工程最佳判断真的是“最佳”吗?(第1部分)
Chuck Battikha,西门子EDA服务验证与功能安全解决方案架构师开云体育平台登录
为了支持ISO 26262标准,汽车设计必须经过安全分析。
这通常使用FMEDA(失效模式效应和诊断分析)来完成。这是一个复杂的电子表格,试图确定ISO 26262所需的几个关键指标,特别是:
单点故障度量(SPFM),用于衡量安全关键逻辑受安全机制保护的程度。
潜在故障度量(LFM),一种衡量安全机制保护程度的指标。
这个FMEDA需要捕获的(在许多事情中)是一个设计中的元素列表(模块,块等),以及这些元素将如何受到安全机制的保护,由诊断覆盖率(DC)衡量:
| 元素列表 | 占总体设计的% | 元件故障率 | 有效的直流 | 主要安全机制 | 剩余故障率 | 等。 |
| 块一个 | 10% | 10%的BFR | 90% | 儿童权利公约 | (100%-90%) x 10% x BFR) | |
| 块B | 5% | 5%的BFR | 60% | 奇偶校验 | (100%-90%) x (5% x BFR) | |
| 等。 | ||||||
| 总计 | 100% | - - - - - - | - - - - - - | - - - - - - | 列和 |
图1:代表FMEDA
SPFM和LFM是顶层生成的基于总量的方程。
SPFM = 1 -(剩余故障率总和/安全相关元件总故障率)。
安全机制可以从冗余到奇偶校验到ECC到CRC,并在硬件、软件或两者中实现。开云体育官网入口FMEDA中的一些材料是机械的和直接的-这方面的一个例子是列出块及其按门、面积或晶体管计数的标准化贡献。
用你的“判断”…
然而,一些所需信息的派生可以被视为一种艺术形式。找到安全机制的DC的“如何”可以使用工程最佳判断.ISO 26262标准(在第5部分附录D和第11部分第5条款中)分别将高、中、低作为覆盖率为99%、90%和60%的标签。该标准甚至在这些部分中给出了DC的建议,工程师可以将其作为理由。
很简单,是吧?
然而,也有一些挑战:
- 第五部分附录D指出如果有证据支持所声称的诊断覆盖率,是否可以使用穷尽性和其他技术.”
- 该标准包括以下短语:有效性取决于.. .”“…可以减少诊断覆盖率,和更高的覆盖率是可能的……”。
所以最后,对于使用“工程最佳判断”来填写FMEDA的工程师来说,有相当多的东西可以留给解释(或想象)。因此,这种回旋余地导致了几个问题,其中包括:
- 这些解释的结果是什么?
- 为什么会有解释?
- 有没有更好的办法?
至于后果,有两种相互竞争的权衡。如果您的FMEDA确定一个块被安全机制(或一组机制)覆盖得比实际情况更好,那么指标(SPFM和LFM)将高于它们应该达到的水平——换句话说,设计可能不够安全.不正确的FMEDA可能会被客户或审核员发现,这可能会导致销售损失、认证损失,并且几乎肯定会导致工作产品甚至设计本身的昂贵重做。开云体育KENO快乐彩
不好的。
更糟糕的是,一个错误的FMEDA可能不会被抓到直到SoC/IP被设计到汽车中,并且在事故后调查后发现错误。
同样,也不好。
现在,如果你过于保守,你的设计可能会不必要地过度设计,由于增加的面积、工作量和开发时间而导致更高的成本。这可能会导致错过市场窗口和缺乏销售,因为没有竞争力的价格。例如,在设计中复制所有逻辑肯定会使其更安全——但(至少)成本是原来的两倍。
最后,您需要确信您的FMEDA是正确的。
FMEDA:所有人都是平等的吗?
为什么在设计中会有一系列的解释?简而言之,这是由于设计元素的复杂性,并且在典型的SoC中,需要分析大量的块。由于所需的细节量和详细分析的主观性质,这项工作可能令人难以承受。多年的经验表明,为相同设计创建fmeda的独立工程师不太可能始终得到相同的答案,尽管他们可能在许多方面达成一致(例如,对于步调一致的两个块,或对于受ECC保护的内存,他们可能会提出高覆盖率)。
但是,在一个更复杂的例子中会发生什么呢,比如一个自定义处理块,它结合了计时器、周期诊断和后诊断、数据路径上的奇偶校验,以及可能混合在一起的其他安全机制?
几乎可以肯定的是,根据每个工程师对设计细节的理解、经验水平、分配给任务的时间、进度压力等,在原理和细节水平上会有差异。
所以…
会如何一个FMEDA要比其他?
我们怎么知道呢?
尽管这两个fmeda都是基于工程最佳判断,我们仍然想知道:
这真的是最好的?
——————————————————————————————————————-
在我们对FMEDA的研究的第二部分中寻找更多信息…很快就会出现在这个博客页面!
同时,您可以在此免费白皮书中了解更多关于从西门子EDA专家简化FMEDA流程的信息:开云体育平台登录汽车安全自动化是一项繁琐的任务
如果您对FMEDA、功能安全或西门子EDA服务如何帮助您最大限度地提高验证成功率有任何疑问,请通过以下方式与我们联系开云体育平台登录:开云体育平台登录SiemensEDAServices.sisw@siemens.com.
