8.2.殘余故障率的示例和局部單點故障度量評估.

8.2.1.總則

此示例演示了一種評估殘余故障率λRF、傳感器、單點故障率λSPF和單點故障度量MSPFM的本地化版本的方法，傳感器的傳感器。在本例中，將傳感器與另一個傳感器的值進行比較，其中兩個傳感器測量相同的物理量并具有已知的公差。傳感器的值，A_Master，由應用程序的一個特性使用。A_Checker，其他傳感器的值僅用于驗證傳感器A_Master的值。

這種監控在ISO26262-5：2018附件D中引用，作為“傳感器合理性檢查”或“輸入比較/投票”。

在這個示例中，只對傳感器A_Master的故障進行了分類和評估。傳感器A_檢查器的故障在這里沒有解決。

由于傳感器A_Master有一個安全機制定義，所有殘余的故障，有可能違反安全目標，而不受控制(即。違反安全目標的行為沒有得到防止)被歸類為殘余故障。單點故障率λSPF為（每定義）等于零。

8.2.2.傳感器A_Master的技術安全需求.

傳感器A_Master安全操作的邊界如圖11所示，并被認為是在這個示例中給出的(即。從安全目標的推導在這里沒有討論)。可以用下列術語表示：

即：

μSafRel,A,min=Max[CPVSG;v×(1+a)]

式中：

CPVSG：是一個常量；

μSafRel，A，min是傳感器A_Master的安全相關下界；

v：是要測量的物理值；

a：是一個常數。

當傳感器發生安全相關的故障時

mA,Master≥μSafRel,A,min

其中mA，Master是傳感器A_Master報告的值。

安全需求是在TSENA的最大故障處理時間間隔內檢測和控制傳感器A_Master的安全相關故障。

說明：

1，安全相關的下界μSafRel，A，傳感器A_Master的最小值

2.具有零容忍的理想傳感器的返回值（作為參考）

3.有可能違反安全目標的故障

圖11-傳感器A_Master安全操作的邊界

在圖11中，x軸是要測量的實際物理值v，y軸是由傳感器A_Master報告的值mA，Master。虛線顯示理想傳感器的返回值(即。具有零公差的傳感器)作為參考。實線顯示μSafRel，A，min。如果傳感器A_Master報告的值mA，Master是在或以上的實線，違反安全目標可能發生。

8.2.3.安全機制的描述

要素的安全機制是傳感器A_Checker和由帶有嵌入式軟件的微控制器組成的監控硬件。該軟件定期比較兩個傳感器的值，周期小于最大故障檢測時間間隔TSENA。評估由以下偽代碼完成：

ΔA=mA,Master–mA,Checker

如果ΔA≥ΔMax那么失效是正確的

如果故障為真，則切換到安全狀態

式中：

mA,Master：是傳感器A_Master報告的值；

mA,Checker：是傳感器A_Checker報告的值；

ΔMax：是一個預定義的常數最大閾值，用作通過/不通過準則。

假定傳感器具有以下已知公差：

mA,Master=v±cA,Master

mA,Checker=v±cA,Checker

式中：

mA,Master：是傳感器A_Master報告的值；

mA,Checker：傳感器A_Checker報告的值；

cA,Master：是表示傳感器A_Master公差的常數；

cA,Checker：是表示傳感器A_Checker公差的常數；

v：是要測量的物理值。

選擇值ΔMax，以便檢測可能違反安全目標的傳感器A_Master的故障。為了防止錯誤的失效檢測，選擇ΔMax是考慮每個傳感器的公差和其他公差總結在cA，其他例如。不同時間取樣的影響：

