8.2.殘余故障率的示例和局部單點(diǎn)故障度量評(píng)估.

8.2.1.總則

此示例演示了一種評(píng)估殘余故障率λRF、傳感器、單點(diǎn)故障率λSPF和單點(diǎn)故障度量MSPFM的本地化版本的方法，傳感器的傳感器。在本例中，將傳感器與另一個(gè)傳感器的值進(jìn)行比較，其中兩個(gè)傳感器測(cè)量相同的物理量并具有已知的公差。傳感器的值，A_Master，由應(yīng)用程序的一個(gè)特性使用。A_Checker，其他傳感器的值僅用于驗(yàn)證傳感器A_Master的值。

這種監(jiān)控在ISO26262-5：2018附件D中引用，作為“傳感器合理性檢查”或“輸入比較/投票”。

在這個(gè)示例中，只對(duì)傳感器A_Master的故障進(jìn)行了分類(lèi)和評(píng)估。傳感器A_檢查器的故障在這里沒(méi)有解決。

由于傳感器A_Master有一個(gè)安全機(jī)制定義，所有殘余的故障，有可能違反安全目標(biāo)，而不受控制(即。違反安全目標(biāo)的行為沒(méi)有得到防止)被歸類(lèi)為殘余故障。單點(diǎn)故障率λSPF為（每定義）等于零。

8.2.2.傳感器A_Master的技術(shù)安全需求.

傳感器A_Master安全操作的邊界如圖11所示，并被認(rèn)為是在這個(gè)示例中給出的(即。從安全目標(biāo)的推導(dǎo)在這里沒(méi)有討論)。可以用下列術(shù)語(yǔ)表示：

即：

μSafRel,A,min=Max[CPVSG;v×(1+a)]

式中：

CPVSG：是一個(gè)常量；

μSafRel，A，min是傳感器A_Master的安全相關(guān)下界；

v：是要測(cè)量的物理值；

a：是一個(gè)常數(shù)。

當(dāng)傳感器發(fā)生安全相關(guān)的故障時(shí)

mA,Master≥μSafRel,A,min

其中mA，Master是傳感器A_Master報(bào)告的值。

安全需求是在TSENA的最大故障處理時(shí)間間隔內(nèi)檢測(cè)和控制傳感器A_Master的安全相關(guān)故障。

說(shuō)明：

1，安全相關(guān)的下界μSafRel，A，傳感器A_Master的最小值

2.具有零容忍的理想傳感器的返回值（作為參考）

3.有可能違反安全目標(biāo)的故障

圖11-傳感器A_Master安全操作的邊界

在圖11中，x軸是要測(cè)量的實(shí)際物理值v，y軸是由傳感器A_Master報(bào)告的值mA，Master。虛線顯示理想傳感器的返回值(即。具有零公差的傳感器)作為參考。實(shí)線顯示μSafRel，A，min。如果傳感器A_Master報(bào)告的值mA，Master是在或以上的實(shí)線，違反安全目標(biāo)可能發(fā)生。

8.2.3.安全機(jī)制的描述

要素的安全機(jī)制是傳感器A_Checker和由帶有嵌入式軟件的微控制器組成的監(jiān)控硬件。該軟件定期比較兩個(gè)傳感器的值，周期小于最大故障檢測(cè)時(shí)間間隔TSENA。評(píng)估由以下偽代碼完成：

ΔA=mA,Master–mA,Checker

如果ΔA≥ΔMax那么失效是正確的

如果故障為真，則切換到安全狀態(tài)

式中：

mA,Master：是傳感器A_Master報(bào)告的值；

mA,Checker：是傳感器A_Checker報(bào)告的值；

ΔMax：是一個(gè)預(yù)定義的常數(shù)最大閾值，用作通過(guò)/不通過(guò)準(zhǔn)則。

假定傳感器具有以下已知公差：

mA,Master=v±cA,Master

mA,Checker=v±cA,Checker

式中：

mA,Master：是傳感器A_Master報(bào)告的值；

mA,Checker：傳感器A_Checker報(bào)告的值；

cA,Master：是表示傳感器A_Master公差的常數(shù)；

cA,Checker：是表示傳感器A_Checker公差的常數(shù)；

v：是要測(cè)量的物理值。

選擇值ΔMax，以便檢測(cè)可能違反安全目標(biāo)的傳感器A_Master的故障。為了防止錯(cuò)誤的失效檢測(cè)，選擇ΔMax是考慮每個(gè)傳感器的公差和其他公差總結(jié)在cA，其他例如。不同時(shí)間取樣的影響：

