原创 26262硬件电路功能安全示例

在上周写完文章以后，周岩兄又把ISO26265-5中那个例子进行汉化了一下，放在这里大家一起看看。这个例子，是通过相对简单的过程，来整理每个要求是怎么样实现的。如果前面一步步做好，后面就相对简单的一步步完成。而系统工程师和OEM的安全工程师，就要对前端的过程进行负责了，这个内容以后进行介绍。

ISO26262-5中，通过某硬件电路失效率的计算展示了如何进行定量地分析功能安全。失效分为单点故障和潜在多点故障。
一、硬件电路原理图
电路实现的功能如下：
1）MCU采集车速信号（I1、I2为车速传感器）；
2）当高车速时，MCU控制T61将阀门I61开路；
3）T61输出端由MCU的ADC2进行电压监测；
4）当检测出故障后，MCU将报警灯L1点亮，用以警示驾驶员。

二、安全目标
SG2（safety goal）：当车速>100 km/h时，需保证I61开路。安全目标等级：ASIL C。
安全状态：I61开路（当没有电流流过I6，则I61为开路状态）。

三、技术安全要求
安全机制（safety mechanism）

• SM2：冗余设计，采集I1、I2两路信号；

• SM3：MCU使用ADC2对T61进行电压检测；

• SM4：MCU内部自检和使用外置看门狗。

四、计算过程
使用的excel表格如下所示：

由于表格中的内容较多，此处仅对R11进行简单描述。
R11失效率2 Fit，其失效模式有两种：open和closed：
open失效占90%，其失效率2 Fit×90%=1.8 Fit；
closed失效占10%，其失效率2 Fit×10%=0.2 Fit。

单点故障失效的分析（即当其仅当R11出现故障）：
1）R11 open会导致车速信号采集有误，但由于采取了安全机制SM2，诊断覆盖率99%，即99%的故障可以被诊断出来（诊断覆盖率的具体数值，ISO26262中有推荐值）。但是，依然有1%的故障检测不出来，则失效率1.8 Fit×(1-99%)=0.018 Fit
2）R11 closed也会导致车速信号采集有误，采取安全机制SM2，则失效率0.2 Fit×(1-99%)=0.002 Fit

潜在多点故障失效的分析（R11出现故障且其它元件也出现故障，具体需借助FTA/FMEA进行共因失效分析）：
“R11 open”&“其它元件也出现故障”时，采取安全机制SM2和故障警示机制（报警灯L1），诊断覆盖率100%，则失效率0 Fit。
逐行进行定量分析后，进行累加，可以得到整个回路的失效率，计算结果如下所示：

 评估准则如下所示：
ASIL B >= 90%

ASIL C >= 97%

ASIL D >= 99%