Come classificare i guasti in base alla ISO 26262 (Functional Safety)

Reading time: 6 minuti - Difficulty: avanzato
Come si definiscono le modalità di errore dei componenti per applicazioni nell’automotive? In questo articolo, vediamo quali sono i principali metodi di calcolo dell’affidabilità da svolgere durante la fase di sviluppo dell’hardware.

Tratti principali della ISO 26262

La serie di norme per la Functional Safety ISO 26262 è un adattamento della serie di norme IEC 61508 necessarie per soddisfare le esigenze specifiche del settore dei veicoli stradali.

Alcune peculiarità dello standard:

  • Fornisce un riferimento per il ciclo di vita della sicurezza nell’automotive e supporta l’adattamento delle attività da svolgere durante le fasi del ciclo di vita (ovvero sviluppo, produzione, funzionamento, assistenza e disattivazione)
  • Fornisce un approccio basato sul rischio specifico per il settore automobilistico per determinare i livelli di integrità, ossia i Livelli di integrità della sicurezza automobilistica (ASIL)
  • Utilizza gli ASIL per specificare quali dei requisiti della norma ISO 26262 sono applicabili per evitare un rischio residuo irragionevole

 

Introduzione alle metriche Hardware vs. Ciclo di vita della sicurezza

Il ciclo di vita secondo la ISO 26262 per la Functional Safety comprende le principali attività di sicurezza durante la fase di ideazione, sviluppo del prodotto, produzione, funzionamento, assistenza e disattivazione.

In merito alla classificazione dei guasti, questa è svolta durante la fase di sviluppo dell’hardware.

26262 ciclo di vita

 

Approfondimenti consigliati:

 

Prima di tutto, diamo una definizione al termine “Guasti”

  • Guasto (Failure): cessazione di un comportamento previsto di un elemento o di un elemento a causa di una manifestazione di guasto La cessazione può essere permanente o transitoria
  • Failure More: modo in cui un elemento o un elemento non riesce a fornire il comportamento previsto
  • Failure More Coverage (FMC): proporzione del tasso di guasto di una modalità di guasto di un elemento hardware che viene rilevato o controllato dal meccanismo di sicurezza implementato
  • Failure Rate: densità di probabilità di guasto divisa per probabilità di sopravvivenza per un elemento hardware

Si presume che il tasso di guasto sia costante ed è generalmente indicato come “λ”.

definizione guasti 26262

Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin

 

E poi, classifichiamo le modalità di guasto

  • Safe fault (S): errore il cui verificarsi non aumenterà in modo significativo la probabilità di violazione di un obiettivo di sicurezza
  • Single-point fault (SPF): guasto hardware in un elemento che porta direttamente alla violazione di un obiettivo di sicurezza e nessun guasto in quell’elemento è coperto da alcun meccanismo di sicurezza
  • Residual fault (RF): : parte di un guasto hardware casuale che di per sé porta alla violazione di un obiettivo di sicurezza, che si verifica in un elemento hardware, in cui quella parte del guasto hardware casuale non è controllata da un meccanismo di sicurezza
  • Multiple-Point Fault (MPF): singolo guasto che, in combinazione con altri guasti indipendenti, porta a un guasto multipunto

 

Il Multiple-Point Fault può verificarsi secondo tre modalità:

  1. Detected MPF: Multiple-Point Fault che viene rilevato, entro un tempo prestabilito, da un meccanismo di sicurezza, che ne impedisce la latenza
  2. Perceived MPF: Multiple-Point Fault la cui presenza viene dedotta dal conducente entro un intervallo di tempo prescritto
  3. Latent MPF: errore multipunto la cui presenza non è rilevata da un meccanismo di sicurezza né percepita dal conducente entro l’intervallo di rilevamento dell’errore multipunto

 

faul classification path 26262

Dove λ è il guasto totale dell’elemento hardware legato alla sicurezza.

 

La classificazione serve a prendere delle decisioni

Lo schema sottostante riproduce il percorso decisionale per la classificazione delle modalità di errore:

 

diagramma albero guasti 26262

Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin

 

Fase successiva: valutazione delle metriche architetturali

Le metriche hardware (Hardware Architectural Metrics) servono proprio a valutare l’efficacia dell’architettura hardware rispetto alla sicurezza.

Il calcolo deve essere fatto per ogni obiettivo di sicurezza – definito nelle specifiche dei requisiti di sicurezza -, considerando l’intero hardware rilevante per la sicurezza (SR, HW).

Le metriche architetturali hardware devono essere valutate per ASIL C e D, consigliate per ASIL (B).
spfm lfm automotive

  • L’SPFM (Single-Point Failure Metric) è il parametro che riflette la robustezza dell’hardware rispetto ai guasti di tipo single-point e residui.
    Per esempio, una metrica di SPFM elevata implica che la percentuale di guasti a punto singolo e di guasti residui è bassa.
  • L’LFM (Latent Failure Metric) indica la robustezza dell’elemento rispetto ai guasti latenti. Un LFM elevato implica che la proporzione di errori latenti nell’hardware è bassa.

 

Ecco che l’ASIL si ottiene in funzione delle metriche dell’architettura hardware:
metriche hardware vs asil

Come valutare invece i guasti hardware casuali?

Anche i guasti hardware casuali devono essere valutati per dimostrare che la probabilità di violazione dell’obiettivo di sicurezza dovuta a tali guasti è sufficientemente bassa.

Anche in questo caso, le metriche architetturali devono essere valutate per ASIL C e D, consigliate per ASIL (B).

Il metodo PMHF (Probabilistic Metric for Random Hardware Failures) è il più utilizzato e restituisce i valori di ASIL:

random fault vs asil

 

Approfondimenti consigliati:

 

Infine, è l’analisi FMEDA che chiude il cerchio della classificazione dei guasti

Per strutturare una classificazione metodica dei tassi di fallimento per ogni obiettivo di Functional Safety per la ISO 26262, può essere utilizzata la metodologia FMEDA.

analisi fmeda in automotive

 

Un esempio di calcolo completo attraverso l’analisi FMEDA:

fmeda esempio automotive

 

Vuoi saperne di più su come implementare i requisiti ISO 26262?

IEC 61508 e IEC 61800-5-2 a confronto

Caratteristiche delle due norme La IEC 61508 e la IEC 61800-5-2 forniscono entrambe le linee guida dettagliate per garantire la sicurezza e l’affidabilità dei dispositivi elettrici e dei convertitori di frequenza utilizzati in un’ampia gamma di applicazioni industriali. Ma la IEC 61508 “Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems” è una norma di sicurezza funzionale […]

Read more
Byhon Logo bianco

Iscriviti alla nostra newsletter per restare aggiornato
su news e eventi di Functional Safety e
Industrial Cyber Security

ISCRIVITI
close-link
Send this to a friend