简介:功能安全技术随着汽车产业的不断发展得到了整个行业广泛的关注。FMEDA作为ISO 26262的三大可靠性分析技术之一,如何在产品设计流程中实施FMEDA技术是系统安全分析工程师的巨大挑战。
本文阐述了如何在系统设计的过程中使用FMEDA发现系统的弱点进一步优化系统。通过示例分析及优化的结果证明FMEDA的应用可以显著提升产品设计的质量,缩短设计周期。
引言
2011年ISO26262(Roadvehicles—functionalsafety)颁布后,功能安全技术引起了国内外汽车厂家及供应商的重视,在新产品开发过程中,无论是主机厂还是供应商,都努力将功能安全的要求纳入到产品开发的流程。FMEDA,FTA和FMEDA作为ISO 26262三种重要的分析技术在产品开发过程中也发挥了重要的作用,相对于前两种常用的分析技术,FMEDA作为定量分析的核心技术引起了从业者越来越多的关注。由于不同的产品应用导致的危害不同,ISO 26262如同IEC61508引入了安全等级的概念及量化指标:
在产品设计过程中,FMEDA可以同时分析以上。三个指标度量产品的硬件设计是否符合相应的安全要求,产品设计的过程中,SPFM和LFM可以用来验证硬件架构设计,应对随机失效的鲁棒性PMHF用来评估随机硬件失效率,导致违反安全目标的风险已经足够小。
在实际产品设计过程中,往往先根据产品的使用环境及用途进行危害分析,得出的安全目标。再对硬件设计架构实施。FMEDA计算出硬件架构的三个指标,来验证是否符合相应的安全等级要求。如果系统不符合设计要求,需通过设计优化和分析计算等一系列的迭代活动,改进产品设计,这种设计出符合要求的产品。
FMEDA技术
FMEDA—失效模式影响与诊断分析 (failuremodeefect and agnosticanalysis)是产品设计定量分析的基础,可以用来分析整个系统也可以用来分析系统的某个模块单元。
故障、误差及失效
故障(Fault)指某个异常情况,它会造成某个单元(器件)和整个系统的失效;
误差(Error)指实际计算的、观察的或者测试的数据情形和真实的、规定的和理论上正确的值或情形不相符;
失效(Failure)只能是某个单元或整个系统按要求执行某项功能的能力的终止。
系统失效的过程往往是从单元(器件)的异常情况(故障)开始导致测量值与规定值不符(误差),最终使系统或单元失去执行某项功能的能力(失效)。
失效率指系统或零件在单位时间内失效的概率,其单位通常用 fit 表示,
。
安全机制及诊断覆盖率
安全机制是指某项功能,它由电子/电气器件,或其他技术手段实现,用于探测故障,或控制失效,以使产品能进入或保持于安全状态避免不合理的风险。
诊断覆盖率是指元器件失效率可以被安全机制诊断出来的百分比,典型值:60%、90%和 99%。安全机制的覆盖率可以根据产品的实际使用场景进一步的分析和优化。在产品设计过程中可以参考 ISO 26262 Part 5 Annex D 的安全机制来提高产品设计的可靠性。图 1 为附录 D 中一个诊断覆盖率的评估示例,Low->DC =60%;medium->90%;High ->99%。
图1 诊断覆盖率评估(ISO 26262 part5 Annex D)
故障类别
从违反系统输出要求的角度来讲,故障可以分为:单点故障、残余故障、两点故障、潜伏故障和多点故障等。为了减少故障的发生率,系统设计过程中往往会增加一些安全机制,或其他技术手段实现,用于探测故障控制失效,以使产品能进入或保持于安全状态。
安全故障:指某个故障,它不会显著地增加违反安全目标的概率。
单点故障:单点故障指某个硬件单元中的某个故障,它无法被“安全机制”探测到,并且它会直接导致安全目标的违反。
残余故障:在某个硬件单元中被诊断的故障的残存部分,即没有被诊断覆盖(诊断覆盖率>0%)到的那部分故障,并且它会立即导致安全目标的违反。
两点故障:指某个故障,只有当它和另外一个故障共同作用后,才造成了安全目标的违反。
多点故障:当有多个(大于 2 个)具有足够独立性的故障共同组合后引起的失效,通常可以忽略。如果“多点故障”可以被识别,则应归类为“可检测的多点故障”;如果“多点故障”可以被探知,并且能够被驾驶员控制(如:前灯变暗的缺陷),则应归类为“可感知的多点故障”。
潜伏故障:指“多点故障”中未被检测到的部分,称为“潜在错误”。它是“多点错误”,并且不能被检测到,而是潜藏在系统单元内,具有违反安全目标的风险。
