0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

评估残余故障率λRF、传感器、单点故障率λSPF和单点故障度量MSPFM的方法

汽车电子工程知识体系 来源:汽车电子硬件设计 作者:汽车电子硬件设计 2020-10-22 11:56 次阅读

8.2.残余故障率的示例和局部单点故障度量评估.

8.2.1.总则

此示例演示了一种评估残余故障率λRF传感器、单点故障率λSPF和单点故障度量MSPFM的本地化版本的方法,传感器的传感器。在本例中,将传感器与另一个传感器的值进行比较,其中两个传感器测量相同的物理量并具有已知的公差。传感器的值,A_Master,由应用程序的一个特性使用。A_Checker,其他传感器的值仅用于验证传感器A_Master的值。

这种监控在ISO26262-5:2018附件D中引用,作为“传感器合理性检查”或“输入比较/投票”。

在这个示例中,只对传感器A_Master的故障进行了分类和评估。传感器A_检查器的故障在这里没有解决。

由于传感器A_Master有一个安全机制定义,所有残余的故障,有可能违反安全目标,而不受控制(即。违反安全目标的行为没有得到防止)被归类为残余故障。单点故障率λSPF为(每定义)等于零。

8.2.2.传感器A_Master的技术安全需求.

传感器A_Master安全操作的边界如图11所示,并被认为是在这个示例中给出的(即。从安全目标的推导在这里没有讨论)。可以用下列术语表示:

即:

μSafRel,A,min=Max[CPVSG;v×(1+a)]

式中:

CPVSG:是一个常量;

μSafRel,A,min是传感器A_Master的安全相关下界;

v:是要测量的物理值;

a:是一个常数。

当传感器发生安全相关的故障时

mA,Master≥μSafRel,A,min

其中mA,Master是传感器A_Master报告的值。

安全需求是在TSENA的最大故障处理时间间隔内检测和控制传感器A_Master的安全相关故障。

说明:

1,安全相关的下界μSafRel,A,传感器A_Master的最小值

2.具有零容忍的理想传感器的返回值(作为参考)

3.有可能违反安全目标的故障

图11-传感器A_Master安全操作的边界

在图11中,x轴是要测量的实际物理值v,y轴是由传感器A_Master报告的值mA,Master。虚线显示理想传感器的返回值(即。具有零公差的传感器)作为参考。实线显示μSafRel,A,min。如果传感器A_Master报告的值mA,Master是在或以上的实线,违反安全目标可能发生。

8.2.3.安全机制的描述

要素的安全机制是传感器A_Checker和由带有嵌入式软件微控制器组成的监控硬件。该软件定期比较两个传感器的值,周期小于最大故障检测时间间隔TSENA。评估由以下伪代码完成:

ΔA=mA,Master–mA,Checker

如果ΔA≥ΔMax那么失效是正确的

如果故障为真,则切换到安全状态

式中:

mA,Master:是传感器A_Master报告的值;

mA,Checker:是传感器A_Checker报告的值;

ΔMax:是一个预定义的常数最大阈值,用作通过/不通过准则。

假定传感器具有以下已知公差:

mA,Master=v±cA,Master

mA,Checker=v±cA,Checker

式中:

mA,Master:是传感器A_Master报告的值;

mA,Checker:传感器A_Checker报告的值;

cA,Master:是表示传感器A_Master公差的常数;

cA,Checker:是表示传感器A_Checker公差的常数;

v:是要测量的物理值。

选择值ΔMax,以便检测可能违反安全目标的传感器A_Master的故障。为了防止错误的失效检测,选择ΔMax是考虑每个传感器的公差和其他公差总结在cA,其他例如。不同时间取样的影响:

ΔMax≥cA,Master+cA,Checker+cA,other

使用这种方法,不可探测的失效最坏的情况是:

μA,Master,wc=mA,Checker+ΔMax

=v+cA,Checker+ΔMax

式中:

μA,Master,wc:是最坏的情况检测阈值。mA,Master传感器未被检测为故障的A_Master;

mA,Checker:是传感器A_Checker报告的值;

