EPB功能安全笔记(12)：FTA定量分析之确定失效率

本文要点

在上文（EPB功能安全笔记 (11)：FTA定性分析示例）中介绍了FTA的发展历史和特点，并通过案例的形式系统地说明了如何运用FTA对E/E系统进行定性分析。对于一款产品而言，要证明可靠性是否满足要求，需要有令人信服的数据支撑和普遍被接受的衡量指标。这正是ISO 26262引入FTA的另一个重要目的——通过定量分析验证E/E系统的可靠性。

EPB系统FTA故障树（示例）

ISO 26262对E/E系统的可靠性要求即对随机硬件失效的要求，换句话说，是对组成ECU的各个电子元器件（电阻、二极管等）的随机失效的要求。电子产品的可靠性理论（Electronic Reliability Theory）发展至今已经非常成熟，也诞生了不少被行业普遍认可的标准和指南，比如SN 29500 和MIL HDBK 217等。可以说ISO 26262中对随机硬件失效的要求是在电子元器件可靠性理论的基础上结合汽车运行环境和使用条件“因地制宜”发展而来。不过，ISO 26262专注于需求定义的准确性，对需求背后的理论不做解释，导致硬件开发的相关要求和概念成了ISO 26262中最晦涩难懂的部分。基于此，本文将试图补充一些失效率相关的理论，并说明FTA进行随机硬件失效度量时的失效率如何确定。

1.什么是失效率（failure rate）？

ISO 26262推荐用FTA对E/E系统进行可靠性度量，那么参与可靠性度量的数据是什么？

可靠性是指产品在规定的时间内、规定的条件下完成规定功能的能力。通常用失效率 (λ) 作为数量特征来表征产品的可靠性。失效率的定义为：

Number of failures per unit of time for a piece of equipment. (产品单位时间内发生失效的次数)

举个例子，为了确定某个灯泡的失效率，选取5个一模一样的灯泡进行实验，让其同时工作1000小时，实验结果如下：

有4个灯泡在1000h前损坏，那么这款灯泡的失效率计算结果如下：

λ = 4 failures / (422+744+803+678+1000) hour = 0.0011 failures per hour

理论上来说，失效率可以使用任何时间量度来表示，但是实际上“小时”是最常见的单位。在半导体行业因为电子元器件失效率非常低，因此常用FIT (failures in time) 来表示，1 FIT表示为每十亿小时（10^9 h）失效1次。

2.失效率如何确定？

FTA进行可靠性度量的失效率从何而来？简单来说，失效率来自FTA故障树底部的各个基本事件的输入。基本事件由三类故障组成：

• 软件故障（如SSM软件BUG）
• 机械故障（如ESC液压管路泄露）
• 硬件随机故障（如EPB电路开关错误跳转）

这三类故障的失效率如何确定，将是本文的讨论核心。

2.1.确定软件故障和机械故障的失效率

确定软件故障和机械故障的失效率之前，先来讨论ISO 26262中对FTA定性分析和定量分析要求中的“矛盾”。

在ISO 26262-4中对系统架构的安全分析中有以下要求：

Safety analyses on the system architectural design shall be performed in accordance with Table 1. (对系统设计进行安全分析以识别系统性失效的原因和系统性故障的影响，应按照表1进行。)

在ISO 26262，2018版中对系统架构的安全分析增加了如下说明：

NOTE 2 The purpose of these analyses is to assist in the design. Therefore at this stage, qualitative analysis is sufficient. Quantitative analysis can be performed if necessary. (通常对系统架构的安全分析定性分析就是足够的，不需要定量分析)

NOTE 3 The analysis is conducted at the level of detail necessary to identify causes and effects of random hardware failures and systematic failures. (对系统架构的安全分析包括随机硬件故障和系统故障)

NOTE 4 The aim of using a combination of deductive and inductive methods is to provide complementary approaches to analysis, see also ISO 26262-9:2018, 8.2. (对系统架构的硬件分析可将归纳分析和演绎分析结合)

基于上述要求，在使用FTA进行定性分析搭建故障树时，往往将硬件故障、软件故障和机械故障都考虑进去。这样一来，在FTA定性分析的结果中可以看到所有类型的故障均体现在了割集中，可以帮助设计人员全方位地了解系统薄弱环节，更完整地考虑系统可优化的部分。

