8.2.残余故障率的示例和局部单点故障度量评估.
8.2.1.总则
此示例演示了一种评估残余故障率λRF、传感器、单点故障率λSPF和单点故障度量MSPFM的本地化版本的方法,传感器的传感器。在本例中,将传感器与另一个传感器的值进行比较,其中两个传感器测量相同的物理量并具有已知的公差。传感器的值,A_Master,由应用程序的一个特性使用。A_Checker,其他传感器的值仅用于验证传感器A_Master的值。
这种监控在ISO26262-5:2018附件D中引用,作为“传感器合理性检查”或“输入比较/投票”。
在这个示例中,只对传感器A_Master的故障进行了分类和评估。传感器A_检查器的故障在这里没有解决。
由于传感器A_Master有一个安全机制定义,所有残余的故障,有可能违反安全目标,而不受控制(即。违反安全目标的行为没有得到防止)被归类为残余故障。单点故障率λSPF为(每定义)等于零。
8.2.2.传感器A_Master的技术安全需求.
传感器A_Master安全操作的边界如图11所示,并被认为是在这个示例中给出的(即。从安全目标的推导在这里没有讨论)。可以用下列术语表示:
即:
μSafRel,A,min=Max[CPVSG;v×(1+a)]
式中:
CPVSG:是一个常量;
μSafRel,A,min是传感器A_Master的安全相关下界;
v:是要测量的物理值;
a:是一个常数。
当传感器发生安全相关的故障时
mA,Master≥μSafRel,A,min
其中mA,Master是传感器A_Master报告的值。
安全需求是在TSENA的最大故障处理时间间隔内检测和控制传感器A_Master的安全相关故障。
说明:
1,安全相关的下界μSafRel,A,传感器A_Master的最小值
2.具有零容忍的理想传感器的返回值(作为参考)
3.有可能违反安全目标的故障
图11-传感器A_Master安全操作的边界
在图11中,x轴是要测量的实际物理值v,y轴是由传感器A_Master报告的值mA,Master。虚线显示理想传感器的返回值(即。具有零公差的传感器)作为参考。实线显示μSafRel,A,min。如果传感器A_Master报告的值mA,Master是在或以上的实线,违反安全目标可能发生。
8.2.3.安全机制的描述
要素的安全机制是传感器A_Checker和由带有嵌入式软件的微控制器组成的监控硬件。该软件定期比较两个传感器的值,周期小于最大故障检测时间间隔TSENA。评估由以下伪代码完成:
ΔA=mA,Master–mA,Checker
如果ΔA≥ΔMax那么失效是正确的
如果故障为真,则切换到安全状态
式中:
mA,Master:是传感器A_Master报告的值;
mA,Checker:是传感器A_Checker报告的值;
ΔMax:是一个预定义的常数最大阈值,用作通过/不通过准则。
假定传感器具有以下已知公差:
mA,Master=v±cA,Master
mA,Checker=v±cA,Checker
式中:
mA,Master:是传感器A_Master报告的值;
mA,Checker:传感器A_Checker报告的值;
cA,Master:是表示传感器A_Master公差的常数;
cA,Checker:是表示传感器A_Checker公差的常数;
v:是要测量的物理值。
选择值ΔMax,以便检测可能违反安全目标的传感器A_Master的故障。为了防止错误的失效检测,选择ΔMax是考虑每个传感器的公差和其他公差总结在cA,其他例如。不同时间取样的影响:
ΔMax≥cA,Master+cA,Checker+cA,other
使用这种方法,不可探测的失效最坏的情况是:
μA,Master,wc=mA,Checker+ΔMax
=v+cA,Checker+ΔMax
式中:
μA,Master,wc:是最坏的情况检测阈值。mA,Master传感器未被检测为故障的A_Master;
mA,Checker:是传感器A_Checker报告的值;
ΔMax:是一个预定义的常数最大阈值,用作通过/不通过准则;
v:是要测量的物理值。
每个值mA,Master等于或高于μA,Master,WC被归类为传感器故障。
根据公差值,不同的检测场景是可能的。有两个示例如图12和图13所示。
说明:
1,安全相关的下界μSafRel,A,MI的传感器A_Master
2,具有零容忍的理想传感器的返回值(作为参考)
3,最坏情况检测阈值μA,Master,WC
4,可探测的双点故障
5,检测到的故障没有可能违反安全目标
6,残余故障
图12-最坏情况检测阈值(太高)的示例1
图12中的箭头表示三个区域。
区域5-“检测到的故障没有可能违反安全目标”是安全机制检测到的故障,因为它们高于最坏情况检测阈值μA,Master,WC,但单独不会导致违反安全目标,因为它们低于安全相关的较低边界μSafRel,A,min。
