产品硬件开发:V模型的深度解析(二)
发表时间: 2023-07-03 08:30
本文继续“(一)”未完的部分,主要介绍ISO2626-5后三章,其内容主要有:硬件架构指标评估、随机硬件故障评估、硬件集成与验证。
PS:这部分内容挺枯燥,可根据需要查阅相关内容!!!
正文开始:
8 硬件架构指标评估
本章节内容的目的是提供基于硬件架构指标评估的证据,证明项目的硬件架构设计在检测和控制安全相关的随机硬件故障方面的适用性。
硬件架构指标评估旨在实现以下目标:
——客观可评估性:指标是区分不同架构是否可被理解的方法;
——支持对最终设计的评估(即根据选定的详细硬件设计进行评估);
——提供依赖于ASIL的通过/失败标准,以评估硬件架构的充分性;
——揭示安全机制的覆盖范围是否足够,以防止硬件架构中单点或残留故障风险(单点故障指标);
——揭示安全机制的覆盖范围是否足够,以防止硬件架构中潜在故障带来的风险(潜在故障指标);
——解决单点故障、残留故障和潜在故障;
——确保硬件故障率不确定性的鲁棒性;
——限于与安全相关的元素;
——支持在不同元素级别上的使用,例如可以将目标值分配给供应商。
8.4需求建议
8.4.1此要求适用于安全目标ASIL (B)、C和D。
注:即ASIL A的目标可不参照该章节。下文类似地方同理。
8.4.2安全机制对与安全相关的硬件元件的诊断覆盖范围应根据残留故障和相关潜在故障进行估计。
8.4.3应确定分析中使用的硬件部件的预估故障率。
8.4.4如果无充足证据证明硬件故障率,应有替代方案,若该替代方案只包括增加安全机制,则:
a)硬件部分对残留故障的诊断覆盖率应等于或高于该项SPFM(单点故障指标)目标值;
b)硬件部分对潜在故障的诊断覆盖率应等于或高于该项LFM(潜在故障指标)目标值。
8.4.5对于每个安全目标,ISO 26262-4:2018, 6.4.5中要求的单点故障指标(SPFM)的定量目标值应基于以下参考目标值:
a)从硬件架构指标出发,应用于类似的可靠设计;
注意:两个相似的设计具有相似的功能和相似的安全目标,但分配的ASIL相同。
b)参考表4.
表4 单点故障指标值
ASIL B | ASIL C | ASIL D | |
单点故障指标 | ≥90% | ≥97% | ≥99% |
注意:该量化指标旨在提供:
——设计指导;
——设计符合安全目标的证据。
8.4.6对于每个安全目标,ISO 26262-4:2018 6.4.5中要求的潜在故障指标(LFM)的定量目标值应基于以下参考目标值:
a)从硬件架构指标出发,应用于类似的可靠设计;
b)参考表5.
