ISO26262 Part 9 之 相关失效分析DFA/FFI的适用场景

已于 2024-08-06 10:23:01 修改
阅读量700 收藏 26
点赞数 30
分类专栏: 功能安全 文章标签: 安全
于 2024-08-06 10:20:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Aleeex_Zhao/article/details/140934486
版权

1. 标准要求

  • 通过分析其潜在原因或引发因素,确认设计中充分体现了要求的独立性和免于干扰;
  • 如有必要,定义安全措施,以减轻可能的相关失效;
    在这里插入图片描述

免于干扰FFI:用于证明分配了不同ASIL等级的,或者无ASIL等级和有ASIL等级的要素可以共存;
免于干扰和不存在共因失效 DFA:用于证明在进行ASIL等级分解时的独立性;
在这里插入图片描述

2.相关失效分析考虑架构特征:

  • 相似的和不相似的冗余要素;

  • 由相同的软件和硬件要素实现的不同功能;

  • 功能及其相关安全机制

  • 功能的分割或软件要素的分割;

  • 硬件要素间的物理间距,有隔离或无隔离;

  • 共同的外部资源;

在进行相关失效分析之前,需要分析各个要素的ASIL等级;

3. 需要DFA分析情况

定性或定量的安全分析(FMEA、FTA)可以作为DFA的输入,但与安全分析不同的是,DFA更加关注架构要素之间的耦合关系,执行DFA分析的目的是当架构设计中出现以下如图4所示的**四种情况(①~④)**时,通过DFA分析结果提供充分的证据这些情况存在的合理性:
在这里插入图片描述
需要执行DFA分析的四种情况

a. 情况①:架构设计中存在不同ASIL等级的要素,需要证明不同ASIL等级的安全要素之间免于干扰;

b.情况②:架构设计中存在ASIL等级的要素,又存在QM要素,需要证明安全要素与非安全要素之间免于干扰;

c. 情况③:开发过程中应用了ASIL分解,需要证明冗余路径的独立性;

d. 情况④:设计中使用了安全机制,需要证明安全机制与被诊断要素之间的独立性;

针对情况①和情况②,当DFA不能提供充分的证据证明要素间的免于干扰时,则应按其影响的最高ASIL的要素开发,
在这里插入图片描述
针对情况③,如果DFA不能提供充分的证据证明ASIL分解后的冗余路径之间的独立性,则分解后的需求不能低于原始需求的ASIL等级,这种情况下的ASIL分解是没有任何收益的,
在这里插入图片描述
情况④与情况③是类似的,如果DFA不能提供充分的证据证明安全机制与被诊断要素之间的独立性,则该安全机制的有效性和诊断覆盖率都会受到威胁,
在这里插入图片描述
总的来说,在架构设计过程中执行的DFA,目的就是为了找出架构设计中的属于情况①~④,然后分析其存在的合理性,若发现存在相关失效的可能,则根据分析结果进行设计优化。

4. DFA分析的实施方法

ISO 26262-11:2018,4.7.6条款中给出DFA的完整分析流程,为了方便理解,此处提供一个简化版的流程,如图所示:
在这里插入图片描述
以下是针对图所示DFA流程的进一步说明:

a. 010:架构设计(系统、硬件、软件架构设计),该步骤是DFA分析的输入;
– 来源可以时FMEA和FTA的分析
–注1:系统性失效和随机硬件失效都有可能成为相关失效。
–注2:对相关失效的潜在可能性的识别可基于演绎分析法,例如,割集检查或者FTA中重复的相同事件。
–注3:归纳分析法也可支持相关失效的潜在可能性的识别,例如,在FMEA中多次出现的具有相似失效模式的相似元器件或组件。

b. 020:分析两个及以上要素之间是否存在DFI;DFI检查表是一种用于识别DFI常用方法;

c. 030:分析耦合因素是否导致相关失效;

– 举个例子,

– 第一步目标识别:假设我们的架构设计中存在PLL(锁相环,实现外部输入信号与内部震荡信号同步)和对其的监控电路CMC,它们之间的关系就属于功能电路和安全机制的关系,所以我们要分析这两者会不会发生相关失效。

