道路车辆硬件架构度量示例计算、由两个系统组成的相关项的 PMHF 预算分配、潜伏故障处理的示例.pdfVIP

GB/T 34590.5—XXXX 附 录 E （资料性） 硬件架构度量示例计算： “单点故障度量”和 “潜伏故障度量” 本附录给出了一个示例，该示例根据8.4.7和8.4.8 的选项a）的要求，对相关项的每一个安全目 标计算单点故障度量和潜伏故障度量。 本示例中的系统 （见图E.1）在一个ECU 中实现了两个功能。 功能1有一个输入 （通过传感器 R3测量的温度）和一个输出 （通过I71控制的阀2），其功能是 当温度高于90℃时打开阀2。 如果没有电流经过I71，阀2打开。 相关联的安全目标1是 “当温度高于100 ℃时关闭阀2的时间不得长于100 ms”。安全目标被分 配为 ASIL B等级。安全状态是：阀2打开。 微控制器的ADC读取传感器 R3的值。R3的电阻值随着温度升高而降低。该输入没有监控。控制 T71 的输出级由模拟输入InADC1 （表中的安全机制 SM1）来监控。在这个例子中，我们假设，安全机制SM1 能够对T71有可能违背安全目标的失效模式进行探测，且具备90%的诊断覆盖率。如果 SM1探测到失效， 安全状态被激活但是没有点灯。因此，声明针对SM1探测失效模式的潜伏故障的诊断覆盖率仅为80％ （驾驶员将通过功能降级获悉失效）。 功能2有两个输入 （通过传感器I1和I2生成脉冲来测量轮速）和一个输出（通过I61控制阀1）， 其功能是当车速高于90km/h时打开阀1。 如果没有电流经过I61，阀1打开。 相关联的安全目标2是 “当速度超过 100km/h时关闭阀1的时间不得长于200 ms”。安全目标被 分配为ASIL C等级。安全状态为：阀1打开。 微控制器读取I1和I2的脉冲值。通过这些传感器给出的平均值计算轮速。安全机制2 （表中的 安全机制SM2）比较两个输入。SM2对每个输入的失效探测达到99%的诊断覆盖率。如果出现不一致， 输出1设为0。 阀1打开 （晶体管电压为 “0”则打开栅极。I61电压为 “0”则打开阀1）。因此，99% 可能导致违背安全目标的故障能被探测到并且进入安全状态。当安全状态被激活时，灯L1点亮。因此， 这些故障是100%能被察觉的。剩下的1%的故障是残余故障而不是潜伏故障。 控制T61的输出级被模拟量输入In ADC2 （表中的安全机制SM3）监控。 微控制器没有内部冗余。在此示例中，假定安全故障的比例为50％。并假定通过内部自检和外部 看门狗 （表中的安全机制SM4）达到对违背安全目标的总体覆盖率为90%。看门狗通过微控制器的输出 0得到喂狗信号。当看门狗不再被刷新，其输出变低。SM4 （看门狗和微控制器自检）提供的故障探测 把这两个功能切换到它们的安全状态并点亮L1。因此，针对潜伏故障的诊断覆盖率声称是100%。 L1是仪表板上的一个LED灯，当探测到多点失效 （其中只有一部分可以被探测到）时点亮它，并 提示驾驶员功能2 （打开阀1）的安全状态已被激活。 注1：在该示例中不考虑线束失效。 注2：用于一个给定电子元器件的故障模型可以根据应用而不同。 示例1：电阻的故障模型取决于硬件元器件是被用于数字输入 （例如 R11、R12、R13等）还是模拟输入 （例如 R3）。在 第一种情况下故障模型可以是 “开路/短路”，而在第二种情况下它可以是 “开路/短路/漂移”。 注3：第一个度量仅使用了目的是防止违背安全目标的安全机制的失效模式覆盖率。第二个度量仅使用了目的在于防止 失效模式变成潜伏的安全机制的失效模式覆盖率。 示例2：R21的失效模式 “开路”在缺乏安全机制时有违背安全目标2 的可能性。安全机制2 以99%的失效模式覆盖率 探测这种失效模式，并将系统切换到安全状态。当探测到这种失效模式，显示一个警告；针对潜伏失效的失效 模式覆盖率是100%。 注4：在本示例中，已考虑关于硬件要素失效模式分布的假设。如果没有表明或引用特定的失效模式分布，可以假设失 效模式平均分布。 53