FMEDA计算公式
单点故障度量:
潜伏故障度量:
随机硬件失效率:
随机硬件失效率的度量指标;
单点故障失效率;
残余故障失效率;
潜伏的多点故障失效率(主要指两点故障);
产品生命周期;
FMEDA 流程
a.根据系统的硬件架构,列出所有的硬件单元,从元器件失效率相关的标准(SN29500、IEC 62380 等)中查询失效率及不同故障模式所占的比例,并将参考失效率根据产品的使用环境转化为可以用于分析计算的的失效率;
由于有些器件仅有厂家提供的 PPM 值,可以根据工作时间将其转化为 fit 值:
假如 T 为 8000 小时,则 1PPM=0.125fit。
b. 根据故障模式分析的流程图及是否会违反安全要求,逐个确认硬件单元的故障模式是否是安全相关的,是否有相应的安全机制,直至确认该故障模式为安全故障、单点故障或多点故障。
c. 参照 ISO26262-5 附录 D 的安全机制目录,确定产品设计过程中所制定的安全机制的诊断覆盖率以用于计算分析。如果相应的诊断覆盖率查不到对应项,需根据之前的项目设计经验评估出相应诊断覆盖率的值。
d. 根据 SPFM、LFM 和 PMHF 的公式计算出硬件架构的各项衡量指标,以评估计算分析结果是否符合相应安全等级的衡量指标。
图2 故障模式分析流程图
e. 假如设计不符合相应安全等级的要求,可以根据FMEDA 分析的相应结果,针对产品设计的薄弱项进行优化迭代直至分析结果可以符合安全等级的要求为止。
FMEDA实例分析
电池管理系统是决定新能源汽车能否在市场破冰的核心技术之一,本文以简易的电池充电管理系统模块作为示例来阐述 FMEDA 在汽车行业产品设计过程中的实际应用。
简易电池管理系统的 FMEDA
假如在电池充电管理系统进行危害分析(HA)中得出电池充电过程电压超过 5V 会导致系统故障,即系统的一个安全目标:避免电池充电过程中电压超过 5V,安全等级为ASIL B。根据标准要求,其硬件设计架构需要满足以下条件:
表2 系统硬件架构需满足的要求
图3 简易电池管理系统架构
导致系统故障,即系统的一个安全目标:避免电池充电过程中电压超过 5V,安全等级为ASIL B。根据标准要求,其硬件设计架构需要满足以下条件:
电池:整车制动能量回收及电能存储;
电压监测模块:实时监测电池电压,并将电压值发送到MCU;
MCU:实施监控电池电压是否在安全范围内,将电压值通过 CAN 总线发送给其它系统;
系统供电:为整个电池管理系统提供电源;
CAN Bus:系统间实时通讯;
安全机制 1:MCU 监控电压监测模块输出,电压>5V或者是没有电压输入时,通过CAN发送告警信号(DC High);
安全机制 2:CAN 信号校验。(DC High)。
图4 电池管理系统(优化)
WD(看门狗)模块:实施监控 MCU 运行状况以及系统供电模块的工作状态;
电压比较模块:将电池检测电压与参考电压进行比较,将比较值发送给 MCU;
安全机制 3:MCU 检测电压检测模块的输出,当电池电压>5V 时通过 CAN 发送告警信号(DC High);
安全机制 4:WD 检测 MCU 程序运行,发现异常后重置MCU 并发出告警信号(DC Medium);
安全机制 5:WD 检测 MCU 电压 VCC,当 MCU 检测到 WD 信号输出端为低电平时发出告警信号(DC Low);
安全机制 6:MCU 检测 WD 信号输出端电平,发现异常重置 WD(DC High)。
优化电池管理系统架构的 FMEDA 结果显示:单点故障率衡量指标为 93.88%,潜伏故障衡量指标为 99.79%,系统的随机硬件失效率为 10.12fit,符合 ASIL B 安全目标的要求。假如对系统进行危害分析得出安全目标对 ASIL 等级要求更高,该系统还可以进一步进行优化。例如:采用双核 MCU,增加系统供电模块的监控以及一些软件安全机制。
表4 电池管理系统优化后FMEDA结果
结论
对比优化前后的系统架构和衡量指标,会发现系统的优化需要做一定的取舍,尤其是硬件冗余电路必然会带来成本的增加。因此在硬件条件允许的情况下,尽可能多的使用软件诊断的安全机制,既可以降低成本又可以提升系统的可靠性和评估指标。虽然功能安全技术的实施会让系统变得更安全,但需要平衡各方面因素使系统设计能得到最大效益化,既要避免或降低危害的发生,又要防止过设计。