ΔMax≥cA,Master+cA,Checker+cA,other

使用這種方法，不可探測(cè)的失效最壞的情況是：

μA,Master,wc=mA,Checker+ΔMax

=v+cA,Checker+ΔMax

式中：

μA,Master,wc：是最壞的情況檢測(cè)閾值。mA,Master傳感器未被檢測(cè)為故障的A_Master；

mA,Checker：是傳感器A_Checker報(bào)告的值；

ΔMax：是一個(gè)預(yù)定義的常數(shù)最大閾值，用作通過(guò)/不通過(guò)準(zhǔn)則；

v：是要測(cè)量的物理值。

每個(gè)值mA，Master等于或高于μA，Master，WC被歸類(lèi)為傳感器故障。

根據(jù)公差值，不同的檢測(cè)場(chǎng)景是可能的。有兩個(gè)示例如圖12和圖13所示。

說(shuō)明：

1，安全相關(guān)的下界μSafRel，A，MI的傳感器A_Master

2，具有零容忍的理想傳感器的返回值（作為參考）

3，最壞情況檢測(cè)閾值μA，Master，WC

4，可探測(cè)的雙點(diǎn)故障

5，檢測(cè)到的故障沒(méi)有可能違反安全目標(biāo)

6，殘余故障

圖12-最壞情況檢測(cè)閾值（太高）的示例1

圖12中的箭頭表示三個(gè)區(qū)域。

區(qū)域5-“檢測(cè)到的故障沒(méi)有可能違反安全目標(biāo)”是安全機(jī)制檢測(cè)到的故障，因?yàn)樗鼈兏哂谧顗那闆r檢測(cè)閾值μA，Master，WC，但單獨(dú)不會(huì)導(dǎo)致違反安全目標(biāo)，因?yàn)樗鼈兊陀诎踩嚓P(guān)的較低邊界μSafRel，A，min。

區(qū)域4-“可探測(cè)的雙點(diǎn)故障”是可能導(dǎo)致違反安全目標(biāo)的故障，但被安全機(jī)制檢測(cè)和減輕。它們都高于最壞情況檢測(cè)閾值μA，Master，WC和安全相關(guān)的下邊界μSafRel，A，min。這些故障的雙點(diǎn)性質(zhì)意味著它需要安全機(jī)制和傳感器的故障，以導(dǎo)致潛在的違反安全目標(biāo)。

區(qū)域6-“殘余故障”沒(méi)有被安全機(jī)制檢測(cè)到，直接導(dǎo)致違反安全目標(biāo)。區(qū)域μSafRel，A，min<μA，Master，WC表示v∈[v1，v2]低于最壞情況檢測(cè)閾值μA，Master，WC，但高于安全相關(guān)的下邊界μSafRel，A，min。

說(shuō)明：

1，安全相關(guān)的下界μSafRel，A，傳感器A_Master的最小值

2，具有零容忍的理想傳感器的返回值（作為參考）

3，最壞情況檢測(cè)閾值μA，Master，WC

4，可探測(cè)的雙點(diǎn)故障

5，檢測(cè)到的故障沒(méi)有可能違反安全目標(biāo)

圖13-最壞情況檢測(cè)閾值(MSPFM，傳感器=100%)的示例2

在圖13的情況下，最壞的情況檢測(cè)閾值μA，Master，WC總是小于安全相關(guān)的下邊界μSafRel，A，min。在這種情況下，殘余故障率為零，局部單點(diǎn)故障度量MSPFM，傳感器的傳感器等于100%。

8.2.4.圖12中描述的示例1的評(píng)估

8.2.4.1總則

在圖12的情況下，有條件時(shí)，最壞的情況檢測(cè)閾值μA，Master，WC是高于安全相關(guān)的下邊界μSafRel，A，min傳感器A_Master：

