日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機(jī)站
  • 小程序

    汽車測試網(wǎng)

  • 公眾號

    • 汽車測試網(wǎng)

    • 在線課堂

    • 電車測試

TüV北德功能安全論談第十六期:ASPICE 3.1硬件擴(kuò)展及ISO 26262硬件要求的一致性協(xié)調(diào) (上)

2021-02-26 10:37:18·  來源:TUV北德認(rèn)證  
 
在汽車行業(yè),隨著越來越多的汽車子系統(tǒng)變得與安全相關(guān),并因此受到ISO 26262的約束,評估硬件開發(fā)過程已成為關(guān)鍵的必要條件。ISO 26262是處理道路車輛電子功能安

在汽車行業(yè),隨著越來越多的汽車子系統(tǒng)變得與安全相關(guān),并因此受到ISO 26262的約束,評估硬件開發(fā)過程已成為關(guān)鍵的必要條件。ISO 26262是處理道路車輛電子功能安全的標(biāo)準(zhǔn)。ISO 26262依賴于系統(tǒng)、硬件和軟件開發(fā)的ASPICE過程,并通過定義如何確定汽車部件的安全完整性水平以及如何通過設(shè)計實(shí)現(xiàn)這些安全完整性的最新技術(shù)的特定條款和方法對其進(jìn)行了擴(kuò)展。硬件工程在這方面起著至關(guān)重要的作用,如果底層硬件出現(xiàn)缺陷,則即使是已成功測試并具有100%測試覆蓋率的軟件,也可能會產(chǎn)生錯誤。
 
汽車SPICE版本3.1已于2017年11月發(fā)布,VDA已于2018年1月發(fā)布了解釋指南ASPICE 3.1。其中,附錄D中的Automotive SPICE 3.1概述了硬件和機(jī)械SPICE評估模型概念。那么,如何進(jìn)行兩者硬件要求一致性協(xié)調(diào)?本文做了初步討論。
 
01、汽車SPICE 3.1硬件和機(jī)械模型概念
Automotive SPICE 3.1包含HWE.1至HWE.6過程的描述和基本實(shí)踐。HWE-SPICE包括以下過程:

HWE.1硬件需求分析

HWE.2硬件架構(gòu)設(shè)計

HWE.3硬件詳細(xì)設(shè)計

HWE.4硬件單元驗證

HWE.5硬件集成與集成測試

HWE.6硬件鑒定測試
 
下圖演示了Automotive SPICE 3.1中的硬件和機(jī)械模型概念。
 
圖片來源:Automotive SPICE®過程參考模型過程評估模型版本3.1
02、 硬件術(shù)語對應(yīng)關(guān)系
在Automotive SPICE中,軟件分解成的最小部分稱為SW單元。那么,什么是硬件單元的最小部分?功能安全(ISO 26262)規(guī)范包括硬件評估,因此ISO 26262規(guī)范的術(shù)語已經(jīng)被重新使用。然而,ISO 26262標(biāo)準(zhǔn)沒有定義硬件單元,而是定義了硬件要素和硬件部件。
 
硬件要素(ISO 26262)

ISO 26262: 系統(tǒng)(2.129)、組件(2.15,硬件、軟件)、硬件元器件(2.55)或軟件單元(2.125)

此范圍內(nèi)的硬件設(shè)備的最高級別

HWE.1要求與此級別相關(guān)

HWE.2描述了要素的體系結(jié)構(gòu)
 
硬件單元(新定義)

硬件單元是可以分配特定硬件子功能的最小硬件模塊。

HWE.3描述了這些硬件單元的詳細(xì)設(shè)計,這些硬件單元由硬件部分組成

下圖描述了一個架構(gòu),其中定義了硬件元素的硬件單元
圖片來源:網(wǎng)絡(luò)公開圖片
 
如圖所示,該模塊的功能是將230V轉(zhuǎn)換為12/5V的電源電路,這包括不同的硬件部件,并將它們集成到一個硬件單元中。硬件單元具有可映射到單元測試的功能,包括等效類測試:

在240V以上測試時,保險絲F1應(yīng)點(diǎn)火,無電壓輸出

在230±10V電壓范圍內(nèi)進(jìn)行測試,系統(tǒng)工作并提供12/5V電壓

硬件單元還可以包括診斷輸出,例如連接到ADC,然后將測量的電壓寫入寄存器
 
硬件部件(ISO 26262)

硬件的最低級別

在本適用范圍內(nèi)被認(rèn)為不可細(xì)分的部分

例如:電阻或集成電路IC
 
03 、需要集成的功能安全硬件要求
在ISO 26262中,安全審核是對產(chǎn)品的評估。在評估硬件時需要考慮的方面包括:
 
