EPB功能安全笔记(13)：FTA定量分析之FMEDA和FTA的交互

本文要点：在上文（EPB功能安全笔记(12)：FTA定量分析之确定失效率）中解释了用于FTA定量分析的失效率数据从何而来，并重点对随机硬件失效的失效率进行了说明。电子元器件的可靠性模型符合指数分布，其特点是失效率为常数，这和浴盆曲线第二阶段的失效率接近常数的特点相契合，所以说电子元器件的生命周期非常符合浴盆曲线，因此将电子元器件第二阶段的失效率称之为随机硬件失效率，这也正是E/E系统随机硬件失效度量需要考虑的失效率。

随机硬件失效符合浴盆曲线第二阶段

但是，从宏观角度讲，不是所有的电子元器件都和整车安全相关，所以站在功能安全的角度，对E/E系统进行随机硬件失效度量前需要做出筛选；另一方面，一个安全相关的电子元器件有不止一种失效模式，不是所有的失效模式都会违背安全目标，所以光知道电子元器件的总体失效率还不够，我们还需要知道各个失效模式下对应的失效率。面对以上两个问题，功能安全开发中常用FMEDA (失效模式、影响及其诊断分析; Failure Modes, Effects and Diagnostic Coverage Analysis) 来解决。但是，FMEDA确定分析什么，需要有系统层FTA的输入。基于此，本文将对FMEDA的方法论以及FMEDA与FTA之间的交互进行介绍。

1.什么是FMEDA？

前文讲过，FMEA (Failure Mode and Effects Analysis)作为一种在产品开发或生产过程中识别和评估系统或产品使用过程中所有可能的风险的方法，其缺点是适合定性分析而不适合定量分析。FMEDA在沿用FMEA buttom-up方法论的基础上增加了两部分内容，对FMEA进行扩展从而可以完成定量分析：

• 底层故障的各个故障模式失效率(failure rate)和故障模式占比(failure mode distribution)
• 故障模式的诊断及诊断覆盖率(Diagnostic Coverage)

FMEDA示意图

上述斜线部分是FMEDA进行定量分析的三个主要输入。ISO 26262将FMEDA作为对随机硬件失效分析的方法引入到功能安全开发中，所以首先要确定的是电子元器件的这三个输入，输入来源简单罗列如下：

另一方面，站在系统的角度，还需要确定电子元器件的每一个故障模式对系统造成的影响。这一部分可以通过FMEA的功能网和失效网确定，也可以通过FTA故障树的底事件确定。而对于ISO 26262中要求的随机硬件失效度量而言，需要考虑单点故障、残余故障和潜伏故障，而考虑到FMEA仅仅分析单点故障的这一局限，所以在进行随机硬件失效度量时，电子元器件所造成的系统影响由FTA确定。

2.FMEDA与FTA的交互

从微观角度讲，对于一个ECU电路图，我们可以确定电路图中所有电子元器件的失效模式与对应的失效率以及对失效的诊断覆盖率。但是，从宏观角度讲有两点需要明确：

• 不是所有的电子元器件都能引起引起整车安全问题
• 对于某一个安全相关的电子元器件，不是所有的失效模式都能引起整车安全问题

因此，需要对所有电子元器件的失效模式进行分析和筛选。FTA的底事件中已经识别出了能造成整车安全影响的硬件失效，将这些底事件转换成系统对硬件的需求输入给FMEDA，以构建出顶层失效与底层电子元器件故障的失效网络，一旦失效网络确认，每个元器件中和安全相关的故障模式以及对应的故障类型也随之确定。这就是ECU FMEDA的主要目标。

通过前文的介绍可知，故障类型有以下几种：

• 单点故障（Single-point fault, SPF）：可直接导致违背安全目标且没有任何安全机制预防其某些故障违背安全目标的故障。
• 残余故障（Residual fault, RF）：可直接导致违背安全目标且有至少一个安全机制预防其某些违背安全目标的故障。
• 多点故障（Multi-point fault，MPF）：仅与另外的独立硬件故障联合才能导致安全目标的违背，且被防止其潜伏的安全机制所探测或被驾驶员感知的故障。
• 可探测的多点故障（Perceived multi-point fault， P-MPF）: 仅与另外的独立硬件故障联合才能导致安全目标的违背，且在规定的时间内被驾驶员所感知的故障。
• 可探测的多点故障（Detected multi-point fault， D-MPF）：仅与另外的独立硬件故障联合才能导致安全目标的违背，且被防止其潜伏的安全机制所探测的故障。
• 潜伏的多点故障（Latent multi-point fault, L-MPF）：仅与另外的独立硬件故障联合才能导致安全目标的违背，且不被安全机制所探测也不被驾驶员感知的故障。

3.FMEDA案例分析

接下来以案例的形式对FMEDA分析的步骤进行说明。

假设下图为方向盘转角传感器的部分电路图，整车FTA的底事件中有一条对方向盘转角传感器的安全需求：

方向盘转角传感器不能非预期输出超过3deg

红框部分为已经识别出来的和该需求相关的电子元器件。

部分方向盘转角传感器电路图 （仅作示例）

为便于后文展开分析，做出如下约定：

λ _SPF：单点故障失效率

λ _RF：残余故障失效率

λ _MPF_L：潜伏故障失效率

λ _sum：电子元器件总失效率

λ _unsafe：电子元器件所有安全相关的总失效率

λ _type：电子元器件某个故障模式下的总失效率

对于电阻R72，通过标准和相关手册确定的故障模式及失效率信息如下：

λ _SPF = 0 (FIT)假设R72短路会直接违背安全需求，但不会构成多点失效电路中对短路故障有监控机制且覆盖率为90%。则该失效模式的分析结果为：

λ _RF = λ _type * (1-90%) = 28 * 10% = 2.8 (FIT)

λ _PMF_L = 0 (FIT)

假设R72断路不会直接违背安全需求，但是它会与另一个元器件的失效共同构成双点失效。且电路中对断路故障有监控机制且覆盖率为80%。则该失效模式的分析结果为：

λ _SPF = 0 (FIT)

λ _RF = 0 (FIT)

λ _PMF_L = λ _type * (1-80%) = 8 * 20% = 1.6 (FIT)

综上，使用FMEDA对R72的分析总结如下：

按照上面的分析方法，当所有和这条安全需求相关的所有电子元器件按照上述方法分析完毕后，将所有的λ _unsafe、λ _SPF、λ _RF和λ _MPF_L相加，即可得到这条安全需求所对应的所有随机失效的失效类型及其失效率。这些参数将作为底事件的属性参与到FTA进行随机硬件失效度量的定量计算中。

• 安全相关故障失效率总和：λ _unsafe
• 单点故障失效率总和：λ _SPF
• 残余故障失效率总和：λ _RF
• 潜伏故障失效率总和：λ _MPF_L

下期预告

本文介绍了FMEDA的背景并基于案例说明了FMEDA的分析步骤以及FMEDA与FTA之间的交互，从而解释了FTA进行随机硬件失效度量时的失效率数据从何而来。

下期将在本文内容的基础上进一步解读ISO 26262对随机硬件失效的要求。

本文转载自：焉知智能汽车