En el artículo anterior, presentamos los tipos de fallas de hardware y las fuentes de datos de fallas, de la siguiente manera:
Práctica de cálculo del índice de hardware de seguridad funcional ISO26262 (Parte 1): base teórica y fuente de datos_Blog de NewCarRen-Blog CSDN En métricas de hardware Durante el cálculo proceso, se encontrarán algunos problemas operativos específicos. A través de la práctica específica del proyecto, combinada con el software de análisis de seguridad funcional REANA, este artículo explica los conceptos y pasos relevantes en el cálculo de indicadores de hardware y ofrece algunas sugerencias para el método de operación del proceso de análisis y cálculo. https://blog.csdn.net/NewCarRen/article/details/129129393?spm=1001.2014.3001.5501
En este artículo, presentamos cómo cuantificar la evaluación de seguridad del hardware.
Entre los tres indicadores de hardware de seguridad funcional, la métrica de falla de punto único SPFM y la métrica de falla latente LFM deben analizarse y calcularse mediante el método FMEDA (Análisis de diagnóstico y efecto de modo de falla), y la métrica de probabilidad de falla de hardware aleatoria PMHF generalmente se analiza y calcula. mediante el método cuantitativo FTA (Análisis de árbol de fallos). Este capítulo presenta cuestiones relevantes en la práctica del análisis FMEDA y FTA.
1. Análisis y cálculo de FMEDA
FMEDA es un análisis de diagnóstico e impacto del modo de falla. La Figura 1 es un ejemplo de FMEDA en el software de análisis de seguridad funcional REANA. La Figura 1 se puede dividir en tres partes según la columna. La Parte A es el porcentaje de cada componente y el valor FIT y el modo de falla calculados de acuerdo con la norma. La Parte B se utiliza para analizar si cada falla puede violar directamente el objetivo de seguridad ( suponiendo que no existe un mecanismo de seguridad), mientras se determinan los valores FIT de fallas de un solo punto (si las hay) y fallas residuales de acuerdo con la cobertura del diagnóstico, la parte C se utiliza para analizar si cada falla está relacionada con una falla de doble punto y determinar el valor FIT de una falla latente de doble punto de acuerdo con la cobertura del diagnóstico. Finalmente, de acuerdo con los resúmenes de A, B y C, se obtienen respectivamente el valor FIT global, el valor FIT de fallas de un solo punto más fallas residuales y el valor FIT de fallas latentes de doble punto. de SPFM y LFM se calculan según la fórmula.
(1) Métodos de tratamiento para fallas puntuales y residuales
La Parte B en la Figura 1 trata sobre fallas puntuales y fallas residuales asociadas con SPFM. En primer lugar, es necesario considerar si cada falla puede violar el objetivo de seguridad sin ningún mecanismo de seguridad y, de ser así, determinar la cobertura del diagnóstico de acuerdo con el mecanismo de seguridad implementado. Si se desea, se pueden completar varios mecanismos de seguridad al mismo tiempo. La tasa de cobertura de diagnóstico se selecciona según el principio de alta, media y baja según el mecanismo de seguridad y, por lo general, no alcanza el 100%.
Figura 1 Ejemplo de cálculo de FMEDA mediante la herramienta REANA
(2) El método de procesamiento de fallas latentes de doble punto.
La parte C en la Figura 1 involucra fallas multipunto latentes y está relacionada con LFM. La cobertura de diagnóstico en esta parte puede alcanzar el 100%, es decir, cobertura total sin fallas multipunto latentes.
Para las fallas que ya han involucrado la parte B, la parte cubierta por el mecanismo de seguridad en la parte B generalmente registrará la información de falla correspondiente y avisará al conductor, por lo que generalmente todas son fallas de doble punto detectables y no contienen dobles puntos latentes. fallos puntuales, por lo que la cobertura de diagnóstico de dichos fallos en la Parte C puede alcanzar el 100%. Este tipo de falla que involucra tanto a la parte B como a la parte C suele ser una falla del módulo relacionado para la realización de la función.
Para fallas que no involucran a la parte B sino solo a la parte C, al determinar la tasa de cobertura de diagnóstico en la parte C, también se selecciona según el principio de alto, medio y bajo, que generalmente no llega al 100%. Estas fallas generalmente son fallas de los mecanismos de seguridad, como los dispositivos de vigilancia y los circuitos de hardware relacionados dedicados a las señales de diagnóstico.
Como se mencionó anteriormente, normalmente todas las fallas que involucran a la parte B están relacionadas con la parte C en FMEDA, y la cobertura de diagnóstico en la parte C es del 100%, es decir, la falla latente de doble punto es cero. El resultado es el mismo que elegir irrelevante en la parte C. Por lo tanto, en la operación real, para las fallas relacionadas que involucran la parte B, puede elegir ser irrelevante entre las fallas de doble punto en la parte C, lo que puede reducir parte de la carga de trabajo y facilitar la inspección y el mantenimiento de FMEDA. Si elige hacer esto, deberá realizar las instrucciones correspondientes en FMEDA. Si el conductor no es completamente notificado de la parte cubierta por el mecanismo de seguridad en la parte B, es necesario seleccionar la correlación de fallas de dos puntos en la parte C y determinar la cobertura de diagnóstico correspondiente (en este momento, es la parte percibida por el conductor, generalmente hasta menos del 100%), que aún no se ha encontrado en la práctica.
