基于ISO 26262的失效模式和診斷策略分析準確度研究

楊莉 王強 隋建鵬 吳麗娜

（1.中國第一汽車集團有限公司智能網(wǎng)聯(lián)開發(fā)院，長春 130011；2.汽車振動噪聲與安全控制綜合技術國家重點實驗室，長春 130013；3.中共吉林省委黨校，長春 130012）

主題詞：ISO 26262 功能安全 失效模式和診斷策略分析 準確度 慣性傳感系統(tǒng)

1 前言

ISO 26262《道路車輛功能安全》[1]于2011 年誕生，我國于2017 年發(fā)布了GB/T 34590《道路車輛 功能安全》[2]。2011 年以來，汽車行業(yè)內(nèi)對功能安全標準的理解和應用不斷深入[3-7]。在系統(tǒng)功能安全設計中，汽車安全完整性等級（Automotive Safety Integration Level，ASIL）評估的重要手段為失效模式和診斷策略分析（Failure Mode Effect and Diagnostic Analysis，F(xiàn)MEDA）。

在汽車電子硬件設計領域，F(xiàn)MEDA 是驗證硬件架構的有效手段，然而ISO 26262 和GB/T 34590 對該方法的闡述并不足以支持實際硬件設計工作中FMEDA分析的開展，行業(yè)內(nèi)也并未公開FMEDA 分析的具體實施細則和實施方法。為此，本文分析FMEDA 的流程及其關鍵因素，提出FMEDA三維準確度驗證方法，并以慣性傳感系統(tǒng)為例闡述其應用過程。

2 ASIL評估依據(jù)

依據(jù)ISO 26262的規(guī)定，ASIL的評估方法為計算系統(tǒng)的硬件架構度量，并用其評估整個系統(tǒng)硬件架構對元器件隨機硬件失效的處理能力。這些度量針對的隨機硬件失效限于系統(tǒng)中安全相關的電子電氣硬件/元器件，即對安全目標的違背或?qū)崿F(xiàn)有顯著影響的元器件，并限于這些元器件的單點/殘余失效和潛伏失效。硬件架構度量取決于系統(tǒng)整體硬件設計。系統(tǒng)涉及的每個安全目標都應符合規(guī)定的硬件架構度量目標值。定義這些硬件架構度量可以實現(xiàn)下列目標：

a.客觀上可評估，即度量可核實且足夠精確。

b.基于詳細的硬件設計完成精確計算，支持最終設計的評估。

c.為硬件架構提供ASIL的合格/不合格準則。

d.顯示用于防止硬件架構中單點/殘余失效和潛伏失效風險的安全機制診斷覆蓋率是否足夠。

FMEDA 是計算硬件架構度量值的有效手段。FMEDA 針對每一個安全目標，考慮系統(tǒng)物料清單（Bill of Material，BOM）中所有元器件的所有失效模式，依據(jù)元器件在系統(tǒng)工作環(huán)境下整個生命周期內(nèi)的失效率，根據(jù)系統(tǒng)軟件的診斷方式和診斷覆蓋率，利用Excel工具，按照ISO 26262 及GB/T 34590.10《道路車輛 功能安全第10部分：指南》中規(guī)定的單點或殘余失效度量計算公式、潛在多點失效度量計算公式及隨機硬件失效率計算公式，計算出系統(tǒng)的單點故障度量（Single Point Fault Metric，SPFM）、潛在故障度量（Latent Fault Metric，LFM）和隨機硬件失效概率度量（Probabilistic Metric for random Hardware Failures，PMHF）值，將計算結果與ISO 26262中規(guī)定的安全等級評估指標進行對比，即可得到系統(tǒng)對于每一個安全目標的安全等級，進而得到系統(tǒng)的安全等級。系統(tǒng)所有功能安全目標的最高安全等級即為系統(tǒng)的安全等級。安全等級評估指標如表1所示。

表1 ISO 26262功能安全等級評估指標

評估指標中，單點失效度量計算公式為：

潛在失效度量計算公式為：

隨機硬件失效計算公式為[8]：

式中，∑safetyrelated,HW為安全相關元器件有關參數(shù)的和；λ為元器件在整車工作環(huán)境下的硬件隨機失效率；λSPF為單點失效率；λRF為殘余失效率；λMPF,Latent為潛在多點失效率；MPMHF為隨機硬件失效率度量指標；λsm,DPFLatent為安全機制（Safety Mechanism，SM）的潛在雙點失效率；TLifetime為產(chǎn)品生命周期。

