Come classificare i guasti in base alla ISO 26262 (Functional Safety)

Reading time: 6 minuti - Difficulty: Advanced
Come si definiscono le modalità di errore dei componenti per applicazioni nell’automotive? In questo articolo, vediamo quali sono i principali metodi di calcolo dell’affidabilità da svolgere durante la fase di sviluppo dell’hardware.

Tratti principali della ISO 26262

La serie di norme per la Functional Safety ISO 26262 è un adattamento della serie di norme IEC 61508 necessarie per soddisfare le esigenze specifiche del settore dei veicoli stradali.

Alcune peculiarità dello standard:

  • Fornisce un riferimento per il ciclo di vita della sicurezza nell’automotive e supporta l’adattamento delle attività da svolgere durante le fasi del ciclo di vita (ovvero sviluppo, produzione, funzionamento, assistenza e disattivazione)
  • Fornisce un approccio basato sul rischio specifico per il settore automobilistico per determinare i livelli di integrità, ossia i Livelli di integrità della sicurezza automobilistica (ASIL)
  • Utilizza gli ASIL per specificare quali dei requisiti della norma ISO 26262 sono applicabili per evitare un rischio residuo irragionevole

Introduzione alle metriche Hardware vs. Ciclo di vita della sicurezza

Il ciclo di vita secondo la ISO 26262 per la Functional Safety comprende le principali attività di sicurezza durante la fase di ideazione, sviluppo del prodotto, produzione, funzionamento, assistenza e disattivazione.

In merito alla classificazione dei guasti, questa è svolta durante la fase di sviluppo dell’hardware.

Prima di tutto, diamo una definizione al termine “Guasti”

  • Guasto (Failure): cessazione di un comportamento previsto di un elemento o di un elemento a causa di una manifestazione di guasto La cessazione può essere permanente o transitoria
  • Failure More: modo in cui un elemento o un elemento non riesce a fornire il comportamento previsto
  • Failure More Coverage (FMC): proporzione del tasso di guasto di una modalità di guasto di un elemento hardware che viene rilevato o controllato dal meccanismo di sicurezza implementato
  • Failure Rate: densità di probabilità di guasto divisa per probabilità di sopravvivenza per un elemento hardware

Si presume che il tasso di guasto sia costante ed è generalmente indicato come “λ”.

Do you want to help our page grow?

Vuoi aiutare la nostra pagina a crescere?

E poi, classifichiamo le modalità di guasto

  • Safe fault (S): errore il cui verificarsi non aumenterà in modo significativo la probabilità di violazione di un obiettivo di sicurezza
  • Single-point fault (SPF): guasto hardware in un elemento che porta direttamente alla violazione di un obiettivo di sicurezza e nessun guasto in quell’elemento è coperto da alcun meccanismo di sicurezza
  • Residual fault (RF): : parte di un guasto hardware casuale che di per sé porta alla violazione di un obiettivo di sicurezza, che si verifica in un elemento hardware, in cui quella parte del guasto hardware casuale non è controllata da un meccanismo di sicurezza
  • Multiple-Point Fault (MPF): singolo guasto che, in combinazione con altri guasti indipendenti, porta a un guasto multipunto
Il Multiple-Point Fault può verificarsi secondo tre modalità:
  1. Detected MPF: Multiple-Point Fault che viene rilevato, entro un tempo prestabilito, da un meccanismo di sicurezza, che ne impedisce la latenza
  2. Perceived MPF: Multiple-Point Fault la cui presenza viene dedotta dal conducente entro un intervallo di tempo prescritto
  3. Latent MPF: errore multipunto la cui presenza non è rilevata da un meccanismo di sicurezza né percepita dal conducente entro l’intervallo di rilevamento dell’errore multipunto

Dove λ è il guasto totale dell'elemento hardware legato alla sicurezza.

La classificazione serve a prendere delle decisioni

Lo schema sottostante riproduce il percorso decisionale per la classificazione delle modalità di errore:

Do you want to help our page grow?

Seguici su Linkedin

Fase successiva: valutazione delle metriche architetturali

Le metriche hardware (Hardware Architectural Metrics) servono proprio a valutare l’efficacia dell’architettura hardware rispetto alla sicurezza.

Il calcolo deve essere fatto per ogni obiettivo di sicurezza – definito nelle specifiche dei requisiti di sicurezza -, considerando l’intero hardware rilevante per la sicurezza (SR, HW).

Le metriche architetturali hardware devono essere valutate per ASIL C e D, consigliate per ASIL (B).
spfm lfm automotive

  • L’SPFM (Single-Point Failure Metric) è il parametro che riflette la robustezza dell’hardware rispetto ai guasti di tipo single-point e residui.
    Per esempio, una metrica di SPFM elevata implica che la percentuale di guasti a punto singolo e di guasti residui è bassa.
  • L’LFM (Latent Failure Metric) indica la robustezza dell’elemento rispetto ai guasti latenti. Un LFM elevato implica che la proporzione di errori latenti nell’hardware è bassa.

 

Ecco che l’ASIL si ottiene in funzione delle metriche dell’architettura hardware:

Come valutare invece i guasti hardware casuali?

Anche i guasti hardware casuali devono essere valutati per dimostrare che la probabilità di violazione dell’obiettivo di sicurezza dovuta a tali guasti è sufficientemente bassa.

Anche in questo caso, le metriche architetturali devono essere valutate per ASIL C e D, consigliate per ASIL (B).

Il metodo PMHF (Probabilistic Metric for Random Hardware Failures) è il più utilizzato e restituisce i valori di ASIL

Infine, è l’analisi FMEDA che chiude il cerchio della classificazione dei guasti

Per strutturare una classificazione metodica dei tassi di fallimento per ogni obiettivo di Functional Safety per la ISO 26262, può essere utilizzata la metodologia FMEDA.

Un esempio di calcolo completo attraverso l’analisi FMEDA: