EPB功能安全笔记 (11)：FTA定性分析示例

本文要点

在上文（​​EPB功能安全笔记(10)：硬件随机失效分析基础​​）中系统地介绍了随机硬件失效的故障类型，如下图所示。

随机硬件故障的类型，截图来自GB/T 34590, 第5部分

本文将对ISO 26262中推荐的分析方法FTA (Fault Analysis Tree) 展开介绍。FTA作为一种分析方法，任何产品（如机械产品、电子电器等）都可以根据自身需要来选择FTA进行分析。由于机械零部件的失效率无法度量，因此对于机械产品FTA只能进行定性分析，而电子元器件的失效率可以度量，且业界有统一的设计规范和衡量指标，所以在对电子电器产品而言，FTA的优势立马凸显出来了，不仅可以进行定性分析，还能进行定量分析。这也是ISO 26262推荐FTA的重要原因。

本文以EPB系统为例说明FTA定性分析的步骤和特点。

FTA简介

1961年以前的安全与失效分析方法仅局限于对系统部件的失效模式何失效影响进行定性分析。但是随着系统复杂性逐渐提高，要想把每个失效模式对系统可能造成的影响理清越来越困难；与此同时，这种分析方法不适用于对系统的可靠性进行定量分析。1961年，基于可靠性理论的知识，贝尔实验室的布尔代数工程师H. Watson将带有逻辑符号的布尔模型引入失效分析方法中去定量评估控制系统的可靠性，FTA便诞生了。

在波音公司首次在Minuteman I发射控制安全研究中公开使用FTA并获得很好的实践结果后，FTA随后被引入航空航天、核工程、机器人行业，几十年的发展使得FTA在评估复杂系统的安全性和可靠性方面得到了广泛的应用。2011年ISO 26262将FTA作为推荐的演绎分析法（Deductive analysis method）引入到汽车的功能安全开发中。

何为演绎分析法？在这里顺便补充一点解释。演绎分析法的定义为：以被普遍接受的理论为依据，从理论出发做出假设，然后收集和分析数据去验证假设。简单来说就是从影响出发找出到原因的自上而下的分析方法。通常把顶层影响成为顶层事件或顶事件（top event）,底层原因称为原始事件或底事件（primary event）。FTA的作用可以概括为：

1.识别出可能引起顶层事件非预期发生的原始事件和原始事件组合

2.筛选出最有可能导致顶层事件非预期发生的原始事件或组合

3.通过布尔代数理论计算导致顶层事件非预期发生的可能性

4.确定改进设计的思路和方向

FTA经常被用来与ISO 26262推荐的另一种分析方法FMEA（Failure Mode and Effect Analysis）进行比较。FMEA作为归纳分析法（Inductive analysis method）的一种，简单来说就是从原因（cause）出发自下而上识别出所有可能造成的影响（effect）。这两种方法不是对立的，而是相互补充，共同为系统分析的完整性提供依据。

单就定性分析而言，一般FMEA在分析某个原始事件时假设其他原始事件都是正常状态，而不考虑与其他原始事件同时发生故障所造成的影响，所以FMEA仅用于分析单点故障，而FTA的优势则可以分析多点故障，这一点在接下来的案例分析中会有体现。

故障树的基本概念

在对FTA展开说明之前，简单说明FTA及故障树中的常见概念的定义，方便后文描述。

1. Top event (顶事件)

Outcome of combinations of all input events (所有输入的事件组合导致的后果)。

顶事件在故障树的最高位置，它是故障树要分析的点，故障树由顶事件开始逐步向下延申直至找到最根本原因。

2. Basic event (基本事件)

Event or state that cannot be further developed (不会被继续分析的事件)

3. Primary event (底事件)

Event that is at the bottom of the fault tree (位于故障树底部的事件)

4. Gate (门)

Symbol which is used to establish symbolic link between the output event and the corresponding inputs (连接输入事件和输出事件的符号)

