如何利用FMEDA进行硬件架构度量及随机失效PMHF的计算

电子说

1.3w人已加入

描述

01

FMEDA步骤

FMEDA(Failure Modes Effects and Diagnostic Analysis) 是一种评估系统安全架构和实施的强大方法,多用于硬件定量分析。

和FMEA定性分析不同,FMEDA在FMEA 自下而上的方法论基础上增加了对硬件故障定量化的评估内容,包括模式失效率(Failure rate)、故障模式占比(Failure mode distribution)和对应的安全机制诊断覆盖率(Diagnostic coverage),对FMEA进行扩展从而可以完成定量分析,是计算硬件概率化度量指标的有效手段,其具体流程如下图所示:
 

连接器


具体而言,包括以下几个步骤:

步骤1: 计算失效率

首先,需要根据系统硬件架构,罗列所有硬件单元,为了方便分析和计算,可以对硬件单元按照类型进行分组。

然后,根据行业公认的标准(SN29500, IEC 62380),历史或测试数据,查询各硬件单元失效模式以及对应的失效率分布。此过程可以采用手动模式,或者采用利用相关软件,输入系统硬件单元,进行自动化查询及计算。

例如,控制器硬件ALU算术逻辑单元:

它的失效率λ=0.348 FIT,即该电阻在10^9 h内平均存在0.348次失效。

它存在三种失效模式: FM1, FM2, FM3。

三种失效模式对应的失效分布比例:FM1->25%,FM2->25%,FM3->50%。

连接器


步骤2: 识别故障模式

对步骤1中列出的硬件单元进行安全分析,根据故障分析流程图,确定其故障模式是否和功能安全相关以及故障的类型:

连接器

如果和功能安全无关,则为安全无关的安全故障。

如果和功能安全相关,则需要进一步分析,确定其故障的类型,包括单点故障或双点故障等(和功能安全相关的三点及以上的故障也属于安全故障),以及是否存在相应的安全机制。

具体故障类型定义及区别见08篇,不再赘述。

不是所有硬件单元的故障都会导致安全目标的违背,为了方便有效识地识别和功能安全相关的故障以及故障类型,可以采用FTA安全分析方法,对不同安全目标SG进行自上而下的安全分析,识别出违反安全目标的底层事件,根据不同底层事件和安全目标之间的关系,即''与门''和''或门'',就可以基本识别出不同故障类型。

例如,进行最小割集分析,级数为1的最小割集对应的底层事件就是单点故障,级数为2则为双点故障等等,可以由软件直接得到。

当然,也可以将步骤1得到硬件组件的失效率作为FTA底层事件失效数据的输入,利用FTA分析工具,进行故障的识别和后续硬件失效相关的度量计算。

步骤3: 计算诊断覆盖率

根据识别得到的硬件单元实施的安全机制,确定诊断覆盖率数值,在ISO 26262-5:2018附录D中,提供了硬件系统不同组件,包括传感器,连接器,模拟输入输出,控制单元等常见的安全机制以及对应的诊断覆盖率。

一般安全机制诊断覆盖率可以根据相应的公式进行计算,但过程相对比较复杂,所以多采取保守估算方式。

对于给定要素的典型安全机制的有效性,ISO 26262-5:2018附录D按照它们对所列举的故障覆盖能力进行了分类,分别为低、中或高诊断覆盖率。这些低、中或高的诊断覆盖率被分别定义为60%、90%或99%的典型覆盖水平。

连接器

继续以ALU为例:

针对故障模式FM2和FM3,在硬件设计中存在相应的安全机制SM1和SM2,其对应的诊断覆盖率分别为90%和60%。

以此方式,计算所有硬件单元的安全机制的诊断覆盖率。

步骤4: 计算量化指标

根据硬件架构度量指标SPFM,LFM以及随机硬件失效评估PMHF计算公式,计算相应的指标。

连接器

连接器

PMHF=∑λSPF + ∑λRF + ∑λDPF_det × λDPF_latent × TLifetime

具体计算公式见08篇,在此不再赘述。

步骤5: 优化设计

根据步骤4计算结果,对硬件设计可靠性进行综合评估,判定是否满足指定的ASIL等级要求,如果满足则分析结束,否则需要根据计算结果,优化硬件设计,增加新的安全机制或者采用更高诊断覆盖率的安全机制,然后再次进行计算,直至满足安全需求为止。

02

FMEDA计算实例

虽然在ISO 26262-5:2018附录中已经添加了有关硬件架构度量和随机失效率评估的实例,但由于其过程介绍相对简单,导致很多朋友仍然搞不清楚计算过程,接下来就以其中一个实例为例,介绍如何利用FMEDA进行硬件概率化度量指标的计算过程。

下图为某ECU硬件设计图,针对其安全目标: ''当速度超过 10km/h 时关闭阀1的时间不得长于20 ms''。安全目标被分配为 ASIL C 等级。安全状态为:阀1打开(I61控制阀1)。

连接器

针对该安全目标,罗列所有硬件组件,如下表所示,根据FMEDA步骤1至4,分别查询硬件组件失效率,失效模式及分布比例,并计算相应的硬件度量指标。

连接器

例如, 对于控制芯片uc而言,其失效率为100 FIT,存在两种失效模式,其分布比例各占50%,只有第一种失效模式和安全相关,第二种失效模式则无需考虑。

由于安全机制SM4的存在,对该硬件组件第一种故障的诊断覆盖率为90%,该硬件组件

单点或残余故障失效率为:

λSPF/RF=100×50%×(1-90%)=5FIT

由于安全机制SM4还能够对该故障进行探测,防止其成为潜伏故障,其诊断覆盖率为100%,则该硬件组件的双点潜伏故障失效率为:

λDPF_latent=0FIT

除单点故障,残余故障及双(多)点潜伏故障,剩余的则是可探测双点潜伏故障,则硬件组件的双(多)点故障的可探测失效率为:

λDPF_det=100×50%-λSPF/RF-λDPF_det=50-5=45FIT

依此计算所有硬件组件的相关故障失效率,并进行如下统计:

故障失效率 数值
单点或残余故障总和 ∑λSPF+∑λRF=5.48FIT
双(多)点故障潜伏失效率总和 ∑λDPF_det=12.8FIT
双(多)点故障可探测失效率总和 ∑λDPF_latent=69.822FIT
车辆生命周期 TLifetime=10000h

则该ECU硬件整体概率化度量指标计算如下:

SPFM=1-(5.48/157)=96.5%
LFM=1-[12.8/(157-5.48)]=91.6%
PMHF=∑λSPF+∑λRF+∑λDPF_det×λDPF_latent×TLifetime=5.48(FIT)+12.80(FIT)x69.822(FIT)×10000(h)=5.489FIT

根据该安全目标ASIL C,判断其可知,除SPFM没有>=97%外,其他指标均满足相应安全要求,所以该硬件设计基本满足安全目标ASIL C等级需求。当然,也可以对硬件设计进行进一步优化,提高SPFM架构度量值。   





审核编辑:刘清

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分