01

FMEDA步驟

FMEDA(Failure Modes Effects and Diagnostic Analysis) 是一種評(píng)估系統(tǒng)安全架構(gòu)和實(shí)施的強(qiáng)大方法，多用于硬件定量分析。

和FMEA定性分析不同，F(xiàn)MEDA在FMEA 自下而上的方法論基礎(chǔ)上增加了對(duì)硬件故障定量化的評(píng)估內(nèi)容，包括模式失效率(Failure rate)、故障模式占比(Failure mode distribution)和對(duì)應(yīng)的安全機(jī)制診斷覆蓋率(Diagnostic coverage)，對(duì)FMEA進(jìn)行擴(kuò)展從而可以完成定量分析，是計(jì)算硬件概率化度量指標(biāo)的有效手段，其具體流程如下圖所示：

具體而言，包括以下幾個(gè)步驟：

步驟1: 計(jì)算失效率

首先，需要根據(jù)系統(tǒng)硬件架構(gòu)，羅列所有硬件單元，為了方便分析和計(jì)算，可以對(duì)硬件單元按照類(lèi)型進(jìn)行分組。

然后，根據(jù)行業(yè)公認(rèn)的標(biāo)準(zhǔn)(SN29500, IEC 62380)，歷史或測(cè)試數(shù)據(jù)，查詢(xún)各硬件單元失效模式以及對(duì)應(yīng)的失效率分布。此過(guò)程可以采用手動(dòng)模式，或者采用利用相關(guān)軟件，輸入系統(tǒng)硬件單元，進(jìn)行自動(dòng)化查詢(xún)及計(jì)算。

例如，控制器硬件ALU算術(shù)邏輯單元：

它的失效率λ=0.348 FIT，即該電阻在10^9 h內(nèi)平均存在0.348次失效。

它存在三種失效模式: FM1, FM2, FM3。

三種失效模式對(duì)應(yīng)的失效分布比例：FM1->25%，F(xiàn)M2->25%，F(xiàn)M3->50%。

步驟2: 識(shí)別故障模式

對(duì)步驟1中列出的硬件單元進(jìn)行安全分析，根據(jù)故障分析流程圖，確定其故障模式是否和功能安全相關(guān)以及故障的類(lèi)型：

如果和功能安全無(wú)關(guān)，則為安全無(wú)關(guān)的安全故障。

如果和功能安全相關(guān)，則需要進(jìn)一步分析，確定其故障的類(lèi)型，包括單點(diǎn)故障或雙點(diǎn)故障等(和功能安全相關(guān)的三點(diǎn)及以上的故障也屬于安全故障)，以及是否存在相應(yīng)的安全機(jī)制。

具體故障類(lèi)型定義及區(qū)別見(jiàn)08篇，不再贅述。

不是所有硬件單元的故障都會(huì)導(dǎo)致安全目標(biāo)的違背，為了方便有效識(shí)地識(shí)別和功能安全相關(guān)的故障以及故障類(lèi)型，可以采用FTA安全分析方法，對(duì)不同安全目標(biāo)SG進(jìn)行自上而下的安全分析，識(shí)別出違反安全目標(biāo)的底層事件，根據(jù)不同底層事件和安全目標(biāo)之間的關(guān)系，即''與門(mén)''和''或門(mén)''，就可以基本識(shí)別出不同故障類(lèi)型。

例如，進(jìn)行最小割集分析，級(jí)數(shù)為1的最小割集對(duì)應(yīng)的底層事件就是單點(diǎn)故障，級(jí)數(shù)為2則為雙點(diǎn)故障等等，可以由軟件直接得到。

當(dāng)然，也可以將步驟1得到硬件組件的失效率作為FTA底層事件失效數(shù)據(jù)的輸入，利用FTA分析工具，進(jìn)行故障的識(shí)別和后續(xù)硬件失效相關(guān)的度量計(jì)算。

步驟3: 計(jì)算診斷覆蓋率

根據(jù)識(shí)別得到的硬件單元實(shí)施的安全機(jī)制，確定診斷覆蓋率數(shù)值，在ISO 26262-5:2018附錄D中，提供了硬件系統(tǒng)不同組件，包括傳感器，連接器，模擬輸入輸出，控制單元等常見(jiàn)的安全機(jī)制以及對(duì)應(yīng)的診斷覆蓋率。

一般安全機(jī)制診斷覆蓋率可以根據(jù)相應(yīng)的公式進(jìn)行計(jì)算，但過(guò)程相對(duì)比較復(fù)雜，所以多采取保守估算方式。

