评估残余故障率λRF、传感器、单点故障率λSPF和单点故障度量MSPFM的方法

8.2.残余故障率的示例和局部单点故障度量评估.

8.2.1.总则

此示例演示了一种评估残余故障率λRF、传感器、单点故障率λSPF和单点故障度量MSPFM的本地化版本的方法，传感器的传感器。在本例中，将传感器与另一个传感器的值进行比较，其中两个传感器测量相同的物理量并具有已知的公差。传感器的值，A_Master，由应用程序的一个特性使用。A_Checker，其他传感器的值仅用于验证传感器A_Master的值。

这种监控在ISO26262-5：2018附件D中引用，作为“传感器合理性检查”或“输入比较/投票”。

在这个示例中，只对传感器A_Master的故障进行了分类和评估。传感器A_检查器的故障在这里没有解决。

由于传感器A_Master有一个安全机制定义，所有残余的故障，有可能违反安全目标，而不受控制(即。违反安全目标的行为没有得到防止)被归类为残余故障。单点故障率λSPF为（每定义）等于零。

8.2.2.传感器A_Master的技术安全需求.

传感器A_Master安全操作的边界如图11所示，并被认为是在这个示例中给出的(即。从安全目标的推导在这里没有讨论)。可以用下列术语表示：

即：

μSafRel,A,min=Max[CPVSG;v×(1+a)]

式中：

CPVSG：是一个常量；

μSafRel，A，min是传感器A_Master的安全相关下界；

v：是要测量的物理值；

a：是一个常数。

当传感器发生安全相关的故障时

mA,Master≥μSafRel,A,min

其中mA，Master是传感器A_Master报告的值。

安全需求是在TSENA的最大故障处理时间间隔内检测和控制传感器A_Master的安全相关故障。

说明：

1，安全相关的下界μSafRel，A，传感器A_Master的最小值

2.具有零容忍的理想传感器的返回值（作为参考）

3.有可能违反安全目标的故障

图11-传感器A_Master安全操作的边界

在图11中，x轴是要测量的实际物理值v，y轴是由传感器A_Master报告的值mA，Master。虚线显示理想传感器的返回值(即。具有零公差的传感器)作为参考。实线显示μSafRel，A，min。如果传感器A_Master报告的值mA，Master是在或以上的实线，违反安全目标可能发生。

8.2.3.安全机制的描述

要素的安全机制是传感器A_Checker和由带有嵌入式软件的微控制器组成的监控硬件。该软件定期比较两个传感器的值，周期小于最大故障检测时间间隔TSENA。评估由以下伪代码完成：

ΔA=mA,Master–mA,Checker

如果ΔA≥ΔMax那么失效是正确的

如果故障为真，则切换到安全状态

式中：

mA,Master：是传感器A_Master报告的值；

mA,Checker：是传感器A_Checker报告的值；

ΔMax：是一个预定义的常数最大阈值，用作通过/不通过准则。

假定传感器具有以下已知公差：

mA,Master=v±cA,Master

mA,Checker=v±cA,Checker

式中：

mA,Master：是传感器A_Master报告的值；

mA,Checker：传感器A_Checker报告的值；

cA,Master：是表示传感器A_Master公差的常数；

cA,Checker：是表示传感器A_Checker公差的常数；

v：是要测量的物理值。

选择值ΔMax，以便检测可能违反安全目标的传感器A_Master的故障。为了防止错误的失效检测，选择ΔMax是考虑每个传感器的公差和其他公差总结在cA，其他例如。不同时间取样的影响：

ΔMax≥cA,Master+cA,Checker+cA,other

使用这种方法，不可探测的失效最坏的情况是：

μA,Master,wc=mA,Checker+ΔMax

=v+cA,Checker+ΔMax

式中：

μA,Master,wc：是最坏的情况检测阈值。mA,Master传感器未被检测为故障的A_Master；

mA,Checker：是传感器A_Checker报告的值；

ΔMax：是一个预定义的常数最大阈值，用作通过/不通过准则；

v：是要测量的物理值。

每个值mA，Master等于或高于μA，Master，WC被归类为传感器故障。

根据公差值，不同的检测场景是可能的。有两个示例如图12和图13所示。

说明：

1，安全相关的下界μSafRel，A，MI的传感器A_Master

2，具有零容忍的理想传感器的返回值（作为参考）

3，最坏情况检测阈值μA，Master，WC

4，可探测的双点故障

5，检测到的故障没有可能违反安全目标

6，残余故障

图12-最坏情况检测阈值（太高）的示例1

图12中的箭头表示三个区域。

区域5-“检测到的故障没有可能违反安全目标”是安全机制检测到的故障，因为它们高于最坏情况检测阈值μA，Master，WC，但单独不会导致违反安全目标，因为它们低于安全相关的较低边界μSafRel，A，min。

区域4-“可探测的双点故障”是可能导致违反安全目标的故障，但被安全机制检测和减轻。它们都高于最坏情况检测阈值μA，Master，WC和安全相关的下边界μSafRel，A，min。这些故障的双点性质意味着它需要安全机制和传感器的故障，以导致潜在的违反安全目标。

