一种微控制器故障率的计算方法

8.3.关于硬件的进一步解释

8.3.1.在ISO26262系列标准应用的范畴内如何处理微控制器

微控制器是现代E/E汽车系统的组成零元器件。它们可以作为独立于环境的安全要素来开发(SEooC，见第9条)。

它们的复杂性是通过结合对微控制器的元器件和子元器件的定性和定量安全分析来处理的，这些分析是在适当的抽象层面上进行的，即。从概念阶段的框图到产品开发阶段的网表和布局层面。

ISO26262-11中介绍了一项准则，包括关于如何在ISO26262系列标准范围内处理微控制器的非详尽清单。

介绍了一种微控制器故障率的计算方法，包括如何考虑永久故障和瞬态故障。

其中包括：

Ø相关故障分析；

Ø避免微控制器设计过程中的系统故障；

Ø微控制器安全机制的验证；及

Ø考虑微控制器在系统级的独立分析。

8.3.2.安全分析方法

8.3.2.1概述

附件A讨论了分析系统故障模式的技术，包括归纳分析和演绎分析。

8.3.2.2在随机硬件故障概率度量(PMHF)计算对暴露持续时间的考量

如ISO26262-5：2018的9.4.2.4所述，定量分析提供了证据，证明要求ISO26262-5：2018的9.4.2.1的目标值已经实现。如ISO26262-5：2018的9.4.2.4所示，这种定量分析考虑了双点故障情况下的暴露持续时间。本示例中高于n=2的故障场景被认为是安全的，不包括在计算中。

根据ISO26262-5：2018的9.4.2.4中的注2：，一旦故障发生，暴露持续时间就会开始。

包括：

Ø与每个安全机制相关的多点故障检测间隔，或者如果故障没有指示给驾驶员（潜在故障），车辆的生命周期；

Ø旅行的最长持续时间（在驾驶员被要求以安全的方式驻车的情况下）；及

Ø车间警告和车辆修理之间的平均时间间隔（在这种情况下，驾驶员被警告要修理车辆)。

8.3.2.3双点失效的典型模式（预期的功能和安全机制）

提供了以下示例，以显示考虑曝光持续时间的可能方法。在本例中，假定预期功能(任务块“IF”)由安全机制“SM”监督。

架构假设如图19所示。该示例假设预期功能IF的故障由安全机制SM1检测和减轻。SM1还负责通知驾驶员IF故障状态。此外，安全机制SM1中的故障由另一个安全机制SM2检测，SM2负责缓解SM1故障，并将SM1故障状态通知驾驶员。

说明：

箭头原点的安全机制检测箭头尖端元器件的故障

图19-示例的系统架构设计

图19显示了预期功能(IF)和安全机制(SM1)的典型双点故障路径，其目的是检测IF中的故障。假设SM1和IF之间没有相关故障，则考虑IF和SM1组合产生的双点故障

Ø故障的发生顺序；

Ø检测和控制第一故障的速率；

Ø将检测到的故障通知驾驶员的速率；及

Ø驾驶员通知后修理的时间。

从以上考虑，可以列出四种情况的双点故障如表2所示。

表2-示例架构中的双点故障模式

	第一次故障：SM1→第二次故障：IF	第一次故障：IF→第二次故障：SM1
无法通知驾驶员	模式1 SM1中的故障由SM2减轻，但没有通知。故障暴露持续时间作为最坏情况下暴露持续时间的车辆生命周期。 或者 SM1中的一个故障不是由SM2减轻的。故障暴露持续时间作为最坏情况下暴露持续时间的车辆生命周期。	模式3 在IF中的故障由SM1减轻，但没有通知。故障暴露持续时间作为最坏情况下暴露持续时间的车辆生命周期。
可以通知驾驶员	模式2 SM1中的一个故障被SM2减轻并通知。故障的暴露持续时间作为驾驶员将车辆带入修理所需的预期时间。	模式4 在IF中的故障由SM1减轻并通知。故障的暴露持续时间作为驾驶员将车辆带入修理所需的预期时间。

