Приложение D (справочное). Оценка охвата диагностикой. Национальный стандарт РФ ГОСТ Р ИСО 26262-5-2021 "Дорожные транспортные средства. Функциональная безопасность. Часть 5. Разработка аппаратных средств изделия" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 25.10.2021 N 1278-ст)

Приложение D
(справочное)

Оценка охвата диагностикой

D.1 Общие положения

Настоящее приложение применяют:

a) при оценке охвата диагностикой для получения обоснования:

- соответствия с метриками одиночного сбоя и скрытого сбоя, определенными в разделе 8;

- соответствия оценки недостижения цели безопасности из-за случайных отказов аппаратных средств, как это определено в разделе 9;

b) в качестве руководства по выбору соответствующих механизмов безопасности, которые должны быть реализованы в Э/Э архитектуре для обнаружения отказов элементов.

На рисунке D.1 представлена общая структура аппаратных средств встроенной системы. Типичные виды отказов элементов аппаратных средств этой системы приведены в таблице D.1. Каждый элемент из левой колонки связан с одним или более видами отказов, которые рассматриваются в правых от элемента колонках. Перечень не претендует на полноту и может быть дополнен известными видами отказов или связанными с конкретным применением.

На дополнительные требования к механизмам безопасности, связанным с этими сбоями элементов, в каждой строке дается ссылка (на таблицы D.2 - D.14). Эффективность этих типовых механизмов безопасности для данных элементов классифицируется в соответствии с их способностью охвата вышеперечисленных сбоев для достижения низкого (60 %), среднего (90 %) или высокого (99 %) охвата диагностикой этого элемента.

Определение для видов сбоев и соответствующих им механизмов безопасности уровней охвата диагностикой может отличаться от представленного в таблице D.1 в зависимости:

a) от разнообразия источников вида сбоя, выявляемого диагностикой;

b) эффективности механизма безопасности;

c) конкретной реализации механизма безопасности;

d) выбора времени выполнения механизма безопасности (периодичности);

e) реализованных в системе технологий аппаратных средств;

f) вероятности видов отказов аппаратных средств системы;

g) результатов более детального анализа видов сбоев и их классификации на ряд подклассов с различными уровнями охвата диагностикой.

Таким образом, таблица D.1 содержит рекомендации, которые могут быть применены на основе анализа элементов системы.

Эти рекомендации не учитывают конкретные ограничения, которые могут быть указаны в концепции безопасности, чтобы избежать недостижения целей безопасности. Эти ограничения, такие, например, как временные аспекты (периодичность диагностики), не учитываются при оценке общего типового охвата диагностикой механизмов безопасности. Они будут рассмотрены при оценке конкретного охвата диагностикой механизмов безопасности, используемых в устройстве, чтобы избежать недостижения их целей безопасности.

Пример - Согласно настоящему приложению механизм безопасности может обеспечить высокое значение общего типового охвата диагностикой, но если используемый интервал диагностических проверок более, чем интервал диагностических проверок, необходимый для обеспечения соответствующего временного интервала сбоеустойчивости, то реальный охват диагностикой для предотвращения недостижения цели безопасности будет значительно ниже.

Поэтому таблицы D.2 - D.10 могут быть использованы для начальной оценки охвата диагностикой этих механизмов безопасности, а заявленные значения охвата диагностикой обеспечиваются надлежащим обоснованием (например, методами внесения дефектов или аналитическими расчетами). Кроме того, данная информация предназначена, чтобы помочь определить виды отказов элемента; однако соответствующие виды отказов в конечном счете зависят от применения, в котором используются эти элементы.

Таблицы D.2 - D.10 дополняют требования таблицы D.1, давая рекомендации по методам диагностических тестов. Методы и средства, представленные в таблицах D.1 - D.10, не являются исчерпывающими. Могут быть использованы и другие методы, если представлены подтверждения, что они обеспечивают необходимый охват диагностикой. Если это оправданно, то можно оценить более высокий охват диагностикой, вплоть до 100 % для простых или сложных элементов.

Рисунок D.1 - Общая структура аппаратных средств системы

Таблица D.1 - Анализируемые виды отказов

Элемент	См. таблицы	Анализируемые виды отказов
Общие элементы
Э/Э системы	D.2 Э/Э системы	Общие виды отказов отсутствуют. Необходим детальный анализ
Электрические элементы
Переключатели	D.3 Электрические элементы	Невключение или неотключение. Залипание отдельных контактов
Соединительные жгуты, включая холодную пайку и разъемы		Обрыв цепи. Сопротивление контакта. Короткое замыкание на массу (связь по постоянному току). Короткое замыкание напряжения аккумулятора. Короткое замыкание между соседними контактами. Дрейф сопротивления между контактами
Датчики, включая переключатели сигналов	D.9 Датчики	Необходим детальный анализ. Типичные виды охватываемых отказов: - недопустимые значения; - уходы нуля; - постоянные значения в рабочем диапазоне; - колебания. См. также 5.5 ИСО 26262-11 об интегрированных датчиках и преобразователях
Исполнительные элементы (исполнительные механизмы, сигнальные лампы, звуковые устройства, экраны компьютеров...)	D.10 Исполнительные механизмы	Общие виды отказов отсутствуют. Необходим детальный анализ
Общие полупроводниковые элементы
Источник питания	D.7 Источник питания	Дрейф и колебания. Пониженное и повышенное напряжение. Перепады напряжения. См. также 5.2 ИСО 26262-11
Тактовый генератор	D.8 Контроль последовательности выполнения программы/тактовый генератор	Некорректная частота. Неустойчивая синхронизация. См. также 5.2 ИСО 26262-11
Постоянная память	ИСО 26262-11, таблица 32	См. 5.1 ИСО 26262-11, таблица 29
Память с произвольным доступом	ИСО 26262-11, таблица 33	См. 5.1 ИСО 26262-11, таблица 29
Цифровое устройство ввода/вывода	D.5 Аналоговое и цифровое устройство ввода/вывода	Некорректный сигнал на входе/выходе. См. также 5.1 ИСО 26262-11, таблица 30
Аналоговое устройство ввода/вывода		Некорректный сигнал на входе/выходе. См. также 5.1 ИСО 26262-11, таблица 36
Устройство обработки	D.4 Устройства обработки/D.8 Контроль последовательности выполнения программы/тактовый генератор	Некорректный сигнал на выходе. См. также 5.1 ИСО 26262-11, таблица 30
Коммуникации
Передача данных (подлежит анализу согласно D.2.4 ИСО 26262-6)	D.6 Коммуникационная шина (последовательная, параллельная)	Отказ коммуникационного узла сети. Повреждение сообщения. Недопустимая задержка сообщения. Потеря сообщения. Непреднамеренное повторение сообщения. Некорректная последовательность сообщений. Внесение сообщения. Нелегальное проникновение сообщения. Некорректная адресация сообщения
Примечания 1 Соответствующие виды отказов и модели сбоев определяются в каждом конкретном случае и, как правило, зависят от используемой технологии и реализации. Подробнее о моделях сбоев в полупроводниках см. в 4.3.1 ИСО 26262-11. Пример - Если элемент имеет виды отказов х, у и z с распределением видов отказов X, Y, Z, то эффективный охват диагностикой вычисляется следующим образом: , где K DC - охват диагностикой элемента аппаратного средства; X - распределение вида отказов х; K FMC, х определяет охват вида отказа х; Y - распределение вида отказов у; K FMC, y определяет охват вида отказа у; Z - распределение вида отказов z; K FMC, z определяет охват вида отказа z; и X + Y + Z = 100 %. 2 Для получения подробной информации о взаимосвязи между моделями сбоев, видами отказов и соответствующим распределением для полупроводников см. 4.3 ИСО 26262-11.

