1  前言

在系統(tǒng)功能安全設(shè)計(jì)中，汽車安全完整性等級（Automotive Safety Integration Level，ASIL）評估的重要手段為失效模式和診斷策略分析（Failure Mode Effect and Diagnostic Analysis，F(xiàn)MEDA）。

在汽車電子硬件設(shè)計(jì)領(lǐng)域，F(xiàn)MEDA是驗(yàn)證硬件架構(gòu)的有效手段，然而ISO26262和GB/T34590對該方法的闡述并不足以支持實(shí)際硬件設(shè)計(jì)工作中FMEDA分析的開展，行業(yè)內(nèi)也并未公開FMEDA分析的具體實(shí)施細(xì)則和實(shí)施方法。

為此，本文分析FMEDA的流程及其關(guān)鍵因素，提出FMEDA三維準(zhǔn)確度驗(yàn)證方法，并以慣性傳感系統(tǒng)為例闡述其應(yīng)用過程。

2  ASIL評估依據(jù)

依據(jù)ISO26262的規(guī)定，ASIL的評估方法為計(jì)算系統(tǒng)的硬件架構(gòu)度量，并用其評估整個(gè)系統(tǒng)硬件架構(gòu)對元器件隨機(jī)硬件失效的處理能力。這些度量針對的隨機(jī)硬件失效限于系統(tǒng)中安全相關(guān)的電子電氣硬件/元器件，即對安全目標(biāo)的違背或?qū)崿F(xiàn)有顯著影響的元器件，并限于這些元器件的單點(diǎn)/殘余失效和潛伏失效。硬件架構(gòu)度量取決于系統(tǒng)整體硬件設(shè)計(jì)。系統(tǒng)涉及的每個(gè)安全目標(biāo)都應(yīng)符合規(guī)定的硬件架構(gòu)度量目標(biāo)值。定義這些硬件架構(gòu)度量可以實(shí)現(xiàn)下列目標(biāo)：

a.客觀上可評估，即度量可核實(shí)且足夠精確。

b.基于詳細(xì)的硬件設(shè)計(jì)完成精確計(jì)算，支持最終設(shè)計(jì)的評估。

c.為硬件架構(gòu)提供ASIL的合格/不合格準(zhǔn)則。

d.顯示用于防止硬件架構(gòu)中單點(diǎn)/殘余失效和潛伏失效風(fēng)險(xiǎn)的安全機(jī)制診斷覆蓋率是否足夠。

FMEDA是計(jì)算硬件架構(gòu)度量值的有效手段。FMEDA針對每一個(gè)安全目標(biāo)，考慮系統(tǒng)物料清單（Bill
ofMaterial，BOM）中所有元器件的所有失效模式，依據(jù)元器件在系統(tǒng)工作環(huán)境下整個(gè)生命周期內(nèi)的失效率，根據(jù)系統(tǒng)軟件的診斷方式和診斷覆蓋率，利用Excel工具，按照ISO26262及GB/T34590.10《道路車輛功能安全第10部分：指南》中規(guī)定的單點(diǎn)或殘余失效度量計(jì)算公式、潛在多點(diǎn)失效度量計(jì)算公式及隨機(jī)硬件失效率計(jì)算公式，計(jì)算出系統(tǒng)的單點(diǎn)故障度量（Single Point Fault Metric，SPFM）、潛在故障度量（LatentFaultMetric，LFM）和隨機(jī)硬件失效概率度量（Probabilistic Metricforrandom Hardware Failures，PMHF）值，將計(jì)算結(jié)果與ISO26262中規(guī)定的安全等級評估指標(biāo)進(jìn)行對比，即可得到系統(tǒng)對于每一個(gè)安全目標(biāo)的安全等級，進(jìn)而得到系統(tǒng)的安全等級。系統(tǒng)所有功能安全目標(biāo)的最高安全等級即為系統(tǒng)的安全等級。安全等級評估指標(biāo)如表1所示。



評估指標(biāo)中，單點(diǎn)失效度量計(jì)算公式為：



潛在失效度量計(jì)算公式為：



隨機(jī)硬件失效計(jì)算公式為：



式中，∑ safetyrelated，HW為安全相關(guān)元器件有關(guān)參數(shù)的和；λ為元器件在整車工作環(huán)境下的硬件隨機(jī)失效率；λSPF為單點(diǎn)失效率；λRF為殘余失效率；λMPF，Latent為潛在多點(diǎn)失效率；MPMHF為隨機(jī)硬件失效率度量指標(biāo)；λsm，DPFLatent為安全機(jī)制（SafetyMechanism，SM）的潛在雙點(diǎn)失效率；TLifetime為產(chǎn)品生命周期。

當(dāng)不考慮安全機(jī)制的失效率時(shí)，隨機(jī)硬件失效率的計(jì)算公式為：



3  FMEDA分析流程及關(guān)鍵因素

依據(jù)ISO26262-5中示例的分析方法，對安全等級分析頁的格式進(jìn)行了改進(jìn)，如圖1所示。



改進(jìn)點(diǎn)包括：明確安全目標(biāo)、安全狀態(tài)和安全等級需求；明確度量指標(biāo)目標(biāo)結(jié)果；刪除對計(jì)算結(jié)果沒有影響的總失效率和非安全相關(guān)總失效率；明確每個(gè)單元格計(jì)算公式及填充準(zhǔn)則。