對(duì)于v∈[v1，v2]：μSafRel，A，min≤μA，Master，WC

為了確定殘余故障率λRF，傳感器和MSPFM，傳感器在這些條件下，需要進(jìn)一步的分析。以下是這一分析的一個(gè)示例。在ISO26262-5：2018中，表D.1考慮了包括信號(hào)開(kāi)關(guān)在內(nèi)的傳感器的以下故障模式：

?超出范圍；

?偏移；

?卡滯；及

?振蕩。

在這個(gè)示例中，只評(píng)估恒定值m（在范圍內(nèi)）下的卡滯。為了對(duì)傳感器和MSPFM的殘余故障率進(jìn)行完整的評(píng)估，傳感器所有其他故障模式都需要評(píng)估。

對(duì)于分析，我們區(qū)分了傳感器的三種不同的卡滯故障場(chǎng)景（見(jiàn)圖14）：

傳感器卡滯在值m>m2；

傳感器卡滯值m

傳感器卡在M1和M2之間的值m。

說(shuō)明：

1,安全相關(guān)的下界μSafRel，A，傳感器A_Master的最小值

2,具有零容忍的理想傳感器的返回值（作為參考）

3,最壞情況檢測(cè)閾值μA，Master，WC

圖14-卡滯故障場(chǎng)景

傳感器在系統(tǒng)水平上的卡滯在故障的影響取決于當(dāng)前的物理值v，例如。卡滯的m2故障有可能違反物理值v≤v2的安全目標(biāo)。對(duì)于值v>v2，此故障不具有違反安全目標(biāo)的潛力。在接下來(lái)的分析中，考慮檢測(cè)閾值以及物理值v及其概率分布，對(duì)故障作為殘余故障的概率pRF進(jìn)行了評(píng)估。

8.2.4.2示例1：傳感器卡滯在值m>m2故障.

如果v≤v2，則該故障有可能違反安全目標(biāo)（見(jiàn)圖15）。然而，傳感器偏差總是高于最壞情況檢測(cè)閾值μAMaster，WC，因此及時(shí)檢測(cè)和控制安全相關(guān)的傳感器故障。每個(gè)故障都是檢測(cè)到的雙點(diǎn)故障。在v≤v2的情況下，殘余故障的概率pRF為零。如果v>v2，則故障并不總是有可能違反安全目標(biāo)（參見(jiàn)圖16）。如果故障有可能違反安全目標(biāo)（圖16，區(qū)域6），它將超過(guò)最壞的情況檢測(cè)閾值，并及時(shí)檢測(cè)。圖16區(qū)域4和5的故障不能導(dǎo)致違反安全目標(biāo)。

其中一些故障位于最壞情況檢測(cè)閾值之上，并被檢測(cè)到（圖16，區(qū)域4）。在v>v2的情況下，殘余故障的概率pRF為零。

如果v≤v2,卡滯在m>m2的故障具有違背安全目標(biāo)的潛在可能,因而它們不能被視為安全故障。因所有的故障在其導(dǎo)致違背安全目標(biāo)前,都得到了探測(cè)和控制,它們是可探測(cè)的雙點(diǎn)故障；因此，對(duì)于卡滯的m>m2故障，殘余故障的概率pRF_stuck@m2為零。

說(shuō)明：

1，安全相關(guān)的下界μSafRel，A，傳感器A_Master的最小值

2，具有零容忍的理想傳感器的返回值（作為參考）

3，最壞情況檢測(cè)閾值μA，Master，WC

4，可探測(cè)的雙點(diǎn)故障

圖15-卡滯在的故障分類(lèi)-在m>m2故障，與v≤v2

說(shuō)明：

1，安全相關(guān)的下界μSafRel，A，傳感器A_Master的最小值

2，具有零容忍的理想傳感器的返回值（作為參考）

3，最壞情況檢測(cè)閾值μA，Master，WC

4，檢測(cè)到的故障沒(méi)有可能違反安全目標(biāo)