Таблица D.2 - Э/Э системы

Механизмы/меры безопасности	См. обзор методов	Типичный диагностический охват, считающийся достижимым	Примечания
Обнаружение отказов путем мониторинга в режиме онлайн	D.2.1.1	Низкий	Зависит от охвата диагностикой обнаружения отказов
Компаратор	D.2.1.2	Высокий	Зависит от качества сравнения
Схема голосования по мажоритарному принципу	D.2.1.3	Высокий	Зависит от качества устройства голосования
Динамические подходы	D.2.2.1	Средний	Зависит от охвата диагностикой обнаружения отказов
Аналоговый мониторинг цифровых сигналов	D.2.2.2	Низкий	-
Программное самотестирование с перекрестным обменом между двумя независимыми модулями	D.2.3.3	Средний	Зависит от качества самотестирования

Таблица D.3 - Электрические элементы

Механизмы/меры безопасности	См. обзор методов	Типичный диагностический охват, считающийся достижимым	Примечания
Обнаружение отказов путем мониторинга в режиме онлайн	D.2.1.1	Высокий	Зависит от охвата диагностикой обнаружения отказов
Примечание - В данной таблице рассматриваются только механизмы безопасности, предназначенные для электрических элементов. Общие методы, такие как метод, основанный на сравнении данных (см. D.2.1.2), также способны обнаруживать отказы электрических элементов, но не включены в данную таблицу (включены в таблицу D.2).

Примечание - Следующие таблицы рассматривают механизмы безопасности, применяемые в основном к компонентам на уровне системы. Более подробно механизмы безопасности, которые могли бы быть интегрированы в компонент, описаны в следующих подразделах ИСО 26262-11:

- 5.1 - для цифровых компонентов;

- 5.2 - для аналоговых и смешанных компонентов;

- 5.3 - для программируемых логических устройств;

- 5.4 - для многоядерных компонентов;

- 5.5 - для датчиков и преобразователей.

Таблица D.4 - Устройства обработки

Механизмы/меры безопасности	См. обзор методов	Типичный диагностический охват, считающийся достижимым	Примечания
Программное самотестирование: ограниченное количество комбинаций (одноканальное)	D.2.3.1	Средний	Зависит от качества самотестирования
Программное самотестирование: с перекрестным обменом между двумя независимыми модулями	D.2.3.3	Средний	Зависит от качества самотестирования
Самотестирование, обеспечиваемое аппаратными средствами (одноканальное)	D.2.3.2	Средний	Зависит от качества самотестирования
Резервирование программного обеспечения с разнообразием (в одном канале аппаратных средств)	D.2.3.4	Высокий	Зависит от качества разнообразия. Отказы общего вида могут уменьшить значение охвата диагностикой
Взаимное сравнение программным обеспечением	D.2.3.5	Высокий	Зависит от качества сравнения
Резервирование аппаратных средств (жесткая двухъядерная конфигурация, асимметричное резервирование, запрограммированная обработка)	D.2.3.6	Высокий	Зависит от качества резервирования. Отказы общего вида могут уменьшить значение охвата диагностикой
Тестирование регистра конфигурации	D.2.3.7	Высокий	Только для регистров конфигурации
Выявление переполнения стека/потери значимости	D.2.3.8	Низкий	Тестирование только границ стека
Интегрированный контроль согласованности аппаратных средств	D.2.3.9	Высокий	Охватывает только недопустимые исключительные состояния аппаратных средств
Примечание - В данной таблице рассматриваются только механизмы безопасности, предназначенные для устройств обработки. Общие методы, такие как метод, основанный на сравнении данных (см. D.2.1.2), также способны обнаруживать отказы электрических элементов, но не включены в данную таблицу (включены в таблицу D.2).

Таблица D.5 - Аналоговые и цифровые устройства ввода/вывода

Механизмы/меры безопасности	См. обзор методов	Типичный диагностический охват, считающийся достижимым	Примечания
Обнаружение отказов путем мониторинга в режиме онлайн (цифровой ввод/вывод) a	D.2.1.1	Низкий	Зависит от охвата диагностикой обнаружения отказов
Тестирующая комбинация	D.2.4.1	Высокий	Зависит от типа комбинации
Кодовая защита для цифрового ввода/вывода	D.2.4.2	Средний	Зависит от типа кодирования
Многоканальное параллельное выходное устройство	D.2.4.3	Высокий	-
Средство контроля выходов	D.2.4.4	Высокий	Только если изменяется поток данных во время интервала диагностических проверок
Сравнение/голосование на входе (1оо2, 2оо3 или более высокий уровень резервирования)	D.2.4.5	Высокий	Только если изменяется поток данных во время интервала диагностических проверок
а Цифровой ввод/вывод может быть периодическим.

Таблица D.6 - Коммуникационная шина (последовательная, параллельная)

Механизмы/меры безопасности	См. обзор методов	Типичный диагностический охват, считающийся достижимым	Примечания
Однобитовая избыточность аппаратных средств	D.2.5.1	Низкий	-
Многобитовая избыточность аппаратных средств	D.2.5.2	Средний	-
Повторное считывание отправленного сообщения	D.2.5.9	Средний	-
Полная избыточность аппаратных средств	D.2.5.3	Высокий	Отказы общего вида могут уменьшить значение охвата диагностикой
Анализ с использованием тестирующих комбинаций	D.2.5.4	Высокий	-
Избыточность при передаче	D.2.5.5	Средний	Зависит от типа избыточности. Эффективен только для кратковременных сбоев
Информационная избыточность	D.2.5.6	Средний	Зависит от типа избыточности
Счетчик блоков данных	D.2.5.7	Средний	-
Мониторинг получения блоков данных по времени	D.2.5.8	Средний	-
Сочетание информационной избыточности, счетчика блоков данных и мониторинга получения блоков данных по времени	D.2.5.6, D.2.5.7 и D.2.5.8	Высокий	Для систем без резервирования аппаратных средств или тестирующих комбинаций высокий охват может потребоваться для сочетания этих механизмов безопасности

