实现的	注释
失效检测在线监测	d.2.1.1	低	取决于失效检测的诊断覆盖率
测试模式	d.2.4.1	高	—
监测(即：一致性控制)	d.2.9.1	高	取决于失效检测的诊断覆盖率