评估残余故障率λRF、传感器、单点故障率λSPF和单点故障度量MSPFM的方法

描述

8.2.残余故障率的示例和局部单点故障度量评估.

8.2.1.总则

此示例演示了一种评估残余故障率λRF、传感器、单点故障率λSPF和单点故障度量MSPFM的本地化版本的方法,传感器的传感器。在本例中,将传感器与另一个传感器的值进行比较,其中两个传感器测量相同的物理量并具有已知的公差。传感器的值,A_Master,由应用程序的一个特性使用。A_Checker,其他传感器的值仅用于验证传感器A_Master的值。

这种监控在ISO26262-5:2018附件D中引用,作为“传感器合理性检查”或“输入比较/投票”。

在这个示例中,只对传感器A_Master的故障进行了分类和评估。传感器A_检查器的故障在这里没有解决。

由于传感器A_Master有一个安全机制定义,所有残余的故障,有可能违反安全目标,而不受控制(即。违反安全目标的行为没有得到防止)被归类为残余故障。单点故障率λSPF为(每定义)等于零。

8.2.2.传感器A_Master的技术安全需求.

传感器A_Master安全操作的边界如图11所示,并被认为是在这个示例中给出的(即。从安全目标的推导在这里没有讨论)。可以用下列术语表示:

即:

μSafRel,A,min=Max[CPVSG;v×(1+a)]

式中:

CPVSG:是一个常量;

μSafRel,A,min是传感器A_Master的安全相关下界;

v:是要测量的物理值;

a:是一个常数。

当传感器发生安全相关的故障时

mA,Master≥μSafRel,A,min

其中mA,Master是传感器A_Master报告的值。

安全需求是在TSENA的最大故障处理时间间隔内检测和控制传感器A_Master的安全相关故障。

传感器

说明:

1,安全相关的下界μSafRel,A,传感器A_Master的最小值

2.具有零容忍的理想传感器的返回值(作为参考)

3.有可能违反安全目标的故障

图11-传感器A_Master安全操作的边界

在图11中,x轴是要测量的实际物理值v,y轴是由传感器A_Master报告的值mA,Master。虚线显示理想传感器的返回值(即。具有零公差的传感器)作为参考。实线显示μSafRel,A,min。如果传感器A_Master报告的值mA,Master是在或以上的实线,违反安全目标可能发生。

8.2.3.安全机制的描述

要素的安全机制是传感器A_Checker和由带有嵌入式软件的微控制器组成的监控硬件。该软件定期比较两个传感器的值,周期小于最大故障检测时间间隔TSENA。评估由以下伪代码完成:

ΔA=mA,Master–mA,Checker

如果ΔA≥ΔMax那么失效是正确的

如果故障为真,则切换到安全状态

式中:

mA,Master:是传感器A_Master报告的值;

mA,Checker:是传感器A_Checker报告的值;

ΔMax:是一个预定义的常数最大阈值,用作通过/不通过准则。

假定传感器具有以下已知公差:

mA,Master=v±cA,Master

mA,Checker=v±cA,Checker

式中:

mA,Master:是传感器A_Master报告的值;

mA,Checker:传感器A_Checker报告的值;

cA,Master:是表示传感器A_Master公差的常数;

cA,Checker:是表示传感器A_Checker公差的常数;

v:是要测量的物理值。

选择值ΔMax,以便检测可能违反安全目标的传感器A_Master的故障。为了防止错误的失效检测,选择ΔMax是考虑每个传感器的公差和其他公差总结在cA,其他例如。不同时间取样的影响:

ΔMax≥cA,Master+cA,Checker+cA,other

使用这种方法,不可探测的失效最坏的情况是:

μA,Master,wc=mA,Checker+ΔMax

=v+cA,Checker+ΔMax

式中:

μA,Master,wc:是最坏的情况检测阈值。mA,Master传感器未被检测为故障的A_Master;

mA,Checker:是传感器A_Checker报告的值;

ΔMax:是一个预定义的常数最大阈值,用作通过/不通过准则;

v:是要测量的物理值。

每个值mA,Master等于或高于μA,Master,WC被归类为传感器故障。

根据公差值,不同的检测场景是可能的。有两个示例如图12和图13所示。

传感器

说明:

1,安全相关的下界μSafRel,A,MI的传感器A_Master

2,具有零容忍的理想传感器的返回值(作为参考)

3,最坏情况检测阈值μA,Master,WC

4,可探测的双点故障

5,检测到的故障没有可能违反安全目标

6,残余故障

图12-最坏情况检测阈值(太高)的示例1

图12中的箭头表示三个区域。

区域5-“检测到的故障没有可能违反安全目标”是安全机制检测到的故障,因为它们高于最坏情况检测阈值μA,Master,WC,但单独不会导致违反安全目标,因为它们低于安全相关的较低边界μSafRel,A,min。

区域4-“可探测的双点故障”是可能导致违反安全目标的故障,但被安全机制检测和减轻。它们都高于最坏情况检测阈值μA,Master,WC和安全相关的下边界μSafRel,A,min。这些故障的双点性质意味着它需要安全机制和传感器的故障,以导致潜在的违反安全目标。