Таблица D.7 - Источник питания

Механизмы/меры безопасности	См. обзор методов	Максимально достижимый рассматриваемый охват диагностикой	Примечания
Управление напряжением или током (вход)	D.2.6.1	Низкий	-
Управление напряжением или током (выход)	D.2.6.2	Высокий	-

Таблица D.8 - Контроль последовательности выполнения программ/синхронизация

Механизмы/меры безопасности	См. обзор методов	Типичный диагностический охват, считающийся достижимым	Примечания
Сторожевое устройство с отдельной временной базой без временного окна	D.2.7.1	Низкий	-
Сторожевое устройство с отдельной временной базой и временным окном	D.2.7.2	Средний	Зависит от временного ограничения для временного окна
Логический контроль последовательности выполнения программ	D.2.7.3	Средний	Эффективен только для отказов синхронизации, если внешние временные события влияют на логический процесс выполнения программы. Обеспечивает охват внутренних отказов технических средств (например, ошибки частоты прерывания), которые могут вызвать нарушение последовательности выполнения программного обеспечения
Сочетание временного и логического контроля последовательности выполнения программ	D.2.7.4	Высокий	-
Сочетание временного и логического контроля последовательности выполнения программ с временной зависимостью	D.2.7.5	Высокий	Обеспечивает охват внутренних отказов технических средств, которые могут вызвать нарушение последовательности выполнения программного обеспечения. При реализации асимметричных проектов обеспечивает охват последовательности коммуникаций между основным устройством и устройством контроля. Примечание - Метод должен быть разработан с учетом неустойчивости синхронизации при выполнении прерываний, загрузки ЦП и т.д.

Таблица D.9 - Датчики

Механизмы/меры безопасности	См. обзор методов	Типичный диагностический охват, считающийся достижимым	Примечания
Обнаружение отказов путем мониторинга в режиме онлайн	D.2.1.1	Низкий	Зависит от охвата диагностикой обнаружения отказов
Тестирующая комбинация	D.2.4.1	Высокий	-
Сравнение/голосование на входе (1оо2, 2оо3 более высокий уровень резервирования)	D.2.4.5	Высокий	Только если изменяется поток данных во время интервала диагностических проверок
Допустимый диапазон датчика	D.2.8.1	Низкий	Обнаруживает короткие замыкания на массу или на шину питания и некоторые обрывы цепи
Корреляция сигналов датчика	D.2.8.2	Высокий	Обнаруживает отказы в диапазоне работы датчика
Проверка корректности функционирования датчика	D.2.8.3	Средний	-

Таблица D.10 - Исполнительные элементы

Механизмы/меры безопасности	См. обзор методов	Типичный диагностический охват, считающийся достижимым	Примечания
Обнаружение отказов путем мониторинга в режиме онлайн	D.2.1.1	Низкий	Зависит от охвата диагностикой обнаружения отказов
Тестирующая комбинация	D.2.4.1	Высокий	-
Мониторинг (т.е. согласованность управления)	D.2.9.1	Высокий	Зависит от охвата диагностикой обнаружения отказов

D.2 Обзор методов для встроенного диагностического самотестирования

D.2.1 Электрические устройства

Главная цель. Управление отказами в электромеханических элементах.

D.2.1.1 Обнаружение отказов путем мониторинга в режиме онлайн

Примечание - Ссылка на данный механизм/меру приведена в таблицах D.2, D.3, D.5, D.9 и D.10.

Цель. Обнаружить отказы путем мониторинга функционирования системы в процессе ее установленной эксплуатации (в режиме онлайн).

Описание. При определенных условиях отказы могут быть обнаружены с использованием информации, например, о функционировании системы во времени. Например, если коммутатор нормально активизируется и если при этом коммутатор не изменяет состояния за предполагаемое время, то этот отказ может быть обнаружен. Обычными способами невозможно локализовать такой отказ.

Примечание - В общем случае не существует конкретного элемента аппаратных средств, реализующего план мониторинга в режиме онлайн. Мониторинг в режиме онлайн обнаруживает отличное от предписанного функционирование системы при определенных условиях ее срабатывания. Например, если такой параметр инвертируется, когда скорость транспортного средства отличается от нуля, то обнаружение несоответствия между этим параметром и скоростью транспортного средства приводит к обнаружению отказа.

D.2.1.2 Компаратор

Примечание - Ссылка на данный механизм/меру приведена в таблице D.2.

Цель. Оперативно обнаружить (неодновременные) отказы в независимом программном обеспечении или аппаратных средствах.

Описание. Выходные сигналы независимых аппаратных средств или выходная информация независимого программного обеспечения циклически или непрерывно сравниваются компаратором. Обнаруженные различия формируют информацию для сообщения об отказе. Например, два устройства обработки обмениваются данными (включая результаты, промежуточные результаты и тестовые данные) друг с другом. Сравнение данных осуществляется с использованием программного обеспечения в каждом блоке, и обнаруживаемые различия приводят к сообщению об отказе.

D.2.1.3 Схема голосования по мажоритарному принципу

Примечание - Ссылка на данный механизм/меру приведена в таблице D.2.

Цель. Обнаружить и осуществить реакцию на отказы по меньшей мере в одном из трех аппаратных каналов.

Описание. Для обнаружения и осуществления реакции на отказы используется модуль голосования, реализующий мажоритарный принцип (2 из 3, 3 из 4 или m из n).

Примечание - В отличие от компаратора метод голосования по мажоритарному принципу повышает готовность путем обеспечения функциональных возможностей резервного канала даже после потери одного из каналов.

D.2.2 Электронные элементы

Главная цель. Управлять отказами в полупроводниковых элементах.

D.2.2.1 Динамические подходы

Примечание - Ссылка на данный механизм/меру приведена в таблице D.2.

Цель. Обнаружить статические отказы путем динамической обработки сигналов.

Описание. Принудительное изменение других статических сигналов (генерируемых извне или внутри) помогает обнаруживать статические отказы в элементах. Этот метод часто используется для электромеханических элементов.

D.2.2.2 Аналоговый мониторинг цифровых сигналов

Примечание - Ссылка на данный механизм/меру приведена в таблице D.2.

Цель. Повысить доверие к измеряемым сигналам.

Описание. Двоичный сигнал оценивается на аналоговом уровне для обнаружения недопустимых уровней сигнала.

Пример - Выходной сигнал электронного ключа имеет высокий уровень в закрытом состоянии и низкий уровень в открытом состоянии. Мониторинг определяет, находится ли выходной уровень в указанных диапазонах. Указанные диапазоны выбирают таким образом, чтобы короткое замыкание на землю, короткое замыкание на шину питания и обрыв соединения приводили к недопустимым уровням.

D.2.3 Устройства обработки

Главная цель. Выявлять отказы, которые приводят к некорректным результатам в устройствах обработки.

D.2.3.1 Программное самотестирование

Примечание - Ссылка на данный механизм/меру приведена в таблице D.4.