但是另一方面，ISO 26262-5中只要求对E/E系统的随机硬件失效进行度量。那么矛盾来了：FTA做系统定性分析时搭建的故障树是进行定量分析的基础，如何保证基于故障树的计算结果只凸显基本事件中随机硬件故障的贡献而不受软件故障和机械故障的影响？有以下几种方案。

方案1：直接将软件故障和机械故障的失效率赋为0输入。

这个方法显然不可取，假设一个软件故障和一个硬件随机故障通过与门连接，由于软件故障失效率为零，导致整个与门的计算结果为零，相当于没有考虑这一个随机硬件故障，使计算结果失真。

方案2：在进行定量计算前将故障树中所有非随机硬件故障都删除。

虽然是个办法，但抛开低效不谈，开发一个新产品的过程中设计一直在迭代，删除会导致定性分析的割集列表不完整，仍不可取。

方案3：对故障树中的软件故障和机械故障赋值一个非常小的失效率，且要小到和随机硬件失效度量的指标相差几个数量级。

这是个两全其美的方法。既保证了定性分析的完整性，又能让定量分析计算结果尽可能不受软件故障和机械故障的影响，只凸显随机硬件故障的贡献。

为了让计算结果尽可能真实，在实际工程中可以这样赋值：

2.2.确定随机硬件故障的失效率

2.2.1.什么是随机硬件失效率？

在了解随机硬件失效率之前，首先需要了解经典的“浴盆曲线（bathtub curve）”。浴盆曲线是指产品从投入到报废为止的整个寿命周期内，其可靠性的变化呈现一定的规律。如果取产品的失效率作为产品的可靠性特征值，它是以使用时间为横坐标，以失效率为纵坐标的一条曲线，曲线的形状呈两头高，中间低，有些像浴盆，所以称为“浴盆曲线”。

浴盆曲线具有明显的阶段性，失效率随使用时间变化分为三个阶段：早期失效期、偶然失效期和耗损失效期。

浴盆曲线

早期失效期表现为产品在开始使用时失效率很高，但随着产品工作时间的增加，失效率迅速降低，这一阶段失效的原因大多是由于设计、原材料和制造过程中的缺陷造成的，可以理解为系统故障，不属于随机故障。

耗损失效期是由于磨损、疲劳、老化和耗损等原因使得失效率随时间的延长而急速增加,这一阶段也不属于随机故障。

第二阶段持续时间长，失效率低且较稳定，设计再好也无法消除，我们也称之为随机故障阶段。

电子元器件的可靠性模型符合指数分布，指数分布模型的特点是失效率为常数，这和浴盆曲线第二阶段的失效率接近常数相契合，所以说电子元器件的生命周期非常符合浴盆曲线，因此将电子元器件第二阶段的失效率称之为随机硬件失效率，这正是E/E系统随机硬件失效度量需要考虑的阶段。

2.2.2.如何确定随机硬件失效率？

通常来说，电子元器件的失效率可以通过以下三种方式获得：

① 历史数据

如果设计一款和已有的产品相似的产品，那么原产品收集的历史数据可以用来评估新产品的失效率。但是对于全新的产品而言则没有历史数据可以参考。

② 测试

测试自然是最真实和最准确的数据来源。但是对电子元器件而言，普遍失效率的数量级很低，导致测试周期长，成本太高，不适用于大规模运用。

③ 行业公认的标准

就汽车ECU而言，电子元器件的失效率基本都是厂商基于SN 29500和MIL HDBK 217等行业公认的标准和指南中提供的可靠性预估算法计算而来。

举个例子，SN 29500对继电器（relays）提供的参考随机硬件失效率如下：

截图来自SN 29500

不同的产品可以综合考虑实际运行环境对参考随机硬件失效率进行修正，如下图所示，公式中的每个参数如何确定SN 29500都有详细说明。

截图来自SN 29500

下篇预告

ISO 26262对FTA定量分析的要求本质上是对随机硬件失效度量的要求。本文系统地解释了FTA定量分析的失效率数据从何而来，并重点对随机硬件失效的失效率进行了说明。

但是，从宏观角度讲，不是所有的电子元器件都和整车安全相关，所以站在功能安全的角度对E/E系统进行随机硬件失效度量前需要做出筛选；另一方面，一个安全相关的电子元器件有不止一种失效模式，不是所有的失效模式都会违背安全目标，所以光知道电子元器件的总体失效率还不够，我们还需要知道各个失效模式下对应的失效率。这些问题如何解决？下期将进行解答。

本文转载自：焉知智能汽车