小说阅读网站,古风名字,遮天

診斷覆蓋率的評(píng)估

D.1概述

本附件擬采用：

a.對(duì)診斷范圍的評(píng)估，以產(chǎn)生以下理由：

?硬件架構(gòu)度量的評(píng)估定義的單點(diǎn)失效和潛在失效度量；

?遵守評(píng)估安全目標(biāo)違反，因?yàn)殡S機(jī)硬件失效，評(píng)估隨機(jī)硬件失效導(dǎo)致的安全目標(biāo)違規(guī)所定義；

b.準(zhǔn)則，以選擇適當(dāng)?shù)陌踩珯C(jī)制，在E/E中實(shí)施用于檢測(cè)元素失效的架構(gòu)。

圖D.1顯示了嵌入式系統(tǒng)的通用硬件。本系統(tǒng)硬件元件的典型失效模式見表D.1。最左邊列中列出的每個(gè)元素都與元素右邊列中捕獲的一個(gè)或多個(gè)失效模式相關(guān)聯(lián)。清單不要求詳盡，可以根據(jù)其他已知的失效模式或根據(jù)應(yīng)用程序進(jìn)行調(diào)整。

每一行都引用與這些元件失效相關(guān)的安全機(jī)制的其他細(xì)節(jié)(表D.2至D.10)。根據(jù)這些典型的安全機(jī)制對(duì)給定元素的有效性進(jìn)行分類，它們能夠覆蓋列出的失效模式，以實(shí)現(xiàn)元素的低、中或高診斷覆蓋率。這些低、中、高診斷覆蓋率排名分別對(duì)應(yīng)于60%、90%或99%的典型覆蓋率水平。

失效模式的分配及其相應(yīng)的安全機(jī)制可能有所不同

列于表D.1，取決于：

1)診斷檢測(cè)到的失效模式源的變化；

2)安全機(jī)制的有效性；

3)安全機(jī)制的具體實(shí)施；

4)安全機(jī)制的執(zhí)行時(shí)機(jī)（周期性）；

5)系統(tǒng)中實(shí)現(xiàn)的硬件技術(shù)；

6)基于系統(tǒng)硬件的失效模式的概率；和

7)更詳細(xì)地分析了失效模式及其分類為幾個(gè)子類

8)不同的失效模式覆蓋級(jí)別。

總之，表D.1提供了根據(jù)對(duì)系統(tǒng)要素的分析加以調(diào)整的準(zhǔn)則。

這些準(zhǔn)則沒有處理安全概念中可以指定的具體限制，以避免違反安全目標(biāo)。這些約束，例如時(shí)間方面（診斷的周期性），在通過安全機(jī)制評(píng)估通用的典型診斷覆蓋時(shí)不被考慮。在評(píng)估項(xiàng)目中使用的安全機(jī)制的具體診斷覆蓋率時(shí)，將考慮它們，以避免違反安全目標(biāo)。

例一種安全機(jī)制可以在本附件中具有較高的通用典型診斷覆蓋率，但如果所使用的診斷測(cè)試間隔大于符合相關(guān)容錯(cuò)時(shí)間間隔所需的診斷測(cè)試間隔，則避免違反安全目標(biāo)的具體診斷覆蓋率將低得多。

因此，表D.2至D.10可作為評(píng)估這些安全機(jī)制的診斷覆蓋率的起點(diǎn)，所稱的診斷覆蓋率有適當(dāng)?shù)睦碛?例如。使用故障注入方法或分析參數(shù))。此外，給定的信息旨在幫助定義元素的失效模式；然而，相關(guān)的失效模式最終取決于使用元素的應(yīng)用。

圖D.1——系統(tǒng)的通用硬件

表D.2至表D.10通過提供診斷測(cè)試技術(shù)指南來支持表D.1的信息。表D.1至表D.10不是詳盡無遺的，可以使用其他技術(shù)，只要有證據(jù)支持所稱的診斷范圍。如果合理，可以估計(jì)更高的診斷覆蓋率，對(duì)于簡單或復(fù)雜的元素，可高達(dá)100%。

