8.1.隨機(jī)硬件故障的分類(lèi)

8.1.1概述

通常，所考慮的故障組合僅限于兩個(gè)獨(dú)立的硬件故障的組合，除非基于功能或技術(shù)安全概念的分析表明，n>2的n點(diǎn)故障是相關(guān)的。因此，對(duì)于給定的安全目標(biāo)和給定的硬件元件，在大多數(shù)情況下，故障可以分為：

a.單點(diǎn)故障；

b.殘余故障；

c.可探測(cè)的雙點(diǎn)故障；

d.可感知的雙點(diǎn)故障；

e.潛在的雙點(diǎn)故障；或

f.安全故障。

對(duì)各種故障類(lèi)別的解釋以及示例如下。

8.1.2單點(diǎn)故障

此故障：

?可以直接導(dǎo)致違反安全目標(biāo)；及

?是硬件元器件的故障，它沒(méi)有至少一個(gè)安全機(jī)制。

例如：一種非監(jiān)控電阻，至少有一種故障模式(例如：開(kāi)路)有可能違反安全目標(biāo)。

注意，如果硬件要素被至少一個(gè)安全機(jī)制覆蓋(例如：微控制器失控的看門(mén)狗)，那么它的任何故障都不被歸類(lèi)為單點(diǎn)故障。安全機(jī)制不能防止違反安全目標(biāo)的故障被歸類(lèi)為殘余故障。

8.1.3殘余故障

本故障或零元器件本故障：

?直接導(dǎo)致違反安全目標(biāo)；及

?是至少一個(gè)安全機(jī)制和這些安全所覆蓋的硬件元器件的故障，安全機(jī)制不會(huì)減輕或控制此故障或此故障的一部分。

示例：如果隨機(jī)訪問(wèn)存儲(chǔ)器(RAM)模塊僅由棋盤(pán)RAM（OK？？？March test???）測(cè)試安全機(jī)制檢查，則不會(huì)檢測(cè)到某些類(lèi)型的橋接故障。安全機(jī)制沒(méi)有防止由于這些故障而違反安全目標(biāo)。這些故障是殘余故障的示例。

注：在這種情況下，安全機(jī)制的診斷覆蓋率小于100%。

8.1.4可探測(cè)的雙點(diǎn)故障

此故障：

?導(dǎo)致違反安全目標(biāo)，但只能導(dǎo)致安全目標(biāo)違反與其他獨(dú)立硬件故障相結(jié)合；及

?是通過(guò)一種安全機(jī)制來(lái)檢測(cè)的，它防止了它的潛在性。

示例1：受奇偶校驗(yàn)保護(hù)的閃存：根據(jù)技術(shù)安全概念檢測(cè)并觸發(fā)反應(yīng)的單比特故障，如關(guān)閉系統(tǒng)并通過(guò)警告燈通知駕駛員。

示例2：受糾錯(cuò)碼(ECC)保護(hù)的閃存：通過(guò)測(cè)試檢測(cè)到ECC邏輯中的故障，并根據(jù)技術(shù)安全概念觸發(fā)反應(yīng)，如通過(guò)警告燈通知駕駛員。

如果安全機(jī)制通過(guò)將相關(guān)項(xiàng)恢復(fù)到無(wú)故障狀態(tài)來(lái)減輕瞬態(tài)故障，則這種故障可以被視為檢測(cè)到的雙點(diǎn)故障，即使驅(qū)動(dòng)器從未被告知其存在。

一個(gè)瞬態(tài)位翻轉(zhuǎn)，由ECC在數(shù)據(jù)提供給CPU之前進(jìn)行校正，然后通過(guò)寫(xiě)回正確的值進(jìn)行校正。測(cè)井可以用來(lái)區(qū)分間歇故障和真實(shí)的瞬態(tài)故障。

注：雙點(diǎn)故障可分為初級(jí)雙點(diǎn)故障和次級(jí)雙點(diǎn)故障。主要的雙點(diǎn)故障本身不能導(dǎo)致安全目標(biāo)違反，即使沒(méi)有安全機(jī)制來(lái)控制其故障。次級(jí)的雙點(diǎn)故障確實(shí)有可能違反安全目標(biāo)，但存在一個(gè)安全機(jī)制，以減輕安全目標(biāo)的違反。