選擇受安全目標(biāo)影響的零件

受安全目標(biāo)影響的所有硬件部件都從安全目標(biāo)繼承ASIL(汽車安全完整性級別,ASIL A–D)。例如在轉(zhuǎn)向系統(tǒng)中,不產(chǎn)生超過駕駛員要求的扭矩。駕駛員轉(zhuǎn)向扭矩由扭矩傳感器測量,此扭矩由ECU(電子控制單元)計算,并用于控制電動馬達(dá),以便在轉(zhuǎn)向齒條/系統(tǒng)上提供此扭矩。此功能鏈中受安全目標(biāo)影響的每個硬件部分都標(biāo)有適當(dāng)?shù)腁SIL A-D級別。在轉(zhuǎn)向過程中,上述安全目標(biāo)被評定為ASIL–D。這包括:

控制器

扭矩傳感器

從扭矩傳感器到ASIC的連接器

轉(zhuǎn)換扭矩傳感器的ASIC/IC

ASIC與控制器之間的連接/總線

ECU上的存儲器

驅(qū)動馬達(dá)的電橋

電橋連接到電機(jī)和IC以提供相電流
 
失效率

FIT代表時間上的故障,用109個工作小時內(nèi)發(fā)生的危險失效來衡量。ASIL越高,硬件部件的可靠性就越高。安全目標(biāo)等級為ASIL D,例如需要達(dá)到10FIT,即10-8。109小時的觀測時間現(xiàn)在很容易達(dá)到,因為現(xiàn)在汽車的壽命估計為104小時,使用這個組件,車隊可能會超過100萬輛(106),總計104*106=1010小時。當(dāng)查看受安全目標(biāo)影響的單個硬件單元時,ISO 26262標(biāo)準(zhǔn)假設(shè)平均約100個此類組件,每個組件有10-10小時,因此100*10-10=10-8 (滿足10-8 ASIL–D目標(biāo))。
 
使用診斷覆蓋率來降低FIT

ISO 26262第5部分的附錄D包括了說明60%、90%或99%診斷覆蓋率的指導(dǎo)。簡化理解如下:

60%—僅接受范圍內(nèi)的值,因此系統(tǒng)僅使用有效值進(jìn)行計算

可以識別90%的漂移,因此如果傳感器開始漂移,可以檢測到偏差。這通常需要另一個單獨(dú)的通道和傳感器進(jìn)行比較。

99%—尖峰化,檢測到振蕩的影響

99.9%—與硬件制造商一起測試所有已知的現(xiàn)場問題并檢測故障

然后使用診斷覆蓋范圍來減少配合。例如:如果一個控制器的FIT為400,但在該體系結(jié)構(gòu)中,使用第二個不同的控制器來比較診斷覆蓋率增加到99%。如果檢測到所有已知的控制器錯誤(例如,兩個不同的控制器沒有相同的故障),診斷覆蓋率將增加到99.9%。然后,未檢測到危險錯誤的概率僅降低到1–0.999=0.001,然后將400配合減少到400*0.001=0.4。
 
單點(diǎn)故障和潛在故障

單點(diǎn)故障意味著如果單個硬件部件出現(xiàn)故障,則會出現(xiàn)危險錯誤。潛在故障是指硬件部分發(fā)生故障,診斷沒有檢測到故障,然后出現(xiàn)潛在故障。單點(diǎn)故障度量使用上述擬合和診斷覆蓋率。
 
分解策略

如果將ASIL–D分配給硬件單元,則需要做出設(shè)計決策,因為大多數(shù)情況下,無法以ASIL-D質(zhì)量獲得硬件單元/部件,通過使用兩種不同的獨(dú)立和多樣化的渠道,有助于將診斷覆蓋率提高到99.9%,從而消除FIT。因此,在大多數(shù)ASIL排名系統(tǒng)分解成平行的獨(dú)立單元。
 
安全使用HSI–軟硬件接口

HSI指定安全關(guān)鍵軟硬件接口,并分配原始變量和功能軟件變量。這允許監(jiān)控和測試影響安全系統(tǒng)行為的安全關(guān)鍵物理和軟件參數(shù)。
 
故障模式、影響和診斷分析及FTA

對于每個安全目標(biāo),受影響的硬件部件及其相關(guān)的診斷覆蓋率用于計算單點(diǎn)故障的總失效率。對于每個安全目標(biāo),受影響的硬件部件及其相關(guān)的診斷覆蓋率用于計算潛在故障的總失效率。還有更多這樣的設(shè)計策略,它們需要被集成到硬件SPICE評估模型中。
 
關(guān)于硬件開發(fā)流程的具體設(shè)計,我們將在下期具體說明。
分享到:
 
反對 0 舉報 0 收藏 0 評論 0
滬ICP備11026917號-25