診斷覆蓋率的評估

D.1概述

本附件擬采用：

a.對診斷范圍的評估，以產生以下理由：

?硬件架構度量的評估定義的單點失效和潛在失效度量；

?遵守評估安全目標違反，因為隨機硬件失效，評估隨機硬件失效導致的安全目標違規所定義；

b.準則，以選擇適當的安全機制，在E/E中實施用于檢測元素失效的架構。

圖D.1顯示了嵌入式系統的通用硬件。本系統硬件元件的典型失效模式見表D.1。最左邊列中列出的每個元素都與元素右邊列中捕獲的一個或多個失效模式相關聯。清單不要求詳盡，可以根據其他已知的失效模式或根據應用程序進行調整。

每一行都引用與這些元件失效相關的安全機制的其他細節(表D.2至D.10)。根據這些典型的安全機制對給定元素的有效性進行分類，它們能夠覆蓋列出的失效模式，以實現元素的低、中或高診斷覆蓋率。這些低、中、高診斷覆蓋率排名分別對應于60%、90%或99%的典型覆蓋率水平。

失效模式的分配及其相應的安全機制可能有所不同

列于表D.1，取決于：

1)診斷檢測到的失效模式源的變化；

2)安全機制的有效性；

3)安全機制的具體實施；

4)安全機制的執行時機（周期性）；

5)系統中實現的硬件技術；

6)基于系統硬件的失效模式的概率；和

7)更詳細地分析了失效模式及其分類為幾個子類

8)不同的失效模式覆蓋級別。

總之，表D.1提供了根據對系統要素的分析加以調整的準則。

這些準則沒有處理安全概念中可以指定的具體限制，以避免違反安全目標。這些約束，例如時間方面（診斷的周期性），在通過安全機制評估通用的典型診斷覆蓋時不被考慮。在評估項目中使用的安全機制的具體診斷覆蓋率時，將考慮它們，以避免違反安全目標。

例一種安全機制可以在本附件中具有較高的通用典型診斷覆蓋率，但如果所使用的診斷測試間隔大于符合相關容錯時間間隔所需的診斷測試間隔，則避免違反安全目標的具體診斷覆蓋率將低得多。

因此，表D.2至D.10可作為評估這些安全機制的診斷覆蓋率的起點，所稱的診斷覆蓋率有適當的理由(例如。使用故障注入方法或分析參數)。此外，給定的信息旨在幫助定義元素的失效模式；然而，相關的失效模式最終取決于使用元素的應用。

圖D.1——系統的通用硬件

表D.2至表D.10通過提供診斷測試技術指南來支持表D.1的信息。表D.1至表D.10不是詳盡無遺的，可以使用其他技術，只要有證據支持所稱的診斷范圍。如果合理，可以估計更高的診斷覆蓋率，對于簡單或復雜的元素，可高達100%。

元素	見表格	分析了失效模式
通用元素
E.E系統	D2.E/E系統	無通用的失效模式 詳細的分析是必要的
繼電器	D3—電子元素	不通電或不斷電 觸點粘連 ·
線束包括連接器	開路 接觸電阻 短路到地(d.c.coupled) 短路到電源 相鄰引腳短路 引腳間阻抗漂移
傳感器包括信號開磁	D9.傳感器	詳細的分析是必要的典型失效模式包括: —超范圍 —偏移 —卡滯 —震蕩
最終元素(打執行器,燈,蜂鳴器,屏幕…)	D.10.執行器	無通用的失效模式 詳細的分析是必要的
電源	D.7電源	漂移和震蕩 欠壓和過壓 電火花
注1相關的失效模式和失效模型是逐案識別的，通常取決于所使用的技術和實現。有關半導體失效模型的詳細信息，請參閱ISO26262-11：2018，4.3.1。 如果一個元素的失效模式x、y和z的失效模式分布為X、Y、Z，則有效診斷覆蓋率計算如下： KDC=X×KFMC，x+Y×KFMC，y+Z×KFMC，z 式中 KDC是硬件元素的診斷覆蓋率； X：是失效模式x的失效模式分布；其中KFMC，x是失效模式x的失效模式覆蓋； Y：是失效模式y的失效模式分布；KFMC，y是失效模式y的失效模式覆蓋；. Z：是失效模式z的失效模式分布；KFMC，z是失效模式z的失效模式覆蓋；X+Y+Z=100% 注2半導體，有關失效模型、失效模式和相關分布之間的關系的詳細信息，請參閱ISO26262-11：2018，4.3。

