ISO26262 Part 9 之 干系失效分析DFA/FFI的实用场景

1. 标准要求

• 通过分析其潜在缘故原由或引发因素，确认设计中充实表现了要求的独立性和免于干扰；
  
• 如有必要，界说安全措施，以减轻大概的干系失效；
  
  
  
  

免于干扰FFI：用于证明分配了差别ASIL等级的，或者无ASIL等级和有ASIL等级的要素可以共存；
免于干扰和不存在共因失效 DFA：用于证明在举行ASIL等级分解时的独立性；

2.干系失效分析思量架构特征：

• 相似的和不相似的冗余要素；
  
• 由雷同的软件和硬件要素实现的差别功能；
  
• 功能及其干系安全机制；
  
• 功能的分割或软件要素的分割；
  
• 硬件要素间的物理间距，有隔离或无隔离；
  
• 共同的外部资源；
  

在举行干系失效分析之前，需要分析各个要素的ASIL等级；
3. 需要DFA分析环境

定性或定量的安全分析（FMEA、FTA）可以作为DFA的输入，但与安全分析差别的是，DFA更加关注架构要素之间的耦合关系，实行DFA分析的目的是当架构设计中出现以下如图4所示的**四种环境（①~④）**时，通过DFA分析效果提供充实的证据这些环境存在的公道性：

需要实行DFA分析的四种环境
a. 环境①：架构设计中存在差别ASIL等级的要素，需要证明差别ASIL等级的安全要素之间免于干扰；
b.环境②：架构设计中存在ASIL等级的要素，又存在QM要素，需要证明安全要素与非安全要素之间免于干扰；
c. 环境③：开辟过程中应用了ASIL分解，需要证明冗余路径的独立性；
d. 环境④：设计中使用了安全机制，需要证明安全机制与被诊断要素之间的独立性；
针对环境①和环境②，当DFA不能提供充实的证据证明要素间的免于干扰时，则应按其影响的最高ASIL的要素开辟，

针对环境③，如果DFA不能提供充实的证据证明ASIL分解后的冗余路径之间的独立性，则分解后的需求不能低于原始需求的ASIL等级，这种环境下的ASIL分解是没有任何收益的，

环境④与环境③是雷同的，如果DFA不能提供充实的证据证明安全机制与被诊断要素之间的独立性，则该安全机制的有用性和诊断覆盖率都会受到威胁，

总的来说，在架构设计过程中实行的DFA，目的就是为了找出架构设计中的属于环境①~④，然后分析其存在的公道性，若发现存在干系失效的大概，则根据分析效果举行设计优化。
4. DFA分析的实施方法

ISO 26262-11:2018，4.7.6条款中给出DFA的完备分析流程，为了方便明白，此处提供一个简化版的流程，如图所示：

以下是针对图所示DFA流程的进一步阐明：
a. 010：架构设计（系统、硬件、软件架构设计），该步骤是DFA分析的输入；
– 泉源可以时FMEA和FTA的分析
–注1:系统性失效和随机硬件失效都有大概成为干系失效。
–注2:对干系失效的潜在大概性的辨认可基于演绎分析法,例如,割集检查或者FTA中重复的雷同变乱。
–注3:归纳分析法也可支持干系失效的潜在大概性的辨认,例如,在FMEA中多次出现的具有相似失效模式的相似元器件或组件。
b. 020：分析两个及以上要素之间是否存在DFI；DFI检查表是一种用于辨认DFI常用方法；
c. 030：分析耦合因素是否导致干系失效；
– 举个例子，
– 第一步目标辨认：假设我们的架构设计中存在PLL(锁相环，实现外部输入信号与内部震荡信号同步)和对其的监控电路CMC，它们之间的关系就属于功能电路和安全机制的关系，所以我们要分析这两者会不会发生干系失效。
– 第二部分析耦合因子的类型：我们分析后发现PLL和CMC共用了一个电源，因此就满意“共享资源”类型的耦合因子。
– 第三步失效分析：也就是目前的这个阶段，我们对这种环境分析后发现，如果共用电源电压过高或过低，PLL和CMC都无法工作，最终影响了产品安全目标的实现。因此我们就要订定安全措施来对此环境举行处理，也就是我们的下一个环节。
d. 040：分析030步骤产生的干系失效是否违背安全目标或安全需求；
e. 050：不违背安全目标或安全需求的干系失效按质量管理要求优化；
f. 060：分析是否有安全机制控制那些违背安全目标或安全需求的干系失效；
g. 070：违背安全目标或安全需求且无安全机制控制的干系失效按功能安全要求优化；
·· 通过上面的分析活动之后，进入到第四步订定措施，由于共享电源的故障会导致PLL和CMC的失效，最终违背安全目标，我们对电源增长独立的PVT监控电路（安全机制），当电源电压过高或过低时，PVT会检测到非常，并将非常上报给CPU举行故障诊断，最终效果大概会向外发送一个非常信号。从发现非常，到上报非常，再到系统发送出非常信号，整个过程会控制在60ms以内（其中发送出非常信号就是常常讲的安全状态，其中的60ms应小于它最终分配到的FTTI）。这些增长的安全措施最终都要通过一些验证或测试手段证明他的有用性。
h. 080：若已有安全机制控制违背安全目标或安全需求的干系失效，则举行下一组干系失效的分析，回到020步骤，直到所有干系失效的组合（即图4中满意①~④的所有环境）分析完成。
参考引用

以上部分内容摘自以下文章：https://mp.weixin.qq.com/s/Ume4i3DQCe3ICCKsraGo7A

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。