需要实行DFA分析的四种环境
a. 环境①:架构设计中存在差别ASIL等级的要素,需要证明差别ASIL等级的安全要素之间免于干扰;
b.环境②:架构设计中存在ASIL等级的要素,又存在QM要素,需要证明安全要素与非安全要素之间免于干扰;
c. 环境③:开辟过程中应用了ASIL分解,需要证明冗余路径的独立性;
d. 环境④:设计中使用了安全机制,需要证明安全机制与被诊断要素之间的独立性;
针对环境①和环境②,当DFA不能提供充实的证据证明要素间的免于干扰时,则应按其影响的最高ASIL的要素开辟,
ISO 26262-11:2018,4.7.6条款中给出DFA的完备分析流程,为了方便明白,此处提供一个简化版的流程,如图所示:
以下是针对图所示DFA流程的进一步阐明:
a. 010:架构设计(系统、硬件、软件架构设计),该步骤是DFA分析的输入; – 泉源可以时FMEA和FTA的分析
–注1:系统性失效和随机硬件失效都有大概成为干系失效。
–注2:对干系失效的潜在大概性的辨认可基于演绎分析法,例如,割集检查或者FTA中重复的雷同变乱。
–注3:归纳分析法也可支持干系失效的潜在大概性的辨认,例如,在FMEA中多次出现的具有相似失效模式的相似元器件或组件。
b. 020:分析两个及以上要素之间是否存在DFI;DFI检查表是一种用于辨认DFI常用方法;
c. 030:分析耦合因素是否导致干系失效;
– 举个例子,
– 第一步目标辨认:假设我们的架构设计中存在PLL(锁相环,实现外部输入信号与内部震荡信号同步)和对其的监控电路CMC,它们之间的关系就属于功能电路和安全机制的关系,所以我们要分析这两者会不会发生干系失效。
– 第二部分析耦合因子的类型:我们分析后发现PLL和CMC共用了一个电源,因此就满意“共享资源”类型的耦合因子。
– 第三步失效分析:也就是目前的这个阶段,我们对这种环境分析后发现,如果共用电源电压过高或过低,PLL和CMC都无法工作,最终影响了产品安全目标的实现。因此我们就要订定安全措施来对此环境举行处理,也就是我们的下一个环节。
d. 040:分析030步骤产生的干系失效是否违背安全目标或安全需求;
e. 050:不违背安全目标或安全需求的干系失效按质量管理要求优化;
f. 060:分析是否有安全机制控制那些违背安全目标或安全需求的干系失效;
g. 070:违背安全目标或安全需求且无安全机制控制的干系失效按功能安全要求优化;
·· 通过上面的分析活动之后,进入到第四步订定措施,由于共享电源的故障会导致PLL和CMC的失效,最终违背安全目标,我们对电源增长独立的PVT监控电路(安全机制),当电源电压过高或过低时,PVT会检测到非常,并将非常上报给CPU举行故障诊断,最终效果大概会向外发送一个非常信号。从发现非常,到上报非常,再到系统发送出非常信号,整个过程会控制在60ms以内(其中发送出非常信号就是常常讲的安全状态,其中的60ms应小于它最终分配到的FTTI)。这些增长的安全措施最终都要通过一些验证或测试手段证明他的有用性。
h. 080:若已有安全机制控制违背安全目标或安全需求的干系失效,则举行下一组干系失效的分析,回到020步骤,直到所有干系失效的组合(即图4中满意①~④的所有环境)分析完成。
参考引用
