评估残余故障率λRF、传感器、单点故障率λSPF和单点故障度量MSPFM的方法
8.2.残余故障率的示例和局部单点故障度量评估.
8.2.1.总则
此示例演示了一种评估残余故障率λrf、传感器、单点故障率λspf和单点故障度量mspfm的本地化版本的方法,传感器的传感器。在本例中,将传感器与另一个传感器的值进行比较,其中两个传感器测量相同的物理量并具有已知的公差。传感器的值,a_master,由应用程序的一个特性使用。a_checker,其他传感器的值仅用于验证传感器a_master的值。
这种监控在iso26262-5:2018附件d中引用,作为“传感器合理性检查”或“输入比较/投票”。
在这个示例中,只对传感器a_master的故障进行了分类和评估。传感器a_检查器的故障在这里没有解决。
由于传感器a_master有一个安全机制定义,所有残余的故障,有可能违反安全目标,而不受控制(即。违反安全目标的行为没有得到防止)被归类为残余故障。单点故障率λspf为(每定义)等于零。
8.2.2.传感器a_master的技术安全需求.
传感器a_master安全操作的边界如图11所示,并被认为是在这个示例中给出的(即。从安全目标的推导在这里没有讨论)。可以用下列术语表示:
即:
μsafrel,a,min=max[cpvsg;v×(1+a)]
式中:
cpvsg:是一个常量;
μsafrel,a,min是传感器a_master的安全相关下界;
v:是要测量的物理值;
a:是一个常数。
当传感器发生安全相关的故障时
ma,master≥μsafrel,a,min
其中ma,master是传感器a_master报告的值。
安全需求是在tsena的最大故障处理时间间隔内检测和控制传感器a_master的安全相关故障。
说明:
1,安全相关的下界μsafrel,a,传感器a_master的最小值
2.具有零容忍的理想传感器的返回值(作为参考)
3.有可能违反安全目标的故障
图11-传感器a_master安全操作的边界
在图11中,x轴是要测量的实际物理值v,y轴是由传感器a_master报告的值ma,master。虚线显示理想传感器的返回值(即。具有零公差的传感器)作为参考。实线显示μsafrel,a,min。如果传感器a_master报告的值ma,master是在或以上的实线,违反安全目标可能发生。
8.2.3.安全机制的描述
要素的安全机制是传感器a_checker和由带有嵌入式软件的微控制器组成的监控硬件。该软件定期比较两个传感器的值,周期小于最大故障检测时间间隔tsena。评估由以下伪代码完成:
δa=ma,master–ma,checker
如果δa≥δmax那么失效是正确的
如果故障为真,则切换到安全状态
式中:
ma,master:是传感器a_master报告的值;
ma,checker:是传感器a_checker报告的值;
δmax:是一个预定义的常数最大阈值,用作通过/不通过准则。
假定传感器具有以下已知公差:
ma,master=v±ca,master
ma,checker=v±ca,checker
式中:
ma,master:是传感器a_master报告的值;
ma,checker:传感器a_checker报告的值;
ca,master:是表示传感器a_master公差的常数;
ca,checker:是表示传感器a_checker公差的常数;
v:是要测量的物理值。
选择值δmax,以便检测可能违反安全目标的传感器a_master的故障。为了防止错误的失效检测,选择δmax是考虑每个传感器的公差和其他公差总结在ca,其他例如。不同时间取样的影响:
δmax≥ca,master+ca,checker+ca,other
使用这种方法,不可探测的失效最坏的情况是:
μa,master,wc=ma,checker+δmax
=v+ca,checker+δmax
式中:
μa,master,wc:是最坏的情况检测阈值。ma,master传感器未被检测为故障的a_master;
ma,checker:是传感器a_checker报告的值;
δmax:是一个预定义的常数最大阈值,用作通过/不通过准则;
v:是要测量的物理值。
每个值ma,master等于或高于μa,master,wc被归类为传感器故障。
根据公差值,不同的检测场景是可能的。有两个示例如图12和图13所示。
说明:
1,安全相关的下界μsafrel,a,mi的传感器a_master
2,具有零容忍的理想传感器的返回值(作为参考)
3,最坏情况检测阈值μa,master,wc
4,可探测的双点故障
5,检测到的故障没有可能违反安全目标
6,残余故障
图12-最坏情况检测阈值(太高)的示例1
图12中的箭头表示三个区域。
区域5-“检测到的故障没有可能违反安全目标”是安全机制检测到的故障,因为它们高于最坏情况检测阈值μa,master,wc,但单独不会导致违反安全目标,因为它们低于安全相关的较低边界μsafrel,a,min。
区域4-“可探测的双点故障”是可能导致违反安全目标的故障,但被安全机制检测和减轻。它们都高于最坏情况检测阈值μa,master,wc和安全相关的下边界μsafrel,a,min。这些故障的双点性质意味着它需要安全机制和传感器的故障,以导致潜在的违反安全目标。
区域6-“残余故障”没有被安全机制检测到,直接导致违反安全目标。区域μsafrel,a,minm2;
传感器卡滞值mv2,此故障不具有违反安全目标的潜力。在接下来的分析中,考虑检测阈值以及物理值v及其概率分布,对故障作为残余故障的概率prf进行了评估。
8.2.4.2示例1:传感器卡滞在值m>m2故障.
