功能安全相干概念介绍

1、媒介

        ISO 26262中对“Functional Safety, 功能安全”的界说如下： Absence of unreasonable risk due to hazards caused by malfunctioning behavior of E/E systems. （不存在由电子电气体系的功能异常表现引起的危害而导致不公道的风险）       
        而从本质上来讲，电子电器体系的功能异常表现由两类失效引起：

• 随机硬件失效(random hardware failure)：在硬件要素的生命周期中，非预期发生并服从概率分布的失效。
  
• 体系性失效（systematic failure）：以确定的方式与某个原因相干的失效，只有对设计或生产流程、操纵规程、文档或其他相干因素进行变更后才大概清除这种失效。
  

        从这个角度，可以以为功能安全的目标就是将电子电器体系的随机硬件失效和体系性失效控制在公道的（或者说可继承的）范围内。得当且充分的安全分析可以资助功能安全开发更好地实现这一目标。安全分析方法包罗两类：

• 归纳分析 （Inductive analysis）
  
• 演绎分析 （Deductive analysis）
  

        ISO 26262标准中对这两类分析方法分别推荐了FMEA (Failure Mode and Effects Analysis)和FTA (Fault Tree Analysis)。
        另一方面，ISO 26262中对功能安全开发的要求既有定性分析的要求，也有定量分析的要求。当试图将这些要求与分析方法对应时存在着一些误解，以为FMEA只能用于定性分析，而FTA则只用于定量分析，其实否则。
        作为两种被很多行业广泛使用的分析方法，FMEA和FTA均既能用于定量分析也能用于定性分析，只是不同行业会基于不同的目标加以筛选使用。而实际上在功能安全开发过程中，FMEA和FTA的定量分析和定性分析均全部体现且发挥着不同的作用。
        FTA用于分析故障原因及影响，DFA评估组件间的独立性，而FMEDA则关注硬件功能块的故障模式及安全机制。内容包罗各个分析方法的界说、实施步调、所需输入和最终交付物。
2、FMEA(Failure Modes and Effects Analysis 故障模式及结果分析)

2.1 什么是FMEA

        FMEA主要针对技术风险，是对产品开发和生产流程中进行防备性子量管理的一种分析方法。FMEA分析方法最大的特点是从体系各元器件的失效原因到它们的失效对体系的影响，从而对大概造成不可继承的影响的失效原因制定优化步调，是一种“自下而上（bottom—up）”的分析方法。
        FMEA在构建体系架构的基础上识别出体系的底层各个功能的失效模式，并自下而上识别出这些底层的失效模式对整车层造成的失效影响，进而评估体系使用过程中全部大概的风险，并制定和实施得当的步调以优化产品开发和生产环节的质量控制以降低故障成本。
2.2 怎么分析

        因为FMEA用来进行单点故障分析，因此在思量某个底层故障时既不思量其他故障对自身的影响，也不思量对其他故障的影响；而FTA进行定量盘算的条件是假设全部的底事件之间是相互独立的不受彼此影响。但是对于一个真实的体系而言，大概出现两种环境：

•         底事件A发生故障同时导致底事件B和底事件C发生故障
  
•         底事件A发生故障导致底事件B也发生故障
  

        这两种环境也存在安全风险，如果在安全分析如FMEA和FTA中不对这两种环境进行考量的话，安全分析的结果是不完整的。ISO 26262将对以上两种环境的分析称为“相干失效分析（DFA， Dependent Failure Analysis）”。相对于FMEA和FTA而言，读者对DFA比较陌生
2.3 FMEA与定性分析——"七步法"