区域6-“残余故障”没有被安全机制检测到，直接导致违反安全目标。区域μSafRel，A，min<μA，Master，WC表示v∈[v1，v2]低于最坏情况检测阈值μA，Master，WC，但高于安全相关的下边界μSafRel，A，min。

说明：

1，安全相关的下界μSafRel，A，传感器A_Master的最小值

2，具有零容忍的理想传感器的返回值（作为参考）

3，最坏情况检测阈值μA，Master，WC

4，可探测的双点故障

5，检测到的故障没有可能违反安全目标

图13-最坏情况检测阈值(MSPFM，传感器=100%)的示例2

在图13的情况下，最坏的情况检测阈值μA，Master，WC总是小于安全相关的下边界μSafRel，A，min。在这种情况下，残余故障率为零，局部单点故障度量MSPFM，传感器的传感器等于100%。

8.2.4.图12中描述的示例1的评估

8.2.4.1总则

在图12的情况下，有条件时，最坏的情况检测阈值μA，Master，WC是高于安全相关的下边界μSafRel，A，min传感器A_Master：

对于v∈[v1，v2]：μSafRel，A，min≤μA，Master，WC

为了确定残余故障率λRF，传感器和MSPFM，传感器在这些条件下，需要进一步的分析。以下是这一分析的一个示例。在ISO26262-5：2018中，表D.1考虑了包括信号开关在内的传感器的以下故障模式：

Ø超出范围；

Ø偏移；

Ø卡滞；及

Ø振荡。

在这个示例中，只评估恒定值m（在范围内）下的卡滞。为了对传感器和MSPFM的残余故障率进行完整的评估，传感器所有其他故障模式都需要评估。

对于分析，我们区分了传感器的三种不同的卡滞故障场景（见图14）：

传感器卡滞在值m>m2；

传感器卡滞值m

传感器卡在M1和M2之间的值m。

说明：

1,安全相关的下界μSafRel，A，传感器A_Master的最小值

2,具有零容忍的理想传感器的返回值（作为参考）

3,最坏情况检测阈值μA，Master，WC

图14-卡滞故障场景

传感器在系统水平上的卡滞在故障的影响取决于当前的物理值v，例如。卡滞的m2故障有可能违反物理值v≤v2的安全目标。对于值v>v2，此故障不具有违反安全目标的潜力。在接下来的分析中，考虑检测阈值以及物理值v及其概率分布，对故障作为残余故障的概率pRF进行了评估。

8.2.4.2示例1：传感器卡滞在值m>m2故障.

如果v≤v2，则该故障有可能违反安全目标（见图15）。然而，传感器偏差总是高于最坏情况检测阈值μAMaster，WC，因此及时检测和控制安全相关的传感器故障。每个故障都是检测到的双点故障。在v≤v2的情况下，残余故障的概率pRF为零。如果v>v2，则故障并不总是有可能违反安全目标（参见图16）。如果故障有可能违反安全目标（图16，区域6），它将超过最坏的情况检测阈值，并及时检测。图16区域4和5的故障不能导致违反安全目标。

其中一些故障位于最坏情况检测阈值之上，并被检测到（图16，区域4）。在v>v2的情况下，残余故障的概率pRF为零。

如果v≤v2,卡滞在m>m2的故障具有违背安全目标的潜在可能,因而它们不能被视为安全故障。因所有的故障在其导致违背安全目标前,都得到了探测和控制,它们是可探测的双点故障；因此，对于卡滞的m>m2故障，残余故障的概率pRF_stuck@m2为零。

说明：

1，安全相关的下界μSafRel，A，传感器A_Master的最小值

2，具有零容忍的理想传感器的返回值（作为参考）

3，最坏情况检测阈值μA，Master，WC

4，可探测的双点故障

图15-卡滞在的故障分类-在m>m2故障，与v≤v2

说明：

1，安全相关的下界μSafRel，A，传感器A_Master的最小值

2，具有零容忍的理想传感器的返回值（作为参考）

3，最坏情况检测阈值μA，Master，WC

4，检测到的故障没有可能违反安全目标

5，没有检测到没有违反安全目标的潜在故障

6，可探测的双点故障

图16-卡滞的故障分类-在m>m2故障，与v>v2

8.2.4.3示例2：传感器卡滞在值m

图17显示了m

说明：

1，安全相关的下界μSafRel，A，传感器A_Master的最小值

2，具有零容忍的理想传感器的返回值（作为参考）

3，最坏情况检测阈值μA，Master，WC

4，不可探测的安全故障

5，安全故障，检测到

图17-卡滞在的故障分类-在m

8.2.4.4示例3：传感器卡滞在值m∈[m1，m2]故障

违反安全目标的可能性和检测m∈的卡滞在故障[m1，m2]取决于当前的物理值v（见图18）。违反安全目标的风险取决于故障发生时v的当前值。在故障发生时，对v的三个不同间隔进行了评估，pRF_stuck@m∈[m1，m2]

