0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

故障度量和安全机制ASIL等级的详解

电子设计 来源:电子设计 作者:电子设计 2020-12-24 14:30 次阅读

上一篇内容,我们讨论了系统层面的不同的自检技术来检测我们的潜伏失效。本篇将讨论故障度量和安全机制ASIL等级。

01

概念介绍

1- 单点故障(SPF):一个要素中的硬件故障,直接导致安全目标的违反,并且该元件中的任何故障都不被任何安全机制所覆盖。

举个栗子:电阻器开路可能导致违反安全目标。电阻器本身没有安全机制或者根本不受控。

2- 残余故障(RF):随机硬件故障的一部分,其本身导致在硬件元件中发生的违反安全目标的情况,其中该部分随机硬件失效不受安全机制控制。

举个栗子:对于通过奇偶校验检查的寄存器,导致奇偶校验检测未检测到的偶数个错误位的故障,可能导致违反安全目标。也就是说,安全机制不能覆盖所有的故障而是部分覆盖,这就是残余。

3- 双点故障:只有与第二个独立故障相结合才有可能违反安全目标的故障。举个栗子: ECC 用例:

潜伏(双点)故障:用于通过ECC检查的内存。ECC用于从内核到系统存储的E2E保护以及外围RAM的单独保护。那么单个的bit是如何随机损坏的呢?

散乱的阿尔法粒子可能会导致RAM中的某一个bit改变其存储值。如果ECC机制使用不当,这些稀少的错误可能会随着时间的推移而累积,并导致数据损坏,甚至是系统故障。这些事件的本质是随机的,在某个地址上发生错误并不表示下一次错误可能在何时或者何处发生:

一个已经纠正但未发出信号的单bit故障,如果ECC纠正失败,则可能违反安全目标;

使ECC失效且初始化启动无法检测到的故障。

那这里的潜伏故障是如何证明的呢?假设!

第一个独立故障:由于阿尔法粒子导致RAM的两个bit随机翻转(两个bit自动检测而没有被纠正);

第二个独立故障:在查表中的错误,它表示一个错误或一个中断逻辑中的错误,通知驱动程序,如上图所示。

如果有两个bit翻转,只要ECC会向FCCU等另一个模块标记一个标志位来处理故障,就没什么问题。由于通知程序也被损坏,因此在这里发生了潜伏的故障,从而导致安全目标的违反。

02

安全机制规范

也就是说,在规定的时间间隔内没有检测到双点失效,则将其归类为潜伏故障。当我们决定编写对所需模块进行自检的安全机制时(根据系统架构),这些安全机制至少应符合:

ASIL-B for TSRs assigned ASILD

ASIL-A for TSRs assigned ASILB or ASILC

QM for TSRs assigned ASILA

为什么这么说呢?

因为我们的目的就是减少双点故障。也就是说,两个ASIL-B点不能违反安全目标。这意味着我们保护我们的系统直到ASIL-D (B+B=D)的TSR。

该TSR可以是一种安全机制,而不是由FSR展开得出的,如下图示:

我们有一个单片机,它配备了内存模块的奇偶校验。该奇偶校验机制的等级为ASIL-B。该能力在以下安全机制中得到证明:

REQ_01:MCU XYZ shall implement a parity for the SRAM and Flash memoery - ASIL B

要求:制定一个安全要求,以测试奇偶校验检测和信号、记录内存故障的能力。

答案:自检,如下→

REQ_02:MCU XYZ shall implement a self-test routine that tests the capability of the parity to detect and signal SRAM and Flash memory - ASIL A
现在,单片机中有硬件内置自测模块。现代的单片机都配备了硬线的安全机制,节省我们使用软件实现它们的时间。如下图,实际上,他们的性能优于软件测试库(SW-Test-Libraries)。当我们采购汽车级的安全芯片的时候,供应商会提供给我们安全手册。根据所需要的ASIL等级来使用MCU的安全要求(AoU)。等到完成架构系统和相应的TSR的安全分析后,我们可以把AoU的需求整理好发给软硬件团队来实现这些需求(通常此部分体现在SSI中)。