ΔMax≥cA,Master+cA,Checker+cA,other

使用這種方法，不可探測的失效最壞的情況是：

μA,Master,wc=mA,Checker+ΔMax

=v+cA,Checker+ΔMax

式中：

μA,Master,wc：是最壞的情況檢測閾值。mA,Master傳感器未被檢測為故障的A_Master；

mA,Checker：是傳感器A_Checker報告的值；

ΔMax：是一個預定義的常數最大閾值，用作通過/不通過準則；

v：是要測量的物理值。

每個值mA，Master等于或高于μA，Master，WC被歸類為傳感器故障。

根據公差值，不同的檢測場景是可能的。有兩個示例如圖12和圖13所示。

說明：

1，安全相關的下界μSafRel，A，MI的傳感器A_Master

2，具有零容忍的理想傳感器的返回值（作為參考）

3，最壞情況檢測閾值μA，Master，WC

4，可探測的雙點故障

5，檢測到的故障沒有可能違反安全目標

6，殘余故障

圖12-最壞情況檢測閾值（太高）的示例1

圖12中的箭頭表示三個區域。

區域5-“檢測到的故障沒有可能違反安全目標”是安全機制檢測到的故障，因為它們高于最壞情況檢測閾值μA，Master，WC，但單獨不會導致違反安全目標，因為它們低于安全相關的較低邊界μSafRel，A，min。

區域4-“可探測的雙點故障”是可能導致違反安全目標的故障，但被安全機制檢測和減輕。它們都高于最壞情況檢測閾值μA，Master，WC和安全相關的下邊界μSafRel，A，min。這些故障的雙點性質意味著它需要安全機制和傳感器的故障，以導致潛在的違反安全目標。

區域6-“殘余故障”沒有被安全機制檢測到，直接導致違反安全目標。區域μSafRel，A，min<μA，Master，WC表示v∈[v1，v2]低于最壞情況檢測閾值μA，Master，WC，但高于安全相關的下邊界μSafRel，A，min。

說明：

1，安全相關的下界μSafRel，A，傳感器A_Master的最小值

2，具有零容忍的理想傳感器的返回值（作為參考）

3，最壞情況檢測閾值μA，Master，WC

4，可探測的雙點故障

5，檢測到的故障沒有可能違反安全目標

圖13-最壞情況檢測閾值(MSPFM，傳感器=100%)的示例2

在圖13的情況下，最壞的情況檢測閾值μA，Master，WC總是小于安全相關的下邊界μSafRel，A，min。在這種情況下，殘余故障率為零，局部單點故障度量MSPFM，傳感器的傳感器等于100%。

8.2.4.圖12中描述的示例1的評估

8.2.4.1總則

在圖12的情況下，有條件時，最壞的情況檢測閾值μA，Master，WC是高于安全相關的下邊界μSafRel，A，min傳感器A_Master：

對于v∈[v1，v2]：μSafRel，A，min≤μA，Master，WC

為了確定殘余故障率λRF，傳感器和MSPFM，傳感器在這些條件下，需要進一步的分析。以下是這一分析的一個示例。在ISO26262-5：2018中，表D.1考慮了包括信號開關在內的傳感器的以下故障模式：

?超出范圍；

?偏移；

?卡滯；及

?振蕩。

在這個示例中，只評估恒定值m（在范圍內）下的卡滯。為了對傳感器和MSPFM的殘余故障率進行完整的評估，傳感器所有其他故障模式都需要評估。

對于分析，我們區分了傳感器的三種不同的卡滯故障場景（見圖14）：

傳感器卡滯在值m>m2；

傳感器卡滯值m

傳感器卡在M1和M2之間的值m。

說明：

1,安全相關的下界μSafRel，A，傳感器A_Master的最小值

2,具有零容忍的理想傳感器的返回值（作為參考）

3,最壞情況檢測閾值μA，Master，WC

圖14-卡滯故障場景

傳感器在系統水平上的卡滯在故障的影響取決于當前的物理值v，例如。卡滯的m2故障有可能違反物理值v≤v2的安全目標。對于值v>v2，此故障不具有違反安全目標的潛力。在接下來的分析中，考慮檢測閾值以及物理值v及其概率分布，對故障作為殘余故障的概率pRF進行了評估。

8.2.4.2示例1：傳感器卡滯在值m>m2故障.