元素	見表格	分析了失效模式
通用元素
E.E系統(tǒng)	D2.E/E系統(tǒng)	無通用的失效模式詳細(xì)的分析是必要的

繼電器	D3—電子元素	不通電或不斷電觸點(diǎn)粘連 ·
線束包括連接器	開路接觸電阻短路到地(d.c.coupled) 短路到電源相鄰引腳短路引腳間阻抗漂移
傳感器包括信號(hào)開磁	D9.傳感器	詳細(xì)的分析是必要的典型失效模式包括: —超范圍 —偏移 —卡滯 —震蕩
最終元素(打執(zhí)行器,燈,蜂鳴器,屏幕…)	D.10.執(zhí)行器	無通用的失效模式詳細(xì)的分析是必要的

電源	D.7電源	漂移和震蕩欠壓和過壓電火花
注1相關(guān)的失效模式和失效模型是逐案識(shí)別的，通常取決于所使用的技術(shù)和實(shí)現(xiàn)。有關(guān)半導(dǎo)體失效模型的詳細(xì)信息，請(qǐng)參閱ISO26262-11：2018，4.3.1。如果一個(gè)元素的失效模式x、y和z的失效模式分布為X、Y、Z，則有效診斷覆蓋率計(jì)算如下： KDC=X×KFMC，x+Y×KFMC，y+Z×KFMC，z 式中 KDC是硬件元素的診斷覆蓋率； X：是失效模式x的失效模式分布；其中KFMC，x是失效模式x的失效模式覆蓋； Y：是失效模式y(tǒng)的失效模式分布；KFMC，y是失效模式y(tǒng)的失效模式覆蓋；. Z：是失效模式z的失效模式分布；KFMC，z是失效模式z的失效模式覆蓋；X+Y+Z=100% 注2半導(dǎo)體，有關(guān)失效模型、失效模式和相關(guān)分布之間的關(guān)系的詳細(xì)信息，請(qǐng)參閱ISO26262-11：2018，4.3。

注1相關(guān)的失效模式和失效模型是逐案識(shí)別的，通常取決于所使用的技術(shù)和實(shí)現(xiàn)。有關(guān)半導(dǎo)體失效模型的詳細(xì)信息，請(qǐng)參閱ISO26262-11：2018，4.3.1。

如果一個(gè)元素的失效模式x、y和z的失效模式分布為X、Y、Z，則有效診斷覆蓋率計(jì)算如下：

KDC=X×KFMC，x+Y×KFMC，y+Z，KFMC，z

式中

KDC是硬件元素的診斷覆蓋率；

X：是失效模式x的失效模式分布；KFMC，x是失效模式x的失效模式覆蓋；

Y：是失效模式y(tǒng)的失效模式分布；KFMC，y是失效模式y(tǒng)的失效模式覆蓋；

Z：是失效模式z的失效模式分布；KFMC，z是失效模式z的失效模式覆蓋；X+Y+Z=100%

注2：半導(dǎo)體，有關(guān)失效模型、失效模式和相關(guān)分布之間的關(guān)系的詳細(xì)信息，請(qǐng)參閱ISO26262-11：2018，4.3。