FMEDA的具體分析過程為：

a.根據(jù)整車生命周期定義系統(tǒng)的生命周期及每年工作時(shí)間、工作環(huán)境。例如：生命周期為12a，每年工作時(shí)間為8750h，環(huán)境溫度為-40~85℃。

b.計(jì)算元器件BOM中每個(gè)元器件的失效時(shí)間（Failure in Time，F(xiàn)IT），生命周期、每年工作時(shí)間、工作環(huán)境直接影響元器件的FIT。FIT的定義很大程度上決定功能安全等級的評估結(jié)果能否滿足需求。

c.定義每個(gè)元器件的失效模式及失效百分比，其中電阻、電容、電感等的失效模式包括引腳開路和引腳短路。

d.分析每個(gè)元器件是否為安全相關(guān)器件，并填充在“是否為安全相關(guān)”列中，其依據(jù)是元器件失效是否會導(dǎo)致安全目標(biāo)的違背或者使系統(tǒng)不能進(jìn)入安全狀態(tài)。在考慮不同的安全目標(biāo)時(shí)，同一元器件失效的影響可能不同。

e.分析每個(gè)元器件的每種失效模式是否對安全目標(biāo)有影響，并填充在“失效是否有影響”列中。

f.針對影響安全目標(biāo)的失效，分析其失效種類屬于單點(diǎn)/殘余失效或者潛在失效，并分析系統(tǒng)對該失效的診斷方式，填充診斷覆蓋率。依據(jù)ISO26262中對各種失效的定義，單點(diǎn)/殘余失效中未被診斷方式覆蓋的部分會產(chǎn)生潛在多點(diǎn)失效。

g.根據(jù)式（1）~式（4），計(jì)算系統(tǒng)的SPFM、LFM、PMHF，并與表1中的評估指標(biāo)進(jìn)行對比，得到系統(tǒng)的功能安全等級。需要說明的是，目前對于PMHF的計(jì)算，通常選擇故障樹分析法（FaultTreeAnalysis，F(xiàn)TA），并采用專業(yè)的可靠性分析軟件，例如isograph，F(xiàn)MEDA表格中的計(jì)算結(jié)果僅作為參考。

由以上分析流程可見，F(xiàn)MEDA的關(guān)鍵因素包括：FIT；器件失效百分比分布；診斷覆蓋率；器件是否為安全相關(guān)器件的判斷；單點(diǎn)失效及潛在失效的判斷；失效診斷方式的設(shè)計(jì)。

4  FMEDA三維準(zhǔn)確度驗(yàn)證方法

為了保證FMEDA結(jié)果的準(zhǔn)確性和可靠性，從3個(gè)維度進(jìn)行驗(yàn)證。

4.1  數(shù)據(jù)來源驗(yàn)證

依據(jù)SN29500標(biāo)準(zhǔn)及生命周期、工作時(shí)間、工作環(huán)境的定義計(jì)算BOM中每個(gè)元器件的FIT。復(fù)雜芯片的FIT有3個(gè)來源：利用供應(yīng)商提供的芯片級FMEDA結(jié)果；參考芯片歷史失效率信息，即返回品百萬分之一（Part Per Million，PPM）值；參考同系列芯片的FIT。

失效百分比來自于可靠性分析經(jīng)典書籍《可靠性工程：理論與實(shí)踐》。復(fù)雜芯片的失效模式包括功能性失效和引腳失效。功能性失效的失效模式來源于供應(yīng)商提供的芯片級FMEDA結(jié)果；引腳失效包括引腳開路、鉗位在高電平、鉗位在低電平及與相鄰引腳短路。

診斷覆蓋率的定義依據(jù)ISO26262-5附錄D中的規(guī)定。

4.2  分析過程驗(yàn)證

分析過程應(yīng)盡量自動(dòng)化，采用專業(yè)分析軟件是最佳的途徑，例如基于模型的功能安全管理軟件MA（MediniAnalyze）。如果使用Excel，推薦利用VBA（Visual Basic for Applications）編輯宏代碼，不僅能提高工作效率，而且可以有效避免人為錯(cuò)誤，分析過程為：

a.利用VBA將原理圖繪制工具軟件生成的BOM直接導(dǎo)入，根據(jù)SN29500進(jìn)行對照檢查，并對相同元器件種類的FIT進(jìn)行橫向?qū)Ρ龋辉谶M(jìn)行安全等級分析計(jì)算時(shí)，利用VBA在FIT計(jì)算頁查找元器件位號，并將對應(yīng)的FIT值自動(dòng)填入安全等級分析頁的“FIT值”列。

b.為了保證失效百分比的可靠性，對相同元器件種類的失效百分比分布進(jìn)行橫向?qū)Ρ?。同時(shí)利用VBA檢查每個(gè)元器件的失效百分比分布總和是否等于100%。

