随机硬件故障的分类和安全要求

8.1.随机硬件故障的分类

8.1.1概述

通常，所考虑的故障组合仅限于两个独立的硬件故障的组合，除非基于功能或技术安全概念的分析表明，n>2的n点故障是相关的。因此，对于给定的安全目标和给定的硬件元件，在大多数情况下，故障可以分为：

a.单点故障；

b.残余故障；

c.可探测的双点故障；

d.可感知的双点故障；

e.潜在的双点故障；或

f.安全故障。

对各种故障类别的解释以及示例如下。

8.1.2单点故障

此故障：

Ø可以直接导致违反安全目标；及

Ø是硬件元器件的故障，它没有至少一个安全机制。

例如：一种非监控电阻，至少有一种故障模式(例如：开路)有可能违反安全目标。

注意，如果硬件要素被至少一个安全机制覆盖(例如：微控制器失控的看门狗)，那么它的任何故障都不被归类为单点故障。安全机制不能防止违反安全目标的故障被归类为残余故障。

8.1.3残余故障

本故障或零元器件本故障：

Ø直接导致违反安全目标；及

Ø是至少一个安全机制和这些安全所覆盖的硬件元器件的故障，安全机制不会减轻或控制此故障或此故障的一部分。

示例：如果随机访问存储器(RAM)模块仅由棋盘RAM（OK？？？March test???）测试安全机制检查，则不会检测到某些类型的桥接故障。安全机制没有防止由于这些故障而违反安全目标。这些故障是残余故障的示例。

注：在这种情况下，安全机制的诊断覆盖率小于100%。

8.1.4可探测的双点故障

此故障：

Ø导致违反安全目标，但只能导致安全目标违反与其他独立硬件故障相结合；及

Ø是通过一种安全机制来检测的，它防止了它的潜在性。

示例1：受奇偶校验保护的闪存：根据技术安全概念检测并触发反应的单比特故障，如关闭系统并通过警告灯通知驾驶员。

示例2：受纠错码(ECC)保护的闪存：通过测试检测到ECC逻辑中的故障，并根据技术安全概念触发反应，如通过警告灯通知驾驶员。

如果安全机制通过将相关项恢复到无故障状态来减轻瞬态故障，则这种故障可以被视为检测到的双点故障，即使驱动器从未被告知其存在。

一个瞬态位翻转，由ECC在数据提供给CPU之前进行校正，然后通过写回正确的值进行校正。测井可以用来区分间歇故障和真实的瞬态故障。

注：双点故障可分为初级双点故障和次级双点故障。主要的双点故障本身不能导致安全目标违反，即使没有安全机制来控制其故障。次级的双点故障确实有可能违反安全目标，但存在一个安全机制，以减轻安全目标的违反。

8.1.5可感知的双点故障

此故障：

Ø导致违反安全目标，但只会导致安全目标违反与其他独立硬件故障相结合；及

Ø在规定的时间内由安全机制检测或不检测的驾驶员检测。

示例：如果功能受到故障后果的显著和明确影响，则驾驶员可以检测到双点故障。

注意，如果驾驶员检测到双点故障，以及通过安全机制检测到，则可以将其归类为检测到的或检测到的双点故障。它不能被归类为两者，因为潜在故障度量将被错误地计算，因为一个故障随后将导致检测到的双点故障以及检测到的双点故障，将此故障计数两次。

8.1.6潜在的双点故障

此故障：

导致违反安全目标，但只会导致违反安全目标与其他独立故障相结合；及

既没有被安全机制检测到，也没有被驾驶员检测到。直到第二次独立故障的发生，系统仍可操作，不通知驾驶员故障。

示例1：在受ECC保护的闪存的情况下：一个永久的单比特故障，当读取时，该值被ECC校正，但在闪存中既没有校正，也没有发出信号。在这种情况下，故障不能导致安全目标违反（因为故障位被纠正)，但它既没有检测到(因为单位故障没有信号)，也没有检测到(因为对应用程序的功能没有影响）。如果在ECC逻辑中发生额外的故障，它可能导致对这个单位故障的控制丧失，导致潜在的违反安全目标。

示例2：在受ECC保护的闪存的情况下：ECC逻辑中的永久单个故障导致ECC不可用，并且没有在最大故障处理时间间隔内检测和控制。

8.1.7安全故障

安全故障可以是两类故障之一：

a.n>2的全部n 点故障，除非安全概念表明它们是安全目标违反的相关贡献者；或

b.不会导致违反安全目标的故障。

示例1：在受ECC保护的闪存和循环冗余检查(CRC)的情况下：由ECC纠正但没有信号的单比特故障。该故障被防止违反安全目标，但没有被ECC发出信号。如果ECC逻辑失效，则由CRC检测故障，系统关闭。只有当闪存中存在一个比特故障，并且ECC逻辑失效，CRC校验和监督失效时，才能发生违反安全目标的情况(n=3)。

示例2：在三个电阻串联连接以克服短路情况下单点故障的问题时，每个单独电阻的短路可以被认为是安全故障，因为需要三个独立的短路(n=3)。

故障分类和故障类别贡献计算的8.1.8流程图

硬件要素的故障模式可以分类，如ISO26262-5：2018的图B所示。使用ISO26262-5：2018中描述的流程图，图B.2.图10显示了考虑不同失效模式(残余VS)的基本故障率和覆盖率的各种故障率的计算。潜在的)。