表D.1（續(xù)）

元素	見表格	分析了失效模式
時(shí)鐘	D.8-方案序列監(jiān)測(cè)/鎖定	不正確的頻率抖動(dòng) 另見ISO26262-11：2018，5.2
非易失性存儲(chǔ)器	ISO26262-11：2018，表32	見ISO26262-11：2018，5.1，表29
易失性存儲(chǔ)器	ISO26262-11：2018，表33	見ISO26262-11：2018，5.1，表29
數(shù)字I/O	D.5-模擬和數(shù)字I/O	不正確的I/O 另見ISO26262-11：2018，5.1，表30
模擬I/O	不正確的I/O 另見ISO26262-11：2018，5.2，表36
處理單元	D.4-處理單位/D.8-方案順序監(jiān)測(cè)/鎖定	輸出不正確另見ISO26262-11：2018，5.1，表30
注1：相關(guān)的失效模式和失效模型是逐案識(shí)別的，通常取決于所使用的技術(shù)和實(shí)現(xiàn)。有關(guān)半導(dǎo)體失效模型的詳細(xì)信息，請(qǐng)參閱ISO26262-11：2018，4.3.1。如果一個(gè)元素的失效模式x、y和z的失效模式分布為X、Y、Z，則有效診斷覆蓋率計(jì)算如下： KDC=X×KFMC，x+Y×KFMC，y+Z×KFMC，z 式中 KDC是硬件元素的診斷覆蓋率； X：是失效模式x的失效模式分布；其中KFMC，x是失效模式x的失效模式覆蓋； Y：是失效模式y(tǒng)的失效模式分布；KFMC，y是失效模式y(tǒng)的失效模式覆蓋；. Z：是失效模式z的失效模式分布；KFMC，z是失效模式z的失效模式覆蓋；X+Y+Z=100% 注2半導(dǎo)體，有關(guān)失效模型、失效模式和相關(guān)分布之間的關(guān)系的詳細(xì)信息，請(qǐng)參閱ISO26262-11：2018，4.3。

表D.1（續(xù)）

元素	見表格	分析了失效模式
通訊
數(shù)據(jù)傳輸(用ISO26262-6：2018，D.2.4進(jìn)行分析)	D.6-通信總線（串行、并行）	通信丟失同步消息損壞消息不可接受延遲消息消息丟失不正確的消息重復(fù) 不正確的消息排序信息插入偽裝信息信息地址不正確
注1相關(guān)的失效模式和失效模型是逐案識(shí)別的，通常取決于所使用的技術(shù)和實(shí)現(xiàn)。有關(guān)半導(dǎo)體失效模型的詳細(xì)信息，請(qǐng)參閱ISO26262-11：2018，4.3.1。如果一個(gè)元素的失效模式x、y和z的失效模式分布為X、Y、Z，則有效診斷覆蓋率計(jì)算如下： KDC=X×KFMC，x+Y×KFMC，y+Z，KFMC，z 式中 KDC是硬件元素的診斷覆蓋率； X：是失效模式x的失效模式分布；其中KFMC，x是失效模式x的失效模式覆蓋； Y：是失效模式y(tǒng)的失效模式分布；KFMC，y是失效模式y(tǒng)的失效模式覆蓋；. Z：是失效模式z的失效模式分布；KFMC，z是失效模式z的失效模式覆蓋；X+Y+Z=100% 注2半導(dǎo)體，有關(guān)失效模型、失效模式和相關(guān)分布之間的關(guān)系的詳細(xì)信息，請(qǐng)參閱ISO26262-11：2018，4.3。

表D.2-E/E系統(tǒng)

安全機(jī)制/措施	見技術(shù)概覽	典型的診斷覆蓋被認(rèn)為是可以實(shí)現(xiàn)的	注釋
失效檢測(cè)通過在線監(jiān)測(cè)	d.2.1.1	低	取決于失效檢測(cè)的診斷覆蓋率
比較器	d.2.1.2	高	取決于比較的質(zhì)量
多數(shù)投票器	d.2.1.3	高	取決于投票的質(zhì)量
動(dòng)態(tài)原理	d.2.2.1	中等	取決于失效檢測(cè)的診斷覆蓋率
模擬監(jiān)測(cè)數(shù)字信號(hào).	d.2.2.2	低	—
兩個(gè)獨(dú)立單元之間通過軟件交叉交換進(jìn)行自檢	d.2.3.3	中等	取決于自檢質(zhì)量.