8.3.2.4计算公式

本分节中的公式是指表2所列的模式和ISO26262-5：2018的9.4.2.4的内容。

MPMHF=λSPF+λRF

+0,5×λSM1,DPF,latent×λIF,DPF×Tlifetime：模式1

+λSM1,DPF,detected×λIF,DPF×Tservice：模式2

+0,5×λIF,DPF,latent×λSM1,DPF×Tlifetime：模式3

+λIF,DPF,detected×λSM1,DPF×Tservice：模式4

式中：

MPMHF：是使用ISO26262-5：2018的9.4.2.2；确定的PMHF值

λSPF：是单点故障率；

λRF：是残余故障率；

λIF，DPF：是IF的双点故障率；

λIF，DPF.检测：IF是否检测到并通知双点故障率；

λIF，DPF.延迟：IF的潜在双点故障率（减轻但未通知）；

λSM1，DPF：是SM1的双点故障率；

λSM1，DPF，检测：SM1的检测和通知双点故障率；

λSM1，DPF，潜在：是SM1的潜在双点故障率；

Tlifetime：是车辆的生命周期；

Tservice：是在通知驾驶员后修复的预期时间。

注1:在此示例中，由于所有硬件要素都由安全机制监控，单点故障率等于零(λSPF=0)。

注2：:在模式1和3中，双点失效的单个故障发生的顺序是重要的。在模式1中，SM1的潜在双点故障发生在IF的双点故障之前。在模式3中，IF的潜在双点故障发生在SM1的双点故障之前。

使用8.1.8中定义的术语，可以计算出不同的双点故障率如下：

λIF,DPF=λIF,DPF,primary+λIF,DPF,secondaryλIF,DPF,primary=(1−FIF,safe)×(1−FIF,PVSG)×λIF

λIF,DPF,secondary=(1−FIF,safe)×FIF,PVSG×KFMC,SM1,RF×λIF

λIF,DPF.detected=λIF,DPF,detected,primary+λIF,DPF,detected,secondary

λIF,DPF,detected,primary=λIF,DPF,primary×KFMC1,SM1,MPF=(1−FIF,safe)×(1−FIF,PVSG)×KFMC1,SM1,MPF×λIF

λIF,DPF,detected,secondary=λIF,DPF,secondary×KFMC2,SM1,MPF=(1−FIF,safe)×FIF,PVSG×KFMC,SM1,RF×KFMC2,SM1,MPF×λIF

λIF,DPF.latent=λIF,DPF,latent,primary+λIF,DPF,latent,secondary

λIF,DPF,latent,primary=λIF,DPF,primary×(1−KFMC1,SM1,MPF)=(1−FIF,safe)×(1−FIF,PVSG)×(1−KFMC1,SM1,MPF)×λIF

λIF,DPF,latent,secondary=λIF,DPF,secondary×(1−KFMC2,SM1,MPF)=(1−FIF,safe)×FIF,PVSG×KFMC,SM1,RF×(1−KFMC2,SM1,MPF)×λIF

λSM1,DPF=λSM1,DPF,primary+λSM1,DPF,secondaryλSM1,DPF,primary=(1−FSM1,safe)×(1−FSM1,PVSG)×λSM1

λSM1,DPF,secondary=(1−FSM1,safe)×FSM1,PVSG×KFMC,SM2,RF×λSM1

λSM1,DPF.detected=λSM1,DPF,detected,primary+λSM1,DPF,detected,secondary

λSM1,DPF,detected,primary=λSM1,DPF,primary×KFMC1,SM2,MPF=(1−FSM1,safe)×(1−FSM1,PVSG)×KFMC1,SM2,MPF×λSM1

λSM1,DPF,detected,secondary=λSM1,DPF,secondary×KFMC2,SM2,MPF=(1−FSM1,safe)×FSM1,PVSG×

KFMC,SM2,RF×KFMC2,SM2,MPF×λSM1

λSM1,DPF.latent=λSM1,DPF,latent,primary+λSM1,DPF,latent,secondary

λSM1,DPF,latent,primary=λSM1,DPF,primary×(1−KFMC1,SM2,MPF)=(1−FSM1,safe)×(1−FSM1,PVSG)×(1−KFMC1,SM2,MPF)×λSM1