区域6-“残余故障”没有被安全机制检测到,直接导致违反安全目标。区域μSafRel,A,min<μA,Master,WC表示v∈[v1,v2]低于最坏情况检测阈值μA,Master,WC,但高于安全相关的下边界μSafRel,A,min。

传感器

说明:

1,安全相关的下界μSafRel,A,传感器A_Master的最小值

2,具有零容忍的理想传感器的返回值(作为参考)

3,最坏情况检测阈值μA,Master,WC

4,可探测的双点故障

5,检测到的故障没有可能违反安全目标

图13-最坏情况检测阈值(MSPFM,传感器=100%)的示例2

在图13的情况下,最坏的情况检测阈值μA,Master,WC总是小于安全相关的下边界μSafRel,A,min。在这种情况下,残余故障率为零,局部单点故障度量MSPFM,传感器的传感器等于100%。

8.2.4.图12中描述的示例1的评估

8.2.4.1总则

在图12的情况下,有条件时,最坏的情况检测阈值μA,Master,WC是高于安全相关的下边界μSafRel,A,min传感器A_Master:

对于v∈[v1,v2]:μSafRel,A,min≤μA,Master,WC

为了确定残余故障率λRF,传感器和MSPFM,传感器在这些条件下,需要进一步的分析。以下是这一分析的一个示例。在ISO26262-5:2018中,表D.1考虑了包括信号开关在内的传感器的以下故障模式:

Ø 超出范围;

Ø 偏移;

Ø 卡滞;及

Ø 振荡。

在这个示例中,只评估恒定值m(在范围内)下的卡滞。为了对传感器和MSPFM的残余故障率进行完整的评估,传感器所有其他故障模式都需要评估。

对于分析,我们区分了传感器的三种不同的卡滞故障场景(见图14):

传感器卡滞在值m>m2;

传感器卡滞值m

传感器卡在M1和M2之间的值m。

传感器

说明:

1,安全相关的下界μSafRel,A,传感器A_Master的最小值

2,具有零容忍的理想传感器的返回值(作为参考)

3,最坏情况检测阈值μA,Master,WC

图14-卡滞故障场景

传感器在系统水平上的卡滞在故障的影响取决于当前的物理值v,例如。卡滞的m2故障有可能违反物理值v≤v2的安全目标。对于值v>v2,此故障不具有违反安全目标的潜力。在接下来的分析中,考虑检测阈值以及物理值v及其概率分布,对故障作为残余故障的概率pRF进行了评估。

8.2.4.2示例1:传感器卡滞在值m>m2故障.

如果v≤v2,则该故障有可能违反安全目标(见图15)。然而,传感器偏差总是高于最坏情况检测阈值μAMaster,WC,因此及时检测和控制安全相关的传感器故障。每个故障都是检测到的双点故障。在v≤v2的情况下,残余故障的概率pRF为零。如果v>v2,则故障并不总是有可能违反安全目标(参见图16)。如果故障有可能违反安全目标(图16,区域6),它将超过最坏的情况检测阈值,并及时检测。图16区域4和5的故障不能导致违反安全目标。

其中一些故障位于最坏情况检测阈值之上,并被检测到(图16,区域4)。在v>v2的情况下,残余故障的概率pRF为零。

如果v≤v2,卡滞在m>m2的故障具有违背安全目标的潜在可能,因而它们不能被视为安全故障。因所有的故障在其导致违背安全目标前,都得到了探测和控制,它们是可探测的双点故障;因此,对于卡滞的m>m2故障,残余故障的概率pRF_stuck@m2为零。

传感器

说明:

1,安全相关的下界μSafRel,A,传感器A_Master的最小值

2,具有零容忍的理想传感器的返回值(作为参考)

3,最坏情况检测阈值μA,Master,WC

4,可探测的双点故障

图15-卡滞在的故障分类-在m>m2故障,与v≤v2

传感器

说明:

1,安全相关的下界μSafRel,A,传感器A_Master的最小值

2,具有零容忍的理想传感器的返回值(作为参考)

3,最坏情况检测阈值μA,Master,WC

4,检测到的故障没有可能违反安全目标

5,没有检测到没有违反安全目标的潜在故障

6,可探测的双点故障

图16-卡滞的故障分类-在m>m2故障,与v>v2

传感器

8.2.4.3示例2:传感器卡滞在值m

图17显示了m

传感器

说明:

1,安全相关的下界μSafRel,A,传感器A_Master的最小值

2,具有零容忍的理想传感器的返回值(作为参考)

3,最坏情况检测阈值μA,Master,WC

4,不可探测的安全故障

5,安全故障,检测到

图17-卡滞在的故障分类-在m

8.2.4.4示例3:传感器卡滞在值m∈[m1,m2]故障

违反安全目标的可能性和检测m∈的卡滞在故障[m1,m2]取决于当前的物理值v(见图18)。违反安全目标的风险取决于故障发生时v的当前值。在故障发生时,对v的三个不同间隔进行了评估,pRF_stuck@m∈[m1,m2]

