本篇属于汽车功能安全专题系列第21篇内容,很多朋友在社区提问有关硬件要素评估的问题,网络上相关内容也比较少,所以我们今天来聊聊硬件要素评估相关内容。
开始阅读之前强烈建议参考之前系列文章:
硬件要素评估,是ISO 26262第8部分支持过程内容之一,和软件组件的鉴定是并列的内容。很多朋友搞不清楚,硬件要素产生的背景,I类,II类,III类硬件要素特点是什么,具体问题包括:
我们为什么要做硬件要素评估?
硬件要素分类有哪些?区分的要点是什么,特点是什么,有哪些实例?
硬件要素评估,为什么需要重点考虑系统性失效问题,而不是硬件随机失效?
硬件要素评估测试究竟需要测试什么?
带着这些问题,我们开始今天的内容。
Q: 我们为什么要做硬件要素评估?
Q: 硬件要素分类有哪些?区分的要点是什么,特点是什么,有哪些实例?
在硬件要素的评估中,所考虑的硬件要素,根据其特性分为 I 类要素、II类要素或 III 类要素,这样分类的目的在于,反映安全相关功能验证的难度,以及硬件要素在安全概念中的作用。
根据ISO 26262-8:2018内容,硬件要素可以分为:
I 类要素
定义:
— 该要素没有或少数几种工作状态,且这几种状态可以从安全的视角被充分地表征、测试和分析;
— 可以在不了解该要素的实现细节和生产过程的情况下,识别并评估该要素的安全相关的失效模式;
— 该要素没有与安全概念相关的控制或探测其内部失效的内部安全机制;
要点:
— 极少数工作状态+ 没有内部安全机制
特点:
— 只要集成后的硬件满足相关安全需求即可。
I类要素示例:
电阻、电容 、二极管、晶体管、引脚 LDO、电平转换器 、简单逻辑门 、PTC温度传感器等简单传感器。
II 类要素
定义:
— 该要素没有与安全概念相关的控制或探测其内部失效的内部安全机制;
要点:
特点:
— 需要评估计划和证据,证明要素的工作性能;
— 可以使用分析和测试的方法对其进行评估;
II类要素示例:
运算放大器 OP AMPS、模数转换器 ADC、数模转换器 DAC、DC/DC转换器、CAN/LIN 收发器、相对简单的传感器(例如,燃油压力传感器,温度传感器)
III 类要素
定义:
要点:
特点:
— 推荐采用ISO 26262硬件开发过程对其进行开发,硬件要素评估不是首选方案;
— 需要评估计划和证据,证明要素的工作性能;
— 需要提供额外措施,证明由于系统性失效而违背安全目标或违背安全要求的风险足够低;
— 可以使用分析和测试的方法对其进行评估;
III类要素示例:
微处理器、微控制器、SOC(片上系统)、多通道 PMIC、电机驱动器、高功能SBC
不知道朋友们有没有注意到,在III类要素评估中,需要采用额外措施,论证要素系统性失效问题要足够低,个人觉得有两个方面的原因:
1
2
硬件要素随机失效问题会在更高的集成层面,通过概率度量化指标进行约束
首先需要明确的是,针对硬件要素评估的测试,是功能和性能的测试,具体来讲,体现在两个方面:
1
这部分测试及分析内容为硬件要素本身功能层面的基本测试。
2
在特定项目背景下,该硬件要素是否能够实现分配至该硬件要素的安全需求。
当然,如果硬件要素本身比较简单,可以通过分析的方式证明,则也可以接受。
当然,对于III类硬件要素,例如,控制器,推荐直接采用ISO 26262规范开发,在开发过程中会集成I类,II类要素,其评估内容见上面内容,但如果非要采用要素评估手段,其评估过程基本上和ISO 26262-5:2018硬件开发过程一致,可以直接参考相应的测试手段和方法。
写在最后:
硬件要素评估相关内容我们就聊完了,希望能够给朋友们对其带来更多理解。
AUTO世代知识店铺已上线,包括: 付费社区,AUTOTalk,AUTO课堂精品线上课程,坚持高品质原创输出,部分课程限时特价,精彩不容错过。付费不是最终目的,只是想让这个平台走的更远,更宽,感兴趣的朋友直接长按下方二维码了解。
END
【点赞】和【在看】= 原创的动力
多谢【点赞】和【在看】