        FMEA定性分析归纳为七步，其中第1步和第7步是新版本加上去的，分别对操持和最后的文档工作进行指导，而中心五步则是FMEA的核心。
1、Structural Analysis(结构分析)
        这里的结构指的是体系的结构。体系由若干个要素（element）组成，这些要素都具备相应的特性同时通过一定的关系与其他要素相互接洽。同时体系具有将体系与外界环境分开的明确的边界，而且其与环境的关系由输入和输出界说。
        结构分析的目标就是清晰、完整地描述产品的组成部门，包罗体系的边界。在FMEA中用树状图的形式描述了整个体系中的要素。
2、Function Analysis(功能分析)
        功能分析的目标是保证产品功能被得本地分配给了相应的要素，从而将产品功能和要素功能关联起来形乐成能网络。而这个工作将在已经确定的体系结构树的基础上完成。
3、Failure Analysis（失效分析）
        对失效的界说泉源于功能界说，当功能不能被实现时即为失效。一条完整的失效网包罗以下三个因素，三者的关系如下。失效分析的目标是准确地识别出失效原因（failure cause）、失效模式（failure mode）和失效影响（failure effect）, 从而基于功能网确定失效网。

• 失效原因（failure cause）
  
• 失效模式（failure mode）
  
• 失效影响（failure effect）
  

        failure cause则为使failure mode发生的原因；failure mode是使要素无法满足预期功能的方式；failure effect被界说为failure mode所引起的结果。
4、Risk Analysis （风险分析）
        风险分析的目标是通过评估风险的严峻度（Severity）、频度（Occurrence）和探测度（Detection）来确定需要采取优化步调的优先级。

• Severity值指的是最顶层（整车层）的failure effect所造成的严峻水平。简单来说，10表示最严峻，0表示最不严峻。
  
• Occurrence值反映的是在为避免failure cause发生所采取的防备步调的作用下failure cause发生的大概性。简单来说，10表示发生的大概性最大，0表示大概性最小。
  
• Detection值则反映了在产品量产释放之前采取的探测failure cause的步调的有效性。简单来说，10表示探测的有效性最差，0表示有效性最好。
  

5、Optimization（优化）
        在确定失效网的S\O\D值后，将进行风险分析，确定需要采取优化步调的优先级。对于风险评估的标准每个公司都大概有本身的标准，有些公司用RPN值，RPN=O*D*S，根据RPN的结果大小来确定优先级。有些公司接纳S*O值的结果来进行确定。不管采取哪一种评价标准，核心的目标是识别出体系中最需要优化的点。
        优化的目标是对需要采取进一步步调的failure cause界说新的防备步调和探测步调，以降低O/D值从而将风险降低到可继承的范围。
3、FMEDA(Failure Modes,Effects and Diagnostic Analysis 故障模式、影响和诊断分析)

        在功能安全开发中，FMEDA(Failure Modes, Effects and Diagnostic Coverage Analysis)作为对电子元器件的随机硬件失效分析方法而被广泛熟知，而实际上FMEDA是在FMEA的“自下而上（bottom-up）”的分析思路的基础上，加入以下两部门内容发展而来的：

• 底层故障的各个故障模式失服从(failure rate)和故障模式占比(failure mode distribution)
  
• 故障模式的诊断及诊断覆盖率(Diagnostic Coverage)
  

        从这个角度，可以以为FMEDA就是FMEA分析方法进行定量分析的典型应用。
        FMEDA的第一步是识别出电子元器件的每一个故障模式对体系造成的影响。完成这一目标需使用上节提到的FMEA定性分析步调中的“结构分析”、“功能分析”与 “失效分析”，从而构建出功能网和失效网。当失效网确定后，有安全影响的电子元器件及其失效模式也随之确定。
        FMEDA的第二步是对每一个与安全相干的失效模式确定以下三个值，从而为定量分析提供数据支持）。
4、FTA(Fault Tree Analysis 故障树分析)

4.1 什么是FTA 

        FTA是故障树分析的简称。是一种用于分析的图形表示技术，常常被用来识别引发故障的原因，以及描述故障所产生的影响。FTA应用于高风险的应用中，分别从定性和定量角度来证实体系的容错本领。
        FTA从整车层Safety Goal出发，基于体系架构搭建故障树从而自上而下识别出全部大概违反Safety Goal的底层事件；在确定电子元器件相干的底事件的失服从基础上，通过布尔运算定量分析体系是否符合功能安全对随即硬件失效的要求。
4.2 如何进行FTA 