Цель. Как можно раньше с помощью программного обеспечения выявлять отказы в устройстве обработки и в других подэлементах, состоящих из физических запоминающих устройств (например, в регистрах), или в функциональных блоках (например, в дешифраторе команд или в шифраторе/дешифраторе устройства обнаружения и коррекции ошибок), или в обоих типах устройств.

Описание. Обнаружение отказа полностью реализуется программным обеспечением, которое выполняет самотестирование, используя комбинацию данных или набор комбинаций данных для проверки физической памяти (например, регистров данных и адреса), или функциональных блоков (например, дешифратора команд), или того и другого.

Примеры

1 Модуль обработки данных проверяется на корректность функционирования посредством использования по меньшей мере одного шаблона на инструкцию. Инструкции, не выполняемые в связанных с безопасностью программах, могут быть исключены из тестирования, но может быть ограничен охват, поскольку не все логические элементы процессора будут проверены. Возможно, что не все выделенные и специальные регистры, основные таймеры и исключительные состояния могут быть охвачены. Может быть ограничен охват зависимостей в последовательности команд, которая реализуется при конвейерной обработке, или видов сбоев, связанных с синхронизацией. Определение фактического охвата тестируемых логических элементов (в отличие от охваченных инструкций), как правило, требует всестороннего моделирования сбоев. Данный тест дает очень ограниченные (или не дает вовсе) возможности оценки охвата исправимых ошибок.

2 В случае подэлементов, таких как шифратор/дешифратор устройства обнаружения и коррекции ошибок (EDC), программное обеспечение может прочитать предварительно написанные специально поврежденные слова для тестирования функционирования логики EDC. Поврежденные слова могут быть написаны с помощью самого программного теста, если EDC и интерфейс памяти имеют аппаратный переключатель для доступа как к данным, так и к битам кода. Охват зависит от количества и разнообразия шаблонов. Данный тест не обеспечивает охват исправимых ошибок.

D.2.3.2 Самотестирование, обеспечиваемое аппаратными средствами (одноканальное)

Примечание - Ссылка на данный механизм/меру приведена в таблице D.4.

Цель. Как можно раньше выявлять отказы в устройстве обработки и в других подэлементах, используя специальные аппаратные средства, которые увеличивают скорость и расширяют их область применения при обнаружении отказов.

Описание. Дополнительные специальные аппаратные средства обеспечивают функции самотестирования для обнаружения отказов в процессоре и других подэлементах (например, в шифраторе/дешифраторе EDC) на уровне логических элементов. Данный тест может обеспечить высокий охват. Как правило, он запускается в процессе инициализации или отключения процессора вследствие его интрузивной природы (средства тестирования внедряются и влияют на режим работы процессора). Обычно он используется для обнаружения множественного сбоя.

Пример - В случае подэлементов, таких как шифратор/дешифратор EDC, может быть добавлен реализованный на аппаратных средствах и выполняющий встроенное самотестирование логики специальный механизм для генерации входных комбинаций для шифратора/дешифратора и проверки ожидаемых результатов. Как правило, входные данные создаются генератором случайных чисел. Охват данного метода зависит от количества и разнообразия комбинаций, но обычно охват достаточно высок в связи с автоматической генерацией комбинаций. Данный тест не обеспечивает охват исправимых ошибок.

D.2.3.3 Программное самотестирование с перекрестным обменом между двумя независимыми модулями

Примечание - Ссылка на данный механизм/меру приведена в таблицах D.2 и D.4.

Цель. Как можно раньше выявлять отказы в устройстве обработки, состоящем из физических запоминающих устройств (например, в регистрах) и функциональных устройств (например, в дешифраторе команд).

Описание. Обнаружение отказа реализуется только с помощью двух или более устройств обработки, программное обеспечение каждого из которых выполняет дополнительные функции, которые осуществляют самотестирование (например, используя комбинацию блуждающих битов) для проверки физической памяти (регистров данных и адресов) и функциональных устройств (например, дешифраторов команд). Затем устройства обработки обмениваются результатами. Данный тест имеет очень ограниченные (или не имеет вовсе) возможности оценки охвата исправимых ошибок.

D.2.3.4 Резервирование программного обеспечения с разнообразием (в одном канале аппаратных средств)

Примечание - Ссылка на данный механизм/меру приведена в таблице D.4.

Цель. Как можно раньше выявлять отказы в устройстве обработки динамическим сравнением программного обеспечения.

Описание. Проект состоит из двух резервированных различных реализаций программного обеспечения в одном канале аппаратных средств. В некоторых случаях использование различных ресурсов аппаратных средств (например, использование RAM и ROM различного размера) может увеличить охват диагностикой.

Одна из реализаций называется "Основной путь". Она отвечает за расчеты, ошибка в которых может привести к опасности. Вторая реализация "Резервный путь" несет ответственность за проверку расчетов по основному пути и принимает меры, если сбой обнаружен. Часто резервный путь реализуется с использованием других алгоритмических конструкций и другого кода для обеспечения разнообразия программного обеспечения. После завершения вычисления по обоим путям осуществляется сравнение выходных данных двух резервированных программных реализаций. Выявленные различия приводят к сообщению об отказе (см. рисунок D.2). Проект включает в себя методы для координации двух путей и повторной синхронизации путей для исправимых ошибок.

Рисунок D.2 - Сравнение резервированного программного обеспечения в одном устройстве обработки

В целом сравнение включает в себя некоторый тип гистерезиса и фильтрации, что допускает незначительные различия, связанные с разными путями реализации программного обеспечения. Примером разнообразия алгоритмов являются: А + В = С вместо С - В = А, и при этом один путь использует обычные расчеты, а другой путь - математику дополнительного двоичного кода. Результат резервного пути может быть столь же простым, как проверка величины или предела скорости в расчетах по основному пути.

Примечание - В связи с возможными отказами по общей причине для проверки функционирования основного контроллера с помощью диагностических запросов и ответов (см. [21]) между основным и резервным путями может быть использован дополнительный сторожевой процессор.

Другим вариантом этого механизма безопасности является реализация резервного пути как точной копии основного пути (или реализация основного пути дважды). Такая версия без резервированного программного обеспечения реализует охват только исправимых ошибок. Средний охват может быть достигнут, если код выполняется в третий раз с известными входными значениями, генерируя выходные, которые должны быть проверены сравнением с набором ожидаемых результатов. Результаты этого метода имеют очень четкий критерий "прошел/не прошел" (предполагается, что сравниваемые результаты точно совпадают) и легкую реализацию (резервный канал не разрабатывается). Однако поскольку один и тот же код выполняется несколько раз, то данная концепция требует сохранения предыстории параметров (например, динамических состояний, интеграторов, ограничений скорости и т.д.).

D.2.3.5 Взаимное сравнение программным обеспечением в отдельных устройствах обработки

Примечание - Ссылка на данный механизм/меру приведена в таблице D.4.

Цель. Как можно раньше выявлять отказы в устройстве обработки динамическим сравнением программного обеспечения.