– 第二部分析耦合因子的类型:我们分析后发现PLL和CMC共用了一个电源,因此就满足“共享资源”类型的耦合因子。

– 第三步失效分析:也就是目前的这个阶段,我们对这种情况分析后发现,如果共用电源电压过高或过低,PLL和CMC都无法工作,最终影响了产品安全目标的实现。因此我们就要制定安全措施来对此情况进行处理,也就是我们的下一个环节。

d. 040:分析030步骤产生的相关失效是否违背安全目标或安全需求;

e. 050:不违背安全目标或安全需求的相关失效按质量管理要求优化;

f. 060:分析是否有安全机制控制那些违背安全目标或安全需求的相关失效;

g. 070:违背安全目标或安全需求且无安全机制控制的相关失效按功能安全要求优化;

·· 通过上面的分析活动之后,进入到第四步制定措施,因为共享电源的故障会导致PLL和CMC的失效,最终违反安全目标,我们对电源增加独立的PVT监控电路(安全机制),当电源电压过高或过低时,PVT会检测到异常,并将异常上报给CPU进行故障诊断,最终结果可能会向外发送一个异常信号。从发现异常,到上报异常,再到系统发送出异常信号,整个过程会控制在60ms以内(其中发送出异常信号就是经常讲的安全状态,其中的60ms应小于它最终分配到的FTTI)。这些增加的安全措施最终都要通过一些验证或测试手段证明他的有效性。

h. 080:若已有安全机制控制违背安全目标或安全需求的相关失效,则进行下一组相关失效的分析,回到020步骤,直到所有相关失效的组合(即图4中满足①~④的所有情况)分析完成。

