电子说
01
FMEDA步骤
FMEDA(Failure Modes Effects and Diagnostic Analysis) 是一种评估系统安全架构和实施的强大方法,多用于硬件定量分析。
和FMEA定性分析不同,FMEDA在FMEA 自下而上的方法论基础上增加了对硬件故障定量化的评估内容,包括模式失效率(Failure rate)、故障模式占比(Failure mode distribution)和对应的安全机制诊断覆盖率(Diagnostic coverage),对FMEA进行扩展从而可以完成定量分析,是计算硬件概率化度量指标的有效手段,其具体流程如下图所示:
具体而言,包括以下几个步骤:
步骤1: 计算失效率
首先,需要根据系统硬件架构,罗列所有硬件单元,为了方便分析和计算,可以对硬件单元按照类型进行分组。
然后,根据行业公认的标准(SN29500, IEC 62380),历史或测试数据,查询各硬件单元失效模式以及对应的失效率分布。此过程可以采用手动模式,或者采用利用相关软件,输入系统硬件单元,进行自动化查询及计算。
例如,控制器硬件ALU算术逻辑单元:
它的失效率λ=0.348 FIT,即该电阻在10^9 h内平均存在0.348次失效。
它存在三种失效模式: FM1, FM2, FM3。
三种失效模式对应的失效分布比例:FM1->25%,FM2->25%,FM3->50%。
步骤2: 识别故障模式
对步骤1中列出的硬件单元进行安全分析,根据故障分析流程图,确定其故障模式是否和功能安全相关以及故障的类型:
如果和功能安全无关,则为安全无关的安全故障。
如果和功能安全相关,则需要进一步分析,确定其故障的类型,包括单点故障或双点故障等(和功能安全相关的三点及以上的故障也属于安全故障),以及是否存在相应的安全机制。
具体故障类型定义及区别见08篇,不再赘述。
不是所有硬件单元的故障都会导致安全目标的违背,为了方便有效识地识别和功能安全相关的故障以及故障类型,可以采用FTA安全分析方法,对不同安全目标SG进行自上而下的安全分析,识别出违反安全目标的底层事件,根据不同底层事件和安全目标之间的关系,即''与门''和''或门'',就可以基本识别出不同故障类型。
例如,进行最小割集分析,级数为1的最小割集对应的底层事件就是单点故障,级数为2则为双点故障等等,可以由软件直接得到。
当然,也可以将步骤1得到硬件组件的失效率作为FTA底层事件失效数据的输入,利用FTA分析工具,进行故障的识别和后续硬件失效相关的度量计算。
步骤3: 计算诊断覆盖率
根据识别得到的硬件单元实施的安全机制,确定诊断覆盖率数值,在ISO 26262-5:2018附录D中,提供了硬件系统不同组件,包括传感器,连接器,模拟输入输出,控制单元等常见的安全机制以及对应的诊断覆盖率。
一般安全机制诊断覆盖率可以根据相应的公式进行计算,但过程相对比较复杂,所以多采取保守估算方式。
对于给定要素的典型安全机制的有效性,ISO 26262-5:2018附录D按照它们对所列举的故障覆盖能力进行了分类,分别为低、中或高诊断覆盖率。这些低、中或高的诊断覆盖率被分别定义为60%、90%或99%的典型覆盖水平。
继续以ALU为例:
针对故障模式FM2和FM3,在硬件设计中存在相应的安全机制SM1和SM2,其对应的诊断覆盖率分别为90%和60%。
以此方式,计算所有硬件单元的安全机制的诊断覆盖率。
步骤4: 计算量化指标
根据硬件架构度量指标SPFM,LFM以及随机硬件失效评估PMHF计算公式,计算相应的指标。
PMHF=∑λSPF + ∑λRF + ∑λDPF_det × λDPF_latent × TLifetime
具体计算公式见08篇,在此不再赘述。
步骤5: 优化设计
根据步骤4计算结果,对硬件设计可靠性进行综合评估,判定是否满足指定的ASIL等级要求,如果满足则分析结束,否则需要根据计算结果,优化硬件设计,增加新的安全机制或者采用更高诊断覆盖率的安全机制,然后再次进行计算,直至满足安全需求为止。
02
FMEDA计算实例
虽然在ISO 26262-5:2018附录中已经添加了有关硬件架构度量和随机失效率评估的实例,但由于其过程介绍相对简单,导致很多朋友仍然搞不清楚计算过程,接下来就以其中一个实例为例,介绍如何利用FMEDA进行硬件概率化度量指标的计算过程。
下图为某ECU硬件设计图,针对其安全目标: ''当速度超过 10km/h 时关闭阀1的时间不得长于20 ms''。安全目标被分配为 ASIL C 等级。安全状态为:阀1打开(I61控制阀1)。
针对该安全目标,罗列所有硬件组件,如下表所示,根据FMEDA步骤1至4,分别查询硬件组件失效率,失效模式及分布比例,并计算相应的硬件度量指标。
例如, 对于控制芯片uc而言,其失效率为100 FIT,存在两种失效模式,其分布比例各占50%,只有第一种失效模式和安全相关,第二种失效模式则无需考虑。
由于安全机制SM4的存在,对该硬件组件第一种故障的诊断覆盖率为90%,该硬件组件
单点或残余故障失效率为:
λSPF/RF=100×50%×(1-90%)=5FIT |
由于安全机制SM4还能够对该故障进行探测,防止其成为潜伏故障,其诊断覆盖率为100%,则该硬件组件的双点潜伏故障失效率为:
λDPF_latent=0FIT |
除单点故障,残余故障及双(多)点潜伏故障,剩余的则是可探测双点潜伏故障,则硬件组件的双(多)点故障的可探测失效率为:
λDPF_det=100×50%-λSPF/RF-λDPF_det=50-5=45FIT |
依此计算所有硬件组件的相关故障失效率,并进行如下统计:
故障失效率 | 数值 |
单点或残余故障总和 | ∑λSPF+∑λRF=5.48FIT |
双(多)点故障潜伏失效率总和 | ∑λDPF_det=12.8FIT |
双(多)点故障可探测失效率总和 | ∑λDPF_latent=69.822FIT |
车辆生命周期 | TLifetime=10000h |
则该ECU硬件整体概率化度量指标计算如下:
SPFM=1-(5.48/157)=96.5% |
LFM=1-[12.8/(157-5.48)]=91.6% |
PMHF=∑λSPF+∑λRF+∑λDPF_det×λDPF_latent×TLifetime=5.48(FIT)+12.80(FIT)x69.822(FIT)×10000(h)=5.489FIT |
根据该安全目标ASIL C,判断其可知,除SPFM没有>=97%外,其他指标均满足相应安全要求,所以该硬件设计基本满足安全目标ASIL C等级需求。当然,也可以对硬件设计进行进一步优化,提高SPFM架构度量值。
审核编辑:刘清
全部0条评论
快来发表一下你的评论吧 !