如果v≤v2,则该故障有可能违反安全目标(见图15)。然而,传感器偏差总是高于最坏情况检测阈值μamaster,wc,因此及时检测和控制安全相关的传感器故障。每个故障都是检测到的双点故障。在v≤v2的情况下,残余故障的概率prf为零。如果v>v2,则故障并不总是有可能违反安全目标(参见图16)。如果故障有可能违反安全目标(图16,区域6),它将超过最坏的情况检测阈值,并及时检测。图16区域4和5的故障不能导致违反安全目标。
其中一些故障位于最坏情况检测阈值之上,并被检测到(图16,区域4)。在v>v2的情况下,残余故障的概率prf为零。
如果v≤v2,卡滞在m>m2的故障具有违背安全目标的潜在可能,因而它们不能被视为安全故障。因所有的故障在其导致违背安全目标前,都得到了探测和控制,它们是可探测的双点故障;因此,对于卡滞的m>m2故障,残余故障的概率prf_stuck@m2为零。
说明:
1,安全相关的下界μsafrel,a,传感器a_master的最小值
2,具有零容忍的理想传感器的返回值(作为参考)
3,最坏情况检测阈值μa,master,wc
4,可探测的双点故障
图15-卡滞在的故障分类-在m>m2故障,与v≤v2
说明:
1,安全相关的下界μsafrel,a,传感器a_master的最小值
2,具有零容忍的理想传感器的返回值(作为参考)
3,最坏情况检测阈值μa,master,wc
4,检测到的故障没有可能违反安全目标
5,没有检测到没有违反安全目标的潜在故障
6,可探测的双点故障
图16-卡滞的故障分类-在m>m2故障,与v>v2
8.2.4.3示例2:传感器卡滞在值m
图17显示了m说明:
1,安全相关的下界μsafrel,a,传感器a_master的最小值
2,具有零容忍的理想传感器的返回值(作为参考)
3,最坏情况检测阈值μa,master,wc
4,不可探测的安全故障
5,安全故障,检测到
图17-卡滞在的故障分类-在m
8.2.4.4示例3:传感器卡滞在值m∈[m1,m2]故障
违反安全目标的可能性和检测m∈的卡滞在故障[m1,m2]取决于当前的物理值v(见图18)。违反安全目标的风险取决于故障发生时v的当前值。在故障发生时,对v的三个不同间隔进行了评估,prf_stuck@m∈[m1,m2]
øvv2。
对于这些条件中的每一个,分别评估残余故障的概率。残余故障的最终概率是这三种概率的期望值:
说明:
1,安全相关的下界μsafrel,a,传感器a_master的最小值
2,具有零容忍的理想传感器的返回值(作为参考)
3,最坏情况检测阈值μa,master,wc
4,可探测的双点故障
5,不违反安全目标但仍不可探测的故障
6,残余故障
图18-在m∈[m1,m2]故障下的故障分类
根据v的电流值,故障可以检测到双点故障(区域4)、残余故障(区域6)或不具有违反安全目标的潜力(区域5)。
prf_stuck@m∈[m1,m2]=prf_stuck@m∈[m1,m2],vv2
式中:
prf_stuck@m∈[m1,m2]:卡滞在值m传感器故障的概率,与m∈[m1,m2],表现为残余故障;
prf_stuck@m∈[m1,m2],当故障发生时v