区域4-“可探测的双点故障”是可能导致违反安全目标的故障,但被安全机制检测和减轻。它们都高于最坏情况检测阈值μA,Master,WC和安全相关的下边界μSafRel,A,min。这些故障的双点性质意味着它需要安全机制和传感器的故障,以导致潜在的违反安全目标。
区域6-“残余故障”没有被安全机制检测到,直接导致违反安全目标。区域μSafRel,A,min<μA,Master,WC表示v∈[v1,v2]低于最坏情况检测阈值μA,Master,WC,但高于安全相关的下边界μSafRel,A,min。
说明:
1,安全相关的下界μSafRel,A,传感器A_Master的最小值
2,具有零容忍的理想传感器的返回值(作为参考)
3,最坏情况检测阈值μA,Master,WC
4,可探测的双点故障
5,检测到的故障没有可能违反安全目标
图13-最坏情况检测阈值(MSPFM,传感器=100%)的示例2
在图13的情况下,最坏的情况检测阈值μA,Master,WC总是小于安全相关的下边界μSafRel,A,min。在这种情况下,残余故障率为零,局部单点故障度量MSPFM,传感器的传感器等于100%。
8.2.4.图12中描述的示例1的评估
8.2.4.1总则
在图12的情况下,有条件时,最坏的情况检测阈值μA,Master,WC是高于安全相关的下边界μSafRel,A,min传感器A_Master:
对于v∈[v1,v2]:μSafRel,A,min≤μA,Master,WC
为了确定残余故障率λRF,传感器和MSPFM,传感器在这些条件下,需要进一步的分析。以下是这一分析的一个示例。在ISO26262-5:2018中,表D.1考虑了包括信号开关在内的传感器的以下故障模式:
Ø 超出范围;
Ø 偏移;
Ø 卡滞;及
Ø 振荡。
在这个示例中,只评估恒定值m(在范围内)下的卡滞。为了对传感器和MSPFM的残余故障率进行完整的评估,传感器所有其他故障模式都需要评估。
对于分析,我们区分了传感器的三种不同的卡滞故障场景(见图14):
传感器卡滞在值m>m2;
传感器卡滞值m
传感器卡在M1和M2之间的值m。
说明:
1,安全相关的下界μSafRel,A,传感器A_Master的最小值
2,具有零容忍的理想传感器的返回值(作为参考)
3,最坏情况检测阈值μA,Master,WC
图14-卡滞故障场景
传感器在系统水平上的卡滞在故障的影响取决于当前的物理值v,例如。卡滞的m2故障有可能违反物理值v≤v2的安全目标。对于值v>v2,此故障不具有违反安全目标的潜力。在接下来的分析中,考虑检测阈值以及物理值v及其概率分布,对故障作为残余故障的概率pRF进行了评估。
8.2.4.2示例1:传感器卡滞在值m>m2故障.
如果v≤v2,则该故障有可能违反安全目标(见图15)。然而,传感器偏差总是高于最坏情况检测阈值μAMaster,WC,因此及时检测和控制安全相关的传感器故障。每个故障都是检测到的双点故障。在v≤v2的情况下,残余故障的概率pRF为零。如果v>v2,则故障并不总是有可能违反安全目标(参见图16)。如果故障有可能违反安全目标(图16,区域6),它将超过最坏的情况检测阈值,并及时检测。图16区域4和5的故障不能导致违反安全目标。
其中一些故障位于最坏情况检测阈值之上,并被检测到(图16,区域4)。在v>v2的情况下,残余故障的概率pRF为零。
如果v≤v2,卡滞在m>m2的故障具有违背安全目标的潜在可能,因而它们不能被视为安全故障。因所有的故障在其导致违背安全目标前,都得到了探测和控制,它们是可探测的双点故障;因此,对于卡滞的m>m2故障,残余故障的概率pRF_stuck@m2为零。
说明:
1,安全相关的下界μSafRel,A,传感器A_Master的最小值
2,具有零容忍的理想传感器的返回值(作为参考)
3,最坏情况检测阈值μA,Master,WC
4,可探测的双点故障
图15-卡滞在的故障分类-在m>m2故障,与v≤v2
说明:
1,安全相关的下界μSafRel,A,传感器A_Master的最小值
2,具有零容忍的理想传感器的返回值(作为参考)
3,最坏情况检测阈值μA,Master,WC
4,检测到的故障没有可能违反安全目标
5,没有检测到没有违反安全目标的潜在故障
6,可探测的双点故障
图16-卡滞的故障分类-在m>m2故障,与v>v2
8.2.4.3示例2:传感器卡滞在值m
图17显示了m
说明:
1,安全相关的下界μSafRel,A,传感器A_Master的最小值
2,具有零容忍的理想传感器的返回值(作为参考)
3,最坏情况检测阈值μA,Master,WC
4,不可探测的安全故障
5,安全故障,检测到
图17-卡滞在的故障分类-在m
8.2.4.4示例3:传感器卡滞在值m∈[m1,m2]故障
违反安全目标的可能性和检测m∈的卡滞在故障[m1,m2]取决于当前的物理值v(见图18)。违反安全目标的风险取决于故障发生时v的当前值。在故障发生时,对v的三个不同间隔进行了评估,pRF_stuck@m∈[m1,m2]