Описание. Два устройства обработки взаимно обмениваются данными (включая результаты, промежуточные результаты и тестовые данные). Сравнение данных осуществляется программным обеспечением каждого модуля, и обнаруженные различия приводят к сообщению об отказе (см. рисунок D.3). Такой подход позволяет обеспечить разнообразие для аппаратных средств и программного обеспечения, если используются различные типы процессоров, а также различные алгоритмы, коды и компиляторы. Такой проект включает в себя методы, предотвращающие обнаружение ложных ошибок из-за различий между процессорами (например, неустойчивость цикла синхронизации, коммуникационные задержки, инициализация процессора).

Каналы могут быть реализованы на отдельных ядрах двухъядерного процессора. В этом случае метод включает в себя выполнение анализа видов отказов по общей причине, связанных с общим кристаллом и корпусом этих двух ядер.

Рисунок D.3 - Сравнение резервированного программного обеспечения на различных устройствах обработки

D.2.3.6 Резервирование аппаратных средств (жесткая двухъядерная конфигурация, асимметричное резервирование, запрограммированная обработка)

Примечание - Ссылка на данный механизм/меру приведена в таблице D.4.

Цель. Как можно раньше выявлять отказы в устройстве обработки последовательным сравнением внутренних или внешних результатов или тех и других, полученных из двух устройств обработки, функционирующих в жесткой конфигурации.

Описание. В одной из версий этого типа диагностического метода - жесткая двухъядерная конфигурация - два симметричных процессора находятся на одном кристалле (см. [22]). Устройства обработки выполняют дублирующие операции в жесткой конфигурации (или с задержкой с установленным периодом), и результаты сравниваются. Любое несоответствие результатов приводит к состоянию ошибки, и затем, как правило, это состояние сбрасывается. Данный механизм очень эффективен для кратковременных ошибок и отказов в арифметико-логическом устройстве. В зависимости от уровня резервирования охват может быть распространен на адресные шины памяти и регистры конфигурации. Преимущество данного метода в том, что для параллельного пути не требуются отдельные коды, а недостаток в том, что имеющиеся два устройства обработки обеспечивают выполнение только одного устройства обработки. В качественных проектах выявляются и устраняются отказы по общей причине (например, отказы из-за общей синхронизации). Такой подход сам по себе не обеспечивает охват диагностикой систематических ошибок.

Возможны другие виды резервирования аппаратных средств, например асимметричное резервирование. В таких архитектурах (например, см. [25]) отличающееся и специализированное устройство обработки тесно связано с основными устройствами обработки посредством интерфейса, позволяющего пошаговое сравнение внутренних и внешних результатов. Такой вид резервирования очень эффективен для вида сбоев постоянного тока и для исправимых ошибок. Кроме того, интерфейс уменьшает сложность и сокращает время обнаружения ошибки, например для сбоев, влияющих на блок регистров устройства обработки. Для параллельного пути не требуется отдельный код, а специализированное устройство обработки может быть менее основного. Разнообразие аппаратных средств обеспечивает эффективный охват отказов по общей причине и систематических отказов. Недостатком данного подхода является необходимость детального анализа для доказательства охвата диагностикой.

Возможна также запрограммированная обработка: устройства обработки могут быть разработаны со специальными методами распознавания отказов или схемами коррекции отказов. Эти подходы могут гарантировать высокий охват для достаточно простых процессоров с ограниченными функциональными возможностями либо они могут быть пригодны для подмодуля процессора, такого как арифметико-логическое устройство [26]. Аппаратные средства и программное обеспечение с запрограммированной обработкой можно совместить с использованием подходов, таких как Vital Coded Processor [27]. Может потребоваться детальный анализ для доказательства охвата диагностикой.

D.2.3.7 Тестирование регистра конфигурации

Примечание - Ссылка на данный механизм/меру приведена в таблице D.4.

Цель. Как можно раньше выявлять отказы в регистрах конфигурации устройства обработки. Отказы могут быть связаны с аппаратными средствами (константные значения или исправимая ошибка, вызванная сменой состояний устройства) или с программным обеспечением (неправильно сохраненное значение или повреждение значения регистра в результате ошибки программного обеспечения).

Описание. Установки регистра конфигурации считываются и сравниваются с закодированными ожидаемыми параметрами (например, с маской). Если установки не совпадают, в регистры перезагружают их целевые значения. Если ошибка сохраняется на протяжении заранее определенного числа проверок, то формируется сообщение об ошибке.

D.2.3.8 Выявление переполнения стека/потери значимости

Примечание - Ссылка на данный механизм/меру приведена в таблице D.4.

Цель. Как можно раньше выявлять переполнение стека/потерю значимости.

Описание. Границы стека в энергозависимой памяти загружаются с предопределенными значениями. Периодически значения проверяются, и если они изменились, то обнаруживаются потоки записей до или после границы. Тест не требуется, если записи вне границ стека управляются устройством управления памятью.

D.2.3.9 Интегрированный контроль согласованности аппаратных средств

Примечание - Ссылка на данный механизм/меру приведена в таблице D.4.

Цель. Как можно раньше выявлять недопустимые условия в устройстве обработки.

Описание. Большинство процессоров снабжены механизмами, которые инициируют исключительные состояния аппаратных средств при обнаружении ошибок (например, деление на ноль, неправильные коды операций). Может быть использована обработка прерываний по этим ошибкам, чтобы такие состояния прерываний изолировали систему от подобных ошибок. Как правило, мониторинг аппаратных средств используется для обнаружения систематических отказов, но он также может быть использован для обнаружения определенных видов случайных сбоев аппаратных средств. Данный метод обеспечивает низкий охват для некоторых ошибок кодирования, но считается "хорошей практикой" при проектировании.

D.2.4 Устройства ввода/вывода и интерфейсы

Главная цель. Обнаружить отказы в устройствах ввода/вывода (цифровых и аналоговых) и предотвратить дальнейшую передачу недопустимых выходных данных.

D.2.4.1 Тестирующая комбинация

Примечание - Ссылки на данный механизм/меру приведены в таблицах D.5, D.9 и D.10.

Цель. Обнаружить статические отказы (константные отказы) и перекрестные помехи.

Описание. Этот метод реализует независимое от потока данных циклическое тестирование входных и выходных элементов. В нем используются определенные тестирующие комбинации для сравнения с соответствующими этим тестирующим комбинациям предполагаемыми значениями. Охват теста зависит от степени независимости между информацией тестирующей комбинации, восприятием и оценкой тестирующей комбинации. При грамотном проектировании тестирующие комбинации не должны неприемлемо влиять на функционирование системы.

D.2.4.2 Кодовая защита

Примечание - Ссылка на данный механизм/меру приведена в таблице D.5.

Цель. Обнаружить случайные отказы аппаратных средств и систематические отказы в потоке данных ввода/вывода.