(3) Otras consideraciones para el análisis FMEDA
Durante el análisis FMEDA, los componentes deben agruparse según módulos para facilitar la coherencia del análisis y la inspección y resumir los resultados según módulos. Se recomienda agrupar componentes según módulos en el diseño de hardware.
Al analizar si una falla puede violar el objetivo de seguridad, es necesario considerar primero la situación sin ningún mecanismo de seguridad. Si hay múltiples mecanismos de seguridad, también es necesario asumir que todos estos mecanismos de seguridad no existen.
Los componentes que son irrelevantes para la seguridad deben seleccionarse como irrelevantes para la seguridad y se debe eliminar la influencia de estas piezas en los resultados de FMEDA.
Uno de los principios generales en el cálculo de los indicadores de hardware es el conservadurismo. El valor FIT calculado según el estándar será conservador. Cuando la tasa de cobertura de diagnóstico es alta, la tasa de cobertura es del 99%. El principio conservador también debe seguirse en FMEDA. análisis. Si es difícil determinar si una determinada falla puede violar el objetivo de seguridad durante el proceso de análisis, la posible violación se puede seleccionar de acuerdo con el principio conservador, lo mismo se aplica al análisis de si se trata de una falla de doble punto. Para obtener resultados ideales del índice de hardware, es necesario analizar cuidadosamente las fallas de los componentes y reducir la selección basándose en principios conservadores.
2. Análisis y cálculo del TLC
El cálculo de PMHF incluye no sólo fallas de un solo punto y fallas residuales, sino también la situación en que las fallas de dos puntos ocurren simultáneamente y causan violación de los objetivos de seguridad. Generalmente, se utiliza el método de análisis cuantitativo FTA para el cálculo.
FTA calcula la puerta AND y la puerta OR a través de cada evento básico y puede calcular la probabilidad de ocurrencia simultánea de fallas de doble punto para obtener el valor PMHF. En el proceso de cálculo, además del valor FIT de la tasa de falla y la cobertura de diagnóstico requerida para el cálculo de FMEDA, también se requiere el parámetro de Tiempo de Misión, es decir, el tiempo total de funcionamiento del sistema, este tiempo generalmente proviene de la especificación de diseño del sistema. , generalmente en el rango de varios miles a varios millones de horas. La función de este parámetro es calcular la probabilidad de que ocurran fallas de doble punto simultáneamente durante este período.
(1) Tratamiento de fallas puntuales y residuales en FTA
En FTA, las fallas de un solo punto generalmente se usan como eventos básicos para conectarse a eventos de nivel superior a través de varias puertas O, es decir, la violación de los objetivos de seguridad. Estas puertas O indican que este evento básico por sí solo puede conducir a eventos de nivel superior. .
Las fallas residuales en FTA generalmente están conectadas por el evento básico y el mecanismo de seguridad correspondiente al evento de la capa superior a través de la puerta Y. El parámetro del evento básico es el valor FIT de la tasa de falla, y el parámetro del mecanismo de seguridad es (1- DC), es decir, la parte no cubierta por el diagnóstico. El parámetro es un valor fijo independiente del tiempo.
(2) Manejo de faltas de doble punto en FTA
Como se mencionó en la Sección 1.14, generalmente existen dos tipos de fallas de doble punto: la falla X y su correspondiente mecanismo de seguridad fallan al mismo tiempo, y la falla X y el camino para ingresar al estado seguro fallan al mismo tiempo, lo que hará que el sistema no puede entrar en el estado seguro.
Para el fallo del mecanismo de seguridad, la detección del mecanismo de seguridad se realiza generalmente una vez en cada ciclo de conducción, lo que significa que dentro de un ciclo de conducción, es posible que no se detecte el fallo del mecanismo de seguridad. La falla no será detectada ni tratada hasta el siguiente ciclo de conducción. Dado que el tiempo de un ciclo de conducción es pequeño en relación con el tiempo total de funcionamiento del sistema, esta parte de las fallas que pueden ser causadas por fallas de doble punto detectables pueden ignorarse en el cálculo de PMHF.
Para la falla transitoria en la falla del mecanismo de seguridad, dado que la falla transitoria se recuperará a más tardar en el siguiente ciclo de conducción, la parte de falla transitoria de la falla latente de doble punto también puede ignorarse.
Para la falla de la ruta que ingresa al estado seguro, si la función de la ruta del estado seguro se prueba cada vez que se enciende la alimentación, esta parte de la falla que puede ser causada por la falla de la ruta del estado seguro también puede ser ignorado o reducido al realizar cálculos PMHF.
