如何利用FMEDA进行硬件架构度量及随机失效PMHF的计算

01

FMEDA步骤

FMEDA(Failure Modes Effects and Diagnostic Analysis) 是一种评估系统安全架构和实施的强大方法，多用于硬件定量分析。

和FMEA定性分析不同，FMEDA在FMEA 自下而上的方法论基础上增加了对硬件故障定量化的评估内容，包括模式失效率(Failure rate)、故障模式占比(Failure mode distribution)和对应的安全机制诊断覆盖率(Diagnostic coverage)，对FMEA进行扩展从而可以完成定量分析，是计算硬件概率化度量指标的有效手段，其具体流程如下图所示：
 

具体而言，包括以下几个步骤：

步骤1: 计算失效率

首先，需要根据系统硬件架构，罗列所有硬件单元，为了方便分析和计算，可以对硬件单元按照类型进行分组。

然后，根据行业公认的标准(SN29500, IEC 62380)，历史或测试数据，查询各硬件单元失效模式以及对应的失效率分布。此过程可以采用手动模式，或者采用利用相关软件，输入系统硬件单元，进行自动化查询及计算。

例如，控制器硬件ALU算术逻辑单元：

它的失效率λ=0.348 FIT，即该电阻在10^9 h内平均存在0.348次失效。

它存在三种失效模式: FM1, FM2, FM3。

三种失效模式对应的失效分布比例：FM1->25%，FM2->25%，FM3->50%。

步骤2: 识别故障模式

对步骤1中列出的硬件单元进行安全分析，根据故障分析流程图，确定其故障模式是否和功能安全相关以及故障的类型：

如果和功能安全无关，则为安全无关的安全故障。

如果和功能安全相关，则需要进一步分析，确定其故障的类型，包括单点故障或双点故障等(和功能安全相关的三点及以上的故障也属于安全故障)，以及是否存在相应的安全机制。

具体故障类型定义及区别见08篇，不再赘述。

不是所有硬件单元的故障都会导致安全目标的违背，为了方便有效识地识别和功能安全相关的故障以及故障类型，可以采用FTA安全分析方法，对不同安全目标SG进行自上而下的安全分析，识别出违反安全目标的底层事件，根据不同底层事件和安全目标之间的关系，即''与门''和''或门''，就可以基本识别出不同故障类型。

例如，进行最小割集分析，级数为1的最小割集对应的底层事件就是单点故障，级数为2则为双点故障等等，可以由软件直接得到。

当然，也可以将步骤1得到硬件组件的失效率作为FTA底层事件失效数据的输入，利用FTA分析工具，进行故障的识别和后续硬件失效相关的度量计算。

步骤3: 计算诊断覆盖率

根据识别得到的硬件单元实施的安全机制，确定诊断覆盖率数值，在ISO 26262-5:2018附录D中，提供了硬件系统不同组件，包括传感器，连接器，模拟输入输出，控制单元等常见的安全机制以及对应的诊断覆盖率。

一般安全机制诊断覆盖率可以根据相应的公式进行计算，但过程相对比较复杂，所以多采取保守估算方式。

对于给定要素的典型安全机制的有效性，ISO 26262-5:2018附录D按照它们对所列举的故障覆盖能力进行了分类，分别为低、中或高诊断覆盖率。这些低、中或高的诊断覆盖率被分别定义为60%、90%或99%的典型覆盖水平。

继续以ALU为例：

针对故障模式FM2和FM3，在硬件设计中存在相应的安全机制SM1和SM2，其对应的诊断覆盖率分别为90%和60%。

以此方式，计算所有硬件单元的安全机制的诊断覆盖率。

步骤4: 计算量化指标

根据硬件架构度量指标SPFM，LFM以及随机硬件失效评估PMHF计算公式，计算相应的指标。

PMHF=∑λSPF + ∑λRF + ∑λDPF_det × λDPF_latent × TLifetime

具体计算公式见08篇，在此不再赘述。

步骤5: 优化设计

根据步骤4计算结果，对硬件设计可靠性进行综合评估，判定是否满足指定的ASIL等级要求，如果满足则分析结束，否则需要根据计算结果，优化硬件设计，增加新的安全机制或者采用更高诊断覆盖率的安全机制，然后再次进行计算，直至满足安全需求为止。

02

FMEDA计算实例

虽然在ISO 26262-5:2018附录中已经添加了有关硬件架构度量和随机失效率评估的实例，但由于其过程介绍相对简单，导致很多朋友仍然搞不清楚计算过程，接下来就以其中一个实例为例，介绍如何利用FMEDA进行硬件概率化度量指标的计算过程。

下图为某ECU硬件设计图，针对其安全目标: ''当速度超过 10km/h 时关闭阀1的时间不得长于20 ms''。安全目标被分配为 ASIL C 等级。安全状态为：阀1打开(I61控制阀1)。

针对该安全目标，罗列所有硬件组件，如下表所示，根据FMEDA步骤1至4，分别查询硬件组件失效率，失效模式及分布比例，并计算相应的硬件度量指标。

例如， 对于控制芯片uc而言，其失效率为100 FIT，存在两种失效模式，其分布比例各占50%，只有第一种失效模式和安全相关，第二种失效模式则无需考虑。

由于安全机制SM4的存在，对该硬件组件第一种故障的诊断覆盖率为90%，该硬件组件

单点或残余故障失效率为：

λSPF/RF=100×50%×(1-90%)=5FIT

由于安全机制SM4还能够对该故障进行探测，防止其成为潜伏故障，其诊断覆盖率为100%，则该硬件组件的双点潜伏故障失效率为：

λDPF_latent=0FIT

除单点故障，残余故障及双(多)点潜伏故障，剩余的则是可探测双点潜伏故障，则硬件组件的双(多)点故障的可探测失效率为：

λDPF_det=100×50%-λSPF/RF-λDPF_det=50-5=45FIT

依此计算所有硬件组件的相关故障失效率，并进行如下统计：

故障失效率	数值
单点或残余故障总和	∑λSPF+∑λRF=5.48FIT
双(多)点故障潜伏失效率总和	∑λDPF_det=12.8FIT
双(多)点故障可探测失效率总和	∑λDPF_latent=69.822FIT
车辆生命周期	TLifetime=10000h

则该ECU硬件整体概率化度量指标计算如下：

SPFM=1-(5.48/157)=96.5%

LFM=1-[12.8/(157-5.48)]=91.6%

PMHF=∑λSPF+∑λRF+∑λDPF_det×λDPF_latent×TLifetime=5.48(FIT)+12.80(FIT)x69.822(FIT)×10000(h)=5.489FIT

根据该安全目标ASIL C，判断其可知，除SPFM没有>=97%外，其他指标均满足相应安全要求，所以该硬件设计基本满足安全目标ASIL C等级需求。当然，也可以对硬件设计进行进一步优化，提高SPFM架构度量值。   

审核编辑：刘清