Øv

Øv1≤v≤v2；及

Øv>v2。

对于这些条件中的每一个，分别评估残余故障的概率。残余故障的最终概率是这三种概率的期望值：

说明：

1，安全相关的下界μSafRel，A，传感器A_Master的最小值

2，具有零容忍的理想传感器的返回值（作为参考）

3，最坏情况检测阈值μA，Master，WC

4，可探测的双点故障

5，不违反安全目标但仍不可探测的故障

6，残余故障

图18-在m∈[m1，m2]故障下的故障分类

根据v的电流值，故障可以检测到双点故障（区域4)、残余故障(区域6)或不具有违反安全目标的潜力(区域5）。

pRF_stuck@m∈[m1，m2]=pRF_stuck@m∈[m1，m2]，v

pRF_stuck@m∈[m1，m2]，v1≤v2×pv1≤v2pRF_stuck@m∈[m1，m2]，v>v2×pv>v2

式中：

pRF_stuck@m∈[m1，m2]：卡滞在值m传感器故障的概率，与m∈[m1，m2]，表现为残余故障；

pRF_stuck@m∈[m1，m2]，当故障发生时v

pv

pRF_stuck@m∈[m1，m2]，v1≤v2是在故障发生时，如果v1≤v2，则在m∈[m1，m2]的情况下，卡滞在值m传感器故障表现为残余故障的概率；

pv1≤v≤v2：是v1≤v2在故障发生时的概率；

pRF_stuck@m∈[m1，m2]，v>v2：当故障发生时，如果v>v2，则具有m∈[m1，m2]的卡滞在值m传感器故障的概率表现为残余故障；

pv>v2：是v>v2在故障发生时的时间点的概率；

pvv2=1。

如果v

如果v>v2，则卡滞在故障不具有违反安全目标的潜力，但未被检测到。从那以后

值v迟早介于v1和v2之间，pRF_stuck@m∈[m1，m2]，v>v2=pRF_stuck@m∈[m1，m2]，v1≤v2。

如果v1≤v≤v2，则残余故障的概率pRF_stuck@m∈[m1，m2]，v1≤v2不为零。

它准确地确定留在残余断层区域的概率足够长，以导致潜在的违反安全目标并不简单。它可以相关于参数，如：

Ø物理值v及其相应概率分布的动态行为，例如。温度值更多地是静态信号，而使用中的电动机的角度位置更多地是动态信号；

Ø值v在v∈内的概率分布[v1，v2]；

Ø监控软件的反应时间，例如。由于过滤时间。在示例中，具有ΔA≥ΔMax的单个事件足以检测传感器故障并切换到安全状态。然而，实现错误计数器是一种常见的做法，因此为了评估传感器故障并切换到安全状态，需要多个事件。特别是错误计数器恢复，例如。一旦检测到一个与安全无关的事件(在本示例中，这将对应于ΔA<ΔMax)，则重置错误计数器会对监控软件的检测能力产生重大影响，从而大大降低它；以及

Ø测量的安全相关传感器偏差的数量，以导致潜在的违反安全目标。此外，必须在两个测量的安全相关传感器偏差之间的有效测量的数量，以便安全目标不再被违反，可以引起兴趣。

如果没有每个影响参数的确切细节，则使用专家判断和工程实践是合法的(例如：使用未知概率分布的等分布)导出保守估计。

评估了@m>m2、pRF_stuck@m

可以计算传感器在残余故障下卡滞的概率pRF_stuck@m：

pRF,stuck@m=pRF,stuck@mm2´pm>m2

式中：

PM

PM1≤m2是卡滞在的概率-在m1≤m2≤m2故障；

PM>m2：是卡滞在的概率-在m>m2故障；

PM

8.2.4.5最终残余故障率评估

如果对每个相关的故障模式FMI进行与上述相同的评估，则可以计算传感器故障的总体概率pRF、传感器本身表现为残余故障：

pRF,Sensor=SpFM,i´pRF,FM,i

式中：

pFM,i：是故障模式FMI的概率；

PRF,FM,i：故障模式FMI表现为残余故障的概率；

这个概率，残余故障率，λRF,Sensor，可以评估为:

λRF,Sensor=pRF,Sensor×λRF,Sensor

导致一个MSPFM,Sensor的Z

8.2.4.6SPFMSensor的提升

降低传感器残余故障率的一种有效方法是降低ΔMax的值。在下列条件下，如果不显著增加虚假检测，就可以减少ΔMax：

Ø公差的概率分布可以表明，估计的最坏情况是非常不可能的。因此，误报的概率足够低，因此可以接受。

Ø重新设计系统可以提高容忍值。

请注意，在本例中只评估传感器故障，而不是在残余的传感器路径中发生的故障。共享硬件资源的故障可能导致两个传感器的故障，或者可能伪造两个传感器的值，例如。对微控制器的ADC进行了单独的评估。此外，在ISO26262-9：2018第7条中给出的相关失效分析，已经完成。

责任编辑：xj

原文标题：残余故障率的示例和局部单点故障度量评估ISO26262:2018-10-8.2

文章出处：【微信公众号：汽车电子硬件设计】欢迎添加关注！文章转载请注明出处。