5，沒(méi)有檢測(cè)到?jīng)]有違反安全目標(biāo)的潛在故障

6，可探測(cè)的雙點(diǎn)故障

圖16-卡滯的故障分類(lèi)-在m>m2故障，與v>v2

8.2.4.3示例2：傳感器卡滯在值m

圖17顯示了m

說(shuō)明：

1，安全相關(guān)的下界μSafRel，A，傳感器A_Master的最小值

2，具有零容忍的理想傳感器的返回值（作為參考）

3，最壞情況檢測(cè)閾值μA，Master，WC

4，不可探測(cè)的安全故障

5，安全故障，檢測(cè)到

圖17-卡滯在的故障分類(lèi)-在m

8.2.4.4示例3：傳感器卡滯在值m∈[m1，m2]故障

違反安全目標(biāo)的可能性和檢測(cè)m∈的卡滯在故障[m1，m2]取決于當(dāng)前的物理值v（見(jiàn)圖18）。違反安全目標(biāo)的風(fēng)險(xiǎn)取決于故障發(fā)生時(shí)v的當(dāng)前值。在故障發(fā)生時(shí)，對(duì)v的三個(gè)不同間隔進(jìn)行了評(píng)估，pRF_stuck@m∈[m1，m2]

?v

?v1≤v≤v2；及

?v>v2。

對(duì)于這些條件中的每一個(gè)，分別評(píng)估殘余故障的概率。殘余故障的最終概率是這三種概率的期望值：

說(shuō)明：

1，安全相關(guān)的下界μSafRel，A，傳感器A_Master的最小值

2，具有零容忍的理想傳感器的返回值（作為參考）

3，最壞情況檢測(cè)閾值μA，Master，WC

4，可探測(cè)的雙點(diǎn)故障

5，不違反安全目標(biāo)但仍不可探測(cè)的故障

6，殘余故障

圖18-在m∈[m1，m2]故障下的故障分類(lèi)

根據(jù)v的電流值，故障可以檢測(cè)到雙點(diǎn)故障（區(qū)域4)、殘余故障(區(qū)域6)或不具有違反安全目標(biāo)的潛力(區(qū)域5）。

pRF_stuck@m∈[m1，m2]=pRF_stuck@m∈[m1，m2]，v

pRF_stuck@m∈[m1，m2]，v1≤v2×pv1≤v2pRF_stuck@m∈[m1，m2]，v>v2×pv>v2

式中：

pRF_stuck@m∈[m1，m2]：卡滯在值m傳感器故障的概率，與m∈[m1，m2]，表現(xiàn)為殘余故障；

pRF_stuck@m∈[m1，m2]，當(dāng)故障發(fā)生時(shí)v

pv

pRF_stuck@m∈[m1，m2]，v1≤v2是在故障發(fā)生時(shí)，如果v1≤v2，則在m∈[m1，m2]的情況下，卡滯在值m傳感器故障表現(xiàn)為殘余故障的概率；

pv1≤v≤v2：是v1≤v2在故障發(fā)生時(shí)的概率；

pRF_stuck@m∈[m1，m2]，v>v2：當(dāng)故障發(fā)生時(shí)，如果v>v2，則具有m∈[m1，m2]的卡滯在值m傳感器故障的概率表現(xiàn)為殘余故障；

pv>v2：是v>v2在故障發(fā)生時(shí)的時(shí)間點(diǎn)的概率；

pvv2=1。

如果v

如果v>v2，則卡滯在故障不具有違反安全目標(biāo)的潛力，但未被檢測(cè)到。從那以后

值v遲早介于v1和v2之間，pRF_stuck@m∈[m1，m2]，v>v2=pRF_stuck@m∈[m1，m2]，v1≤v2。

如果v1≤v≤v2，則殘余故障的概率pRF_stuck@m∈[m1，m2]，v1≤v2不為零。

它準(zhǔn)確地確定留在殘余斷層區(qū)域的概率足夠長(zhǎng)，以導(dǎo)致潛在的違反安全目標(biāo)并不簡(jiǎn)單。它可以相關(guān)于參數(shù)，如：