式中：

λIF：是IF的故障率；

λSM1：是SM1的故障率；

FIFO，安全：是IF的安全故障比率；

FSM1，安全：是SM1的安全故障比率

FIFO，PVSG：是在没有安全机制的情况下，有可能直接违反安全目标的IF故障的比率；

FSM1，PVSG：是SM1在没有安全机制的情况下有可能直接违反安全目标的故障比率。

注：某些安全机制的失效可能会导致自身的安全目标违反，例如。一个ECC可以通过错误地纠正它来破坏一个正确的值。

KFMC，SM1，RF：是IF对残余故障(SM1)的诊断覆盖率；

KFMC1，SM1，MPF：是IF对主要多点故障(SM1)的检测和通知诊断覆盖；

KFMC2，SM1，MPF：是IF对次级多点故障(SM1)的检测和通知诊断覆盖；

KFMC，SM2，RF：是SM1对残余故障(SM2)的诊断覆盖率；

KFMC1，SM2，MPF：是SM1对主要多点故障(SM2)的检测和通知诊断覆盖；

KFMC2，SM2，MPF：是SM1对次级多点故障(SM2)的检测和通知诊断覆盖。

示例：8.3.2.4中的公式MPMHF可以根据表3中的值根据

双点故障率计算方程如下：

λIF,DPF=33e-9/h

λIF,DPF,detected=24,9e-9/hλIF,DPF,latent=8,1e-9/hλSM1,DPF=23,5e-9/h

λSM1,DPF,detected=7,6e-9/h

λSM1,DPF,latent=15,9e-9/h

MPMHF=18,5e-9/h+0,5×15,9e-9/h×33e-9/h×10000h+7,6e-9/h×33e-9/h×20h+0,5×8,1e-9/h×23,5e-9/h×10000h+24,9e-9/h×23,5e-9/h×20h=18,504e-9/h

例如

FIF,safe=0(theIFhasnosafefaults),

FSM1,safe=0(SM1hasnosafefaults),

FIF,PVSG=1(theIFhasonlyfaultswiththepotentialtoviolatethesafetygoalinabsenceofasafetymechanism),and

FSM1,PVSG=0(SM1hasnofaultswiththepotentialtoviolatethesafetygoalinabsenceofasafetymechanism),

Thedual-pointfailureratecouldbecalculatedasfollows:

λIF,DPF=KFMC,SM1,RF×λIF

λIF,DPF.detected=KFMC,SM1,RF×KFMC2,SM1,MPF×λIFλIF,DPF.latent=KFMC,SM1,RF×(1−KFMC2,SM1,MPF)×λIFλSM1,DPF=λSM1

λSM1,DPF.detected=KFMC1,SM2,MPF×λSM1λSM1,DPF.latent=(1−KFMC1,SM2,MPF)×λSM1

这一小节中的公式假设指数故障率模型和一阶近似[e.g.Tlifetime×λSM1andTlifetime×λIFbothsmall(typically<0,1)]。

在以下情况下评估Tservice的贡献，其中对MPMHF进行计算，以验证是否可以通过考虑的硬件设计假设来实现PMHF目标值：

如果PMHF目标值高于或等于λSPF+λSM1、DPF×λIF、DPF×T生命周期，则PMHF目标值可以独立于Tservice的值实现。

注：MPMHF=λSPF+λRF+λSM1,DPF×λIF,DPF×Tlifetime，当所有双点故障被假定为潜在的计算时。

如果PMHF目标值低于λSPF+λRF+(λSM1,DPF,latent×λIF,DPF+λIF,DPF,latent×λSM1,DPF)×0,5×Tlifetime，PMHF目标值不能独立于Tservice的值来实现。

注：MPMHF=λSPF+λRF+(λSM1,DPF,latent×λIF,DPF+λIF,DPF,latent×λSM1,DPF)×0,5×Tlifetime假设Tservice等于零进行计算。

如果PMHF目标值低于λSPF++λSM1、DPF×λIF、DPF×T生命周期时间，并且高于或等于λSPF++(λSM1、DPF、潜在×λIF、DPF、潜在×、DPF)、0、5、T生命周期时间，ervice的值满足以下方程，则可以实现PMHF目标值：

Tservice≤(PMHFtargetvalue−λSPF−λRF(λSM1,DPF,latent×λIF,DPF+λIF,DPF,latent×λSM1,DPF)×0,5×Tlifetime)/(λSM1,DPF,detected×λIF,DPF+λIF,DPF,detected×λSM1,DPF)。

注：本方程在12.3.1.2中使用。

责任编辑：xj

原文标题：关于硬件的进一步解释ISO26262:2018-10-8.3

文章出处：【微信公众号：汽车电子硬件设计】欢迎添加关注！文章转载请注明出处。