01

FMEDA步驟

FMEDA(Failure Modes Effects and Diagnostic Analysis) 是一種評估系統(tǒng)安全架構(gòu)和實(shí)施的強(qiáng)大方法，多用于硬件定量分析。

和FMEA定性分析不同，F(xiàn)MEDA在FMEA 自下而上的方法論基礎(chǔ)上增加了對硬件故障定量化的評估內(nèi)容，包括模式失效率(Failure rate)、故障模式占比(Failure mode distribution)和對應(yīng)的安全機(jī)制診斷覆蓋率(Diagnostic coverage)，對FMEA進(jìn)行擴(kuò)展從而可以完成定量分析，是計算硬件概率化度量指標(biāo)的有效手段，其具體流程如下圖所示：

具體而言，包括以下幾個步驟：

步驟1: 計算失效率

首先，需要根據(jù)系統(tǒng)硬件架構(gòu)，羅列所有硬件單元，為了方便分析和計算，可以對硬件單元按照類型進(jìn)行分組。

然后，根據(jù)行業(yè)公認(rèn)的標(biāo)準(zhǔn)(SN29500, IEC 62380)，歷史或測試數(shù)據(jù)，查詢各硬件單元失效模式以及對應(yīng)的失效率分布。此過程可以采用手動模式，或者采用利用相關(guān)軟件，輸入系統(tǒng)硬件單元，進(jìn)行自動化查詢及計算。

例如，控制器硬件ALU算術(shù)邏輯單元：

它的失效率λ=0.348 FIT，即該電阻在10^9 h內(nèi)平均存在0.348次失效。

它存在三種失效模式: FM1, FM2, FM3。

三種失效模式對應(yīng)的失效分布比例：FM1->25%，F(xiàn)M2->25%，F(xiàn)M3->50%。

步驟2: 識別故障模式

對步驟1中列出的硬件單元進(jìn)行安全分析，根據(jù)故障分析流程圖，確定其故障模式是否和功能安全相關(guān)以及故障的類型：

如果和功能安全無關(guān)，則為安全無關(guān)的安全故障。

如果和功能安全相關(guān)，則需要進(jìn)一步分析，確定其故障的類型，包括單點(diǎn)故障或雙點(diǎn)故障等(和功能安全相關(guān)的三點(diǎn)及以上的故障也屬于安全故障)，以及是否存在相應(yīng)的安全機(jī)制。

具體故障類型定義及區(qū)別見08篇，不再贅述。

不是所有硬件單元的故障都會導(dǎo)致安全目標(biāo)的違背，為了方便有效識地識別和功能安全相關(guān)的故障以及故障類型，可以采用FTA安全分析方法，對不同安全目標(biāo)SG進(jìn)行自上而下的安全分析，識別出違反安全目標(biāo)的底層事件，根據(jù)不同底層事件和安全目標(biāo)之間的關(guān)系，即''與門''和''或門''，就可以基本識別出不同故障類型。

例如，進(jìn)行最小割集分析，級數(shù)為1的最小割集對應(yīng)的底層事件就是單點(diǎn)故障，級數(shù)為2則為雙點(diǎn)故障等等，可以由軟件直接得到。

當(dāng)然，也可以將步驟1得到硬件組件的失效率作為FTA底層事件失效數(shù)據(jù)的輸入，利用FTA分析工具，進(jìn)行故障的識別和后續(xù)硬件失效相關(guān)的度量計算。

步驟3: 計算診斷覆蓋率

根據(jù)識別得到的硬件單元實(shí)施的安全機(jī)制，確定診斷覆蓋率數(shù)值，在ISO 26262-5:2018附錄D中，提供了硬件系統(tǒng)不同組件，包括傳感器，連接器，模擬輸入輸出，控制單元等常見的安全機(jī)制以及對應(yīng)的診斷覆蓋率。