        通过确定单个或组合的较低级别故障或事件如何引起顶级事件（顶级UE）。 这就是“定性”故障树分析。
        此外，“定量”故障树分析包罗界说事件（危险或主要不良事件）发生的数字概率。
4.3 FTA的作用

        FTA的作用可以概括为：
        1）.识别出大概引起顶层事件非预期发生的原始事件和原始事件组合
        2）.筛选出最有大概导致顶层事件非预期发生的原始事件或组合
        3）.通过布尔代数理论盘算导致顶层事件非预期发生的大概性
        4）.确定改进设计的思路和方向
4.4 FTA与定性分析——割集（cut set）

        FTA的定性分析的主要作用是通过构建故障树识别顶事件与底事件之间的关系，同时识别出大概引起顶层事件非预期发生的原始事件和原始事件组合。
        由于FMEA是从体系的底层原因触发，因此在分析某个底层事件的某个失效模式时会假定其他底层事件都是正常状态，而不思量与其他底层事件同时发生故障对体系顶层造成的影响，以是FMEA仅用于分析单点故障。而FTA的优势则可以分析多点故障。
        割集结果验证了前面提到的FTA定性分析相比FMEA既可以识别单点故障又可以识别多点故障的优势。基于分析结果可以筛选出对安全目标有影响的故障以及故障的类型（单点故障或者多点故障），从而优化设计。
4.5 FTA与定量分析——SPFM, LFM, PMHF

        在功能安全开发中，FTA定量分析被广泛运用于盘算电子电器体系的随即硬件失服从是否满足以下两个方面的要求：
        1).硬件架构度量的评估(Evaluation of the hardware architectural metrics)
        2).随机硬件失效导致违反安全目标的评估(Evaluation of safety goal violations due to random hardware failures)
        要求1：硬件架构度量的评估
        硬件架构度量用来评估相干项的架构应对随机硬件失效时的有效性。这些度量所针对的随机硬件失效仅限于相干项中某些安全相干电子和电气硬件元器件，即那些能对安全目标的违反或实现有显著影响的元器件，并限于这些元器件的单点故障、残余故障和埋伏故障。
        硬件架构度量的评估旨在实现以下目标：

• 表现用于防止硬件架构中单点或残余故障风险的安全机制的覆盖率是否足够(单点故障度量,single-point fault metric, SPFM)；
  
• 表现用于防止硬件架构中埋伏故障风险的安全机制的覆盖率是否足够(埋伏故障度量, Latent fault metric, LFM)
  

        要求2：随机硬件失效导致违反安全目标的评估
        对随机硬件失效导致违反安全目标的评估是用来确定违反安全目标的残余风险已经足够低。最常用的方法为“随机硬件失效概率度量”( Probabilistic Metric for random Hardware Failures，PMHF)。PMHF表示在汽车运行周期中每小时平均失效概率。
4.4 需要的输入

        PHA
4.5 FTA的交付物

        具有定性和定量分析的故障树分析陈诉
5、FTA与FMEDA合作

        FTA定量分析的目标为盘算并分析电子电器体系的随机硬件失效是否满足ISO 26262对SPFM, LFM以及PMHF的要求。这一过程需要FTA和FMEDA合作完成。
        从微观角度讲，对于一个电子电器体系的的ECU电路图，我们可以确定电路图中全部电子元器件的失效模式与对应的失服从以及对失效的诊断覆盖率。但是，从宏观角度讲有两点需要明确：

• 不是全部的电子元器件都能引起引起整车安全标题
  
• 对于某一个安全相干的电子元器件，不是全部的失效模式都能引起整车安全标题
  

        因此需要对全部电子元器件的失效模式进行分析和筛选。FTA定性分析过程中搭建的故障树中的底事件中已经识别出了能造成整车安全影响的硬件失效，将这些底事件转换成体系对硬件的需求输入给FMEDA，以构建出顶层失效与底层电子元器件故障的失效网络；失效网络确认后，通过FMEDA分析确定和安全相干的电子元器件的失服从、故障模式占比以及安全机制的诊断覆盖率，并将相干数据作为FTA的输入。
        在此需要指出，除了在ECU层设计安全机制外，在软件层也可以设计满足一定诊断覆盖率的安全机制（即软件监控），而这一部门在FMEDA中是没有的，它存在于FTA故障树中。因此，FTA在盘算SPFM, LFM以及PMHF时，输入并不美满是来自FMEDA，而应该是FMEDA加上软件层的安全机制覆盖率。
        通过上述说明可以归纳以下几点：
        1、FMEA和FTA作为两种不同的分析方法被引入功能安全开发中，两者均能进行定性分析，也能进行定量分析；
        2、FMEA进行定性分析的主要目标是从体系各元器件的失效原因到它们的失效对体系的影响，从而对造成不可继承的影响的失效原因制定优化步调；
        3、FMEDA作为对电子元器件的随机硬件失效分析方法，实际上是在FMEA的方法论基础上发展而来，因此可以以为FMEA的定量分析体现在FMEDA的应用中；
        4、FTA进行定性分析的主要作用是通过构建故障树识别顶事件与底事件之间的关系，同时识别出大概引起顶层事件非预期发生的原始事件和原始事件组合；
        5、确定电子电器体系的随即硬件失效是否满足ISO 26262的定量要求，通常需要借助FTA和FMEDA共同完成，FTA的底事件为FMEDA提供设计需求，FMEDA为FTA提供随机硬件失效相干的数据。
6、DFA(Dependent Failure Analysis，相干故障分析)

6.1 什么是DFA

        相干故障分析DFA是一种定性分析的手段，可以用于定性分析组件之间有足够的独立性，组件之间不存在相互干扰。
        ISO26262将相干失效归纳为两类：
        共因失效(Common Cause Failure，CCF)：一个相干项中，由一个单一特定事件或根本原因引起的两个或多个要素的失效；
        级联失效(Cascading Failure，CF)：同一个相干项中，一个要素的失效引起另一个或多个要素的失效。
6.2 相干失效的目标

        ISO26262将相干失效分析的目标归纳为两点：
        （1）通过识别埋伏的引起相干失效的原因及相干失效的发出发点（DFI，Dependent Failure Initiators），确认在设计中充分实现了功能安全所需的独立性或不受干扰的本领(to confirm that a required independence or freedom from interf erence is sufficiently achieved in the design by analysing their potential causes or initiators)
        (2)必要时界说安全步调以减轻大概引起的相干性故障(to define safety measures to mitigate plausible dependent failures, if necessary.)
        对于第一点中提到的独立性（independence），读者比较熟知的是ASIL分解，ISO 26262中要求ASIL分解的条件是：ASIL分解需要安全要求具有冗余性，且分配给充分独立的架构要素。
        而对于第一点中提到的不受干扰的本领（freedom from interference），指的是两个或两个以上的要素之间不存在大概导致违反安全要求的级联失效。举个例子，如果功能安全概念往下分配时对软件模块A是ASILD的要求，而对其他软件模块是QM的要求，那么对于其他模块存在的比如篡改模块A存储地址的风险，被称为对模块A的干扰，需要有相应的安全机制来避免这些干扰。
        联合上一节的内容，相干失效分析的目标可以简单概括为：证实体系既不存在级联失效，也不存在共因失效。进一步地，ISO26262指出，当级联失效和共因失效都不存在时，可以以为实现了独立性；当不存在级联失效时，则证实相干性有避免干扰的本领。



免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。