该文详细介绍了如何依据ISO26262-5标准对一个硬件电路进行功能安全的定量分析。电路涉及车速信号采集、阀门控制、故障监测及报警功能,安全目标为ASILC级别。通过冗余设计、MCU自检和故障诊断等安全机制,计算了单点故障和潜在多点故障的失效率,确保在高车速时阀门正确开启。通过对R11组件的故障分析,展示了诊断覆盖率在减少失效率中的作用,并最终得出整个回路的失效率,以满足安全评估准则。
ISO26262-5中,通过某硬件电路失效率的计算展示了如何进行定量地分析功能安全。失效分为单点故障和潜在多点故障。
一、硬件电路原理图
电路实现的功能如下:
1)MCU采集车速信号(I1、I2为车速传感器);
2)当高车速时,MCU控制T61将阀门I61开路;
3)T61输出端由MCU的ADC2进行电压监测;
4)当检测出故障后,MCU将报警灯L1点亮,用以警示驾驶员。
二、安全目标
SG2(safety goal):当车速>100 km/h时,需保证I61开路。安全目标等级:ASIL C。
安全状态:I61开路(当没有电流流过I6,则I61为开路状态)。
三、技术安全要求
安全机制(safety mechanism)
-
SM2:冗余设计,采集I1、I2两路信号;
-
SM3:MCU使用ADC2对T61进行电压检测;
-
SM4:MCU内部自检和使用外置看门狗。
四、计算过程
使用的excel表格如下所示:
由于表格中的内容较多,此处仅对R11进行简单描述。
R11失效率2 Fit,其失效模式有两种:open和closed:
open失效占90%,其失效率2 Fit×90%=1.8 Fit;
closed失效占10%,其失效率2 Fit×10%=0.2 Fit。
单点故障失效的分析(即当其仅当R11出现故障):
1)R11 open会导致车速信号采集有误,但由于采取了安全机制SM2,诊断覆盖率99%,即99%的故障可以被诊断出来(诊断覆盖率的具体数值,ISO26262中有推荐值)。但是,依然有1%的故障检测不出来,则失效率1.8 Fit×(1-99%)=0.018 Fit
2)R11 closed也会导致车速信号采集有误,采取安全机制SM2,则失效率0.2 Fit×(1-99%)=0.002 Fit
潜在多点故障失效的分析(R11出现故障且其它元件也出现故障,具体需借助FTA/FMEA进行共因失效分析):
“R11 open”&“其它元件也出现故障”时,采取安全机制SM2和故障警示机制(报警灯L1),诊断覆盖率100%,则失效率0 Fit。
逐行进行定量分析后,进行累加,可以得到整个回路的失效率,计算结果如下所示:
评估准则如下所示:
ASIL B >= 90%
ASIL C >= 97%
ASIL D >= 99%
全文转自:https://mp.weixin.qq.com/s/SkQbMQCzsz9Xr1AZvYiR7A
扫一扫
1119
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