除了ECC外,还有一个FCCU,它可以收集故障并通知其他例程、模块来注册故障或采取复位(单片机级别的安全状态,而不是整个系统的安全状态)。

系统失效有几种类型?→通常是7种:

Fail-dangerous: 故障发生时可能导致危险;

Fail-inconsistent: 如果发生失效,提供的结果将明显不一致;

Fail-stop: 如果失效的话,完全停止;

Fail-safe: 如果失效,返回或保持安全状态;

Fail-operational: 发生故障时,继续保持正常工作;

Fail-silent: 发生故障时,不会打扰任何人;

Fail-indicate: 向其周围显示它失效了;

请注意:前两种失效的情况是不理想的,在实施安全机制和TSR后,他们将被转换为后5种故障安全类型的任意组合。也就是说,我们可以将安全状态指定为可操作状态并指示或停止或静音。

以上,就是本期的全部内容,我们下期再见啦!

参考资料:外文文献资料免责声明:本文章中内容是由小编翻译自外文文献资料,免费传播知识。

审核编辑:符乾江
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 安全机制
    +关注

    关注

    0

    文章

    20

    浏览量

    10247
  • asil
    +关注

    关注

    0

    文章

    40

    浏览量

    9255
收藏 人收藏

    评论

    相关推荐

    分布式功能安全的创新与突破

    ,获取完整分布式安全机制解决方案根据ISO26262汽车安全完整性等级ASIL)体系,汽车上运行的所有功能都要根据潜在风险进行
    的头像 发表于 09-20 08:09 152次阅读
    分布式功能<b class='flag-5'>安全</b>的创新与突破

    请问INA226是否符合ASIL-B?

    INA226的手册上没有是否符合AEC-Q100或者ASIL等级的介绍,请问是否符合ASIL-B?
    发表于 08-02 09:26

    深圳和而泰汽车电子荣获ISO 26262 ASIL-D功能安全流程认证证书

    近日,全球领先的检验检测认证机构DEKRA德凯为深圳和而泰汽车电子科技有限公司(以下简称“深圳和而泰汽车电子”)颁发ISO 26262 ASIL-D功能安全流程认证证书。这一认证证书的获得,标志着深圳和而泰汽车电子成功构建起符合业界最高
    的头像 发表于 07-16 14:32 488次阅读

    汇顶科技通过ISO 26262 ASIL D汽车功能安全管理体系认证 为智慧驾乘体验保驾护航

    近日,国际公认的测试、检验和认证机构SGS(以下简称“SGS”)为汇顶科技颁发了ISO 26262:2018功能安全ASIL D流程认证证书。这一认证的获得,标志着汇顶成功构建起符合业界最高等级
    发表于 07-10 17:04 172次阅读
    汇顶科技通过ISO 26262 <b class='flag-5'>ASIL</b> D汽车功能<b class='flag-5'>安全</b>管理体系认证 为智慧驾乘体验保驾护航

    昂宝电子获得ISO 26262功能安全管理体系ASIL D认证证书

    全球知名的国际认证机构德国莱茵TÜV集团(以下简称“TÜV莱茵”)正式向昂宝电子(上海)有限公司(以下简称“昂宝电子”)颁发ISO 26262 功能安全管理体系ASIL D认证证书,标志着昂宝电子已成功建立车规产品完整的开发流程和管理体系,符合功能
    的头像 发表于 05-14 14:02 505次阅读
    昂宝电子获得ISO 26262功能<b class='flag-5'>安全</b>管理体系<b class='flag-5'>ASIL</b> D认证证书

    美行科技通过ISO26262:2018汽车功能安全ASIL D流程认证

    近日,沈阳美行科技股份有限公司获得了TUV莱茵颁发的ISO 26262:2018汽车功能安全ASIL D流程认证证书,标志着美行科技已按照ISO 26262:2018版标准要求,建立起符合汽车功能安全等级
    的头像 发表于 05-08 09:33 371次阅读
    美行科技通过ISO26262:2018汽车功能<b class='flag-5'>安全</b><b class='flag-5'>ASIL</b> D流程认证

