色色96,久久99国产视频,久久水蜜桃精品一二区

8.1.隨機硬件故障的分類

8.1.1概述

通常，所考慮的故障組合僅限于兩個獨立的硬件故障的組合，除非基于功能或技術安全概念的分析表明，n>2的n點故障是相關的。因此，對于給定的安全目標和給定的硬件元件，在大多數情況下，故障可以分為：

a.單點故障；

b.殘余故障；

c.可探測的雙點故障；

d.可感知的雙點故障；

e.潛在的雙點故障；或

f.安全故障。

對各種故障類別的解釋以及示例如下。

8.1.2單點故障

此故障：

?可以直接導致違反安全目標；及

?是硬件元器件的故障，它沒有至少一個安全機制。

例如：一種非監控電阻，至少有一種故障模式(例如：開路)有可能違反安全目標。

注意，如果硬件要素被至少一個安全機制覆蓋(例如：微控制器失控的看門狗)，那么它的任何故障都不被歸類為單點故障。安全機制不能防止違反安全目標的故障被歸類為殘余故障。

8.1.3殘余故障

本故障或零元器件本故障：

?直接導致違反安全目標；及

?是至少一個安全機制和這些安全所覆蓋的硬件元器件的故障，安全機制不會減輕或控制此故障或此故障的一部分。

示例：如果隨機訪問存儲器(RAM)模塊僅由棋盤RAM（OK？？？March test???）測試安全機制檢查，則不會檢測到某些類型的橋接故障。安全機制沒有防止由于這些故障而違反安全目標。這些故障是殘余故障的示例。

注：在這種情況下，安全機制的診斷覆蓋率小于100%。

8.1.4可探測的雙點故障

此故障：

?導致違反安全目標，但只能導致安全目標違反與其他獨立硬件故障相結合；及

?是通過一種安全機制來檢測的，它防止了它的潛在性。

示例1：受奇偶校驗保護的閃存：根據技術安全概念檢測并觸發反應的單比特故障，如關閉系統并通過警告燈通知駕駛員。

示例2：受糾錯碼(ECC)保護的閃存：通過測試檢測到ECC邏輯中的故障，并根據技術安全概念觸發反應，如通過警告燈通知駕駛員。

如果安全機制通過將相關項恢復到無故障狀態來減輕瞬態故障，則這種故障可以被視為檢測到的雙點故障，即使驅動器從未被告知其存在。

一個瞬態位翻轉，由ECC在數據提供給CPU之前進行校正，然后通過寫回正確的值進行校正。測井可以用來區分間歇故障和真實的瞬態故障。

注：雙點故障可分為初級雙點故障和次級雙點故障。主要的雙點故障本身不能導致安全目標違反，即使沒有安全機制來控制其故障。次級的雙點故障確實有可能違反安全目標，但存在一個安全機制，以減輕安全目標的違反。

8.1.5可感知的雙點故障

此故障：

?導致違反安全目標，但只會導致安全目標違反與其他獨立硬件故障相結合；及

?在規定的時間內由安全機制檢測或不檢測的駕駛員檢測。

示例：如果功能受到故障后果的顯著和明確影響，則駕駛員可以檢測到雙點故障。

注意，如果駕駛員檢測到雙點故障，以及通過安全機制檢測到，則可以將其歸類為檢測到的或檢測到的雙點故障。它不能被歸類為兩者，因為潛在故障度量將被錯誤地計算，因為一個故障隨后將導致檢測到的雙點故障以及檢測到的雙點故障，將此故障計數兩次。

8.1.6潛在的雙點故障

此故障：

導致違反安全目標，但只會導致違反安全目標與其他獨立故障相結合；及

既沒有被安全機制檢測到，也沒有被駕駛員檢測到。直到第二次獨立故障的發生，系統仍可操作，不通知駕駛員故障。

示例1：在受ECC保護的閃存的情況下：一個永久的單比特故障，當讀取時，該值被ECC校正，但在閃存中既沒有校正，也沒有發出信號。在這種情況下，故障不能導致安全目標違反（因為故障位被糾正)，但它既沒有檢測到(因為單位故障沒有信號)，也沒有檢測到(因為對應用程序的功能沒有影響）。如果在ECC邏輯中發生額外的故障，它可能導致對這個單位故障的控制喪失，導致潛在的違反安全目標。

示例2：在受ECC保護的閃存的情況下：ECC邏輯中的永久單個故障導致ECC不可用，并且沒有在最大故障處理時間間隔內檢測和控制。

8.1.7安全故障

安全故障可以是兩類故障之一：

a.n>2的全部n 點故障，除非安全概念表明它們是安全目標違反的相關貢獻者；或

b.不會導致違反安全目標的故障。

示例1：在受ECC保護的閃存和循環冗余檢查(CRC)的情況下：由ECC糾正但沒有信號的單比特故障。該故障被防止違反安全目標，但沒有被ECC發出信號。如果ECC邏輯失效，則由CRC檢測故障，系統關閉。只有當閃存中存在一個比特故障，并且ECC邏輯失效，CRC校驗和監督失效時，才能發生違反安全目標的情況(n=3)。