8.1.5可感知的雙點(diǎn)故障

此故障：

?導(dǎo)致違反安全目標(biāo)，但只會(huì)導(dǎo)致安全目標(biāo)違反與其他獨(dú)立硬件故障相結(jié)合；及

?在規(guī)定的時(shí)間內(nèi)由安全機(jī)制檢測(cè)或不檢測(cè)的駕駛員檢測(cè)。

示例：如果功能受到故障后果的顯著和明確影響，則駕駛員可以檢測(cè)到雙點(diǎn)故障。

注意，如果駕駛員檢測(cè)到雙點(diǎn)故障，以及通過(guò)安全機(jī)制檢測(cè)到，則可以將其歸類(lèi)為檢測(cè)到的或檢測(cè)到的雙點(diǎn)故障。它不能被歸類(lèi)為兩者，因?yàn)闈撛诠收隙攘繉⒈诲e(cuò)誤地計(jì)算，因?yàn)橐粋€(gè)故障隨后將導(dǎo)致檢測(cè)到的雙點(diǎn)故障以及檢測(cè)到的雙點(diǎn)故障，將此故障計(jì)數(shù)兩次。

8.1.6潛在的雙點(diǎn)故障

此故障：

導(dǎo)致違反安全目標(biāo)，但只會(huì)導(dǎo)致違反安全目標(biāo)與其他獨(dú)立故障相結(jié)合；及

既沒(méi)有被安全機(jī)制檢測(cè)到，也沒(méi)有被駕駛員檢測(cè)到。直到第二次獨(dú)立故障的發(fā)生，系統(tǒng)仍可操作，不通知駕駛員故障。

示例1：在受ECC保護(hù)的閃存的情況下：一個(gè)永久的單比特故障，當(dāng)讀取時(shí)，該值被ECC校正，但在閃存中既沒(méi)有校正，也沒(méi)有發(fā)出信號(hào)。在這種情況下，故障不能導(dǎo)致安全目標(biāo)違反（因?yàn)楣收衔槐患m正)，但它既沒(méi)有檢測(cè)到(因?yàn)閱挝还收蠜](méi)有信號(hào))，也沒(méi)有檢測(cè)到(因?yàn)閷?duì)應(yīng)用程序的功能沒(méi)有影響）。如果在ECC邏輯中發(fā)生額外的故障，它可能導(dǎo)致對(duì)這個(gè)單位故障的控制喪失，導(dǎo)致潛在的違反安全目標(biāo)。

示例2：在受ECC保護(hù)的閃存的情況下：ECC邏輯中的永久單個(gè)故障導(dǎo)致ECC不可用，并且沒(méi)有在最大故障處理時(shí)間間隔內(nèi)檢測(cè)和控制。

8.1.7安全故障

安全故障可以是兩類(lèi)故障之一：

a.n>2的全部n 點(diǎn)故障，除非安全概念表明它們是安全目標(biāo)違反的相關(guān)貢獻(xiàn)者；或

b.不會(huì)導(dǎo)致違反安全目標(biāo)的故障。

示例1：在受ECC保護(hù)的閃存和循環(huán)冗余檢查(CRC)的情況下：由ECC糾正但沒(méi)有信號(hào)的單比特故障。該故障被防止違反安全目標(biāo)，但沒(méi)有被ECC發(fā)出信號(hào)。如果ECC邏輯失效，則由CRC檢測(cè)故障，系統(tǒng)關(guān)閉。只有當(dāng)閃存中存在一個(gè)比特故障，并且ECC邏輯失效，CRC校驗(yàn)和監(jiān)督失效時(shí)，才能發(fā)生違反安全目標(biāo)的情況(n=3)。

示例2：在三個(gè)電阻串聯(lián)連接以克服短路情況下單點(diǎn)故障的問(wèn)題時(shí)，每個(gè)單獨(dú)電阻的短路可以被認(rèn)為是安全故障，因?yàn)樾枰齻€(gè)獨(dú)立的短路(n=3)。