ΔMax:是一个预定义的常数最大阈值,用作通过/不通过准则;

v:是要测量的物理值。

每个值mA,Master等于或高于μA,Master,WC被归类为传感器故障。

根据公差值,不同的检测场景是可能的。有两个示例如图12和图13所示。

说明:

1,安全相关的下界μSafRel,A,MI的传感器A_Master

2,具有零容忍的理想传感器的返回值(作为参考)

3,最坏情况检测阈值μA,Master,WC

4,可探测的双点故障

5,检测到的故障没有可能违反安全目标

6,残余故障

图12-最坏情况检测阈值(太高)的示例1

图12中的箭头表示三个区域。

区域5-“检测到的故障没有可能违反安全目标”是安全机制检测到的故障,因为它们高于最坏情况检测阈值μA,Master,WC,但单独不会导致违反安全目标,因为它们低于安全相关的较低边界μSafRel,A,min。

区域4-“可探测的双点故障”是可能导致违反安全目标的故障,但被安全机制检测和减轻。它们都高于最坏情况检测阈值μA,Master,WC和安全相关的下边界μSafRel,A,min。这些故障的双点性质意味着它需要安全机制和传感器的故障,以导致潜在的违反安全目标。

区域6-“残余故障”没有被安全机制检测到,直接导致违反安全目标。区域μSafRel,A,min<μA,Master,WC表示v∈[v1,v2]低于最坏情况检测阈值μA,Master,WC,但高于安全相关的下边界μSafRel,A,min。

说明:

1,安全相关的下界μSafRel,A,传感器A_Master的最小值

2,具有零容忍的理想传感器的返回值(作为参考)

3,最坏情况检测阈值μA,Master,WC

4,可探测的双点故障

5,检测到的故障没有可能违反安全目标

图13-最坏情况检测阈值(MSPFM,传感器=100%)的示例2

在图13的情况下,最坏的情况检测阈值μA,Master,WC总是小于安全相关的下边界μSafRel,A,min。在这种情况下,残余故障率为零,局部单点故障度量MSPFM,传感器的传感器等于100%。

8.2.4.图12中描述的示例1的评估

8.2.4.1总则

在图12的情况下,有条件时,最坏的情况检测阈值μA,Master,WC是高于安全相关的下边界μSafRel,A,min传感器A_Master:

对于v∈[v1,v2]:μSafRel,A,min≤μA,Master,WC

为了确定残余故障率λRF,传感器和MSPFM,传感器在这些条件下,需要进一步的分析。以下是这一分析的一个示例。在ISO26262-5:2018中,表D.1考虑了包括信号开关在内的传感器的以下故障模式:

Ø超出范围;

Ø偏移;

Ø卡滞;及

Ø振荡。

在这个示例中,只评估恒定值m(在范围内)下的卡滞。为了对传感器和MSPFM的残余故障率进行完整的评估,传感器所有其他故障模式都需要评估。

对于分析,我们区分了传感器的三种不同的卡滞故障场景(见图14):

传感器卡滞在值m>m2;

传感器卡滞值m

传感器卡在M1和M2之间的值m。

说明:

1,安全相关的下界μSafRel,A,传感器A_Master的最小值

2,具有零容忍的理想传感器的返回值(作为参考)

3,最坏情况检测阈值μA,Master,WC

图14-卡滞故障场景

传感器在系统水平上的卡滞在故障的影响取决于当前的物理值v,例如。卡滞的m2故障有可能违反物理值v≤v2的安全目标。对于值v>v2,此故障不具有违反安全目标的潜力。在接下来的分析中,考虑检测阈值以及物理值v及其概率分布,对故障作为残余故障的概率pRF进行了评估。

8.2.4.2示例1:传感器卡滞在值m>m2故障.