Por lo tanto, el punto doble en el cálculo de PMHF generalmente se puede simplificar como la parte de falla permanente en la falla de punto doble latente de la falla funcional cubierta por el mecanismo de seguridad y el mecanismo de seguridad correspondiente. La implementación del mecanismo de seguridad generalmente la implementa MCU o IC, y los valores FIT de posibles fallas de doble punto correspondientes a diferentes mecanismos de seguridad generalmente no son exactamente los mismos. A través del análisis FTA detallado de MCU o IC, el doble potencial -Se puede obtener el valor del ajuste del punto de falla de diferentes mecanismos de seguridad. En la práctica, generalmente no se lleva a cabo un análisis FTA detallado de MCU e IC, y el valor FIT general de fallas latentes de doble punto obtenido en el análisis FMEDA de MCU e IC se usa generalmente como una falla latente de doble punto donde falla el mecanismo de seguridad. .
(3) Combinación de fallas residuales y fallas de doble punto en FTA
Si la ocurrencia de la falla X sin un mecanismo de seguridad hará que el sistema viole el objetivo de seguridad, entonces la falla X generalmente tiene una parte de falla residual y una parte de falla de doble punto, y las dos partes de la falla se pueden combinar para tratar. con el TLC.
Por ejemplo, en la Figura 2, el lado izquierdo es la falla de cada dispositivo, y el lado derecho contiene tanto la tasa de falla residual del 1 % como la falla causada por la ocurrencia simultánea de una falla de doble punto detectable del 99 % y una falla latente del dispositivo. mecanismo de seguridad. Esta combinación de procesamiento puede reducir la cantidad de eventos básicos en el FTA, reducir la carga de trabajo correspondiente y facilitar la inspección y el mantenimiento del FTA.
Figura 2 Ejemplo de FTA en el software REANA
(4) Otras consideraciones para el análisis del TLC
La FTA también debería establecer una estructura de árbol según módulos.
Los eventos básicos en FTA deben ser los mismos que los eventos básicos en FMEDA (excepto las fallas de seguridad). El valor de la tasa de fracaso FIT para el evento base debe ser el mismo que el valor en FMEDA. Cuando es necesario colocar el mismo evento básico en FTA en diferentes ramas, estos eventos deben configurarse como eventos repetidos o ramas repetidas; de lo contrario, los resultados del cálculo se verán afectados.
3. Evaluación de indicadores de hardware.
(1) Evaluación de indicadores de hardware.
Una vez completado el cálculo de los indicadores de hardware, es necesario evaluar los indicadores de hardware. La evaluación generalmente se lleva a cabo de acuerdo con los requisitos de los estándares de seguridad funcional, es decir, la Tabla 1.
Los resultados del cálculo FMEDA incluyen la métrica de falla de un solo punto SPFM y la métrica de falla residual LFM, así como el valor FIT de la falla de un solo punto más la falla residual. El resultado calculado mediante la medida aleatoria de probabilidad de falla de hardware PMHF debe ser ligeramente mayor que el valor de falla de un solo punto más falla residual en FMEDA.
(2) La relación entre los indicadores de hardware y el diseño.
Para obtener indicadores de hardware calificados, el mecanismo de seguridad debe diseñarse en consecuencia durante el desarrollo del sistema.
Por ejemplo, para un sistema de control electrónico con nivel ASIL D, el mecanismo de seguridad primero debe cubrir todos los dispositivos que puedan violar el objetivo de seguridad y, al mismo tiempo, seleccionar un mecanismo de seguridad con una tasa de cobertura de diagnóstico lo más alta posible. El ciclo operativo de estos mecanismos de seguridad también debe cumplir con los requisitos de seguridad y, por lo general, estos mecanismos de seguridad deben funcionar todo el tiempo durante la operación.
En cuanto a la falla del mecanismo de seguridad en sí, también es necesario diagnosticar tanto como sea posible para reducir el valor FIT de la posible falla de doble punto. El diagnóstico del mecanismo de seguridad generalmente se puede seleccionar una vez cuando se enciende la alimentación. No es necesario. En muchos casos, no hay forma de diagnosticar el mecanismo de seguridad durante la operación.
(3) Resumen
Este artículo explica los conceptos relacionados con el cálculo de indicadores de hardware de seguridad funcional e ilustra la relación entre los tipos de fallas relevantes y los componentes del sistema real a través de ejemplos. Se explican los pasos relevantes del cálculo del índice de hardware y se dan algunas sugerencias para el método de operación. En el sitio de desarrollo real, debido a que el cálculo de indicadores cuantitativos involucra una gran cantidad de datos, fórmulas y componentes, generalmente se utilizan herramientas de cálculo para ayudar en el cálculo. Tanto en el mercado existen herramientas de cálculo dedicadas a FMEDA como herramientas que respaldan completamente el análisis y cálculo de seguridad. REANA es una herramienta de cálculo que admite la cuantificación de FMEDA y FTA. No solo puede completar automáticamente el trabajo de FMEA, FMEDA y FTA, pero también automatizar La asociación de indicadores cuantitativos realiza la transmisión automática de indicadores cuantitativos entre diferentes sistemas.
Para obtener más información, agregue NewCarRen para consultas.