0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

随机硬件故障的分类和安全要求

汽车电子工程知识体系 来源:汽车电子硬件设计 作者:汽车电子硬件设计 2021-03-09 09:58 次阅读

8.1.随机硬件故障的分类

8.1.1概述

通常,所考虑的故障组合仅限于两个独立的硬件故障的组合,除非基于功能或技术安全概念的分析表明,n>2的n点故障是相关的。因此,对于给定的安全目标和给定的硬件元件,在大多数情况下,故障可以分为:

a.单点故障;

b.残余故障;

c.可探测的双点故障;

d.可感知的双点故障;

e.潜在的双点故障;或

f.安全故障。

对各种故障类别的解释以及示例如下。

8.1.2单点故障

此故障:

Ø可以直接导致违反安全目标;及

Ø是硬件元器件的故障,它没有至少一个安全机制。

例如:一种非监控电阻,至少有一种故障模式(例如:开路)有可能违反安全目标。

注意,如果硬件要素被至少一个安全机制覆盖(例如:微控制器失控的看门狗),那么它的任何故障都不被归类为单点故障。安全机制不能防止违反安全目标的故障被归类为残余故障。

8.1.3残余故障

本故障或零元器件本故障:

Ø直接导致违反安全目标;及

Ø是至少一个安全机制和这些安全所覆盖的硬件元器件的故障,安全机制不会减轻或控制此故障或此故障的一部分。

示例:如果随机访问存储器(RAM)模块仅由棋盘RAM(OK???March test???)测试安全机制检查,则不会检测到某些类型的桥接故障。安全机制没有防止由于这些故障而违反安全目标。这些故障是残余故障的示例。

注:在这种情况下,安全机制的诊断覆盖率小于100%。

8.1.4可探测的双点故障

此故障:

Ø导致违反安全目标,但只能导致安全目标违反与其他独立硬件故障相结合;及

Ø是通过一种安全机制来检测的,它防止了它的潜在性。

示例1:受奇偶校验保护的闪存:根据技术安全概念检测并触发反应的单比特故障,如关闭系统并通过警告灯通知驾驶员。

示例2:受纠错码(ECC)保护的闪存:通过测试检测到ECC逻辑中的故障,并根据技术安全概念触发反应,如通过警告灯通知驾驶员。

如果安全机制通过将相关项恢复到无故障状态来减轻瞬态故障,则这种故障可以被视为检测到的双点故障,即使驱动器从未被告知其存在。

一个瞬态位翻转,由ECC在数据提供给CPU之前进行校正,然后通过写回正确的值进行校正。测井可以用来区分间歇故障和真实的瞬态故障。

注:双点故障可分为初级双点故障和次级双点故障。主要的双点故障本身不能导致安全目标违反,即使没有安全机制来控制其故障。次级的双点故障确实有可能违反安全目标,但存在一个安全机制,以减轻安全目标的违反。

8.1.5可感知的双点故障

此故障:

Ø导致违反安全目标,但只会导致安全目标违反与其他独立硬件故障相结合;及

Ø在规定的时间内由安全机制检测或不检测的驾驶员检测。

示例:如果功能受到故障后果的显著和明确影响,则驾驶员可以检测到双点故障。

注意,如果驾驶员检测到双点故障,以及通过安全机制检测到,则可以将其归类为检测到的或检测到的双点故障。它不能被归类为两者,因为潜在故障度量将被错误地计算,因为一个故障随后将导致检测到的双点故障以及检测到的双点故障,将此故障计数两次。

8.1.6潜在的双点故障

此故障:

导致违反安全目标,但只会导致违反安全目标与其他独立故障相结合;及

既没有被安全机制检测到,也没有被驾驶员检测到。直到第二次独立故障的发生,系统仍可操作,不通知驾驶员故障。

示例1:在受ECC保护的闪存的情况下:一个永久的单比特故障,当读取时,该值被ECC校正,但在闪存中既没有校正,也没有发出信号。在这种情况下,故障不能导致安全目标违反(因为故障位被纠正),但它既没有检测到(因为单位故障没有信号),也没有检测到(因为对应用程序的功能没有影响)。如果在ECC逻辑中发生额外的故障,它可能导致对这个单位故障的控制丧失,导致潜在的违反安全目标。