Описание. Процедура, реализующая кодовую защиту, защищает вводимую и выводимую информацию от систематических и случайных отказов аппаратных средств. Кодовая защита обеспечивает зависимое от потока данных обнаружение отказов входных и выходных модулей, основываясь на избыточности информации и/или временной избыточности. Как правило, избыточная информация налагается на входные и/или выходные данные; тем самым обеспечиваются средства для мониторинга корректности операций входных и выходных схем. Возможно применение нескольких методов - например, сигнал несущей частоты может накладываться на выходной сигнал датчика. После этого логический модуль может проверить наличие несущей частоты, либо на выходе канала могут быть добавлены избыточные кодовые биты для контроля достоверности прохождения сигнала между логическим модулем и оконечным исполнительным механизмом.

D.2.4.3 Многоканальное параллельное выходное устройство

Примечание - Ссылка на данный механизм/меру приведена в таблице D.5.

Цель. Обнаружить случайные отказы аппаратных средств (константные отказы), отказы, обусловленные внешними воздействиями, временные отказы, отказы адресации, постепенные отказы и кратковременные отказы.

Описание. Это зависимое от потока данных многоканальное параллельное выходное устройство с независимыми выходами для обнаружения случайных аппаратных отказов. Обнаружение отказов осуществляется с помощью внешних компараторов. При появлении отказа система может быть непосредственно выключена. Эта мера эффективна только в том случае, если поток данных изменяется в интервале диагностических проверок.

D.2.4.4 Средство контроля выходов

Примечание - Ссылка на данный механизм/меру приведена в таблице D.5.

Цель. Обнаружить отдельные отказы, отказы, обусловленные внешними воздействиями, временные отказы, отказы адресации, постепенные отказы (для аналоговых сигналов) и кратковременные отказы.

Описание. Зависимое от потока данных сравнение выходных данных с независимыми входными данными для обеспечения совместимости с областью их допустимых значений (время, диапазон). Обнаруженный отказ не всегда связан с некорректными выходными данными. Эта мера эффективна только в том случае, если поток данных изменяется в интервале диагностических проверок.

D.2.4.5 Сравнение/голосование входных данных

Примечание - Ссылки на данный механизм/меру приведены в таблицах D.5 и D.9.

Цель. Обнаружить отдельные отказы, отказы, обусловленные внешними воздействиями, временные отказы, отказы адресации, постепенные отказы (для аналоговых сигналов) и кратковременные отказы.

Описание. Зависимое от потока данных сравнение независимых входных данных для обеспечения совместимости с областью их допустимых значений (время, диапазон). Реализуемое резервирование может быть 1 из 2, 2 из 3 или более высокого уровня. Эта мера эффективна только в том случае, если поток данных изменяется в интервале диагностических проверок.

D.2.5 Коммуникационные шины

Главная цель. Обнаружить отказы при передаче информации.

D.2.5.1 Однобитовая избыточность аппаратных средств

Примечание - Ссылки на данный механизм/меру приведены в таблице D.6.

Цель. Обнаружить каждый отказ нечетного бита, то есть 50 % всех возможных битовых отказов в потоке данных.

Описание. Коммуникационная шина расширяется на одну линию (бит), и эта дополнительная линия (бит) используется для обнаружения отказов путем проверки на четность.

Пример - Бит четности, реализованный в стандартном универсальном асинхронном приемопередатчике.

D.2.5.2 Многобитовая избыточность аппаратных средств

Примечание - Ссылки на данный механизм/меру приведены в таблице D.6.

Цель. Обнаружить отказы в процессе передачи по шине и в последовательных каналах связи.

Описание. Шина расширяется на две или более линий (битов), и эти дополнительные линии (биты) используются для обнаружения отказов с помощью кодов блока (например, кода Хэмминга, кода Рида-Соломона, вычисления контрольной суммы, кода малой плотности с контролем по четности).

D.2.5.3 Полная избыточность аппаратных средств

Примечание - Ссылки на данный механизм/меру приведены в таблице D.6.

Цель. Обнаружить отказы в процессе передачи данных путем сравнения сигналов двух шин.

Описание. Шина дублируется, и дополнительные линии используются для обнаружения отказов.

Пример - Двойной канал реализации FlexRay: шина дублирована, и дополнительные линии (биты) используются, чтобы обнаружить отказы.

D.2.5.4 Анализ с использованием тестирующих комбинаций

Примечание - Ссылка на данный механизм/меру приведена в таблице D.6.

Цель. Обнаружить статические отказы (константные отказы) и перекрестные помехи.

Описание. Осуществляется независимое от потока данных циклическое тестирование маршрутов данных. Используется определенная тестирующая комбинация для сравнения наблюдаемых значений с соответствующими предполагаемыми значениями.

Охват теста зависит от степени независимости между информацией тестирующей комбинации, восприятием и оценкой тестирующей комбинации. При грамотном проектировании тестирующие комбинации не должны неприемлемо влиять на функционирование системы.

D.2.5.5 Избыточность при передаче

Примечание - Ссылка на данный механизм/меру приведена в таблице D.6.

Цель. Обнаружить кратковременные отказы при обмене по шине.

Описание. Информация передается последовательно несколько раз. Данный метод эффективен только для обнаружения кратковременных отказов.

D.2.5.6 Информационная избыточность

Примечание - Ссылка на данный механизм/меру приведена в таблице D.6.

Цель. Обнаружение отказов при обмене по шине.

Описание. Данные передаются блоками вместе с вычисленной для каждого блока контрольной суммой или CRC (см. [28] и [29]). После этого приемник повторно вычисляет контрольную сумму полученных данных и сравнивает ее с полученной контрольной суммой. Для CRC охват зависит от длины охватываемых данных, размера CRC (количество битов) и полинома. CRC может быть ориентирован на более вероятные виды коммуникационных отказов базовых технических средств (например, ошибки в линии передачи пакетов данных).

Идентификатор сообщения может быть включен в вычисление контрольной суммы/CRC, чтобы обеспечить охват искажений в этой части сообщения (подмену).

a) Низкий охват диагностикой: расстояние Хэмминга 2 или менее.

Пример - Значение CRC для информации сообщения содержится в сообщении. Размер CRC 5 бит и полином 0 x 12 обеспечивают расстояние Хэмминга 2 для данных длиной менее 2048 бит. Передающее устройство включает упомянутое значение CRC, а приемное устройство подтверждает данные после вычисления и сравнения значения CRC.

b) Средний охват диагностикой видов отказов при передаче данных: расстояние Хэмминга 3 или более.

Примеры

1 Значение CRC для информации сообщения содержится в сообщении. Размер CRC 8 бит и полином 0 x 97 обеспечивают расстояние Хэмминга 4 для данных длиной менее 119 бит. Передающее устройство включает в себя упомянутое значение CRC, а приемное устройство подтверждает данные после вычисления и сравнения значения CRC (обычно используется в шинах локальных сетей).

2 Значение CRC для информации сообщения и идентификатор сообщения содержатся в сообщении. Размер CRC 10 бит и полином 0 x 319 обеспечивают расстояние Хэмминга 4 для данных длиной менее 501 бит. Передающее устройство включает в себя упомянутое значение CRC, а приемное устройство подтверждает данные после вычисления и сравнения значения CRC.