Ø v
Ø v1≤v≤v2;及
Ø v>v2。
对于这些条件中的每一个,分别评估残余故障的概率。残余故障的最终概率是这三种概率的期望值:
说明:
1,安全相关的下界μSafRel,A,传感器A_Master的最小值
2,具有零容忍的理想传感器的返回值(作为参考)
3,最坏情况检测阈值μA,Master,WC
4,可探测的双点故障
5,不违反安全目标但仍不可探测的故障
6,残余故障
图18-在m∈[m1,m2]故障下的故障分类
根据v的电流值,故障可以检测到双点故障(区域4)、残余故障(区域6)或不具有违反安全目标的潜力(区域5)。
pRF_stuck@m∈[m1,m2]=pRF_stuck@m∈[m1,m2],v
pRF_stuck@m∈[m1,m2],v1≤v2×pv1≤v2pRF_stuck@m∈[m1,m2],v>v2×pv>v2
式中:
pRF_stuck@m∈[m1,m2]:卡滞在值m传感器故障的概率,与m∈[m1,m2],表现为残余故障;
pRF_stuck@m∈[m1,m2],当故障发生时v
pv
pRF_stuck@m∈[m1,m2],v1≤v2是在故障发生时,如果v1≤v2,则在m∈[m1,m2]的情况下,卡滞在值m传感器故障表现为残余故障的概率;
pv1≤v≤v2:是v1≤v2在故障发生时的概率;
pRF_stuck@m∈[m1,m2],v>v2:当故障发生时,如果v>v2,则具有m∈[m1,m2]的卡滞在值m传感器故障的概率表现为残余故障;
pv>v2:是v>v2在故障发生时的时间点的概率;
pv
如果v
如果v>v2,则卡滞在故障不具有违反安全目标的潜力,但未被检测到。从那以后
值v迟早介于v1和v2之间,pRF_stuck@m∈[m1,m2],v>v2=pRF_stuck@m∈[m1,m2],v1≤v2。
如果v1≤v≤v2,则残余故障的概率pRF_stuck@m∈[m1,m2],v1≤v2不为零。
它准确地确定留在残余断层区域的概率足够长,以导致潜在的违反安全目标并不简单。它可以相关于参数,如:
Ø 物理值v及其相应概率分布的动态行为,例如。温度值更多地是静态信号,而使用中的电动机的角度位置更多地是动态信号;
Ø 值v在v∈内的概率分布[v1,v2];
Ø 监控软件的反应时间,例如。由于过滤时间。在示例中,具有ΔA≥ΔMax的单个事件足以检测传感器故障并切换到安全状态。然而,实现错误计数器是一种常见的做法,因此为了评估传感器故障并切换到安全状态,需要多个事件。特别是错误计数器恢复,例如。一旦检测到一个与安全无关的事件(在本示例中,这将对应于ΔA<ΔMax),则重置错误计数器会对监控软件的检测能力产生重大影响,从而大大降低它;以及
Ø 测量的安全相关传感器偏差的数量,以导致潜在的违反安全目标。此外,必须在两个测量的安全相关传感器偏差之间的有效测量的数量,以便安全目标不再被违反,可以引起兴趣。
如果没有每个影响参数的确切细节,则使用专家判断和工程实践是合法的(例如:使用未知概率分布的等分布)导出保守估计。
评估了@m>m2、pRF_stuck@m
可以计算传感器在残余故障下卡滞的概率pRF_stuck@m:
pRF,stuck@m=pRF,stuck@m
式中:
PM
PM1≤m2是卡滞在的概率-在m1≤m2≤m2故障;
PM>m2:是卡滞在的概率-在m>m2故障;
PM
8.2.4.5最终残余故障率评估
如果对每个相关的故障模式FMI进行与上述相同的评估,则可以计算传感器故障的总体概率pRF、传感器本身表现为残余故障:
pRF,Sensor=SpFM,i´pRF,FM,i
式中:
pFM,i:是故障模式FMI的概率;
PRF,FM,i:故障模式FMI表现为残余故障的概率;
这个概率,残余故障率,λRF,Sensor,可以评估为:
λRF,Sensor=pRF,Sensor×λRF,Sensor
导致一个MSPFM,Sensor的Z
8.2.4.6SPFMSensor的提升
降低传感器残余故障率的一种有效方法是降低ΔMax的值。在下列条件下,如果不显著增加虚假检测,就可以减少ΔMax:
Ø 公差的概率分布可以表明,估计的最坏情况是非常不可能的。因此,误报的概率足够低,因此可以接受。
Ø 重新设计系统可以提高容忍值。
请注意,在本例中只评估传感器故障,而不是在残余的传感器路径中发生的故障。共享硬件资源的故障可能导致两个传感器的故障,或者可能伪造两个传感器的值,例如。对微控制器的ADC进行了单独的评估。此外,在ISO26262-9:2018第7条中给出的相关失效分析,已经完成。
责任编辑:xj
文章出处:【微信公众号:汽车电子硬件设计】欢迎添加关注!文章转载请注明出处。
原文标题:残余故障率的示例和局部单点故障度量评估ISO26262:2018-10-8.2
全部0条评论
快来发表一下你的评论吧 !