示例2:在受ECC保护的闪存的情况下:ECC逻辑中的永久单个故障导致ECC不可用,并且没有在最大故障处理时间间隔内检测和控制。

8.1.7安全故障

安全故障可以是两类故障之一:

a.n>2的全部n 点故障,除非安全概念表明它们是安全目标违反的相关贡献者;或

b.不会导致违反安全目标的故障。

示例1:在受ECC保护的闪存和循环冗余检查(CRC)的情况下:由ECC纠正但没有信号的单比特故障。该故障被防止违反安全目标,但没有被ECC发出信号。如果ECC逻辑失效,则由CRC检测故障,系统关闭。只有当闪存中存在一个比特故障,并且ECC逻辑失效,CRC校验和监督失效时,才能发生违反安全目标的情况(n=3)。

示例2:在三个电阻串联连接以克服短路情况下单点故障的问题时,每个单独电阻的短路可以被认为是安全故障,因为需要三个独立的短路(n=3)。

故障分类和故障类别贡献计算的8.1.8流程图

硬件要素的故障模式可以分类,如ISO26262-5:2018的图B所示。使用ISO26262-5:2018中描述的流程图,图B.2.图10显示了考虑不同失效模式(残余VS)的基本故障率和覆盖率的各种故障率的计算。潜在的)。

图10-故障类别的分类和相应故障率的计算

A.故障模式有待分析。

B.λFMi,ith是与所考虑的硬件要素的故障模式相关的故障率,其中DFMI是故障模式的故障模式分布。

C.如果正在考虑的硬件元件的任何故障模式与安全相关,则硬件元器件与安全相关。

D.λFMi,nSR是“与安全无关”的故障率。

E.在单点故障度量中不考虑与安全无关的硬件元件的故障或者潜在故障度量。

F.λFMi,SR是“安全相关”的故障率,并考虑在单点故障度量和潜在故障度量中。

G.FFMi,safe是这种故障模式的安全故障的一部分。安全故障对违反安全目标没有显著贡献。对于复杂的硬件要素(例如:微控制器)很难给出确切的比例。在这种情况下,保守的Fsafe为0.5(即。50%)可以假定。

H.λFMi,S是“安全”故障的故障率。

I.λFMi,S将有助于安全故障的总发生率。

J.λFMi,NS:“非安全”故障率。其中包括单点故障、残余故障和多点故障(其中n=2)。

K.事实上,PVSG是非安全故障的一部分,有可能直接违反安全目标,而不考虑任何可能存在的安全机制来防止这一点。不需要额外的独立故障来违反安全目标。

L.λFMi,PVSG是潜在直接违反安全目标的故障的故障率,而不考虑任何可能存在的安全机制来防止这一情况。

M.如果导致所考虑的故障模式的故障是单点故障,则决定。

单点故障没有安全机制来防止正在考虑的硬件元器件的任何故障直接违反安全目标。

N.λFMi,SPF是“单点故障”的故障率。如果没有至少一个安全机制来控制所考虑的硬件元器件的故障,所有导致λFMi的故障,PVSG是单点故障。

O.λFMi,SPF将导致单点故障的总发生率。

P.对于正在考虑的硬件元件,如果有至少一个安全机制阻止其至少一个故障模式直接违反安全目标,则导致正在考虑的故障的故障不是单点故障。在接下来的λFMi过程中,PVSG被分成残余故障,并检测、检测和潜在的多点故障。

Q.什么比例的λFMi,PVSG被安全机制阻止违反安全目标?

这个分数相当于残余故障的故障模式覆盖(另见ISO26262-5:2018的附件E硬件架构度量的示例计算:“单点故障度量”和“潜在故障度量”)。KFMCi,RF是故障模式覆盖的缩写。

R.λFMi,RF是“残余故障”故障率。

S.λFMi,RF对残余故障的总发生率有贡献。

T.λFMi,MPF,secondary是(secondary)“多点故障”的故障率,λFMi,PVSG,由安全机制控制。λFMi,MPF,secondaryisthe(secondary)“Multiple-PointFaults”failurerateresultingfromtheλFMi,PVSGthatarecontrolledbyasafetymechanism.