注1相關的失效模式和失效模型是逐案識別的，通常取決于所使用的技術和實現。有關半導體失效模型的詳細信息，請參閱ISO26262-11：2018，4.3.1。

如果一個元素的失效模式x、y和z的失效模式分布為X、Y、Z，則有效診斷覆蓋率計算如下：

KDC=X×KFMC，x+Y×KFMC，y+Z，KFMC，z

式中

KDC是硬件元素的診斷覆蓋率；

X：是失效模式x的失效模式分布；KFMC，x是失效模式x的失效模式覆蓋；

Y：是失效模式y的失效模式分布；KFMC，y是失效模式y的失效模式覆蓋；

Z：是失效模式z的失效模式分布；KFMC，z是失效模式z的失效模式覆蓋；X+Y+Z=100%

注2：半導體，有關失效模型、失效模式和相關分布之間的關系的詳細信息，請參閱ISO26262-11：2018，4.3。

表D.1（續）

元素	見表格	分析了失效模式
時鐘	D.8-方案 序列監測/鎖定	不正確的頻率抖動 另見ISO26262-11：2018，5.2
非易失性存儲器	ISO26262-11：2018， 表32	見ISO26262-11：2018，5.1，表29
易失性存儲器	ISO26262-11：2018， 表33	見ISO26262-11：2018，5.1，表29
數字I/O	D.5-模擬和數字I/O	不正確的I/O 另見ISO26262-11：2018，5.1，表30
模擬I/O	不正確的I/O 另見ISO26262-11：2018，5.2，表36
處理單元	D.4-處理單位/D.8-方案順序監測/鎖定	輸出不正確 另見ISO26262-11：2018，5.1，表30
注1：相關的失效模式和失效模型是逐案識別的，通常取決于所使用的技術和實現。有關半導體失效模型的詳細信息，請參閱ISO26262-11：2018，4.3.1。 如果一個元素的失效模式x、y和z的失效模式分布為X、Y、Z，則有效診斷覆蓋率計算如下： KDC=X×KFMC，x+Y×KFMC，y+Z×KFMC，z 式中 KDC是硬件元素的診斷覆蓋率； X：是失效模式x的失效模式分布；其中KFMC，x是失效模式x的失效模式覆蓋； Y：是失效模式y的失效模式分布；KFMC，y是失效模式y的失效模式覆蓋；. Z：是失效模式z的失效模式分布；KFMC，z是失效模式z的失效模式覆蓋；X+Y+Z=100% 注2半導體，有關失效模型、失效模式和相關分布之間的關系的詳細信息，請參閱ISO26262-11：2018，4.3。

表D.1（續）

元素	見表格	分析了失效模式
通訊
數據傳輸(用ISO26262-6：2018，D.2.4進行分析)	D.6-通信總線（串行、并行）	通信丟失同步消息 損壞消息 不可接受延遲消息 消息丟失 不正確的消息重復 不正確的消息排序 信息插入 偽裝信息 信息地址不正確
注1相關的失效模式和失效模型是逐案識別的，通常取決于所使用的技術和實現。有關半導體失效模型的詳細信息，請參閱ISO26262-11：2018，4.3.1。 如果一個元素的失效模式x、y和z的失效模式分布為X、Y、Z，則有效診斷覆蓋率計算如下： KDC=X×KFMC，x+Y×KFMC，y+Z，KFMC，z 式中 KDC是硬件元素的診斷覆蓋率； X：是失效模式x的失效模式分布；其中KFMC，x是失效模式x的失效模式覆蓋； Y：是失效模式y的失效模式分布；KFMC，y是失效模式y的失效模式覆蓋；. Z：是失效模式z的失效模式分布；KFMC，z是失效模式z的失效模式覆蓋；X+Y+Z=100% 注2半導體，有關失效模型、失效模式和相關分布之間的關系的詳細信息，請參閱ISO26262-11：2018，4.3。

表D.2-E/E系統

安全機制/措施	見技術概覽	典型的診斷覆蓋被認為是可以實現的	注釋
失效檢測通過在線監測	d.2.1.1	低	取決于失效檢測的診斷覆蓋率
比較器	d.2.1.2	高	取決于比較的質量
多數投票器	d.2.1.3	高	取決于投票的質量
動態原理	d.2.2.1	中等	取決于失效檢測的診斷覆蓋率
模擬監測數字信號.	d.2.2.2	低	—
兩個獨立單元之間通過軟件交叉交換進行自檢	d.2.3.3	中等	取決于自檢質量.

表D.3-電氣元件

安全機制/措施	見技術概述	典型的診斷覆蓋被認為是可以實現的	注釋
通過在線監測進行失效檢測.	d.2.1.1	高	取決于失效檢測的診斷覆蓋率
注：本表僅涉及專用于電氣元件的安全機制。一般技術，如基于數據比較的技術(見D.2.41.2)也能夠檢測電氣元件的失效，但沒有集成在本表中(已包括在表D.2-E/E系統中)。