表D.3-電氣元件

安全機(jī)制/措施	見技術(shù)概述	典型的診斷覆蓋被認(rèn)為是可以實(shí)現(xiàn)的	注釋
通過在線監(jiān)測(cè)進(jìn)行失效檢測(cè).	d.2.1.1	高	取決于失效檢測(cè)的診斷覆蓋率
注：本表僅涉及專用于電氣元件的安全機(jī)制。一般技術(shù)，如基于數(shù)據(jù)比較的技術(shù)(見D.2.41.2)也能夠檢測(cè)電氣元件的失效，但沒有集成在本表中(已包括在表D.2-E/E系統(tǒng)中)。

注：下表涉及主要應(yīng)用于系統(tǒng)級(jí)別組件的安全機(jī)制。關(guān)于可以集成在組件中的安全機(jī)制的更多細(xì)節(jié)在ISO26262-11：2018中描述：

?5.1數(shù)字組件；

?5.2模擬和混合信號(hào)元件；

?5.3可編程邏輯器件；

?5.4多核組件；和

?5.5傳感器和傳感器。

表D.4-處理單元

安全機(jī)制/措施	見技術(shù)概述	典型的診斷覆蓋被認(rèn)為是可以實(shí)現(xiàn)的	注釋
軟件自測(cè)：模式數(shù)量有限（一個(gè)通道）.	d.2.3.1	中等	取決于自檢質(zhì)量.
兩個(gè)獨(dú)立單元之間通過軟件交叉交換進(jìn)行自檢	d.2.3.3	中等	取決于自檢質(zhì)量.
硬件（一通道）支持的自檢.	d.2.3.2	中等	取決于自檢質(zhì)量.
軟件多元化冗余（一個(gè)硬件通道）.	d.2.3.4	高	取決于多樣化的質(zhì)量。共模式失效可以減少診斷覆蓋率.
用軟件進(jìn)行相互比較	d.2.3.5	高	取決于比較的質(zhì)量
HW冗余(例如雙核鎖步，非對(duì)稱冗余，編碼處理)	d.2.3.6	高	這取決于冗余的質(zhì)量。共模式失效可以減少診斷覆蓋率.
配置寄存器測(cè)試	d.2.3.7	高	只有配置寄存器
上溢/下溢檢測(cè)	d.2.3.8	低	僅堆棧邊界測(cè)試
集成硬件一致性監(jiān)控.	d.2.3.9	高	僅涵蓋非法硬件例外
注：本表僅涉及專用于處理單元的安全機(jī)制。一般技術(shù)，如基于數(shù)據(jù)比較的技術(shù)(見D.2.41.2)也能夠檢測(cè)電氣元件的失效，但沒有集成在本表中(已包括在表D.2-E/E系統(tǒng)中)。

表D.5-模擬和數(shù)字I/O

安全機(jī)制/措施	見技術(shù)概述	典型的診斷覆蓋被認(rèn)為是可以實(shí)現(xiàn)的	注釋
通過在線監(jiān)測(cè)(數(shù)字I/O)a進(jìn)行失效檢測(cè).	d.2.1.1	低	取決于失效檢測(cè)的診斷覆蓋率
測(cè)試樣式	d.2.4.1	高	取決于模式的類型
數(shù)字I/O的代碼保護(hù)	d.2.4.2	中等	取決于編碼的類型
多通道并行輸出.	d.2.4.3	高	—
監(jiān)測(cè)的輸出	d.2.4.4	高	只有當(dāng)數(shù)據(jù)流在診斷測(cè)試間隔內(nèi)發(fā)生變化時(shí)
輸入比較/投票(1oo2，2oo3或更好的冗余)	d.2.4.5	高	只有當(dāng)數(shù)據(jù)流在診斷測(cè)試間隔內(nèi)發(fā)生變化時(shí)
a	數(shù)字I/O可以是周期性的。