如果v≤v2,则该故障有可能违反安全目标(见图15)。然而,传感器偏差总是高于最坏情况检测阈值μAMaster,WC,因此及时检测和控制安全相关的传感器故障。每个故障都是检测到的双点故障。在v≤v2的情况下,残余故障的概率pRF为零。如果v>v2,则故障并不总是有可能违反安全目标(参见图16)。如果故障有可能违反安全目标(图16,区域6),它将超过最坏的情况检测阈值,并及时检测。图16区域4和5的故障不能导致违反安全目标。

其中一些故障位于最坏情况检测阈值之上,并被检测到(图16,区域4)。在v>v2的情况下,残余故障的概率pRF为零。

如果v≤v2,卡滞在m>m2的故障具有违背安全目标的潜在可能,因而它们不能被视为安全故障。因所有的故障在其导致违背安全目标前,都得到了探测和控制,它们是可探测的双点故障;因此,对于卡滞的m>m2故障,残余故障的概率pRF_stuck@m2为零。

说明:

1,安全相关的下界μSafRel,A,传感器A_Master的最小值

2,具有零容忍的理想传感器的返回值(作为参考)

3,最坏情况检测阈值μA,Master,WC

4,可探测的双点故障

图15-卡滞在的故障分类-在m>m2故障,与v≤v2

说明:

1,安全相关的下界μSafRel,A,传感器A_Master的最小值

2,具有零容忍的理想传感器的返回值(作为参考)

3,最坏情况检测阈值μA,Master,WC

4,检测到的故障没有可能违反安全目标

5,没有检测到没有违反安全目标的潜在故障

6,可探测的双点故障

图16-卡滞的故障分类-在m>m2故障,与v>v2

8.2.4.3示例2:传感器卡滞在值m

图17显示了m

说明:

1,安全相关的下界μSafRel,A,传感器A_Master的最小值

2,具有零容忍的理想传感器的返回值(作为参考)

3,最坏情况检测阈值μA,Master,WC

4,不可探测的安全故障

5,安全故障,检测到

图17-卡滞在的故障分类-在m

8.2.4.4示例3:传感器卡滞在值m∈[m1,m2]故障

违反安全目标的可能性和检测m∈的卡滞在故障[m1,m2]取决于当前的物理值v(见图18)。违反安全目标的风险取决于故障发生时v的当前值。在故障发生时,对v的三个不同间隔进行了评估,pRF_stuck@m∈[m1,m2]

Øv

Øv1≤v≤v2;及

Øv>v2。

对于这些条件中的每一个,分别评估残余故障的概率。残余故障的最终概率是这三种概率的期望值:

说明:

1,安全相关的下界μSafRel,A,传感器A_Master的最小值

2,具有零容忍的理想传感器的返回值(作为参考)

3,最坏情况检测阈值μA,Master,WC

4,可探测的双点故障

5,不违反安全目标但仍不可探测的故障

6,残余故障

图18-在m∈[m1,m2]故障下的故障分类

根据v的电流值,故障可以检测到双点故障(区域4)、残余故障(区域6)或不具有违反安全目标的潜力(区域5)。

pRF_stuck@m∈[m1,m2]=pRF_stuck@m∈[m1,m2],v

pRF_stuck@m∈[m1,m2],v1≤v2×pv1≤v2pRF_stuck@m∈[m1,m2],v>v2×pv>v2

式中:

pRF_stuck@m∈[m1,m2]:卡滞在值m传感器故障的概率,与m∈[m1,m2],表现为残余故障;

pRF_stuck@m∈[m1,m2],当故障发生时v

pv

pRF_stuck@m∈[m1,m2],v1≤v2是在故障发生时,如果v1≤v2,则在m∈[m1,m2]的情况下,卡滞在值m传感器故障表现为残余故障的概率;

pv1≤v≤v2:是v1≤v2在故障发生时的概率;

pRF_stuck@m∈[m1,m2],v>v2:当故障发生时,如果v>v2,则具有m∈[m1,m2]的卡滞在值m传感器故障的概率表现为残余故障;

pv>v2:是v>v2在故障发生时的时间点的概率;

pvv2=1。

如果v

如果v>v2,则卡滞在故障不具有违反安全目标的潜力,但未被检测到。从那以后

值v迟早介于v1和v2之间,pRF_stuck@m∈[m1,m2],v>v2=pRF_stuck@m∈[m1,m2],v1≤v2。

如果v1≤v≤v2,则残余故障的概率pRF_stuck@m∈[m1,m2],v1≤v2不为零。

它准确地确定留在残余断层区域的概率足够长,以导致潜在的违反安全目标并不简单。它可以相关于参数,如:

Ø物理值v及其相应概率分布的动态行为,例如。温度值更多地是静态信号,而使用中的电动机的角度位置更多地是动态信号;

Ø值v在v∈内的概率分布[v1,v2];

Ø监控软件的反应时间,例如。由于过滤时间。在示例中,具有ΔA≥ΔMax的单个事件足以检测传感器故障并切换到安全状态。然而,实现错误计数器是一种常见的做法,因此为了评估传感器故障并切换到安全状态,需要多个事件。特别是错误计数器恢复,例如。一旦检测到一个与安全无关的事件(在本示例中,这将对应于ΔA<ΔMax),则重置错误计数器会对监控软件的检测能力产生重大影响,从而大大降低它;以及

Ø测量的安全相关传感器偏差的数量,以导致潜在的违反安全目标。此外,必须在两个测量的安全相关传感器偏差之间的有效测量的数量,以便安全目标不再被违反,可以引起兴趣。

如果没有每个影响参数的确切细节,则使用专家判断和工程实践是合法的(例如:使用未知概率分布的等分布)导出保守估计。

评估了@m>m2、pRF_stuck@m

可以计算传感器在残余故障下卡滞的概率pRF_stuck@m:

pRF,stuck@m=pRF,stuck@mm2´pm>m2

式中:

PM

PM1≤m2是卡滞在的概率-在m1≤m2≤m2故障;

PM>m2:是卡滞在的概率-在m>m2故障;

PM

8.2.4.5最终残余故障率评估

如果对每个相关的故障模式FMI进行与上述相同的评估,则可以计算传感器故障的总体概率pRF、传感器本身表现为残余故障:

pRF,Sensor=SpFM,i´pRF,FM,i

式中:

pFM,i:是故障模式FMI的概率;

PRF,FM,i:故障模式FMI表现为残余故障的概率;

这个概率,残余故障率,λRF,Sensor,可以评估为:

λRF,Sensor=pRF,Sensor×λRF,Sensor

导致一个MSPFM,Sensor的Z

8.2.4.6SPFMSensor的提升

降低传感器残余故障率的一种有效方法是降低ΔMax的值。在下列条件下,如果不显著增加虚假检测,就可以减少ΔMax:

Ø公差的概率分布可以表明,估计的最坏情况是非常不可能的。因此,误报的概率足够低,因此可以接受。

Ø重新设计系统可以提高容忍值。

请注意,在本例中只评估传感器故障,而不是在残余的传感器路径中发生的故障。共享硬件资源的故障可能导致两个传感器的故障,或者可能伪造两个传感器的值,例如。对微控制器的ADC进行了单独的评估。此外,在ISO26262-9:2018第7条中给出的相关失效分析,已经完成。

责任编辑:xj

原文标题:残余故障率的示例和局部单点故障度量评估ISO26262:2018-10-8.2

文章出处:【微信公众号:汽车电子硬件设计】欢迎添加关注!文章转载请注明出处。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 传感器
    +关注

    关注

    2550

    文章

    51039

    浏览量

    753095
  • RF
    RF
    +关注

    关注

    65

    文章

    3051

    浏览量

    166970
  • SPF接口
    +关注

    关注

    0

    文章

    4

    浏览量

    8418

原文标题:残余故障率的示例和局部单点故障度量评估ISO26262:2018-10-8.2

文章出处:【微信号:QCDZYJ,微信公众号:汽车电子工程知识体系】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    FOC电机的故障检测方法 FOC电机调试技巧大全

    : FOC电机的故障检测方法 传感器故障检测 : 传感器是FOC控制系统中获取电机状态信息的关键部件,其
    的头像 发表于 11-21 15:07 532次阅读

    工业地磅传感器故障判断

    地磅传感器故障判断
    的头像 发表于 10-21 00:09 252次阅读

    BQ77915功能安全时基故障率、FMD和引脚FMA

    电子发烧友网站提供《BQ77915功能安全时基故障率、FMD和引脚FMA.pdf》资料免费下载
    发表于 09-23 11:17 0次下载
    BQ77915功能安全时基<b class='flag-5'>故障率</b>、FMD和引脚FMA