注：下表涉及主要應用于系統級別組件的安全機制。關于可以集成在組件中的安全機制的更多細節在ISO26262-11：2018中描述：

?5.1數字組件；

?5.2模擬和混合信號元件；

?5.3可編程邏輯器件；

?5.4多核組件；和

?5.5傳感器和傳感器。

表D.4-處理單元

安全機制/措施	見技術概述	典型的診斷覆蓋被認為是可以實現的	注釋
軟件自測：模式數量有限（一個通道）.	d.2.3.1	中等	取決于自檢質量.
兩個獨立單元之間通過軟件交叉交換進行自檢	d.2.3.3	中等	取決于自檢質量.
硬件（一通道）支持的自檢.	d.2.3.2	中等	取決于自檢質量.
軟件多元化冗余（一個硬件通道）.	d.2.3.4	高	取決于多樣化的質量。共模式失效可以減少診斷覆蓋率.
用軟件進行相互比較	d.2.3.5	高	取決于比較的質量
HW冗余(例如雙核鎖步，非對稱冗余，編碼處理)	d.2.3.6	高	這取決于冗余的質量。共模式失效可以減少診斷覆蓋率.
配置寄存器測試	d.2.3.7	高	只有配置寄存器
上溢/下溢檢測	d.2.3.8	低	僅堆棧邊界測試
集成硬件一致性監控.	d.2.3.9	高	僅涵蓋非法硬件例外
注：本表僅涉及專用于處理單元的安全機制。一般技術，如基于數據比較的技術(見D.2.41.2)也能夠檢測電氣元件的失效，但沒有集成在本表中(已包括在表D.2-E/E系統中)。

表D.5-模擬和數字I/O

安全機制/措施	見技術概述	典型的診斷覆蓋被認為是可以實現的	注釋
通過在線監測(數字I/O)a進行失效檢測.	d.2.1.1	低	取決于失效檢測的診斷覆蓋率
測試樣式	d.2.4.1	高	取決于模式的類型
數字I/O的代碼保護	d.2.4.2	中等	取決于編碼的類型
多通道并行輸出.	d.2.4.3	高	—
監測的輸出	d.2.4.4	高	只有當數據流在診斷測試間隔內發生變化時
輸入比較/投票(1oo2，2oo3或更好的冗余)	d.2.4.5	高	只有當數據流在診斷測試間隔內發生變化時
a	數字I/O可以是周期性的。

表D.6-通信總線（串行、并行）

安全機制/措施	見技術概覽	典型的診斷覆蓋被認為是可以實現的	注釋
一位硬件冗余	D2.5.1	低	—
多位硬件冗余	D.2.5.2	中	—
發送信息回讀	D25.9	中	—
全硬件冗余	D.2.5.3	高	Commonmodefailurescanreducediagnosticcoverage
測試樣式檢查	D.2.5.4	高	—
傳輸冗余	D.2.5.5	中	取決于冗余的類型。僅對瞬態故障有效
信息冗余	D.2.5.6	中	取決于冗余的類型
幀計數	D.2.5.7	中	—
超時監控	D.2.5.8	中	—
信息冗余,幀計數和超時監控相組合	D25.6,D.257andD.2.5.8	高	對于沒有硬件冗余或測試模式的系統，高覆蓋率可以歸因于這些機制的組合

表D.7-電源

安全機制/措施	見技術概述	典型的診斷覆蓋被認為是可以實現的	注釋
電壓或電流控制（輸入）.	d.2.6.1	低	—
電壓或電流控制（輸出）.	d.2.6.2	高	—

表D.8-程序順序監測/鎖定

安全機制/措施	見技術概述	典型的診斷覆蓋被認為是可以實現的	注釋
帶獨立時間基準的看門狗，沒有時間窗口	d.2.7.1	低	—
帶獨立時間基準和時間窗口的看門狗	d.2.7.2	中等	取決于時間窗口的時間限制
程序順序的邏輯監測.	d.2.7.3	中等	只有在外部時間事件影響邏輯程序流時鐘失效時才有效。為內部硬件失效（如中斷頻率錯誤）提供覆蓋，這些失效可能導致軟件運行不符合順序.
程序順序的時間和邏輯監測相結合	d.2.7.4	高	—
			為內部硬件失效提供覆蓋
程序序列的時間和邏輯監測與時間依賴的結合	d.2.7.5	高	導致軟件沒有順序。 當采用非對稱設計實現時，提供關于主設備和監視設備之間通信順序的覆蓋
			注方法的設計，以考慮執行抖動從中斷，CPU加載等。

表D.9-傳感器

安全機制/措施	見技術概述	典型的診斷覆蓋被認為是可以實現的	注釋
失效檢測 在線監測	d.2.1.1	低	取決于失效檢測的診斷覆蓋率
測試模式	d.2.4.1	高	—
輸入比較/投票 (1oo2，2oo3或更好的冗余)	d.2.4.5	高	只有當數據流在診斷測試間隔內發生變化時
傳感器有效范圍	d.2.8.1	低	檢測短路接地或電源和一些開路
傳感器相關性	d.2.8.2	高	探測范圍失效
傳感器合理性檢查	d.2.8.3	中等	—

表D.10-執行器

安全機制/措施	見技術概述	典型的診斷覆蓋被認為是可以實現的	注釋
失效檢測在線監測	d.2.1.1	低	取決于失效檢測的診斷覆蓋率
測試模式	d.2.4.1	高	—
監測(即：一致性控制)	d.2.9.1	高	取決于失效檢測的診斷覆蓋率