表D.6-通信總線（串行、并行）

安全機(jī)制/措施	見技術(shù)概覽	典型的診斷覆蓋被認(rèn)為是可以實(shí)現(xiàn)的	注釋
一位硬件冗余	D2.5.1	低	—
多位硬件冗余	D.2.5.2	中	—
發(fā)送信息回讀	D25.9	中	—
全硬件冗余	D.2.5.3	高	Commonmodefailurescanreducediagnosticcoverage
測(cè)試樣式檢查	D.2.5.4	高	—
傳輸冗余	D.2.5.5	中	取決于冗余的類型。僅對(duì)瞬態(tài)故障有效
信息冗余	D.2.5.6	中	取決于冗余的類型
幀計(jì)數(shù)	D.2.5.7	中	—
超時(shí)監(jiān)控	D.2.5.8	中	—
信息冗余,幀計(jì)數(shù)和超時(shí)監(jiān)控相組合	D25.6,D.257andD.2.5.8	高	對(duì)于沒有硬件冗余或測(cè)試模式的系統(tǒng)，高覆蓋率可以歸因于這些機(jī)制的組合

表D.7-電源

安全機(jī)制/措施	見技術(shù)概述	典型的診斷覆蓋被認(rèn)為是可以實(shí)現(xiàn)的	注釋
電壓或電流控制（輸入）.	d.2.6.1	低	—
電壓或電流控制（輸出）.	d.2.6.2	高	—

表D.8-程序順序監(jiān)測(cè)/鎖定

安全機(jī)制/措施	見技術(shù)概述	典型的診斷覆蓋被認(rèn)為是可以實(shí)現(xiàn)的	注釋
帶獨(dú)立時(shí)間基準(zhǔn)的看門狗，沒有時(shí)間窗口	d.2.7.1	低	—
帶獨(dú)立時(shí)間基準(zhǔn)和時(shí)間窗口的看門狗	d.2.7.2	中等	取決于時(shí)間窗口的時(shí)間限制
程序順序的邏輯監(jiān)測(cè).	d.2.7.3	中等	只有在外部時(shí)間事件影響邏輯程序流時(shí)鐘失效時(shí)才有效。為內(nèi)部硬件失效（如中斷頻率錯(cuò)誤）提供覆蓋，這些失效可能導(dǎo)致軟件運(yùn)行不符合順序.
程序順序的時(shí)間和邏輯監(jiān)測(cè)相結(jié)合	d.2.7.4	高	—
			為內(nèi)部硬件失效提供覆蓋
程序序列的時(shí)間和邏輯監(jiān)測(cè)與時(shí)間依賴的結(jié)合	d.2.7.5	高	導(dǎo)致軟件沒有順序。當(dāng)采用非對(duì)稱設(shè)計(jì)實(shí)現(xiàn)時(shí)，提供關(guān)于主設(shè)備和監(jiān)視設(shè)備之間通信順序的覆蓋
			注方法的設(shè)計(jì)，以考慮執(zhí)行抖動(dòng)從中斷，CPU加載等。

表D.9-傳感器

安全機(jī)制/措施	見技術(shù)概述	典型的診斷覆蓋被認(rèn)為是可以實(shí)現(xiàn)的	注釋
失效檢測(cè) 在線監(jiān)測(cè)	d.2.1.1	低	取決于失效檢測(cè)的診斷覆蓋率
測(cè)試模式	d.2.4.1	高	—
輸入比較/投票 (1oo2，2oo3或更好的冗余)	d.2.4.5	高	只有當(dāng)數(shù)據(jù)流在診斷測(cè)試間隔內(nèi)發(fā)生變化時(shí)
傳感器有效范圍	d.2.8.1	低	檢測(cè)短路接地或電源和一些開路
傳感器相關(guān)性	d.2.8.2	高	探測(cè)范圍失效
傳感器合理性檢查	d.2.8.3	中等	—

表D.10-執(zhí)行器

安全機(jī)制/措施	見技術(shù)概述	典型的診斷覆蓋被認(rèn)為是可以實(shí)現(xiàn)的	注釋
失效檢測(cè)在線監(jiān)測(cè)	d.2.1.1	低	取決于失效檢測(cè)的診斷覆蓋率
測(cè)試模式	d.2.4.1	高	—
監(jiān)測(cè)(即：一致性控制)	d.2.9.1	高	取決于失效檢測(cè)的診斷覆蓋率

聲明：本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問題，請(qǐng)聯(lián)系本站處理。舉報(bào)投訴