?物理值v及其相應(yīng)概率分布的動(dòng)態(tài)行為，例如。溫度值更多地是靜態(tài)信號(hào)，而使用中的電動(dòng)機(jī)的角度位置更多地是動(dòng)態(tài)信號(hào)；

?值v在v∈內(nèi)的概率分布[v1，v2]；

?監(jiān)控軟件的反應(yīng)時(shí)間，例如。由于過(guò)濾時(shí)間。在示例中，具有ΔA≥ΔMax的單個(gè)事件足以檢測(cè)傳感器故障并切換到安全狀態(tài)。然而，實(shí)現(xiàn)錯(cuò)誤計(jì)數(shù)器是一種常見(jiàn)的做法，因此為了評(píng)估傳感器故障并切換到安全狀態(tài)，需要多個(gè)事件。特別是錯(cuò)誤計(jì)數(shù)器恢復(fù)，例如。一旦檢測(cè)到一個(gè)與安全無(wú)關(guān)的事件(在本示例中，這將對(duì)應(yīng)于ΔA<ΔMax)，則重置錯(cuò)誤計(jì)數(shù)器會(huì)對(duì)監(jiān)控軟件的檢測(cè)能力產(chǎn)生重大影響，從而大大降低它；以及

?測(cè)量的安全相關(guān)傳感器偏差的數(shù)量，以導(dǎo)致潛在的違反安全目標(biāo)。此外，必須在兩個(gè)測(cè)量的安全相關(guān)傳感器偏差之間的有效測(cè)量的數(shù)量，以便安全目標(biāo)不再被違反，可以引起興趣。

如果沒(méi)有每個(gè)影響參數(shù)的確切細(xì)節(jié)，則使用專(zhuān)家判斷和工程實(shí)踐是合法的(例如：使用未知概率分布的等分布)導(dǎo)出保守估計(jì)。

評(píng)估了@m>m2、pRF_stuck@m

可以計(jì)算傳感器在殘余故障下卡滯的概率pRF_stuck@m：

pRF,stuck@m=pRF,stuck@mm2′pm>m2

式中：

PM

PM1≤m2是卡滯在的概率-在m1≤m2≤m2故障；

PM>m2：是卡滯在的概率-在m>m2故障；

PM

8.2.4.5最終殘余故障率評(píng)估

如果對(duì)每個(gè)相關(guān)的故障模式FMI進(jìn)行與上述相同的評(píng)估，則可以計(jì)算傳感器故障的總體概率pRF、傳感器本身表現(xiàn)為殘余故障：

pRF,Sensor=SpFM,i′pRF,FM,i

式中：

pFM,i：是故障模式FMI的概率；

PRF,FM,i：故障模式FMI表現(xiàn)為殘余故障的概率；

這個(gè)概率，殘余故障率，λRF,Sensor，可以評(píng)估為:

λRF,Sensor=pRF,Sensor×λRF,Sensor

導(dǎo)致一個(gè)MSPFM,Sensor的Z

8.2.4.6SPFMSensor的提升

降低傳感器殘余故障率的一種有效方法是降低ΔMax的值。在下列條件下，如果不顯著增加虛假檢測(cè)，就可以減少ΔMax：

?公差的概率分布可以表明，估計(jì)的最壞情況是非常不可能的。因此，誤報(bào)的概率足夠低，因此可以接受。

?重新設(shè)計(jì)系統(tǒng)可以提高容忍值。

請(qǐng)注意，在本例中只評(píng)估傳感器故障，而不是在殘余的傳感器路徑中發(fā)生的故障。共享硬件資源的故障可能導(dǎo)致兩個(gè)傳感器的故障，或者可能偽造兩個(gè)傳感器的值，例如。對(duì)微控制器的ADC進(jìn)行了單獨(dú)的評(píng)估。此外，在ISO26262-9：2018第7條中給出的相關(guān)失效分析，已經(jīng)完成。

責(zé)任編輯：xj

原文標(biāo)題：殘余故障率的示例和局部單點(diǎn)故障度量評(píng)估ISO26262:2018-10-8.2

文章出處：【微信公眾號(hào)：汽車(chē)電子硬件設(shè)計(jì)】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。