一般安全機(jī)制診斷覆蓋率可以根據(jù)相應(yīng)的公式進(jìn)行計算，但過程相對比較復(fù)雜，所以多采取保守估算方式。

對于給定要素的典型安全機(jī)制的有效性，ISO 26262-5:2018附錄D按照它們對所列舉的故障覆蓋能力進(jìn)行了分類，分別為低、中或高診斷覆蓋率。這些低、中或高的診斷覆蓋率被分別定義為60%、90%或99%的典型覆蓋水平。

繼續(xù)以ALU為例：

針對故障模式FM2和FM3，在硬件設(shè)計中存在相應(yīng)的安全機(jī)制SM1和SM2，其對應(yīng)的診斷覆蓋率分別為90%和60%。

以此方式，計算所有硬件單元的安全機(jī)制的診斷覆蓋率。

步驟4: 計算量化指標(biāo)

根據(jù)硬件架構(gòu)度量指標(biāo)SPFM，LFM以及隨機(jī)硬件失效評估PMHF計算公式，計算相應(yīng)的指標(biāo)。

PMHF=∑λSPF+ ∑λRF+ ∑λDPF_det× λDPF_latent× TLifetime

具體計算公式見08篇，在此不再贅述。

步驟5: 優(yōu)化設(shè)計

根據(jù)步驟4計算結(jié)果，對硬件設(shè)計可靠性進(jìn)行綜合評估，判定是否滿足指定的ASIL等級要求，如果滿足則分析結(jié)束，否則需要根據(jù)計算結(jié)果，優(yōu)化硬件設(shè)計，增加新的安全機(jī)制或者采用更高診斷覆蓋率的安全機(jī)制，然后再次進(jìn)行計算，直至滿足安全需求為止。

02

FMEDA計算實(shí)例

雖然在ISO 26262-5:2018附錄中已經(jīng)添加了有關(guān)硬件架構(gòu)度量和隨機(jī)失效率評估的實(shí)例，但由于其過程介紹相對簡單，導(dǎo)致很多朋友仍然搞不清楚計算過程，接下來就以其中一個實(shí)例為例，介紹如何利用FMEDA進(jìn)行硬件概率化度量指標(biāo)的計算過程。

下圖為某ECU硬件設(shè)計圖，針對其安全目標(biāo):''當(dāng)速度超過 10km/h 時關(guān)閉閥1的時間不得長于20 ms''。安全目標(biāo)被分配為 ASIL C 等級。安全狀態(tài)為：閥1打開(I61控制閥1)。

針對該安全目標(biāo)，羅列所有硬件組件，如下表所示，根據(jù)FMEDA步驟1至4，分別查詢硬件組件失效率，失效模式及分布比例，并計算相應(yīng)的硬件度量指標(biāo)。

例如， 對于控制芯片uc而言，其失效率為100 FIT，存在兩種失效模式，其分布比例各占50%，只有第一種失效模式和安全相關(guān)，第二種失效模式則無需考慮。

由于安全機(jī)制SM4的存在，對該硬件組件第一種故障的診斷覆蓋率為90%，該硬件組件

單點(diǎn)或殘余故障失效率為：

由于安全機(jī)制SM4還能夠?qū)υ摴收线M(jìn)行探測，防止其成為潛伏故障，其診斷覆蓋率為100%，則該硬件組件的雙點(diǎn)潛伏故障失效率為：

除單點(diǎn)故障，殘余故障及雙(多)點(diǎn)潛伏故障，剩余的則是可探測雙點(diǎn)潛伏故障，則硬件組件的雙(多)點(diǎn)故障的可探測失效率為：

依此計算所有硬件組件的相關(guān)故障失效率，并進(jìn)行如下統(tǒng)計：

則該ECU硬件整體概率化度量指標(biāo)計算如下：

根據(jù)該安全目標(biāo)ASIL C，判斷其可知，除SPFM沒有>=97%外，其他指標(biāo)均滿足相應(yīng)安全要求，所以該硬件設(shè)計基本滿足安全目標(biāo)ASIL C等級需求。當(dāng)然，也可以對硬件設(shè)計進(jìn)行進(jìn)一步優(yōu)化，提高SPFM架構(gòu)度量值。

審核編輯：劉清