参考引用

以上部分内容摘自以下文章:https://mp.weixin.qq.com/s/Ume4i3DQCe3ICCKsraGo7A

Alex_Zhao_JLU
关注
专栏目录
一文解读ISO26262安全标准:FMEDA的解读
无所适从的我的博客
03-21 958
包含FMEDA的相关介绍。
去趋势波动分析DFA 多维DFA
10-25
去趋势波动分析(Detrended Fluctuation Analysis, DFA)是一种广泛应用在复杂系统研究中的统计方法,特别是用于分析时间序列的长期自相关性。这种方法由Peng等人在1994年提出,主要目的是定量地测量非线性系统的...
ISO26262功能安全--产品开发过程
热门推荐
AgingMoon的博客
10-18 1万+
目录 1.总体理解 2.概念阶段——吹牛,我们是打草稿的 2.1 相关项定义 2.2 HARA分析 2.3 功能安全目标 2.4 安全需求与安全概念 3. 系统阶段——闭门造神车,我们开始修炼 3.1 技术安全需求(TSC) 3.2 系统架构设计 3.3 安全分析与独立性分析 3.4 软硬件接口(HSI) 4. 硬件阶段——苦其心志,苦练经骨 4.1 硬件架构...
功能安全--安全分析
AgingMoon的博客
11-18 1万+
ISO26262功能安全中,有多个地方需要进行安全分析安全分析的质量很重要的决定了功能安全项目的成败,本文针对ISO26262中提到的各种安全分析进行汇总说明(HARA、FMEA、FTA、FMEDA、SWFMEA、DFA)。 1. HARA 在概念阶段,功能安全要求进行HARA分析。 HARA(危害分析与风险评估)目的是识别项目的功能故障引起的危害,对危害事件进行分类,然后定义与之对应...
ISO 26262-9 Part 9_Automotive Safety Integrity Level (ASIL)
09-30
ISO 26262-9 was prepared by Technical Committee ISO/TC 22, Road vehicles, Subcommittee SC 3, Electrical and electronic equipment.
听飞哥聊聊ISO 26262的那些事儿
认真你就输了
07-13 2536
这篇文章想从系统开发的角度,聊聊汽车功能安全相关的话题。汽车目前几乎是我们社会中部署最广泛的和最复杂的系统。然而实际上,驾驶员的培训往往只是驾驶过程中可能遇到的各种情况的最小集合,而汽车却变的愈发的复杂。目前,随着互联及自动驾驶车辆的部署,这些对驾驶员及人身安全相关系统提出了进一步的挑战。
ISO26262 功能安全设计-1.DFA讲解
04-02
ISO26262 功能安全设计 汽车功能安全设计 DFA讲解
DFA_thingms2_matlab_相关分析_序列的相关性_DFA_
10-04
在IT领域,特别是数据分析与金融时间序列研究中,降趋脉动分析法(Detrended Fluctuation Analysis,简称DFA)是一种广泛使用的工具。DFA主要用来探测非线性时间序列中的长期记忆性,即数据点之间的长期关联性。在...
编译原理——模拟实现DFA/NFA
09-08
学习一门简单的程序设计语言的定义及其编译器实现 针对一门简单的程序设计语言,阅读其定义文档,初步了解其...通过本次实验,加深对DFA/NFA及其识别的语言的理解,学习对一般的DFA/NFA的表达方法与编程实现方法。
【双语新闻】AGI安全与对齐,DeepMind近期工作
最新发布
qq_29883477的博客
09-13 623
的开发和运行,包括危险能力评估)。这还没有达到我们的需求:诚实策略的时间复杂度只在人类可判断的论证长度上是多项式的,而我们希望它在AI可判断的论证长度上是高效的。我们已经看到了一些使用Tracr的例子,但其使用的范围并没有如我们所希望的那样广泛,因为由Tracr生成的模型与在野外训练的模型有很大的不同。:尽管这项工作未能实现其雄心勃勃的目标,即在超置的早期MLP层中机械地理解事实是如何计算的,但它确实提供了进一步的证据表明超置正在发生,并否定了关于事实回忆可能如何运作的一些简单假设。
2024网络安全人才实战能力白皮书安全测试评估篇
2301_76786857的博客
09-13 492
据了解,白皮书通过大量一线网络安全从业人员、网络安全相关专业在校学生问卷调研数据及网络安全人才测评演练数据分析,呈现供给侧、需求侧安全测试评估人才的基本情况、培养情况和岗位实践,并以理论与实践相结合的方式创新提出了一套立体化综合评价安全测评人才能力的——GPE方法,为数字中国建设中的安全测试评估人才培养和评价提供可行方案。当前,在政治、经济、文化和社会安全等多个领域相互交织影响的背景下,网络安全测评是政府保障国家安全和社会稳定的重要手段之一,社会急需网络安全测评人才,防范化解风险提供安全保障。
网站安全需求分析安全保护工程
weixin_49171105的博客
09-09 726
网站:是基于B/S技术架构的综合信息服务平台,主要提供网页信息及业务后台对外接口服务。
Boot header格式描述详细信息。CSU DMA用于数据传输。安全流开关允许数据移动。PL配置通过PCAP接口。PL bit流包含设备配置数据。
lsh11111的博客
09-13 307
此外,BootROM可以使用8位并行配置中的宽度检测参数值和image识别参数值来检测Quad-SPI接口的预期I/O宽度。在Quad-SPI引导过程中,BootROM会根据宽度检测参数值来选择相应的I/O配置,以确保正确访问Quad-SPI设备。- Reserved for interrupts: 用于存储中断相关信息,特别是在LQSPI地址空间中的默认0x01F中断向量被更改时,在XIP启动模式下使用。- 安全头初始化向量: 用于PMU FW和FSBL的安全头的初始化向量。
零信任安全:重新思考数字世界的访问
网络研究观
09-09 851
零信任安全在当前数字时代的关键重要性和有效性,将其作为增强网络安全弹性的基本战略。‍
【免费刷题】实验室安全第一知识题库分享
nulixueBe的博客
09-13 277
人工智能识别上海985大学的实验室安全知识手册,生成题库,直接刷题
软件DFA分析过程中,共享外设该如何考虑
07-14
在软件DFA(数据流分析)过程中,共享外设的考虑是重要的。共享外设是指多个任务或进程同时访问的外部设备,如打印机、网络接口等。在进行软件DFA分析时,需要考虑以下几点: 1. 数据竞争:当多个任务同时访问共享外设时,可能会出现数据竞争的情况。数据竞争是指多个任务试图同时读取或写入共享数据,可能导致不确定的结果。在进行DFA分析时,需要考虑这种数据竞争可能带来的影响,并采取相应的措施来解决或规避竞争问题。 2. 同步机制:为了避免数据竞争,可以使用同步机制来控制对共享外设的访问。常见的同步机制包括互斥锁、信号量、条件变量等。在进行DFA分析时,需要在代码中正确地使用这些同步机制,以确保对共享外设的访问是有序和互斥的。 3. 资源管理:共享外设通常需要占用系统资源,如内存、处理器时间等。在进行DFA分析时,需要合理管理这些资源,以确保任务间的公平共享和最佳性能。可以使用调度算法、优先级设置等方法来进行资源管理。 4. 错误处理:共享外设的使用可能会出现错误或异常情况,如设备故障、通信错误等。在进行DFA分析时,需要考虑这些错误情况,并编写相应的错误处理代码,以保证系统的稳定性和可靠性。 综上所述,共享外设在软件DFA分析中需要考虑数据竞争、同步机制、资源管理和错误处理等方面,以确保对外设的访问是有序、互斥和可靠的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值