表5 潜在故障指标值
ASIL B | ASIL C | ASIL D | |
潜在故障指标 | ≥60% | ≥80% | ≥90% |
9 硬件故障评估
9.4.1.2此需求适用于ASIL C/D。硬件部件的单点故障只有在以下选项之一提供了其发生概率足够低的论证时才被认为是可接受的:
a)采取专用措施;
b)对于ASIL D的安全目标,需满足以下标准:
——使用可信的数据源;
——仅有一小部分故障率(如一种特定的失效模式)会违反安全目标;
——单点故障率小于第一类故障率对应值的十分之一。
c)对于ASIL C的安全目标,需满足以下标准:
——使用可信的数据源;
——仅有一小部分故障率(如一种特定的失效模式)会违反安全目标;
——单点故障率小于2类故障率对应值的十分之一。
注:基于这一要求,微控制器、ASIC或类似的SoC可以被视为硬件部件。
上面提到的“专用措施”包括:
a)设计特征,例如硬件部分过度设计(例如电或热应力额定值)或物理分离(例如印刷电路板上的触点间距);
b)对来料进行特殊的样品测试,以减少发生这种失效模式的风险;
c)老化测试;
d)作为控制计划一部分的专用控制集;
e)与安全有关的特殊特性的分配。
9.4.1.3适用于ASIL C/D。
残留故障与单点故障类似,此处不再赘述,可查阅原标准。
9.4.1.4此条适用于ASIL B、C和D。分析中使用的硬件部件的故障率应根据8.4.3进行估计。
9.4.2随机硬件故障指标评估(PMHF)。
9.4.2.2此条适用于ASIL B、C和D。
表6 随机硬件故障指标
ASIL | 随机硬件故障指标值 |
D | <10−8 h−1 |
C | <10−7 h−1 |
B | <10−7 h−1 |
注:所述的量化目标值可按4.2中所述进行调整,以适应项目的特定用途(例如,如果项目违反安全目标的时间超过乘用车的典型使用时间)。 | |
9.4.2.3当一个项目由多个系统组成时,要求9.4.2.2的派生目标值可直接分配给组成该项目的每个系统。只要这些系统中的每一个都有可能违反相同的安全目标,并且相应的项目目标值不增加超过一个数量级,就可以应用这种方法。
例如:如果ASIL D安全目标被分配给由多个系统(最多10个)组成的项目,每个系统都有可能违反安全目标,那么可以将10-8/h的目标值分配给每个系统。
9.4.3违反安全目标原因评估(EEC)
图3 单点和残留故障评估程序
图4 多点故障评估流程
9.4.3.5只有在相应的硬件故障率等级排序符合表7所示目标的情况下,硬件发生的单点故障才被认为是可以接受的。
表7硬件单点故障故障率分类目标
ASIL | 故障率等级 |
D | 失效率1级+专用措施 |
C | 失效率2级+专用措施,或失效率1级 |
B | 失效率1级或2级 |
9.4.3.6只有故障率等级排序符合表8给出的硬件残留故障诊断覆盖率的目标,硬件中发生的残留故障才被认为是可接受的。
表8硬件残留故障诊断覆盖率
ASIL | 残留故障诊断覆盖率 | |||
≥99.9% | ≥99% | ≥90% | <90% | |
D | 失效率4级 | 失效率3级 | 失效率2级 | 失效率1级+专用措施 |
C | 失效率5级 | 失效率4级 | 失效率3级 | 失效率2级+专用措施 |
B | 失效率5级 | 失效率4级 | 失效率3级 | 失效率2级 |
9.4.3.11适用于ASIL C/D。如果相应的硬件部件符合表9所示的故障率类别和诊断覆盖率(关于潜在故障)的目标,则发生在硬件部件上的多点故障并导致可能的多点故障应被认为是可接受的。
表9针对多点故障,硬件潜在故障诊断覆盖率、类别、故障率目标值
ASIL | 潜在故障诊断覆盖率 | ||
≥99% | ≥90% | <90% | |
D | 失效率等级4 | 失效率等级3 | 失效率等级2 |
C | 失效率等级5 | 失效率等级4 | 失效率等级3 |
10 硬件集成与验证
10.4.4硬件测试用例应使用表10中所列方法的适当组合来派生。
表10硬件集成测试派生测试用例的方法
方法 | ASIL | ||||
A | B | C | D | ||
1a | ++ | ++ | ++ | ++ | |
1b | 内外部接口分析 | + | ++ | ++ | ++ |
1c | 等价类的生成与分析a | + | + | ++ | ++ |