pvv2,则具有m∈[m1,m2]的卡滞在值m传感器故障的概率表现为残余故障;
pv>v2:是v>v2在故障发生时的时间点的概率;
pvv2=1。
如果v
值v迟早介于v1和v2之间,prf_stuck@m∈[m1,m2],v>v2=prf_stuck@m∈[m1,m2],v1≤v2。
如果v1≤v≤v2,则残余故障的概率prf_stuck@m∈[m1,m2],v1≤v2不为零。
它准确地确定留在残余断层区域的概率足够长,以导致潜在的违反安全目标并不简单。它可以相关于参数,如:
ø物理值v及其相应概率分布的动态行为,例如。温度值更多地是静态信号,而使用中的电动机的角度位置更多地是动态信号;
ø值v在v∈内的概率分布[v1,v2];
ø监控软件的反应时间,例如。由于过滤时间。在示例中,具有δa≥δmax的单个事件足以检测传感器故障并切换到安全状态。然而,实现错误计数器是一种常见的做法,因此为了评估传感器故障并切换到安全状态,需要多个事件。特别是错误计数器恢复,例如。一旦检测到一个与安全无关的事件(在本示例中,这将对应于δam2、prf_stuck@m
可以计算传感器在残余故障下卡滞的概率prf_stuck@m:
prf,stuck@m=prf,stuck@mm2
式中:
pmm2故障;
pm
8.2.4.5最终残余故障率评估
如果对每个相关的故障模式fmi进行与上述相同的评估,则可以计算传感器故障的总体概率prf、传感器本身表现为残余故障:
prf,sensor=spfm,i´prf,fm,i
式中:
pfm,i:是故障模式fmi的概率;
prf,fm,i:故障模式fmi表现为残余故障的概率;
这个概率,残余故障率,λrf,sensor,可以评估为:
λrf,sensor=prf,sensor×λrf,sensor
导致一个mspfm,sensor的z
8.2.4.6spfmsensor的提升
降低传感器残余故障率的一种有效方法是降低δmax的值。在下列条件下,如果不显著增加虚假检测,就可以减少δmax:
ø公差的概率分布可以表明,估计的最坏情况是非常不可能的。因此,误报的概率足够低,因此可以接受。
ø重新设计系统可以提高容忍值。
请注意,在本例中只评估传感器故障,而不是在残余的传感器路径中发生的故障。共享硬件资源的故障可能导致两个传感器的故障,或者可能伪造两个传感器的值,例如。对微控制器的adc进行了单独的评估。此外,在iso26262-9:2018第7条中给出的相关失效分析,已经完成。
原文标题:残余故障率的示例和局部单点故障度量评估iso26262:2018-10-8.2
文章出处:【微信公众号:汽车电子硬件设计】欢迎添加关注!文章转载请注明出处。
立洋光电商业照明COB光源CT1410灯珠的参数特征!
皮尔博格的三相无传感器换向循环水泵让电动汽车泵噪音更低
CWDM技术和DWDM技术之间的区别是怎样的
海信的激光卷轴智能电视惊艳亮相于CES 2020
比特币的趋势将不再影响加密市场
评估残余故障率λRF、传感器、单点故障率λSPF和单点故障度量MSPFM的方法
位移传感器的好坏从哪些方面判断
汽车仪表板及车身控制设计
oppor11什么时候上市?oppor11最新消息:oppor11已无悬念,售价劲爆你买吗?