U.λFMi,MPF是由一级和二级多点故障引起的整体“多点故障”故障率。

V.识别检测到的故障和未检测到的故障。MPF是针对多点故障的故障模式覆盖。

W.λFMi,MPF,det是“多点故障,检测到”的故障率。

注意,如果主、次多点故障的故障模式覆盖率不同,则可以以下方式计算检测到的多点故障率:

λFMi,MPF,det=KFMCi,MPF,primary×λFMi,MPF,primary+KFMCi,MPF,secondary×λFMi,MPF,secondary

X.λFMi、MPF、det对检测到的多点故障的总比率有贡献。

Y.λFMi,MPF,pl是“多点故障,检测或潜在”故障率。

注:如果主、次多点故障的故障模式覆盖率不同,则可按以下方式计算检测或潜在的多点故障率:

λFMi,MPF,pl=(1−KFMCi,MPF,primary)×λFMi,MPF,primary+(1−KFMCi,MPF,secondary)×λFMi,MPF,secondary

Z.FFMi,per是没有检测到但被驾驶员检测的多点故障的一部分。

aa:λFMi,MPF,p是“多点故障,检测”故障率。

注:如果初级和次级多点故障的检测分数不同,则可按以下方式计算检测多点故障率:

λFMi,MPF,p=FFMI,每,初级×(1−KFMCi,MPF,初级)×λFMi,MPF,初级+FFMI,每,次级×

(1−KFMCi,MPF,次级)×λFMi,MPF,次级

ab:λFMi,MPF,p贡献了检测多点故障的总比率。

ac:λFMi,MPF,l是“多点故障,潜在”故障率。

注意,如果初级和次级多点故障的检测分数不同,则可以以下列方式计算潜在的多点故障率:

λFMi,MPF,l=(1−FFMi,per,primary)×(1−KFMCi,MPF,primary)×λFMi,MPF,primary+(1−FFMi,per,secondary)×(1−KFMCi,MPF,secondary)×λFMi,MPF,secondary

ad:λFMi,MPF,l对潜在多点故障的总比率有贡献。

ae:λFMi,MPF,主要是(主要)“多点故障”的故障率,由导致违反安全目标,但不能直接违反它自己(即。至少需要另一个独立的故障,以潜在地违反安全目标)。

注意,只有在相关的诊断覆盖、故障模式覆盖或检测分数不同的情况下,才能区分给定故障模式的主要和次要多点故障。

8.1.9如何考虑与基于软件的安全机制相关的多点故障的故障率,以解决随机硬件故障。

虽然在ISO26262系列标准中没有量化软件和硬件的系统故障,但可以计算出硬件资源的随机硬件故障的故障率,这些硬件资源支持执行解决随机硬件故障的基于软件的安全机制。

如果这些硬件资源与有可能直接违反安全目标的功能共享,则选择故障模型来反映这一点,并考虑潜在的相关故障。

原文标题:安全要求的定义和管理ISO26262:2018-10-8.1

文章出处:【微信公众号:汽车电子硬件设计】欢迎添加关注!文章转载请注明出处。

责任编辑:haq

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 硬件
    +关注

    关注

    11

    文章

    3328

    浏览量

    66218
  • ISO
    ISO
    +关注

    关注

    0

    文章

    258

    浏览量

    39591

原文标题:安全要求的定义和管理ISO26262:2018-10-8.1

文章出处:【微信号:QCDZYJ,微信公众号:汽车电子工程知识体系】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    蓝牙AES+RNG如何保障物联网信息安全

    功能可通过软件实现,也可以通过硬件实现。主要优势体现在:在保障通信安全方面,随机数生成器能够输出非重复且随机变化的数值。这些数值是构建多种安全
    发表于 11-08 15:38

    常见的网络硬件设备有哪些?国产网络安全主板提供稳定的硬件支持

    随着网络技术的不断进步,网络安全问题日益严重,企业和个人对网络安全的重视程度不断加深,对于网络安全硬件设备的要求也越来越高,网络
    的头像 发表于 10-21 10:23 297次阅读

    内存储器的分类和特点是什么

    内存储器(Internal Memory),也称为主存储器或随机存取存储器(RAM),是计算机系统中用于存储数据和程序的硬件组件。它是计算机运行过程中最直接、最快速的数据存取介质。 内存储器的分类
    的头像 发表于 10-14 10:09 716次阅读

    雅特力AT32 MCU的随机数生成

    概述产品和生态系统安全性的需求比以往任何时候都更加重要。真随机数是所有安全系统的核心,其质量会影响设计的安全性。因此在没有内置硬件TRNG的
    的头像 发表于 08-30 12:26 567次阅读
    雅特力AT32 MCU的<b class='flag-5'>随机</b>数生成