3 Значение CRC для информации сообщения и идентификатор сообщения содержатся в сообщении. Размер CRC 15 бит и полином 0 x 4599 обеспечивают расстояние Хэмминга 5 для данных длиной менее 127 бит. Кроме того, могут быть обнаружены пакеты до 15 ошибок. Передающее устройство включает в себя упомянутое значение CRC, а приемное устройство подтверждает данные после вычисления и сравнения значения CRC [как используется в локальной сети контроллеров (CAN)].

4 Значение CRC для информации сообщения содержится в сообщении. Размер CRC 24 бита и полином 0 x 5D6DCB обеспечивают расстояние Хэмминга CRC, равное 6, для данных длиной менее или равной 248 байт, и расстояние Хэмминга CRC, равное 4, для данных длиной более 248 байт. Передающее устройство включает в себя упомянутое значение CRC, а приемное устройство подтверждает данные после вычисления и сравнения значения CRC (как используется во FlexRay для фрейма CRC).

5 Значение CRC для заголовка сообщения, включая идентификатор сообщения, содержится в сообщении. Размер CRC 11 бит и полином 0 x 385 обеспечивают расстояние Хэмминга 6 для данных длиной менее или равной 20 бит. Передающее устройство включает в себя упомянутое значение CRC, а приемное устройство подтверждает данные после вычисления и сравнения значения CRC (как используется во FlexRay для CRC заголовка).

Примечания

1 Высокий охват может быть достигнут при искажениях данных и идентификатора, однако общий высокий уровень охвата не может быть достигнут только путем проверки согласованности данных и идентификатора с сигнатурой, независимо от эффективности сигнатуры. В частности, сигнатура не охватывает потерю сообщения или непреднамеренное повторение сообщения.

2 Если алгоритм контрольной суммы имеет расстояние Хэмминга менее 3, то высокий охват при искажениях данных и идентификатора все еще может быть востребован, если существует надлежащее обоснование.

D.2.5.7 Счетчик блоков данных

Примечание - Ссылка на данный механизм/меру приведена в таблице D.6.

Цель. Обнаружить потери блоков данных. Блоком данных является связный набор данных, передаваемый от одного контроллера к другому(им) контроллеру(ам). Каждый уникальный блок данных имеет идентификатор сообщения.

Описание. Каждый отдельный связанный с безопасностью блок данных включает в себя счетчик как часть сообщения, которое передается по шине. Значение счетчика увеличивается в результате создания каждого последующего передаваемого блока. Приемное устройство в состоянии обнаруживать любую потерю блока данных либо факт неизменности сообщения, если в результате проверки выяснилось, что значение счетчика увеличилось на единицу.

Специальная версия счетчика блоков данных должна включать отдельные сигнальные счетчики, которые связаны с обновлением данных, связанных с безопасностью. В этой ситуации, если блок данных содержит несколько частей, связанных с безопасностью данных, то для каждой части связанных с безопасностью данных обеспечивается свой счетчик.

D.2.5.8 Мониторинг получения блоков данных по времени

Примечание - Ссылка на данный механизм/меру приведена в таблице D.6.

Цель. Обнаружить потерю данных между передающим узлом и принимающим узлом.

Описание. Приемное устройство отслеживает каждый предполагаемый идентификатор связанного с безопасностью сообщения по времени между получением достоверных блоков данных с этим идентификатором сообщения. Отказ может означать слишком длительное время между сообщениями. Данный метод предназначен для обнаружения потери непрерывности работы канала связи или потери непрерывности передачи одного конкретного сообщения (не получены блоки данных, связанные с конкретным идентификатором сообщения).

D.2.5.9 Повторное считывание отправленного сообщения

Примечание - Ссылка на данный механизм/меру приведена в таблице D.6.

Цель. Обнаружить отказы в коммуникационной шине.

Описание. Передатчик повторно считывает из коммуникационной шины отправленное им сообщение и сравнивает его с исходным сообщением.

Примечания

1 Данный механизм защиты используется в CAN-протоколе.

2 Высокий охват может быть достигнут при повреждении данных и идентификатора, однако общий высокий уровень охвата не может быть достигнут только путем проверки согласованности данных и идентификатора. Другие виды отказов, такие как непреднамеренное повторение сообщения, не всегда охватываются настоящим механизмом безопасности.

D.2.6 Источник питания

Главная цель. Обнаружить отказы, вызванные дефектами в источнике питания.

D.2.6.1 Управление напряжением или током (вход)

Примечание - Ссылка на данный механизм/меру приведена в таблице D.7.

Цель. Как можно раньше выявлять неправильный характер изменения входных значений тока или напряжения.

Описание. Контроль входного напряжения или тока.

D.2.6.2 Управление напряжением или током (выход)

Примечание - Ссылка на данный механизм/меру приведена в таблице D.7.

Цель. Как можно раньше выявлять неправильный характер изменения выходных значений тока или напряжения.

Описание. Контроль выходного напряжения или тока.

D.2.7 Временной и логический контроль последовательности выполнения программ

Примечание - Ссылки на данную группу механизмов/мер приведены в таблице D.8.

Главная цель. Обнаружить искаженную последовательность программы. Искаженная программная последовательность появляется в том случае, если отдельные элементы программы (например, программные модули, подпрограммы или команды) обрабатываются не в заданной последовательности или в несоответствующий период времени или произошел сбой в тактовом генераторе процессора.

D.2.7.1 Сторожевое устройство с отдельной временной базой без временного окна

Примечание - Ссылка на данный механизм/меру приведена в таблице D.8.

Цель. Контролировать выполнение и последовательность выполнения программ.

Описание. Внешние синхронизирующие элементы с отдельной временной базой (например, сторожевые устройства) периодически запускаются для контроля функционирования компьютера и последовательности выполнения программ. Важно, чтобы точки запуска были установлены в программе правильно. Сторожевое устройство не переключается в течение некоторого фиксированного периода, однако задается его максимальный интервал.

D.2.7.2 Сторожевое устройство с отдельной временной базой и временным окном

Примечание - Ссылка на данный механизм/меру приведена в таблице D.8.

Цель. Контролировать поведение и последовательность выполнения программ.

Описание. Внешние синхронизирующие элементы с отдельной временной базой (например, сторожевые устройства) периодически запускаются для контроля функционирования компьютера и последовательности выполнения программ. Важно, чтобы точки запуска были установлены в программе правильно (например, не во время выполнения процедуры обработки прерывания). Для сторожевого устройства задаются нижняя и верхняя границы. Если программная последовательность выполняется более или менее ожидаемого времени, то выполняется некоторое действие.

D.2.7.3 Логический контроль последовательности выполнения программ

Примечание - Ссылка на данный механизм/меру приведена в таблице D.8.

Цель. Контролировать корректную последовательность выполнения отдельных частей программы.