云母电容是什么
Fastweb和Linkem签署合作协议,共同加速5G固定无线接入网络的部署
无线网状网分别与Wi-Fi、3G、WiMAX详细比较分析
称重传感器原理与应用知识
瑞萨电子推出的RL78/F1微控制器非常适用于汽车应用
一种新颖的电流连续模式功率因数校正电路的研究
光绘及菲林复制常见问题和对策
三星电子业绩出现触底反弹的迹象 开始为中国工厂订购生产设备力争实现新一轮增长
浅谈高速连接器的选择及注意事项
双组份导热凝胶在5G通讯领域的应用
索尼Xperia XZ2日子难过,排名比XZ1还要低5位
8.2.1.总则
此示例演示了一种评估残余故障率λrf、传感器、单点故障率λspf和单点故障度量mspfm的本地化版本的方法,传感器的传感器。在本例中,将传感器与另一个传感器的值进行比较,其中两个传感器测量相同的物理量并具有已知的公差。传感器的值,a_master,由应用程序的一个特性使用。a_checker,其他传感器的值仅用于验证传感器a_master的值。
这种监控在iso26262-5:2018附件d中引用,作为“传感器合理性检查”或“输入比较/投票”。
在这个示例中,只对传感器a_master的故障进行了分类和评估。传感器a_检查器的故障在这里没有解决。
由于传感器a_master有一个安全机制定义,所有残余的故障,有可能违反安全目标,而不受控制(即。违反安全目标的行为没有得到防止)被归类为残余故障。单点故障率λspf为(每定义)等于零。
8.2.2.传感器a_master的技术安全需求.
传感器a_master安全操作的边界如图11所示,并被认为是在这个示例中给出的(即。从安全目标的推导在这里没有讨论)。可以用下列术语表示:
即:
μsafrel,a,min=max[cpvsg;v×(1+a)]
式中:
cpvsg:是一个常量;
μsafrel,a,min是传感器a_master的安全相关下界;
v:是要测量的物理值;
a:是一个常数。
当传感器发生安全相关的故障时
ma,master≥μsafrel,a,min
其中ma,master是传感器a_master报告的值。
安全需求是在tsena的最大故障处理时间间隔内检测和控制传感器a_master的安全相关故障。
说明:
1,安全相关的下界μsafrel,a,传感器a_master的最小值
2.具有零容忍的理想传感器的返回值(作为参考)
3.有可能违反安全目标的故障
图11-传感器a_master安全操作的边界
在图11中,x轴是要测量的实际物理值v,y轴是由传感器a_master报告的值ma,master。虚线显示理想传感器的返回值(即。具有零公差的传感器)作为参考。实线显示μsafrel,a,min。如果传感器a_master报告的值ma,master是在或以上的实线,违反安全目标可能发生。
8.2.3.安全机制的描述
要素的安全机制是传感器a_checker和由带有嵌入式软件的微控制器组成的监控硬件。该软件定期比较两个传感器的值,周期小于最大故障检测时间间隔tsena。评估由以下伪代码完成:
δa=ma,master–ma,checker
如果δa≥δmax那么失效是正确的
如果故障为真,则切换到安全状态
式中:
ma,master:是传感器a_master报告的值;
ma,checker:是传感器a_checker报告的值;
δmax:是一个预定义的常数最大阈值,用作通过/不通过准则。
假定传感器具有以下已知公差:
ma,master=v±ca,master
ma,checker=v±ca,checker
式中:
ma,master:是传感器a_master报告的值;
ma,checker:传感器a_checker报告的值;
ca,master:是表示传感器a_master公差的常数;
ca,checker:是表示传感器a_checker公差的常数;
v:是要测量的物理值。
选择值δmax,以便检测可能违反安全目标的传感器a_master的故障。为了防止错误的失效检测,选择δmax是考虑每个传感器的公差和其他公差总结在ca,其他例如。不同时间取样的影响:
δmax≥ca,master+ca,checker+ca,other
使用这种方法,不可探测的失效最坏的情况是:
μa,master,wc=ma,checker+δmax
=v+ca,checker+δmax
式中:
μa,master,wc:是最坏的情况检测阈值。ma,master传感器未被检测为故障的a_master;
ma,checker:是传感器a_checker报告的值;
δmax:是一个预定义的常数最大阈值,用作通过/不通过准则;
v:是要测量的物理值。
每个值ma,master等于或高于μa,master,wc被归类为传感器故障。
根据公差值,不同的检测场景是可能的。有两个示例如图12和图13所示。
说明:
1,安全相关的下界μsafrel,a,mi的传感器a_master
2,具有零容忍的理想传感器的返回值(作为参考)
3,最坏情况检测阈值μa,master,wc
4,可探测的双点故障
5,检测到的故障没有可能违反安全目标
6,残余故障
图12-最坏情况检测阈值(太高)的示例1
图12中的箭头表示三个区域。
区域5-“检测到的故障没有可能违反安全目标”是安全机制检测到的故障,因为它们高于最坏情况检测阈值μa,master,wc,但单独不会导致违反安全目标,因为它们低于安全相关的较低边界μsafrel,a,min。
区域4-“可探测的双点故障”是可能导致违反安全目标的故障,但被安全机制检测和减轻。它们都高于最坏情况检测阈值μa,master,wc和安全相关的下边界μsafrel,a,min。这些故障的双点性质意味着它需要安全机制和传感器的故障,以导致潜在的违反安全目标。
区域6-“残余故障”没有被安全机制检测到,直接导致违反安全目标。区域μsafrel,a,minm2;
传感器卡滞值mv2,此故障不具有违反安全目标的潜力。在接下来的分析中,考虑检测阈值以及物理值v及其概率分布,对故障作为残余故障的概率prf进行了评估。
8.2.4.2示例1:传感器卡滞在值m>m2故障.
如果v≤v2,则该故障有可能违反安全目标(见图15)。然而,传感器偏差总是高于最坏情况检测阈值μamaster,wc,因此及时检测和控制安全相关的传感器故障。每个故障都是检测到的双点故障。在v≤v2的情况下,残余故障的概率prf为零。如果v>v2,则故障并不总是有可能违反安全目标(参见图16)。如果故障有可能违反安全目标(图16,区域6),它将超过最坏的情况检测阈值,并及时检测。图16区域4和5的故障不能导致违反安全目标。
其中一些故障位于最坏情况检测阈值之上,并被检测到(图16,区域4)。在v>v2的情况下,残余故障的概率prf为零。
如果v≤v2,卡滞在m>m2的故障具有违背安全目标的潜在可能,因而它们不能被视为安全故障。因所有的故障在其导致违背安全目标前,都得到了探测和控制,它们是可探测的双点故障;因此,对于卡滞的m>m2故障,残余故障的概率prf_stuck@m2为零。
说明:
1,安全相关的下界μsafrel,a,传感器a_master的最小值
2,具有零容忍的理想传感器的返回值(作为参考)
3,最坏情况检测阈值μa,master,wc
4,可探测的双点故障
图15-卡滞在的故障分类-在m>m2故障,与v≤v2
说明:
1,安全相关的下界μsafrel,a,传感器a_master的最小值
2,具有零容忍的理想传感器的返回值(作为参考)
3,最坏情况检测阈值μa,master,wc
4,检测到的故障没有可能违反安全目标
5,没有检测到没有违反安全目标的潜在故障
6,可探测的双点故障
图16-卡滞的故障分类-在m>m2故障,与v>v2
8.2.4.3示例2:传感器卡滞在值m
1,安全相关的下界μsafrel,a,传感器a_master的最小值
2,具有零容忍的理想传感器的返回值(作为参考)
3,最坏情况检测阈值μa,master,wc
4,不可探测的安全故障
5,安全故障,检测到
图17-卡滞在的故障分类-在m
违反安全目标的可能性和检测m∈的卡滞在故障[m1,m2]取决于当前的物理值v(见图18)。违反安全目标的风险取决于故障发生时v的当前值。在故障发生时,对v的三个不同间隔进行了评估,prf_stuck@m∈[m1,m2]
øvv2。
对于这些条件中的每一个,分别评估残余故障的概率。残余故障的最终概率是这三种概率的期望值:
说明:
1,安全相关的下界μsafrel,a,传感器a_master的最小值
2,具有零容忍的理想传感器的返回值(作为参考)
3,最坏情况检测阈值μa,master,wc
4,可探测的双点故障
5,不违反安全目标但仍不可探测的故障
6,残余故障
图18-在m∈[m1,m2]故障下的故障分类
根据v的电流值,故障可以检测到双点故障(区域4)、残余故障(区域6)或不具有违反安全目标的潜力(区域5)。
prf_stuck@m∈[m1,m2]=prf_stuck@m∈[m1,m2],v
式中:
prf_stuck@m∈[m1,m2]:卡滞在值m传感器故障的概率,与m∈[m1,m2],表现为残余故障;
prf_stuck@m∈[m1,m2],当故障发生时v
pv>v2:是v>v2在故障发生时的时间点的概率;
pvv2=1。
如果v
如果v1≤v≤v2,则残余故障的概率prf_stuck@m∈[m1,m2],v1≤v2不为零。
它准确地确定留在残余断层区域的概率足够长,以导致潜在的违反安全目标并不简单。它可以相关于参数,如:
ø物理值v及其相应概率分布的动态行为,例如。温度值更多地是静态信号,而使用中的电动机的角度位置更多地是动态信号;
ø值v在v∈内的概率分布[v1,v2];
ø监控软件的反应时间,例如。由于过滤时间。在示例中,具有δa≥δmax的单个事件足以检测传感器故障并切换到安全状态。然而,实现错误计数器是一种常见的做法,因此为了评估传感器故障并切换到安全状态,需要多个事件。特别是错误计数器恢复,例如。一旦检测到一个与安全无关的事件(在本示例中,这将对应于δam2、prf_stuck@m
prf,stuck@m=prf,stuck@mm2
式中:
pm
pm
如果对每个相关的故障模式fmi进行与上述相同的评估,则可以计算传感器故障的总体概率prf、传感器本身表现为残余故障:
prf,sensor=spfm,i´prf,fm,i
式中:
pfm,i:是故障模式fmi的概率;
prf,fm,i:故障模式fmi表现为残余故障的概率;
这个概率,残余故障率,λrf,sensor,可以评估为:
λrf,sensor=prf,sensor×λrf,sensor
导致一个mspfm,sensor的z
8.2.4.6spfmsensor的提升
降低传感器残余故障率的一种有效方法是降低δmax的值。在下列条件下,如果不显著增加虚假检测,就可以减少δmax:
ø公差的概率分布可以表明,估计的最坏情况是非常不可能的。因此,误报的概率足够低,因此可以接受。
ø重新设计系统可以提高容忍值。
请注意,在本例中只评估传感器故障,而不是在残余的传感器路径中发生的故障。共享硬件资源的故障可能导致两个传感器的故障,或者可能伪造两个传感器的值,例如。对微控制器的adc进行了单独的评估。此外,在iso26262-9:2018第7条中给出的相关失效分析,已经完成。
原文标题:残余故障率的示例和局部单点故障度量评估iso26262:2018-10-8.2
文章出处:【微信公众号:汽车电子硬件设计】欢迎添加关注!文章转载请注明出处。
立洋光电商业照明COB光源CT1410灯珠的参数特征!
皮尔博格的三相无传感器换向循环水泵让电动汽车泵噪音更低
CWDM技术和DWDM技术之间的区别是怎样的
海信的激光卷轴智能电视惊艳亮相于CES 2020
比特币的趋势将不再影响加密市场
评估残余故障率λRF、传感器、单点故障率λSPF和单点故障度量MSPFM的方法
位移传感器的好坏从哪些方面判断
汽车仪表板及车身控制设计
oppor11什么时候上市?oppor11最新消息:oppor11已无悬念,售价劲爆你买吗?
云母电容是什么
Fastweb和Linkem签署合作协议,共同加速5G固定无线接入网络的部署
无线网状网分别与Wi-Fi、3G、WiMAX详细比较分析
称重传感器原理与应用知识
瑞萨电子推出的RL78/F1微控制器非常适用于汽车应用
一种新颖的电流连续模式功率因数校正电路的研究
光绘及菲林复制常见问题和对策
三星电子业绩出现触底反弹的迹象 开始为中国工厂订购生产设备力争实现新一轮增长
浅谈高速连接器的选择及注意事项
双组份导热凝胶在5G通讯领域的应用
索尼Xperia XZ2日子难过,排名比XZ1还要低5位