    超星未来通过 ISO 26262 功能安全管理体系 ASIL D 认证

    100% 的通过率通过了功能安全工程师认证。   ISO 26262 是全球公认的汽车功能安全标准,该标准涵盖功能安全需求规划、设计、实施、集成、验证、确认、配置等方面,旨在通过完善的开发流程将汽车电气或电子系统
    的头像 发表于 04-18 09:38 315次阅读
    超星未来通过 ISO 26262 功能<b class='flag-5'>安全</b>管理体系 <b class='flag-5'>ASIL</b> D 认证

    车规级芯片重要里程碑!星宸科技荣获ISO 26262功能安全管理体系ASIL-D等级认证

    2024年3月14日,国际独立第三方检测、检验和认证机构德国莱茵TÜV集团(以下简称“TÜV莱茵”)正式授予星宸科技股份有限公司(以下简称“星宸科技”)ISO 26262 功能安全管理体系ASIL D等级证书,这是星宸科技车规级
    的头像 发表于 03-21 09:35 1002次阅读
    车规级芯片重要里程碑!星宸科技荣获ISO 26262功能<b class='flag-5'>安全</b>管理体系<b class='flag-5'>ASIL</b>-D<b class='flag-5'>等级</b>认证

    芯驿电子获得ISO 26262汽车功能安全最高等级ASIL D认证

    ISO 26262:2018 版标准要求,建立起符合功能安全最高等级ASIL D”级别的产品开发和管理流程体系。
    的头像 发表于 03-19 10:20 489次阅读
    芯驿电子获得ISO 26262汽车功能<b class='flag-5'>安全</b>最高<b class='flag-5'>等级</b><b class='flag-5'>ASIL</b> D认证

    芯原第二代面向汽车应用的ISP系列IP已通过ISO 26262 ASIL B和ASIL D认证

    认证,达到随机故障安全等级ASIL B级和系统性故障安全等级ASIL D级。认证证书由领先的功能安全咨询公司ResilTech颁发。芯原第一
    的头像 发表于 01-09 13:29 580次阅读

    欧冶半导体通过ISO 26262汽车功能安全最高等级ASIL-D流程认证

    获得此证书标志着欧冶半导体的功能安全开发流程已经按照ISO 26262:2018标准要求,建立起符合最高等级ASIL D”级别的功能安全产品开发和管理流程体系。
    的头像 发表于 01-05 10:56 772次阅读
    欧冶半导体通过ISO 26262汽车功能<b class='flag-5'>安全</b>最高<b class='flag-5'>等级</b><b class='flag-5'>ASIL</b>-D流程认证

    配网行波故障预警与定位装置的技术等级划分

    今天江苏宇拓电力科技来为大家介绍一下配网行波故障预警与定位装置的技术等级划分。 一、引言 随着电力系统的不断发展,配电网的规模和复杂性也在不断增加。为了提高配电网的稳定性和可靠性,需要一种能够
    的头像 发表于 12-22 14:56 453次阅读

    一文详解pcb的msl等级

    一文详解pcb的msl等级
    的头像 发表于 12-13 16:52 8550次阅读

    艾为电子获得ISO 26262汽车功能安全最高等级认证

      近日,艾为电子顺利获得国际公认的测试、检验和认证机构SGS颁发的ISO 26262:2018汽车功能安全最高等级ASIL D流程认证证书。这标志着艾为电子已经按照ISO 26262:2018标准
    的头像 发表于 11-30 11:24 762次阅读

    光庭信息获得ISO 26262汽车功能安全最高等级认证

    最高等级ASIL D”级别的产品开发和管理流程体系,将深度赋能汽车智能化电动化技术安全性发展和技术革新。SGS中国功能安全中心产品线总监郑峥、光庭信息CTO项锋及双方代表共同出席了颁
    的头像 发表于 11-28 16:16 841次阅读