汽车功能安全诊断覆盖率的评估

诊断覆盖率的评估

D.1概述

本附件拟采用：

a.对诊断范围的评估，以产生以下理由：

Ø硬件架构度量的评估定义的单点失效和潜在失效度量；

Ø遵守评估安全目标违反，因为随机硬件失效，评估随机硬件失效导致的安全目标违规所定义；

b.准则，以选择适当的安全机制，在E/E中实施用于检测元素失效的架构。

图D.1显示了嵌入式系统的通用硬件。本系统硬件元件的典型失效模式见表D.1。最左边列中列出的每个元素都与元素右边列中捕获的一个或多个失效模式相关联。清单不要求详尽，可以根据其他已知的失效模式或根据应用程序进行调整。

每一行都引用与这些元件失效相关的安全机制的其他细节(表D.2至D.10)。根据这些典型的安全机制对给定元素的有效性进行分类，它们能够覆盖列出的失效模式，以实现元素的低、中或高诊断覆盖率。这些低、中、高诊断覆盖率排名分别对应于60%、90%或99%的典型覆盖率水平。

失效模式的分配及其相应的安全机制可能有所不同

列于表D.1，取决于：

1)诊断检测到的失效模式源的变化；

2)安全机制的有效性；

3)安全机制的具体实施；

4)安全机制的执行时机（周期性）；

5)系统中实现的硬件技术；

6)基于系统硬件的失效模式的概率；和

7)更详细地分析了失效模式及其分类为几个子类

8)不同的失效模式覆盖级别。

总之，表D.1提供了根据对系统要素的分析加以调整的准则。

这些准则没有处理安全概念中可以指定的具体限制，以避免违反安全目标。这些约束，例如时间方面（诊断的周期性），在通过安全机制评估通用的典型诊断覆盖时不被考虑。在评估项目中使用的安全机制的具体诊断覆盖率时，将考虑它们，以避免违反安全目标。

例一种安全机制可以在本附件中具有较高的通用典型诊断覆盖率，但如果所使用的诊断测试间隔大于符合相关容错时间间隔所需的诊断测试间隔，则避免违反安全目标的具体诊断覆盖率将低得多。

因此，表D.2至D.10可作为评估这些安全机制的诊断覆盖率的起点，所称的诊断覆盖率有适当的理由(例如。使用故障注入方法或分析参数)。此外，给定的信息旨在帮助定义元素的失效模式；然而，相关的失效模式最终取决于使用元素的应用。

图D.1——系统的通用硬件

表D.2至表D.10通过提供诊断测试技术指南来支持表D.1的信息。表D.1至表D.10不是详尽无遗的，可以使用其他技术，只要有证据支持所称的诊断范围。如果合理，可以估计更高的诊断覆盖率，对于简单或复杂的元素，可高达100%。

注1相关的失效模式和失效模型是逐案识别的，通常取决于所使用的技术和实现。有关半导体失效模型的详细信息，请参阅ISO26262-11：2018，4.3.1。

如果一个元素的失效模式x、y和z的失效模式分布为X、Y、Z，则有效诊断覆盖率计算如下：

KDC=X×KFMC，x+Y×KFMC，y+Z，KFMC，z

式中

KDC是硬件元素的诊断覆盖率；

X：是失效模式x的失效模式分布；KFMC，x是失效模式x的失效模式覆盖；

Y：是失效模式y的失效模式分布；KFMC，y是失效模式y的失效模式覆盖；

Z：是失效模式z的失效模式分布；KFMC，z是失效模式z的失效模式覆盖；X+Y+Z=100%

注2：半导体，有关失效模型、失效模式和相关分布之间的关系的详细信息，请参阅ISO26262-11：2018，4.3。

表D.1（续）

表D.1（续）

表D.2-E/E系统

表D.3-电气元件

注：下表涉及主要应用于系统级别组件的安全机制。关于可以集成在组件中的安全机制的更多细节在ISO26262-11：2018中描述：

Ø5.1数字组件；

Ø5.2模拟和混合信号元件；

Ø5.3可编程逻辑器件；

Ø5.4多核组件；和

Ø5.5传感器和传感器。

表D.4-处理单元

表D.5-模拟和数字I/O

表D.6-通信总线（串行、并行）

表D.7-电源

表D.8-程序顺序监测/锁定

表D.9-传感器

表D.10-执行器