Ø v

Ø v1≤v≤v2;及

Ø v>v2。

对于这些条件中的每一个,分别评估残余故障的概率。残余故障的最终概率是这三种概率的期望值:

传感器

说明:

1,安全相关的下界μSafRel,A,传感器A_Master的最小值

2,具有零容忍的理想传感器的返回值(作为参考)

3,最坏情况检测阈值μA,Master,WC

4,可探测的双点故障

5,不违反安全目标但仍不可探测的故障

6,残余故障

图18-在m∈[m1,m2]故障下的故障分类

根据v的电流值,故障可以检测到双点故障(区域4)、残余故障(区域6)或不具有违反安全目标的潜力(区域5)。

传感器

pRF_stuck@m∈[m1,m2]=pRF_stuck@m∈[m1,m2],v

pRF_stuck@m∈[m1,m2],v1≤v2×pv1≤v2pRF_stuck@m∈[m1,m2],v>v2×pv>v2

式中:

pRF_stuck@m∈[m1,m2]:卡滞在值m传感器故障的概率,与m∈[m1,m2],表现为残余故障;

pRF_stuck@m∈[m1,m2],当故障发生时v

pv

pRF_stuck@m∈[m1,m2],v1≤v2是在故障发生时,如果v1≤v2,则在m∈[m1,m2]的情况下,卡滞在值m传感器故障表现为残余故障的概率;

pv1≤v≤v2:是v1≤v2在故障发生时的概率;

pRF_stuck@m∈[m1,m2],v>v2:当故障发生时,如果v>v2,则具有m∈[m1,m2]的卡滞在值m传感器故障的概率表现为残余故障;

pv>v2:是v>v2在故障发生时的时间点的概率;

pvv2=1。

如果v

如果v>v2,则卡滞在故障不具有违反安全目标的潜力,但未被检测到。从那以后

值v迟早介于v1和v2之间,pRF_stuck@m∈[m1,m2],v>v2=pRF_stuck@m∈[m1,m2],v1≤v2。

如果v1≤v≤v2,则残余故障的概率pRF_stuck@m∈[m1,m2],v1≤v2不为零。

它准确地确定留在残余断层区域的概率足够长,以导致潜在的违反安全目标并不简单。它可以相关于参数,如:

Ø 物理值v及其相应概率分布的动态行为,例如。温度值更多地是静态信号,而使用中的电动机的角度位置更多地是动态信号;

Ø 值v在v∈内的概率分布[v1,v2];

Ø 监控软件的反应时间,例如。由于过滤时间。在示例中,具有ΔA≥ΔMax的单个事件足以检测传感器故障并切换到安全状态。然而,实现错误计数器是一种常见的做法,因此为了评估传感器故障并切换到安全状态,需要多个事件。特别是错误计数器恢复,例如。一旦检测到一个与安全无关的事件(在本示例中,这将对应于ΔA<ΔMax),则重置错误计数器会对监控软件的检测能力产生重大影响,从而大大降低它;以及

Ø 测量的安全相关传感器偏差的数量,以导致潜在的违反安全目标。此外,必须在两个测量的安全相关传感器偏差之间的有效测量的数量,以便安全目标不再被违反,可以引起兴趣。

如果没有每个影响参数的确切细节,则使用专家判断和工程实践是合法的(例如:使用未知概率分布的等分布)导出保守估计。

评估了@m>m2、pRF_stuck@m

可以计算传感器在残余故障下卡滞的概率pRF_stuck@m:

pRF,stuck@m=pRF,stuck@mm2´pm>m2

式中:

PM

PM1≤m2是卡滞在的概率-在m1≤m2≤m2故障;

PM>m2:是卡滞在的概率-在m>m2故障;

PM

8.2.4.5最终残余故障率评估

如果对每个相关的故障模式FMI进行与上述相同的评估,则可以计算传感器故障的总体概率pRF、传感器本身表现为残余故障:

pRF,Sensor=SpFM,i´pRF,FM,i

式中:

pFM,i:是故障模式FMI的概率;

PRF,FM,i:故障模式FMI表现为残余故障的概率;

传感器

这个概率,残余故障率,λRF,Sensor,可以评估为:

λRF,Sensor=pRF,Sensor×λRF,Sensor

导致一个MSPFM,Sensor的Z

8.2.4.6SPFMSensor的提升

降低传感器残余故障率的一种有效方法是降低ΔMax的值。在下列条件下,如果不显著增加虚假检测,就可以减少ΔMax:

Ø 公差的概率分布可以表明,估计的最坏情况是非常不可能的。因此,误报的概率足够低,因此可以接受。

Ø 重新设计系统可以提高容忍值。

请注意,在本例中只评估传感器故障,而不是在残余的传感器路径中发生的故障。共享硬件资源的故障可能导致两个传感器的故障,或者可能伪造两个传感器的值,例如。对微控制器的ADC进行了单独的评估。此外,在ISO26262-9:2018第7条中给出的相关失效分析,已经完成。

责任编辑:xj

       原文标题:残余故障率的示例和局部单点故障度量评估ISO26262:2018-10-8.2

文章出处:【微信公众号:汽车电子硬件设计】欢迎添加关注!文章转载请注明出处。

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分