如果v≤v2，則該故障有可能違反安全目標（見圖15）。然而，傳感器偏差總是高于最壞情況檢測閾值μAMaster，WC，因此及時檢測和控制安全相關的傳感器故障。每個故障都是檢測到的雙點故障。在v≤v2的情況下，殘余故障的概率pRF為零。如果v>v2，則故障并不總是有可能違反安全目標（參見圖16）。如果故障有可能違反安全目標（圖16，區域6），它將超過最壞的情況檢測閾值，并及時檢測。圖16區域4和5的故障不能導致違反安全目標。

其中一些故障位于最壞情況檢測閾值之上，并被檢測到（圖16，區域4）。在v>v2的情況下，殘余故障的概率pRF為零。

如果v≤v2,卡滯在m>m2的故障具有違背安全目標的潛在可能,因而它們不能被視為安全故障。因所有的故障在其導致違背安全目標前,都得到了探測和控制,它們是可探測的雙點故障；因此，對于卡滯的m>m2故障，殘余故障的概率pRF_stuck@m2為零。

說明：

1，安全相關的下界μSafRel，A，傳感器A_Master的最小值

2，具有零容忍的理想傳感器的返回值（作為參考）

3，最壞情況檢測閾值μA，Master，WC

4，可探測的雙點故障

圖15-卡滯在的故障分類-在m>m2故障，與v≤v2

說明：

1，安全相關的下界μSafRel，A，傳感器A_Master的最小值

2，具有零容忍的理想傳感器的返回值（作為參考）

3，最壞情況檢測閾值μA，Master，WC

4，檢測到的故障沒有可能違反安全目標

5，沒有檢測到沒有違反安全目標的潛在故障

6，可探測的雙點故障

圖16-卡滯的故障分類-在m>m2故障，與v>v2

8.2.4.3示例2：傳感器卡滯在值m

圖17顯示了m

說明：

1，安全相關的下界μSafRel，A，傳感器A_Master的最小值

2，具有零容忍的理想傳感器的返回值（作為參考）

3，最壞情況檢測閾值μA，Master，WC

4，不可探測的安全故障

5，安全故障，檢測到

圖17-卡滯在的故障分類-在m

8.2.4.4示例3：傳感器卡滯在值m∈[m1，m2]故障

違反安全目標的可能性和檢測m∈的卡滯在故障[m1，m2]取決于當前的物理值v（見圖18）。違反安全目標的風險取決于故障發生時v的當前值。在故障發生時，對v的三個不同間隔進行了評估，pRF_stuck@m∈[m1，m2]