    高可靠性BAW振荡MTBF和时基故障率计算

    电子发烧友网站提供《高可靠性BAW振荡MTBF和时基故障率计算.pdf》资料免费下载
    发表于 08-29 11:52 0次下载
    高可靠性BAW振荡<b class='flag-5'>器</b>MTBF和时基<b class='flag-5'>故障率</b>计算

    电力电容器运行故障率偏高的原因

    电力电容器运行故障率偏高的原因可能包括以下几个方面: 1、设计和制造缺陷 :电力电容器的设计或制造过程中存在缺陷,如绝缘材料质量差、元件配合不良、工艺控制不严等,可能导致电容器在运行过程中发生故障
    的头像 发表于 08-13 14:12 600次阅读
    电力电容器运行<b class='flag-5'>故障率</b>偏高的原因

    华纳云:服务扩展中如何避免单点故障

    服务扩展是组织应对不断增长的业务需求和数据负载的手段。然而,应对到来的却是更大规模的风险,存在单点故障可能导致整个系统的宕机,严重的业务连续性和用户体验。 单点故障的策略 在服务
    的头像 发表于 07-29 14:52 228次阅读

    plc中传感器故障报警怎样做

    PLC(可编程逻辑控制)在工业自动化领域中扮演着非常重要的角色。传感器作为PLC系统中的关键组成部分,用于检测和测量各种物理量,如温度、压力、速度等。当传感器出现故障时,PLC系统的
    的头像 发表于 07-25 09:57 624次阅读

    Jtti:如何在服务扩展时避免单点故障?有哪些常见的高可用性策略?

    服务扩展是组织应对不断增长的业务需求和数据负载的重要手段。然而,随之而来的却是更大规模的风险,存在单点故障可能导致整个系统的宕机,严重影响业务连续性和用户体验。 避免单点故障的策略 冗余备份 在
    的头像 发表于 07-18 16:02 236次阅读

    温度传感器的常见故障及处理方法

    温度传感器是工业和日常生活中非常重要的设备,用于测量和监控温度。以下是一些常见的温度传感器故障及其处理方法传感器读数不准确 : 原因 :
    的头像 发表于 06-20 09:11 3607次阅读

    凯迪正大关于地埋电缆的知识及电缆故障可能性分析

    为了降低地埋电缆的故障率,我们需要从设计、施工、维护等方面加强管理和控制,确保电缆的质量和安全性。同时,对于已经出现故障的电缆,我们需要及时进行修复和更换。
    的头像 发表于 05-20 17:11 402次阅读

    相位传感器故障表现及故障排除方法

    相位传感器故障表现及故障排除方法  相位传感器是一种用于测量旋转物体相位角度的设备,常用于车辆发动机和转子等旋转机械的控制系统中。相位
    的头像 发表于 03-07 15:28 1970次阅读

    主流传感器常见故障的解决方法

    传感器故障通常是由于多种原因引起的,包括机械故障、电气故障以及环境因素......
    的头像 发表于 02-01 17:44 1226次阅读
    主流<b class='flag-5'>传感器</b>常见<b class='flag-5'>故障</b>的解决<b class='flag-5'>方法</b>

    磁环共模电感应用中故障率高的原因

    电子发烧友网站提供《磁环共模电感应用中故障率高的原因.docx》资料免费下载
    发表于 01-22 09:30 0次下载

    如何降低焊接机器人在使用中的故障率

      随着制造业的不断发展,焊接机器人在自动化生产中的应用日益广泛。然而,焊接机器人在使用中的故障率也成为制约其性能和效率的一个关键问题。本文将探讨一些降低焊接机器人故障率的关键方法,以提高生产线
    的头像 发表于 01-11 14:04 452次阅读

    防火墙双机热备命令行配置方案

    部署防火墙双机热备,避免防火墙出现单点故障而导致的网络瘫痪
    的头像 发表于 01-02 09:45 994次阅读
    防火墙双机热备命令行配置方案