c.單獨(dú)建立診斷覆蓋率頁，定義每種診斷方式的診斷覆蓋率。根據(jù)ISO26262對診斷覆蓋率的定義進(jìn)行檢查，并利用VLOOKUP函數(shù)使得安全等級分析頁在填入診斷方式時(shí)可自動(dòng)查找診斷覆蓋率的定義值并自動(dòng)填充。

d.利用VBA可以對每個(gè)安全目標(biāo)的分析頁分別運(yùn)行自動(dòng)檢查。

安全分析頁自動(dòng)檢查流程為：

a.“FIT值”列是否有空值。

b.同一個(gè)器件所有行的“FIT值”列是否相同。

c.“是否為單點(diǎn)失效或殘余失效”列設(shè)置為“×”時(shí)“，是否為安全相關(guān)”列是否為空。

d.“是否為潛在多點(diǎn)失效”列設(shè)置為“×”時(shí)，“是否為安全相關(guān)”列是否為空。

e.安全相關(guān)元器件“是否為單點(diǎn)失效或殘余失效”列和“是否為潛在多點(diǎn)失效”列是否同時(shí)為空。

f.每一個(gè)失效模式的單點(diǎn)失效率或殘余失效率的計(jì)算公式是否正確。

g.每一個(gè)失效模式的潛在多點(diǎn)失效率的計(jì)算公式是否正確。

4.3  失效判斷驗(yàn)證

對器件是否為安全器件的判斷直接影響安全相關(guān)器件總FIT值的計(jì)算。其判斷依據(jù)為器件的某種失效模式是否會導(dǎo)致違背安全目標(biāo)，是否能夠使系統(tǒng)進(jìn)入安全狀態(tài)。對于失效種類的判斷，嚴(yán)格按照ISO26262-5中對于失效的定義進(jìn)行。為了便于校對和評審，每一條與安全相關(guān)的失效模式應(yīng)附加對分析理由的解釋說明。

為了得到最壞情況下的度量指標(biāo)值，單點(diǎn)失效/殘余失效中未被診斷機(jī)制檢測到的部分，應(yīng)計(jì)入多點(diǎn)失效部分。也就是說，診斷覆蓋率為非100%的與安全相關(guān)的單點(diǎn)失效，必定會產(chǎn)生多點(diǎn)失效。同時(shí)，基于上述考慮，分析過程中采用單點(diǎn)失效與多點(diǎn)失效的診斷機(jī)制應(yīng)不同。

5  慣性傳感系統(tǒng)FMEDA分析

經(jīng)過危害與風(fēng)險(xiǎn)分析（Hazard Analysisand Risk Assessment，HARA），慣性測量單元（Inertial Measurement Unit，IMU）的安全目標(biāo)為避免發(fā)送錯(cuò)誤的加速度或角速度信息，安全狀態(tài)為設(shè)置信號標(biāo)志位為無效，或停止CAN總線發(fā)送，或復(fù)位系統(tǒng)。ASIL等級要求為ASILD。

目前，行業(yè)內(nèi)尚沒有能夠達(dá)到ASILD等級的慣性傳感器芯片，因此，基于ASIL等級分解的理念，系統(tǒng)采用雙路冗余的ASILB慣性傳感器芯片實(shí)現(xiàn)。為了實(shí)現(xiàn)信號的多樣性，采用2片型號完全一致的慣性傳感器芯片，并在印制電路板（PrintedCircuitBoard，PCB）中采用不同的方向放置：一片為U/V方向，另一片為X/Y方向。其中Y軸平行于地面指向整車行駛方向，X軸指向駕駛員左側(cè)，U、V軸平行于地面，由Y軸分別向駕駛員右側(cè)和左側(cè)旋轉(zhuǎn)45°得到。





IMU的主要電路設(shè)計(jì)原理圖如圖2所示。IMU主要包括慣性傳感器芯片、CAN收發(fā)器芯片、電源管理及產(chǎn)生芯片、主控單片機(jī)芯片、輔控單片機(jī)芯片、連接器等。

5.1  FIT計(jì)算

慣性傳感器芯片、電源管理及產(chǎn)生芯片、主控制芯片的FIT來自于供應(yīng)商提供的芯片級FMEDA結(jié)果；其他器件的FIT依據(jù)SN29500計(jì)算。主要器件的FIT如表2所示。



5.2  定義失效百分比及診斷覆蓋率

定義診斷覆蓋率需要與軟件開發(fā)工程師充分溝通，以確認(rèn)有條件開展的診斷種類。IMU主要器件的失效百分比如表3和表4所示，診斷覆蓋率如表5所示。

5.3  根據(jù)硬件工作原理判斷失效種類及診斷種類

根據(jù)安全目標(biāo)對應(yīng)的安全狀態(tài)可以推斷電源失效、主控制功能失效（包括時(shí)鐘失效、復(fù)位失效、終端失效、CAN收發(fā)失效等）、慣性傳感器芯片失效、CAN通信相關(guān)器件失效等均為安全相關(guān)失效。

最終計(jì)算結(jié)果為：SPFM=99.80%，LFM=96.72%，PMHF=0.3788h-1，滿足ASILD等級對硬件架構(gòu)度量指標(biāo)的要求。