當不考慮安全機制的失效率時，隨機硬件失效率的計算公式為：

3 FMEDA分析流程及關鍵因素

依據(jù)ISO 26262-5 中示例的分析方法，對安全等級分析頁的格式進行了改進，如圖1所示。

改進點包括：明確安全目標、安全狀態(tài)和安全等級需求；明確度量指標目標結果；刪除對計算結果沒有影響的總失效率和非安全相關總失效率；明確每個單元格計算公式及填充準則。

FMEDA的具體分析過程為：

圖1 改進的安全等級分析頁示意

a.根據(jù)整車生命周期定義系統(tǒng)的生命周期及每年工作時間、工作環(huán)境。例如：生命周期為12 a，每年工作時間為8 750 h，環(huán)境溫度為-40～85 ℃。

b.計算元器件BOM 中每個元器件的失效時間（Failure in Time，F(xiàn)IT），生命周期、每年工作時間、工作環(huán)境直接影響元器件的FIT。FIT的定義很大程度上決定功能安全等級的評估結果能否滿足需求。

c.定義每個元器件的失效模式及失效百分比，其中電阻、電容、電感等的失效模式包括引腳開路和引腳短路。

d.分析每個元器件是否為安全相關器件，并填充在“是否為安全相關”列中，其依據(jù)是元器件失效是否會導致安全目標的違背或者使系統(tǒng)不能進入安全狀態(tài)。在考慮不同的安全目標時，同一元器件失效的影響可能不同。

e.分析每個元器件的每種失效模式是否對安全目標有影響，并填充在“失效是否有影響”列中。

f.針對影響安全目標的失效，分析其失效種類屬于單點/殘余失效或者潛在失效，并分析系統(tǒng)對該失效的診斷方式，填充診斷覆蓋率。依據(jù)ISO 26262 中對各種失效的定義，單點/殘余失效中未被診斷方式覆蓋的部分會產(chǎn)生潛在多點失效。

g.根據(jù)式（1）～式（4），計算系統(tǒng)的SPFM、LFM、PMHF，并與表1中的評估指標進行對比，得到系統(tǒng)的功能安全等級。需要說明的是，目前對于PMHF的計算，通常選擇故障樹分析法（Fault Tree Analysis，F(xiàn)TA），并采用專業(yè)的可靠性分析軟件，例如isograph，F(xiàn)MEDA 表格中的計算結果僅作為參考。

由以上分析流程可見，F(xiàn)MEDA 的關鍵因素包括：FIT；器件失效百分比分布；診斷覆蓋率；器件是否為安全相關器件的判斷；單點失效及潛在失效的判斷；失效診斷方式的設計。

4 FMEDA三維準確度驗證方法

為了保證FMEDA 結果的準確性和可靠性，從3 個維度進行驗證。

4.1 數(shù)據(jù)來源驗證

依據(jù)SN 29500[9]標準及生命周期、工作時間、工作環(huán)境的定義計算BOM 中每個元器件的FIT。復雜芯片的FIT有3個來源：利用供應商提供的芯片級FMEDA結果；參考芯片歷史失效率信息，即返回品百萬分之一（Part Per Million，PPM）值；參考同系列芯片的FIT。

失效百分比來自于可靠性分析經(jīng)典書籍《可靠性工程：理論與實踐》[10]。復雜芯片的失效模式包括功能性失效和引腳失效。功能性失效的失效模式來源于供應商提供的芯片級FMEDA結果；引腳失效包括引腳開路、鉗位在高電平、鉗位在低電平及與相鄰引腳短路。