對(duì)于給定要素的典型安全機(jī)制的有效性，ISO 26262-5:2018附錄D按照它們對(duì)所列舉的故障覆蓋能力進(jìn)行了分類(lèi)，分別為低、中或高診斷覆蓋率。這些低、中或高的診斷覆蓋率被分別定義為60%、90%或99%的典型覆蓋水平。

繼續(xù)以ALU為例：

針對(duì)故障模式FM2和FM3，在硬件設(shè)計(jì)中存在相應(yīng)的安全機(jī)制SM1和SM2，其對(duì)應(yīng)的診斷覆蓋率分別為90%和60%。

以此方式，計(jì)算所有硬件單元的安全機(jī)制的診斷覆蓋率。

步驟4: 計(jì)算量化指標(biāo)

根據(jù)硬件架構(gòu)度量指標(biāo)SPFM，LFM以及隨機(jī)硬件失效評(píng)估PMHF計(jì)算公式，計(jì)算相應(yīng)的指標(biāo)。

PMHF=∑λSPF+ ∑λRF+ ∑λDPF_det× λDPF_latent× TLifetime

具體計(jì)算公式見(jiàn)08篇，在此不再贅述。

步驟5: 優(yōu)化設(shè)計(jì)

根據(jù)步驟4計(jì)算結(jié)果，對(duì)硬件設(shè)計(jì)可靠性進(jìn)行綜合評(píng)估，判定是否滿(mǎn)足指定的ASIL等級(jí)要求，如果滿(mǎn)足則分析結(jié)束，否則需要根據(jù)計(jì)算結(jié)果，優(yōu)化硬件設(shè)計(jì)，增加新的安全機(jī)制或者采用更高診斷覆蓋率的安全機(jī)制，然后再次進(jìn)行計(jì)算，直至滿(mǎn)足安全需求為止。

02

FMEDA計(jì)算實(shí)例

雖然在ISO 26262-5:2018附錄中已經(jīng)添加了有關(guān)硬件架構(gòu)度量和隨機(jī)失效率評(píng)估的實(shí)例，但由于其過(guò)程介紹相對(duì)簡(jiǎn)單，導(dǎo)致很多朋友仍然搞不清楚計(jì)算過(guò)程，接下來(lái)就以其中一個(gè)實(shí)例為例，介紹如何利用FMEDA進(jìn)行硬件概率化度量指標(biāo)的計(jì)算過(guò)程。

下圖為某ECU硬件設(shè)計(jì)圖，針對(duì)其安全目標(biāo):''當(dāng)速度超過(guò) 10km/h 時(shí)關(guān)閉閥1的時(shí)間不得長(zhǎng)于20 ms''。安全目標(biāo)被分配為 ASIL C 等級(jí)。安全狀態(tài)為：閥1打開(kāi)(I61控制閥1)。

針對(duì)該安全目標(biāo)，羅列所有硬件組件，如下表所示，根據(jù)FMEDA步驟1至4，分別查詢(xún)硬件組件失效率，失效模式及分布比例，并計(jì)算相應(yīng)的硬件度量指標(biāo)。

例如， 對(duì)于控制芯片uc而言，其失效率為100 FIT，存在兩種失效模式，其分布比例各占50%，只有第一種失效模式和安全相關(guān)，第二種失效模式則無(wú)需考慮。

由于安全機(jī)制SM4的存在，對(duì)該硬件組件第一種故障的診斷覆蓋率為90%，該硬件組件

單點(diǎn)或殘余故障失效率為：

由于安全機(jī)制SM4還能夠?qū)υ摴收线M(jìn)行探測(cè)，防止其成為潛伏故障，其診斷覆蓋率為100%，則該硬件組件的雙點(diǎn)潛伏故障失效率為：

除單點(diǎn)故障，殘余故障及雙(多)點(diǎn)潛伏故障，剩余的則是可探測(cè)雙點(diǎn)潛伏故障，則硬件組件的雙(多)點(diǎn)故障的可探測(cè)失效率為：

依此計(jì)算所有硬件組件的相關(guān)故障失效率，并進(jìn)行如下統(tǒng)計(jì)：

則該ECU硬件整體概率化度量指標(biāo)計(jì)算如下：

根據(jù)該安全目標(biāo)ASIL C，判斷其可知，除SPFM沒(méi)有>=97%外，其他指標(biāo)均滿(mǎn)足相應(yīng)安全要求，所以該硬件設(shè)計(jì)基本滿(mǎn)足安全目標(biāo)ASIL C等級(jí)需求。當(dāng)然，也可以對(duì)硬件設(shè)計(jì)進(jìn)行進(jìn)一步優(yōu)化，提高SPFM架構(gòu)度量值。

審核編輯：劉清