1d | 边值分析b | + | + | ++ | ++ |
1e | 基于经验的错误猜想c | ++ | ++ | ++ | ++ |
1f | 功能分析 | + | + | ++ | ++ |
1g | 极限条件、顺序和相关故障来源分析 | + | + | ++ | ++ |
1h | 环境条件与用例分析 | + | ++ | ++ | ++ |
1i | 现存标准d | + | + | + | + |
1j | 重要变量分析e | ++ | ++ | ++ | ++ |
a为了有效地得到必要的测试用例,可以进行相似性分析; b例如,接近和跨越指定值之间的边界的值,以及超出范围的值; c错误猜测测试可以基于从经验教训过程中收集到的数据,或基于专家判断,或基于两者。它可以得到FMEA的支持; d现有的标准包括ISO 16750和ISO 11452; e显著变量的分析包括最差情况分析。 | |||||
10.4.5硬件集成和验证活动应验证硬件安全要求实施的完整性和正确性。为了实现这些目标,应考虑表11所列的方法。
表11硬件集成测试
方法 | ASIL | ||||
A | B | C | D | ||
1 | 功能测试a | ++ | ++ | ++ | ++ |
2 | 故障注入测试b | + | + | ++ | ++ |
3 | 电气测试c | ++ | ++ | ++ | ++ |
a功能测试旨在验证项目的指定特征已经实现。项目被给予输入数据,充分地描述了预期的正常操作。观察输出,并将其响应与规范给出的响应进行比较。分析了与规格有关的异常和规格不完整的迹象。 b有关半导体元件故障注入的详细信息,请参阅ISO 26262- 11:2018 ,4.8。 c电气测试旨在验证在指定(静态和动态)电压范围内是否符合硬件安全要求。 | |||||
10.4.6硬件集成和验证活动应针对环境和操作应力因素,验证硬件的耐久性和鲁棒性。为了实现这些目标,应考虑表12所列的方法。
表12外部应力下的硬件集成测试
方法 | ASIL | ||||
A | B | C | D | ||
1a | 环境测试和基本功能验证a | ++ | ++ | ++ | ++ |
1b | 扩展功能测试b | O | + | + | ++ |
1c | 统计测试c | o | o | + | ++ |
1d | 最坏情况测试d | o | o | o | + |
1e | 超限测试e | + | + | + | + |
1f | 机械测试f | ++ | ++ | ++ | ++ |
1g | 加速寿命测试g | ++ | ++ | ++ | ++ |
1h | 机械寿命测试h | + | ++ | ++ | ++ |
1i | EMC和ESD测试i | ++ | ++ | ++ | ++ |
1j | 化学测试j | ++ | ++ | ++ | ++ |
a在具有基本功能验证的环境测试中,将硬件置于各种环境条件下,在此期间对硬件需求进行评估。可采用ISO 16750-4标准。 b扩展功能测试检查项目的功能行为,以响应预期很少发生的输入条件(例如,极端任务概要值),或超出硬件规范的条件(例如,错误的命令)。在这些情况下,将观察到的硬件元件的行为与规定的要求进行比较。 c统计测试的目的是,根据实际任务概况的预期统计分布,选择的输入数据测试硬件部件。并定义验收标准,以便结果的统计分布确认所需的失败率。 d最坏情况测试旨在测试在最坏情况分析中发现的用例。在这样的测试中,环境条件被改变为规范定义的最高允许边际值。 e在超限测试中,硬件元素被逐步增加到比指定值更严重的值,直到它们停止工作或被损毁。该测试的目的是确定被测试元素相对于所需性能的鲁棒性裕度。 f力学试验适用于力学性能,如抗拉强度。可采用ISO 16750-3标准。 g加速寿命试验旨在预测产品在正常使用条件下的行为演变,方法是在产品使用寿命期间使其承受高于预期的应力。加速试验是基于失效模式加速的解析模型。 h这些测试的目的是研究元件的平均失效时间或可承受的最大循环次数。 i ISO 7637-2、-3、ISO 11452-2、-4可用于EMC测试;ISO 10605可用于ESD测试。 j 对于化学测试,可以应用ISO 16750-5。 | |||||
公众号文章链接:基于V模型的产品硬件开发(二)
鲁公网安备37020202000738号