图10-故障类别的分类和相应故障率的计算

A.故障模式有待分析。

B.λFMi，ith是与所考虑的硬件要素的故障模式相关的故障率，其中DFMI是故障模式的故障模式分布。

C.如果正在考虑的硬件元件的任何故障模式与安全相关，则硬件元器件与安全相关。

D.λFMi，nSR是“与安全无关”的故障率。

E.在单点故障度量中不考虑与安全无关的硬件元件的故障或者潜在故障度量。

F.λFMi，SR是“安全相关”的故障率，并考虑在单点故障度量和潜在故障度量中。

G.FFMi,safe是这种故障模式的安全故障的一部分。安全故障对违反安全目标没有显著贡献。对于复杂的硬件要素(例如：微控制器)很难给出确切的比例。在这种情况下，保守的Fsafe为0.5(即。50%)可以假定。

H.λFMi，S是“安全”故障的故障率。

I.λFMi，S将有助于安全故障的总发生率。

J.λFMi，NS：“非安全”故障率。其中包括单点故障、残余故障和多点故障(其中n=2)。

K.事实上，PVSG是非安全故障的一部分，有可能直接违反安全目标，而不考虑任何可能存在的安全机制来防止这一点。不需要额外的独立故障来违反安全目标。

L.λFMi，PVSG是潜在直接违反安全目标的故障的故障率，而不考虑任何可能存在的安全机制来防止这一情况。

M.如果导致所考虑的故障模式的故障是单点故障，则决定。

单点故障没有安全机制来防止正在考虑的硬件元器件的任何故障直接违反安全目标。

N.λFMi，SPF是“单点故障”的故障率。如果没有至少一个安全机制来控制所考虑的硬件元器件的故障，所有导致λFMi的故障，PVSG是单点故障。

O.λFMi，SPF将导致单点故障的总发生率。

P.对于正在考虑的硬件元件，如果有至少一个安全机制阻止其至少一个故障模式直接违反安全目标，则导致正在考虑的故障的故障不是单点故障。在接下来的λFMi过程中，PVSG被分成残余故障，并检测、检测和潜在的多点故障。

Q.什么比例的λFMi，PVSG被安全机制阻止违反安全目标？

这个分数相当于残余故障的故障模式覆盖(另见ISO26262-5：2018的附件E硬件架构度量的示例计算：“单点故障度量”和“潜在故障度量”)。KFMCi，RF是故障模式覆盖的缩写。

R.λFMi，RF是“残余故障”故障率。

S.λFMi，RF对残余故障的总发生率有贡献。

T.λFMi，MPF，secondary是（secondary）“多点故障”的故障率,λFMi，PVSG，由安全机制控制。λFMi,MPF,secondaryisthe(secondary)“Multiple-PointFaults”failurerateresultingfromtheλFMi,PVSGthatarecontrolledbyasafetymechanism.

U.λFMi，MPF是由一级和二级多点故障引起的整体“多点故障”故障率。

V.识别检测到的故障和未检测到的故障。MPF是针对多点故障的故障模式覆盖。

W.λFMi，MPF，det是“多点故障，检测到”的故障率。

注意，如果主、次多点故障的故障模式覆盖率不同，则可以以下方式计算检测到的多点故障率：

λFMi,MPF,det=KFMCi,MPF,primary×λFMi,MPF,primary+KFMCi,MPF,secondary×λFMi,MPF,secondary

X.λFMi、MPF、det对检测到的多点故障的总比率有贡献。

Y.λFMi，MPF，pl是“多点故障，检测或潜在”故障率。

注：如果主、次多点故障的故障模式覆盖率不同，则可按以下方式计算检测或潜在的多点故障率：

λFMi,MPF,pl=(1−KFMCi,MPF,primary)×λFMi,MPF,primary+(1−KFMCi,MPF,secondary)×λFMi,MPF,secondary

Z.FFMi,per是没有检测到但被驾驶员检测的多点故障的一部分。

aa：λFMi，MPF，p是“多点故障，检测”故障率。

注：如果初级和次级多点故障的检测分数不同，则可按以下方式计算检测多点故障率：

λFMi，MPF，p=FFMI，每，初级×(1−KFMCi，MPF，初级)×λFMi，MPF，初级+FFMI，每，次级×

(1−KFMCi，MPF，次级)×λFMi，MPF，次级

ab：λFMi，MPF，p贡献了检测多点故障的总比率。

ac：λFMi，MPF，l是“多点故障，潜在”故障率。

注意，如果初级和次级多点故障的检测分数不同，则可以以下列方式计算潜在的多点故障率：

λFMi,MPF,l=(1−FFMi,per,primary)×(1−KFMCi,MPF,primary)×λFMi,MPF,primary+(1−FFMi,per,secondary)×(1−KFMCi,MPF,secondary)×λFMi,MPF,secondary

ad：λFMi，MPF，l对潜在多点故障的总比率有贡献。

ae：λFMi，MPF，主要是（主要）“多点故障”的故障率，由导致违反安全目标，但不能直接违反它自己(即。至少需要另一个独立的故障，以潜在地违反安全目标)。

注意，只有在相关的诊断覆盖、故障模式覆盖或检测分数不同的情况下，才能区分给定故障模式的主要和次要多点故障。

8.1.9如何考虑与基于软件的安全机制相关的多点故障的故障率，以解决随机硬件故障。

虽然在ISO26262系列标准中没有量化软件和硬件的系统故障，但可以计算出硬件资源的随机硬件故障的故障率，这些硬件资源支持执行解决随机硬件故障的基于软件的安全机制。

如果这些硬件资源与有可能直接违反安全目标的功能共享，则选择故障模型来反映这一点，并考虑潜在的相关故障。

原文标题：安全要求的定义和管理ISO26262:2018-10-8.1

文章出处：【微信公众号：汽车电子硬件设计】欢迎添加关注！文章转载请注明出处。

责任编辑：haq