门符号反映了输入事件与输出事件之间的关系，常见的门有“与门”和“或门”。

与门：

比如，事件A和事件B同时发生将导致事件C的发生，那么三者之间的关系以及符号表示如下。

或门：

比如，事件A和事件B任何发生将导致事件C的发生，那么三者之间的关系以及符号表示如下。

5. Cut set (割集)

Group of events that, if all occur, would cause occurrence of the top event (如果一个集合中的所有底事件同时发生，则导致顶层事件发生，这个集合被称为割集)

在这些集合中，事件数量最少的集合被称为最小割集(minimal cut set)。比如事件A发生必然导致顶事件发生，那么事件A可以被称为最小割集。

如果一个割集中只有一个底事件，那么称之为一阶割集，记为order 1；如果一个割集中有两个底事件，那么称之为二阶割集，记为order 2，以此类推。

FTA定性分析示例

搭建故障树是进行FTA定性分析的第一步，而确定顶事件是搭建故障树的第一步。

顶事件是所研究的系统失效可能造成的影响。根据系统层级的不同，可以选择从整车层定义，也可以从功能层定义。比如制动踏板传感器，其顶事件来自使用该传感器的功能，根据传感器对功能造成的可能影响来定义；而对EPB系统而言，其顶事件则为系统失效对整车造成的影响，因此可以将整车危害分析与风险识别结果作为输入。

接下来以下面这条Safety Goal为例搭建故障树并对说明FTA如何做定性分析。

Safety Goal：EPB应避免错误建压而造成过高的减速度，ASIL: C

这条Safety Goal对应EPB系统的动态液压制动功能。法规要求EPB能够作为第二套行车制动系统，通过拉起EPB开关，可以触发电控液压制动单元主动建压以实现最低1.5m/s2的减速度。

VDA305将EPB系统分成两个部分：

• Brake Assy: 包含制动卡钳、卡钳电机、电机控制软件（PBC, parking brake controller）
• ESC Assy: 又称Brake Host，提供EPB ECU和供电电源、CAN 通讯接口、硬线接口等外围设备

EPB和ESC系统组件，绿色：EPB; 蓝色：ESC

动态液压制动功能由ESC Assy的SSM模块实现，SSM模块的功能主要包括：

• evaluation of the state of the vehicle (static/dynamic)
• respond driver bottom intention to release and apply the parking brake
• comfort functions such as automatic release and application
• Requesting the dynamic deceleration function

动态液压制动功能信号链，由ESC Assy（蓝色）实现

当动态液压功能正确工作时，其信号链为：EPB开关拉起 → SSM模块计算目标减速度 → ESC响应目标减速度建压。反之，以下事件任何一个发生都会导致顶事件的发生（或门）：

• EPB开关非错误拉起
• SSM模块错误请求动态建压
• ESC错误主动建压

对这三个事件进行进一步细化。

1. EPB开关非错误拉起（与门）

• EPB开关电路错误跳转到拉起状态
• EPB电路监控软件失效（超出监控覆盖度）

2. SSM模块错误请求动态建压（或门）

• SSM软件bug
• EE存储错误

3. ESC错误主动建压

从分析对象的边界看，ESC不属于EPB系统 FTA讨论范围，因此在EPB的FTA中可以简单描述的ESC失效模式，而不会失效原因进行深入细化，因此用一个原始事件替代ESC的失效即可。这个原始事件也是EPB系统对ESC系统的一条需求。对于定量分析而言，ESC厂家需要提供失效率作为EPB的FTA的输入，这一点后面的文章中再展开。

最后，以Safety Goal为顶事件，搭建的故障树如下所示（此处故障树仅作示例使用，略去很多细节，与真实开发存在差距）：

故障树

FTA的定性分析的主要作用是通过构建故障树识别顶事件与底事件之间的关系，同时识别出可能引起顶层事件非预期发生的原始事件和原始事件组合，也即识别出割集（cut set）。

结果验证了开篇提到的FTA定性分析的优势FMEA只识别单点故障，而FTA可以识别多点故障。基于分析结果我们可以筛选出哪些故障对目标的影响大，从而改进设计。

下篇预告

本文系统地FTA以及FTA在定性分析中的应用。在介绍FTA的定量分析之前，需要先知道定量分析的数据从哪里来以及怎么得来？下期将对这些问题进行解答。

本文转载自：焉知智能汽车