故障分類(lèi)和故障類(lèi)別貢獻(xiàn)計(jì)算的8.1.8流程圖

硬件要素的故障模式可以分類(lèi)，如ISO26262-5：2018的圖B所示。使用ISO26262-5：2018中描述的流程圖，圖B.2.圖10顯示了考慮不同失效模式(殘余VS)的基本故障率和覆蓋率的各種故障率的計(jì)算。潛在的)。

圖10-故障類(lèi)別的分類(lèi)和相應(yīng)故障率的計(jì)算

A.故障模式有待分析。

B.λFMi，ith是與所考慮的硬件要素的故障模式相關(guān)的故障率，其中DFMI是故障模式的故障模式分布。

C.如果正在考慮的硬件元件的任何故障模式與安全相關(guān)，則硬件元器件與安全相關(guān)。

D.λFMi，nSR是“與安全無(wú)關(guān)”的故障率。

E.在單點(diǎn)故障度量中不考慮與安全無(wú)關(guān)的硬件元件的故障或者潛在故障度量。

F.λFMi，SR是“安全相關(guān)”的故障率，并考慮在單點(diǎn)故障度量和潛在故障度量中。

G.FFMi,safe是這種故障模式的安全故障的一部分。安全故障對(duì)違反安全目標(biāo)沒(méi)有顯著貢獻(xiàn)。對(duì)于復(fù)雜的硬件要素(例如：微控制器)很難給出確切的比例。在這種情況下，保守的Fsafe為0.5(即。50%)可以假定。

H.λFMi，S是“安全”故障的故障率。

I.λFMi，S將有助于安全故障的總發(fā)生率。

J.λFMi，NS：“非安全”故障率。其中包括單點(diǎn)故障、殘余故障和多點(diǎn)故障(其中n=2)。

K.事實(shí)上，PVSG是非安全故障的一部分，有可能直接違反安全目標(biāo)，而不考慮任何可能存在的安全機(jī)制來(lái)防止這一點(diǎn)。不需要額外的獨(dú)立故障來(lái)違反安全目標(biāo)。

L.λFMi，PVSG是潛在直接違反安全目標(biāo)的故障的故障率，而不考慮任何可能存在的安全機(jī)制來(lái)防止這一情況。

M.如果導(dǎo)致所考慮的故障模式的故障是單點(diǎn)故障，則決定。

單點(diǎn)故障沒(méi)有安全機(jī)制來(lái)防止正在考慮的硬件元器件的任何故障直接違反安全目標(biāo)。

N.λFMi，SPF是“單點(diǎn)故障”的故障率。如果沒(méi)有至少一個(gè)安全機(jī)制來(lái)控制所考慮的硬件元器件的故障，所有導(dǎo)致λFMi的故障，PVSG是單點(diǎn)故障。

O.λFMi，SPF將導(dǎo)致單點(diǎn)故障的總發(fā)生率。

P.對(duì)于正在考慮的硬件元件，如果有至少一個(gè)安全機(jī)制阻止其至少一個(gè)故障模式直接違反安全目標(biāo)，則導(dǎo)致正在考慮的故障的故障不是單點(diǎn)故障。在接下來(lái)的λFMi過(guò)程中，PVSG被分成殘余故障，并檢測(cè)、檢測(cè)和潛在的多點(diǎn)故障。

Q.什么比例的λFMi，PVSG被安全機(jī)制阻止違反安全目標(biāo)？

這個(gè)分?jǐn)?shù)相當(dāng)于殘余故障的故障模式覆蓋(另見(jiàn)ISO26262-5：2018的附件E硬件架構(gòu)度量的示例計(jì)算：“單點(diǎn)故障度量”和“潛在故障度量”)。KFMCi，RF是故障模式覆蓋的縮寫(xiě)。

R.λFMi，RF是“殘余故障”故障率。

S.λFMi，RF對(duì)殘余故障的總發(fā)生率有貢獻(xiàn)。

T.λFMi，MPF，secondary是（secondary）“多點(diǎn)故障”的故障率,λFMi，PVSG，由安全機(jī)制控制。λFMi,MPF,secondaryisthe(secondary)“Multiple-PointFaults”failurerateresultingfromtheλFMi,PVSGthatarecontrolledbyasafetymechanism.

