01
FMEDA步驟
FMEDA(Failure Modes Effects and Diagnostic Analysis) 是一種評估系統安全架構和實施的強大方法,多用于硬件定量分析。
和FMEA定性分析不同,FMEDA在FMEA 自下而上的方法論基礎上增加了對硬件故障定量化的評估內容,包括模式失效率(Failure rate)、故障模式占比(Failure mode distribution)和對應的安全機制診斷覆蓋率(Diagnostic coverage),對FMEA進行擴展從而可以完成定量分析,是計算硬件概率化度量指標的有效手段,其具體流程如下圖所示:
具體而言,包括以下幾個步驟:
步驟1: 計算失效率
首先,需要根據系統硬件架構,羅列所有硬件單元,為了方便分析和計算,可以對硬件單元按照類型進行分組。
然后,根據行業公認的標準(SN29500, IEC 62380),歷史或測試數據,查詢各硬件單元失效模式以及對應的失效率分布。此過程可以采用手動模式,或者采用利用相關軟件,輸入系統硬件單元,進行自動化查詢及計算。
例如,控制器硬件ALU算術邏輯單元:
它的失效率λ=0.348 FIT,即該電阻在10^9 h內平均存在0.348次失效。
它存在三種失效模式: FM1, FM2, FM3。
三種失效模式對應的失效分布比例:FM1->25%,FM2->25%,FM3->50%。
步驟2: 識別故障模式
對步驟1中列出的硬件單元進行安全分析,根據故障分析流程圖,確定其故障模式是否和功能安全相關以及故障的類型:
如果和功能安全無關,則為安全無關的安全故障。
如果和功能安全相關,則需要進一步分析,確定其故障的類型,包括單點故障或雙點故障等(和功能安全相關的三點及以上的故障也屬于安全故障),以及是否存在相應的安全機制。
具體故障類型定義及區別見08篇,不再贅述。
不是所有硬件單元的故障都會導致安全目標的違背,為了方便有效識地識別和功能安全相關的故障以及故障類型,可以采用FTA安全分析方法,對不同安全目標SG進行自上而下的安全分析,識別出違反安全目標的底層事件,根據不同底層事件和安全目標之間的關系,即''與門''和''或門'',就可以基本識別出不同故障類型。
例如,進行最小割集分析,級數為1的最小割集對應的底層事件就是單點故障,級數為2則為雙點故障等等,可以由軟件直接得到。
當然,也可以將步驟1得到硬件組件的失效率作為FTA底層事件失效數據的輸入,利用FTA分析工具,進行故障的識別和后續硬件失效相關的度量計算。
步驟3: 計算診斷覆蓋率
根據識別得到的硬件單元實施的安全機制,確定診斷覆蓋率數值,在ISO 26262-5:2018附錄D中,提供了硬件系統不同組件,包括傳感器,連接器,模擬輸入輸出,控制單元等常見的安全機制以及對應的診斷覆蓋率。
一般安全機制診斷覆蓋率可以根據相應的公式進行計算,但過程相對比較復雜,所以多采取保守估算方式。
對于給定要素的典型安全機制的有效性,ISO 26262-5:2018附錄D按照它們對所列舉的故障覆蓋能力進行了分類,分別為低、中或高診斷覆蓋率。這些低、中或高的診斷覆蓋率被分別定義為60%、90%或99%的典型覆蓋水平。
繼續以ALU為例:
針對故障模式FM2和FM3,在硬件設計中存在相應的安全機制SM1和SM2,其對應的診斷覆蓋率分別為90%和60%。
以此方式,計算所有硬件單元的安全機制的診斷覆蓋率。
步驟4: 計算量化指標
根據硬件架構度量指標SPFM,LFM以及隨機硬件失效評估PMHF計算公式,計算相應的指標。
PMHF=∑λSPF+ ∑λRF+ ∑λDPF_det× λDPF_latent× TLifetime
具體計算公式見08篇,在此不再贅述。
步驟5: 優化設計
根據步驟4計算結果,對硬件設計可靠性進行綜合評估,判定是否滿足指定的ASIL等級要求,如果滿足則分析結束,否則需要根據計算結果,優化硬件設計,增加新的安全機制或者采用更高診斷覆蓋率的安全機制,然后再次進行計算,直至滿足安全需求為止。
02
FMEDA計算實例
雖然在ISO 26262-5:2018附錄中已經添加了有關硬件架構度量和隨機失效率評估的實例,但由于其過程介紹相對簡單,導致很多朋友仍然搞不清楚計算過程,接下來就以其中一個實例為例,介紹如何利用FMEDA進行硬件概率化度量指標的計算過程。
下圖為某ECU硬件設計圖,針對其安全目標:''當速度超過 10km/h 時關閉閥1的時間不得長于20 ms''。安全目標被分配為 ASIL C 等級。安全狀態為:閥1打開(I61控制閥1)。
針對該安全目標,羅列所有硬件組件,如下表所示,根據FMEDA步驟1至4,分別查詢硬件組件失效率,失效模式及分布比例,并計算相應的硬件度量指標。
例如, 對于控制芯片uc而言,其失效率為100 FIT,存在兩種失效模式,其分布比例各占50%,只有第一種失效模式和安全相關,第二種失效模式則無需考慮。
由于安全機制SM4的存在,對該硬件組件第一種故障的診斷覆蓋率為90%,該硬件組件
單點或殘余故障失效率為:
λSPF/RF=100×50%×(1-90%)=5FIT |
由于安全機制SM4還能夠對該故障進行探測,防止其成為潛伏故障,其診斷覆蓋率為100%,則該硬件組件的雙點潛伏故障失效率為:
λDPF_latent=0FIT |
除單點故障,殘余故障及雙(多)點潛伏故障,剩余的則是可探測雙點潛伏故障,則硬件組件的雙(多)點故障的可探測失效率為:
λDPF_det=100×50%-λSPF/RF-λDPF_det=50-5=45FIT |
依此計算所有硬件組件的相關故障失效率,并進行如下統計:
故障失效率 | 數值 |
單點或殘余故障總和 | ∑λSPF+∑λRF=5.48FIT |
雙(多)點故障潛伏失效率總和 | ∑λDPF_det=12.8FIT |
雙(多)點故障可探測失效率總和 | ∑λDPF_latent=69.822FIT |
車輛生命周期 | TLifetime=10000h |
則該ECU硬件整體概率化度量指標計算如下:
SPFM=1-(5.48/157)=96.5% |
LFM=1-[12.8/(157-5.48)]=91.6% |
PMHF=∑λSPF+∑λRF+∑λDPF_det×λDPF_latent×TLifetime=5.48(FIT)+12.80(FIT)x69.822(FIT)×10000(h)=5.489FIT |
根據該安全目標ASIL C,判斷其可知,除SPFM沒有>=97%外,其他指標均滿足相應安全要求,所以該硬件設計基本滿足安全目標ASIL C等級需求。當然,也可以對硬件設計進行進一步優化,提高SPFM架構度量值。
審核編輯:劉清
-
傳感器
+關注
關注
2550文章
51046瀏覽量
753119 -
控制器
+關注
關注
112文章
16339瀏覽量
177845 -
連接器
+關注
關注
98文章
14488瀏覽量
136443 -
ALU
+關注
關注
0文章
33瀏覽量
13096
原文標題:09 - 汽車功能安全(ISO 26262)系列: 硬件開發 - 隨機硬件失效量化FMEDA
文章出處:【微信號:阿寶1990,微信公眾號:阿寶1990】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論