    GB/T 4706.1-2024新标准发布:家用电器安全要求全面升级

    前言为了进一步强化家用及类似用途电器的安全性能,保障广大消费者的使用安全,国家标准化管理委员会于近日正式发布了GB/T4706.1-2024《家用和类似用途电器的安全第1部分:通用要求
    的头像 发表于 07-30 08:31 1.3w次阅读
    GB/T 4706.1-2024新标准发布:家用电器<b class='flag-5'>安全要求</b>全面升级

    锂电池bms故障解决方法

    应用中可能会出现各种故障,影响电池的性能和寿命。本文将介绍锂电池BMS故障的解决方法,包括故障诊断、故障排除和预防措施。 锂电池BMS故障
    的头像 发表于 07-05 10:58 2097次阅读

    简仪计数器/定时器模块满足严格的工业标准和安全要求

    ,以满足严格的工业标准和安全要求。 挑战 传统的脉冲边沿检测方法通常采用示波器或时间间隔计时器等仪表进行测量,但这些方法存在精度不够高、测量速度慢、操作繁琐等弊端,难以满足高压控制模组测试的苛刻要求。 解决方案 针对这一
    的头像 发表于 06-26 15:06 666次阅读
    简仪计数器/定时器模块满足严格的工业标准和<b class='flag-5'>安全要求</b>

    GB/T31485-2015电动汽车用动力蓄电池安全要求及试验方法

    本标准规定了电动汽车用动力蓄电池(以 下简称蓄电池)的 安全要求、试验方法和检验规则。本标准适用于装载在电动汽车上的锂离子蓄电池和金属氢化物镍蓄电池单体和模块 其他类型蓄电池参照执行。
    发表于 06-24 09:12 1次下载

    三菱伺服故障代码分类及处理方法

    和速度控制的电机驱动系统,广泛应用于工业自动化、机器人、数控机床等领域。 1.2 三菱伺服系统特点 三菱伺服系统具有高响应性、高精度、高稳定性等特点,能够满足各种工业应用的需求。 二、三菱伺服故障代码分类 2.1 硬件
    的头像 发表于 06-17 14:28 2738次阅读

    锂电池充放电作业和用电方面的安全要求有哪些?

    锂电池充放电作业和用电方面的安全要求有哪些
    的头像 发表于 03-22 10:11 1046次阅读
    锂电池充放电作业和用电方面的<b class='flag-5'>安全要求</b>有哪些?

    什么是随机森林?随机森林的工作原理

    随机森林使用名为“bagging”的技术,通过数据集和特征的随机自助抽样样本并行构建完整的决策树。虽然决策树基于一组固定的特征,而且经常过拟合,但随机性对森林的成功至关重要。
    发表于 03-18 14:27 3581次阅读
    什么是<b class='flag-5'>随机</b>森林?<b class='flag-5'>随机</b>森林的工作原理

    请问rt-thread studio如何使用硬件随机数生成器?

    指导一下。 经过查询得知可以使用rt_hw_random_get()函数来获取硬件随机数,请文需要做什么配置才能使用rt_hw_random_get()函数。
    发表于 02-23 08:03

    SafeTpack—基于AURIX 2G的功能安全目标解决方案

    ISO26262-5中的要求,系统需要根据不同ASIL等级的要求,针对不同比例的单点故障(SPF)和潜在故障(LF)进行检测,并采取相应的安全
    的头像 发表于 01-19 14:23 556次阅读
    SafeTpack—基于AURIX 2G的功能<b class='flag-5'>安全</b>目标解决方案

    XMC4500为什么系统会随机进入锁定状态,只有在电源重置后才能重新运行?

    我正在使用 XMC4500,试图理解为什么系统会随机进入锁定状态,只有在电源重置后才能重新运行。 我有几个问题: 1-当不可配置的故障处于活动状态时,看门狗还能工作并重置 XMC 吗? 2-是否有
    发表于 01-19 06:51

    利用继电器模块提升功能安全

    安全方面发挥着关键作用。本文以 [Weidmüller] SAFESERIES 产品系列为重点,探讨了继电器模块在功能安全方面的重要性,重点介绍了继电器模块的基本特性,并提供了最优选择和使用指南。 符合功能安全要求 机电继电器通
    的头像 发表于 01-01 12:54 790次阅读
    利用继电器模块提升功能<b class='flag-5'>安全</b>