U.λFMi，MPF是由一級(jí)和二級(jí)多點(diǎn)故障引起的整體“多點(diǎn)故障”故障率。

V.識(shí)別檢測(cè)到的故障和未檢測(cè)到的故障。MPF是針對(duì)多點(diǎn)故障的故障模式覆蓋。

W.λFMi，MPF，det是“多點(diǎn)故障，檢測(cè)到”的故障率。

注意，如果主、次多點(diǎn)故障的故障模式覆蓋率不同，則可以以下方式計(jì)算檢測(cè)到的多點(diǎn)故障率：

λFMi,MPF,det=KFMCi,MPF,primary×λFMi,MPF,primary+KFMCi,MPF,secondary×λFMi,MPF,secondary

X.λFMi、MPF、det對(duì)檢測(cè)到的多點(diǎn)故障的總比率有貢獻(xiàn)。

Y.λFMi，MPF，pl是“多點(diǎn)故障，檢測(cè)或潛在”故障率。

注：如果主、次多點(diǎn)故障的故障模式覆蓋率不同，則可按以下方式計(jì)算檢測(cè)或潛在的多點(diǎn)故障率：

λFMi,MPF,pl=(1?KFMCi,MPF,primary)×λFMi,MPF,primary+(1?KFMCi,MPF,secondary)×λFMi,MPF,secondary

Z.FFMi,per是沒(méi)有檢測(cè)到但被駕駛員檢測(cè)的多點(diǎn)故障的一部分。

aa：λFMi，MPF，p是“多點(diǎn)故障，檢測(cè)”故障率。

注：如果初級(jí)和次級(jí)多點(diǎn)故障的檢測(cè)分?jǐn)?shù)不同，則可按以下方式計(jì)算檢測(cè)多點(diǎn)故障率：

λFMi，MPF，p=FFMI，每，初級(jí)×(1?KFMCi，MPF，初級(jí))×λFMi，MPF，初級(jí)+FFMI，每，次級(jí)×

(1?KFMCi，MPF，次級(jí))×λFMi，MPF，次級(jí)

ab：λFMi，MPF，p貢獻(xiàn)了檢測(cè)多點(diǎn)故障的總比率。

ac：λFMi，MPF，l是“多點(diǎn)故障，潛在”故障率。

注意，如果初級(jí)和次級(jí)多點(diǎn)故障的檢測(cè)分?jǐn)?shù)不同，則可以以下列方式計(jì)算潛在的多點(diǎn)故障率：

λFMi,MPF,l=(1?FFMi,per,primary)×(1?KFMCi,MPF,primary)×λFMi,MPF,primary+(1?FFMi,per,secondary)×(1?KFMCi,MPF,secondary)×λFMi,MPF,secondary

ad：λFMi，MPF，l對(duì)潛在多點(diǎn)故障的總比率有貢獻(xiàn)。

ae：λFMi，MPF，主要是（主要）“多點(diǎn)故障”的故障率，由導(dǎo)致違反安全目標(biāo)，但不能直接違反它自己(即。至少需要另一個(gè)獨(dú)立的故障，以潛在地違反安全目標(biāo))。

注意，只有在相關(guān)的診斷覆蓋、故障模式覆蓋或檢測(cè)分?jǐn)?shù)不同的情況下，才能區(qū)分給定故障模式的主要和次要多點(diǎn)故障。

8.1.9如何考慮與基于軟件的安全機(jī)制相關(guān)的多點(diǎn)故障的故障率，以解決隨機(jī)硬件故障。

雖然在ISO26262系列標(biāo)準(zhǔn)中沒(méi)有量化軟件和硬件的系統(tǒng)故障，但可以計(jì)算出硬件資源的隨機(jī)硬件故障的故障率，這些硬件資源支持執(zhí)行解決隨機(jī)硬件故障的基于軟件的安全機(jī)制。

如果這些硬件資源與有可能直接違反安全目標(biāo)的功能共享，則選擇故障模型來(lái)反映這一點(diǎn)，并考慮潛在的相關(guān)故障。

原文標(biāo)題：安全要求的定義和管理ISO26262:2018-10-8.1

文章出處：【微信公眾號(hào)：汽車(chē)電子硬件設(shè)計(jì)】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。

責(zé)任編輯：haq