Описание. Корректная последовательность выполнения отдельных частей программы контролируется программным обеспечением (процедурой подсчета, ключевой процедурой) или внешними средствами контроля (см. [23] и [24]). Важно, чтобы точки проверки располагались в программе так, чтобы контролировались пути, которые могут привести к опасной ситуации, если из-за одиночного или множественного сбоя эти пути не смогут завершиться или последовательность их выполнения будет некорректной. Последовательности могут обновляться между каждой функцией вызова или более тесно связаны с выполнением программы.

D.2.7.4 Сочетание временного и логического контроля последовательности выполнения программ

Примечание - Ссылка на данный механизм/меру приведена в таблице D.8.

Цель. Контролировать выполнение и корректность последовательности выполнения отдельных частей программы.

Описание. Средство контроля времени (например, сторожевое устройство), контролирующее программную последовательность, вновь запускается только в случае, если последовательность отдельных частей программы также выполняется корректно. Данный метод является комбинацией методов D.2.7.3 и либо D.2.7.1, либо D.2.7.2.

D.2.7.5 Сочетание временного и логического контроля последовательности выполнения программ с временной зависимостью

Примечание - Ссылка на данный механизм/меру приведена в таблице D.8.

Цель. Контролировать выполнение, корректность последовательности и время выполнения отдельных разделов программы.

Описание. Реализуется стратегия контроля выполнения программы, где точки обновления программного обеспечения, как ожидается, находятся внутри временного окна. Результат последовательности контроля выполнения программы и вычисление времени контролируются внешними средствами мониторинга.

D.2.8 Датчики

Главная цель. Контролировать отказы датчиков системы.

D.2.8.1 Допустимый диапазон датчика

Примечание - Ссылка на данный механизм/меру приведена в таблице D.9.

Цель. Обнаружить короткие замыкания датчика на массу или шину питания и некоторые разрывы электрических цепей.

Описание. Область допустимых значений находится в средней части диапазона электрических датчиков (см. рисунок D.4). Если показания датчика находятся в области недопустимых значений, то это указывает на электрические проблемы датчика, например короткое замыкание датчика на массу или шину питания. Как правило, информацию с датчиков считывает электронный блок управления, используя АЦП.

X - физическое показание датчика, %; Y - измеренное показание датчика, % от опорного напряжения; 1 - верхняя граница допустимого диапазона; 2 - нижняя граница допустимого диапазона

Рисунок D.4 - Датчик с границами области допустимого диапазона его значений

D.2.8.2 Корреляция сигналов датчика

Примечание - Ссылка на данный механизм/меру приведена в таблице D.9.

Цепь. Обнаружить в рабочем диапазоне датчика дрейфы, отклонения нуля или другие ошибки, используя резервный датчик.

Описание. Сравнение двух идентичных или аналогичных датчиков для обнаружения отказов в их рабочем диапазоне, таких как дрейфы, отклонения нуля или константные отказы. На рисунке D.5 представлен пример двух одинаковых датчиков наклона, но с противоположными углами характеристик измерения. Следует отметить, что значения границ допустимого диапазона для датчиков различны. Как правило, информацию с датчиков считывает электронный блок управления, используя АЦП.

В примере, показанном на рисунке D.5, значения датчиков будут преобразованы к одинаковому наклону характеристик измерения, а также будет выполнено сравнение значений датчиков с целью их согласованности в пределах пороговых значений. Пороговые значения выбираются с учетом допуска АЦП и разновидностей электрических элементов. Оба датчика опрашиваются ЭБУ в одно и то же время, насколько это возможно, чтобы избежать ложных отказов из-за динамически изменяющихся показаний датчика.

Методы диагностики, основанные на использовании двух одинаковых датчиков наклона, не обнаруживают ситуации, когда два датчика вместе закорочены, давая близкие показания в точке пересечения, или при отказах по общей причине, когда один компонент, например АЦП, одинаково искажает значения обоих датчиков. Альтернативный подход, основанный на использовании двух датчиков, углы наклона характеристик измерения которых различаются в два раза, приведен на рисунке D.6.

X - физическое показание датчика, %; Y - измеренное показание датчика, % от опорного напряжения; 1 - датчик 1; 2 - датчик 2; 3 - нижняя граница диапазона датчика 1; 4 - нижняя граница диапазона датчика 2; 5 - верхняя граница диапазона датчика 1; 6 - верхняя граница диапазона датчика 2

Рисунок D.5 - Датчики наклона с границами областей допустимых значений, у которых характеристики измерения равны, но имеют противоположный наклон

X - физическое показание датчика, %; Y - измеренное показание датчика, % от опорного напряжения; 1 - датчик 1; 2 - датчик 2; 3 - нижняя граница диапазона датчика 1; 4 - верхняя граница диапазона датчика 1; 5 - нижняя граница диапазона датчика 2; 6 - верхняя граница диапазона датчика 2

Рисунок D.6 - Датчики с границами областей допустимых значений, у которых углы наклона характеристик измерения различаются в два раза

D.2.8.3 Проверка корректности функционирования датчика

Примечание - Ссылка на данный механизм/меру приведена в таблице D.9.

Цель. Обнаружить в рабочем диапазоне датчика дрейфы, уходы нуля или другие ошибки, используя несколько различных датчиков.

Описание. Сравнение двух (или более) датчиков, измеряющих различные свойства, для обнаружения отказов в областях их допустимых значений, таких как дрейфы, уходы нуля или константные отказы. Измерения датчиков преобразуются в эквивалентные значения с использованием модели, обеспечивающей сравнение этих значений.

Пример - Сравнение датчиков позиции дроссельной заслонки бензинового двигателя, давления во всасывающем коллекторе и массы воздушного потока выполняется после преобразования значения каждого из них в значение расхода воздуха. Использование разнообразных датчиков уменьшает проблему систематических ошибок.

D.2.9 Исполнительные элементы

Главная цель. Контролировать отказы в исполнительных элементах системы.

D.2.9.1 Мониторинг

Примечание - Ссылка на данный механизм/меру приведена в таблице D.10.

Цель. Обнаружить некорректную работу исполнительного элемента.

Описание. Исполнительный элемент контролируется в процессе эксплуатации.

Примечание - Мониторинг исполнительного элемента может проводиться на уровне измерений физических параметров (который может иметь высокий охват), а также на уровне системы, рассматривая влияние отказа исполнительного элемента.

Примеры

1 Для вентилятора, охлаждающего радиатор, процедура мониторинга на уровне системы использует данные датчика температуры для обнаружения отказа этого вентилятора. При мониторинге физических параметров измеряется напряжение и/или ток на входах вентилятора охлаждения радиатора.

2 Для перемещения дроссельной заслонки в желаемое положение используется управление с обратной связью. Измеряется ее фактическое положение и сравнивается с ожидаемым положением дроссельной заслонки, определяемым из положения дроссельной заслонки, которое задается командой водителя и моделью желаемого режима работы двигателя. Если эти два значения отличаются друг от друга с учетом гистерезиса, то может быть сформировано сообщение об ошибке.