为了说明设计达到预期目标,即系统安全完整性等级达到ASIL对应等级,需要对设计的系统、行评估。
在项目概念设计阶段通过危害分析和风险评估得到确定安全目标和对应的ASIL等级之后,后续各阶段的开发须基于相应的ASIL等级进行。
比如:系统设计阶段,分析系统性失效的原因和影响时,基于不同的ASIL等级使用不同的分析方法;硬件设计阶段,验证硬件设计与硬件安全要求的一致性时,基于不同的ASIL等级推荐不同的验证方法;软件设计阶段,定义软件安全机制时,基于不同的ASIL等级推荐不同的错误探测机制和错误处理机。对这一要求的落实是说明所作设计达到相应ASIL等级的前提。
除此之外,安全完整性等级评估重点关注的是系统的硬件电路是否达到相应的ASIL等级。硬件安全完整性等级的评估包括硬件架构度量的评估和随机硬件失效导致违背安全目标的评估。
4.1硬件架构度量
硬件架构度量的评估通过计算每个安全目标的单点故障度量和潜伏故障度量完成,随机硬件失效导致违背安全目标的评估通过计算随机硬件失效概率度量完成。OEM目前重点通过对硬件架构度量的两个指标的计算,完成对系统硬件的安全完整性等级评估,进而说明系统的安全完整性等级进行评估。
4.1.1硬件架构度量的定义
- 硬件要素失效率:
硬件要素的失效模式分为单点故障、残余故障、多点故障、安全故障。其中,多点故障包括可探测的多点故障、可感知的多点故障和潜伏的多点故障。
假设所有硬件要素的失效都是相互独立的,且按照指数分布。每个硬件要素的失效率X可由式计算:
λ=λSPF+λRF+λMPF+λSF
式中:
λSPF——与硬件要素单点故障相关联的失效率;
λRF——与硬件要素残余故障相关联的失效率;
λMPF——与硬件要素多点故障相关联的失效率;
λSF——与硬件要素安全故障相关联的失效率。
其中,与硬件要素多点故障相关联的失效率λ可由式计算:
λ=λMPF,DP+λMPF,L
式中:
λMPF,DP——与硬件要素可探测或可观察的多点故障相关联的失效率;
λMPF,L——与硬件要素潜伏故障相关联的失效率。
4.1.2单点故障度量
单点故障度量是指除单点故障和残余故障外,其他类型的故障占全部故障的百分比。单点故障度量反映的是硬件电路对单点故障和残余故障的鲁棒性,而这种性能的实现,依靠的是设计中采用的安全机制或安全措施。高的单点故障度量值意味着系统硬件故障中单点故障和残余故障所占的比例低。单点故障度量可由式计算:
λ——系统安全相关硬件要素的失效率的总和。
4.1.3潜伏故障度量
潜伏故障是指在多点故障和安全故障中,除去潜伏多点故障后其他类型的故障占全部故障的百分比。潜伏故障反映的是硬件电路依靠设计中采用的安全机制或安全措施对潜伏故障的鲁棒性。高的潜伏故障指标意味着系统硬件故障中潜伏故障所占的比例低。潜伏故障度量可由式计算:
对应的单点和潜伏故障度量值
4.2硬件故障度量的计算
针对所设计的硬件电路,对主要的元器件(电阻,电容等)进行失效率定义,针对短路、断路、漂移等失效模式进行分析,确定其单点和参与故障的失效率。(后续回结合实际案例为大家详细展开说明)
小结:
- 汽车电子电气系统安全完整性等级评估的方法:安全完整性等级的评估首先要判断系统开发和软硬件开发阶段开发者是否按照标准流程基于ASIL等级做了相应的工作(如分析、测试、验证等),其次是通过对单点故障度量和潜伏故障度量两个硬件架构度量的计算,说明系统硬件是否达到相应的ASIL等级;(不同的设计,度量不仅仅是这两个标准)。
- 得出安全完整性等级的评估的结论。通过比较硬件架构度量的计算值和目标值,评估硬件架构的ASIL等级,进而结合安全完整性等级评估方法,得出所设计系统达到ASIL等级的结论。
扫一扫
9588
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