示例2：在三個電阻串聯連接以克服短路情況下單點故障的問題時，每個單獨電阻的短路可以被認為是安全故障，因為需要三個獨立的短路(n=3)。

故障分類和故障類別貢獻計算的8.1.8流程圖

硬件要素的故障模式可以分類，如ISO26262-5：2018的圖B所示。使用ISO26262-5：2018中描述的流程圖，圖B.2.圖10顯示了考慮不同失效模式(殘余VS)的基本故障率和覆蓋率的各種故障率的計算。潛在的)。

圖10-故障類別的分類和相應故障率的計算

A.故障模式有待分析。

B.λFMi，ith是與所考慮的硬件要素的故障模式相關的故障率，其中DFMI是故障模式的故障模式分布。

C.如果正在考慮的硬件元件的任何故障模式與安全相關，則硬件元器件與安全相關。

D.λFMi，nSR是“與安全無關”的故障率。

E.在單點故障度量中不考慮與安全無關的硬件元件的故障或者潛在故障度量。

F.λFMi，SR是“安全相關”的故障率，并考慮在單點故障度量和潛在故障度量中。

G.FFMi,safe是這種故障模式的安全故障的一部分。安全故障對違反安全目標沒有顯著貢獻。對于復雜的硬件要素(例如：微控制器)很難給出確切的比例。在這種情況下，保守的Fsafe為0.5(即。50%)可以假定。

H.λFMi，S是“安全”故障的故障率。

I.λFMi，S將有助于安全故障的總發生率。

J.λFMi，NS：“非安全”故障率。其中包括單點故障、殘余故障和多點故障(其中n=2)。

K.事實上，PVSG是非安全故障的一部分，有可能直接違反安全目標，而不考慮任何可能存在的安全機制來防止這一點。不需要額外的獨立故障來違反安全目標。

L.λFMi，PVSG是潛在直接違反安全目標的故障的故障率，而不考慮任何可能存在的安全機制來防止這一情況。

M.如果導致所考慮的故障模式的故障是單點故障，則決定。

單點故障沒有安全機制來防止正在考慮的硬件元器件的任何故障直接違反安全目標。

N.λFMi，SPF是“單點故障”的故障率。如果沒有至少一個安全機制來控制所考慮的硬件元器件的故障，所有導致λFMi的故障，PVSG是單點故障。

O.λFMi，SPF將導致單點故障的總發生率。

P.對于正在考慮的硬件元件，如果有至少一個安全機制阻止其至少一個故障模式直接違反安全目標，則導致正在考慮的故障的故障不是單點故障。在接下來的λFMi過程中，PVSG被分成殘余故障，并檢測、檢測和潛在的多點故障。

Q.什么比例的λFMi，PVSG被安全機制阻止違反安全目標？

這個分數相當于殘余故障的故障模式覆蓋(另見ISO26262-5：2018的附件E硬件架構度量的示例計算：“單點故障度量”和“潛在故障度量”)。KFMCi，RF是故障模式覆蓋的縮寫。

R.λFMi，RF是“殘余故障”故障率。

S.λFMi，RF對殘余故障的總發生率有貢獻。

T.λFMi，MPF，secondary是（secondary）“多點故障”的故障率,λFMi，PVSG，由安全機制控制。λFMi,MPF,secondaryisthe(secondary)“Multiple-PointFaults”failurerateresultingfromtheλFMi,PVSGthatarecontrolledbyasafetymechanism.

U.λFMi，MPF是由一級和二級多點故障引起的整體“多點故障”故障率。

V.識別檢測到的故障和未檢測到的故障。MPF是針對多點故障的故障模式覆蓋。

W.λFMi，MPF，det是“多點故障，檢測到”的故障率。

注意，如果主、次多點故障的故障模式覆蓋率不同，則可以以下方式計算檢測到的多點故障率：

λFMi,MPF,det=KFMCi,MPF,primary×λFMi,MPF,primary+KFMCi,MPF,secondary×λFMi,MPF,secondary

X.λFMi、MPF、det對檢測到的多點故障的總比率有貢獻。

Y.λFMi，MPF，pl是“多點故障，檢測或潛在”故障率。

注：如果主、次多點故障的故障模式覆蓋率不同，則可按以下方式計算檢測或潛在的多點故障率：

λFMi,MPF,pl=(1?KFMCi,MPF,primary)×λFMi,MPF,primary+(1?KFMCi,MPF,secondary)×λFMi,MPF,secondary

Z.FFMi,per是沒有檢測到但被駕駛員檢測的多點故障的一部分。

aa：λFMi，MPF，p是“多點故障，檢測”故障率。

注：如果初級和次級多點故障的檢測分數不同，則可按以下方式計算檢測多點故障率：