?v

?v1≤v≤v2；及

?v>v2。

對于這些條件中的每一個，分別評估殘余故障的概率。殘余故障的最終概率是這三種概率的期望值：

說明：

1，安全相關的下界μSafRel，A，傳感器A_Master的最小值

2，具有零容忍的理想傳感器的返回值（作為參考）

3，最壞情況檢測閾值μA，Master，WC

4，可探測的雙點故障

5，不違反安全目標但仍不可探測的故障

6，殘余故障

圖18-在m∈[m1，m2]故障下的故障分類

根據v的電流值，故障可以檢測到雙點故障（區域4)、殘余故障(區域6)或不具有違反安全目標的潛力(區域5）。

pRF_stuck@m∈[m1，m2]=pRF_stuck@m∈[m1，m2]，v

pRF_stuck@m∈[m1，m2]，v1≤v2×pv1≤v2pRF_stuck@m∈[m1，m2]，v>v2×pv>v2

式中：

pRF_stuck@m∈[m1，m2]：卡滯在值m傳感器故障的概率，與m∈[m1，m2]，表現為殘余故障；

pRF_stuck@m∈[m1，m2]，當故障發生時v

pv

pRF_stuck@m∈[m1，m2]，v1≤v2是在故障發生時，如果v1≤v2，則在m∈[m1，m2]的情況下，卡滯在值m傳感器故障表現為殘余故障的概率；

pv1≤v≤v2：是v1≤v2在故障發生時的概率；

pRF_stuck@m∈[m1，m2]，v>v2：當故障發生時，如果v>v2，則具有m∈[m1，m2]的卡滯在值m傳感器故障的概率表現為殘余故障；

pv>v2：是v>v2在故障發生時的時間點的概率；

pvv2=1。

如果v

如果v>v2，則卡滯在故障不具有違反安全目標的潛力，但未被檢測到。從那以后

值v遲早介于v1和v2之間，pRF_stuck@m∈[m1，m2]，v>v2=pRF_stuck@m∈[m1，m2]，v1≤v2。

如果v1≤v≤v2，則殘余故障的概率pRF_stuck@m∈[m1，m2]，v1≤v2不為零。

它準確地確定留在殘余斷層區域的概率足夠長，以導致潛在的違反安全目標并不簡單。它可以相關于參數，如：

?物理值v及其相應概率分布的動態行為，例如。溫度值更多地是靜態信號，而使用中的電動機的角度位置更多地是動態信號；

?值v在v∈內的概率分布[v1，v2]；

?監控軟件的反應時間，例如。由于過濾時間。在示例中，具有ΔA≥ΔMax的單個事件足以檢測傳感器故障并切換到安全狀態。然而，實現錯誤計數器是一種常見的做法，因此為了評估傳感器故障并切換到安全狀態，需要多個事件。特別是錯誤計數器恢復，例如。一旦檢測到一個與安全無關的事件(在本示例中，這將對應于ΔA<ΔMax)，則重置錯誤計數器會對監控軟件的檢測能力產生重大影響，從而大大降低它；以及

?測量的安全相關傳感器偏差的數量，以導致潛在的違反安全目標。此外，必須在兩個測量的安全相關傳感器偏差之間的有效測量的數量，以便安全目標不再被違反，可以引起興趣。

如果沒有每個影響參數的確切細節，則使用專家判斷和工程實踐是合法的(例如：使用未知概率分布的等分布)導出保守估計。

評估了@m>m2、pRF_stuck@m

可以計算傳感器在殘余故障下卡滯的概率pRF_stuck@m：

pRF,stuck@m=pRF,stuck@mm2′pm>m2

式中：

PM

PM1≤m2是卡滯在的概率-在m1≤m2≤m2故障；

PM>m2：是卡滯在的概率-在m>m2故障；

PM

8.2.4.5最終殘余故障率評估

如果對每個相關的故障模式FMI進行與上述相同的評估，則可以計算傳感器故障的總體概率pRF、傳感器本身表現為殘余故障：

pRF,Sensor=SpFM,i′pRF,FM,i

式中：

pFM,i：是故障模式FMI的概率；

PRF,FM,i：故障模式FMI表現為殘余故障的概率；

這個概率，殘余故障率，λRF,Sensor，可以評估為:

λRF,Sensor=pRF,Sensor×λRF,Sensor

導致一個MSPFM,Sensor的Z

8.2.4.6SPFMSensor的提升

降低傳感器殘余故障率的一種有效方法是降低ΔMax的值。在下列條件下，如果不顯著增加虛假檢測，就可以減少ΔMax：

?公差的概率分布可以表明，估計的最壞情況是非常不可能的。因此，誤報的概率足夠低，因此可以接受。

?重新設計系統可以提高容忍值。

請注意，在本例中只評估傳感器故障，而不是在殘余的傳感器路徑中發生的故障。共享硬件資源的故障可能導致兩個傳感器的故障，或者可能偽造兩個傳感器的值，例如。對微控制器的ADC進行了單獨的評估。此外，在ISO26262-9：2018第7條中給出的相關失效分析，已經完成。

責任編輯：xj

原文標題：殘余故障率的示例和局部單點故障度量評估ISO26262:2018-10-8.2

文章出處：【微信公眾號：汽車電子硬件設計】歡迎添加關注！文章轉載請注明出處。