診斷覆蓋率的定義依據(jù)ISO 26262-5[1]附錄D 中的規(guī)定。

4.2 分析過程驗證

分析過程應盡量自動化[11]，采用專業(yè)分析軟件是最佳的途徑，例如基于模型的功能安全管理軟件MA（Medini Analyze）。如果使用Excel，推薦利用VBA（Visual Basic for Applications）編輯宏代碼，不僅能提高工作效率，而且可以有效避免人為錯誤，分析過程為：

a.利用VBA 將原理圖繪制工具軟件生成的BOM直接導入，根據(jù)SN 29500進行對照檢查，并對相同元器件種類的FIT進行橫向?qū)Ρ龋辉谶M行安全等級分析計算時，利用VBA 在FIT 計算頁查找元器件位號，并將對應的FIT值自動填入安全等級分析頁的“FIT值”列。

b.為了保證失效百分比的可靠性，對相同元器件種類的失效百分比分布進行橫向?qū)Ρ?。同時利用VBA檢查每個元器件的失效百分比分布總和是否等于100%。

c.單獨建立診斷覆蓋率頁，定義每種診斷方式的診斷覆蓋率。根據(jù)ISO 26262對診斷覆蓋率的定義進行檢查，并利用VLOOKUP函數(shù)使得安全等級分析頁在填入診斷方式時可自動查找診斷覆蓋率的定義值并自動填充。

d.利用VBA 可以對每個安全目標的分析頁分別運行自動檢查。

安全分析頁自動檢查流程為：

a.“FIT值”列是否有空值。

b.同一個器件所有行的“FIT值”列是否相同。

c.“是否為單點失效或殘余失效”列設置為“×”時，“是否為安全相關”列是否為空。

d.“是否為潛在多點失效”列設置為“×”時，“是否為安全相關”列是否為空。

e.安全相關元器件“是否為單點失效或殘余失效”列和“是否為潛在多點失效”列是否同時為空。

f.每一個失效模式的單點失效率或殘余失效率的計算公式是否正確。

g.每一個失效模式的潛在多點失效率的計算公式是否正確。

4.3 失效判斷驗證

對器件是否為安全器件的判斷直接影響安全相關器件總FIT 值的計算。其判斷依據(jù)為器件的某種失效模式是否會導致違背安全目標，是否能夠使系統(tǒng)進入安全狀態(tài)。對于失效種類的判斷，嚴格按照ISO 26262-5[1]中對于失效的定義進行。為了便于校對和評審，每一條與安全相關的失效模式應附加對分析理由的解釋說明。

為了得到最壞情況下的度量指標值，單點失效/殘余失效中未被診斷機制檢測到的部分，應計入多點失效部分。也就是說，診斷覆蓋率為非100%的與安全相關的單點失效，必定會產(chǎn)生多點失效。同時，基于上述考慮，分析過程中采用單點失效與多點失效的診斷機制應不同。

5 慣性傳感系統(tǒng)FMEDA分析

經(jīng)過危害與風險分析（Hazard Analysis and Risk Assessment，HARA）[12]，慣性測量單元（Inertial Measurement Unit，IMU）的安全目標為避免發(fā)送錯誤的加速度或角速度信息，安全狀態(tài)為設置信號標志位為無效，或停止CAN總線發(fā)送，或復位系統(tǒng)。ASIL等級要求為ASIL D。

目前，行業(yè)內(nèi)尚沒有能夠達到ASIL D 等級的慣性傳感器芯片，因此，基于ASIL 等級分解[13]的理念，系統(tǒng)采用雙路冗余的ASIL B慣性傳感器芯片實現(xiàn)。為了實現(xiàn)信號的多樣性，采用2片型號完全一致的慣性傳感器芯片，并在印制電路板（Printed Circuit Board，PCB）中采用不同的方向放置：一片為U/V方向，另一片為X/Y方向。其中Y軸平行于地面指向整車行駛方向，X軸指向駕駛員左側，U、V軸平行于地面，由Y軸分別向駕駛員右側和左側旋轉45°得到。

IMU 的主要電路設計原理圖如圖2 所示。IMU 主要包括慣性傳感器芯片、CAN 收發(fā)器芯片、電源管理及產(chǎn)生芯片、主控單片機芯片、輔控單片機芯片、連接器等。

5.1 FIT計算

慣性傳感器芯片、電源管理及產(chǎn)生芯片、主控制芯片的FIT 來自于供應商提供的芯片級FMEDA 結果；其他器件的FIT 依據(jù)SN 29500 計算。主要器件的FIT 如表2所示。

5.2 定義失效百分比及診斷覆蓋率

定義診斷覆蓋率需要與軟件開發(fā)工程師充分溝通，以確認有條件開展的診斷種類。IMU 主要器件的失效百分比如表3和表4所示，診斷覆蓋率如表5所示。

5.3 根據(jù)硬件工作原理判斷失效種類及診斷種類

根據(jù)安全目標對應的安全狀態(tài)可以推斷電源失效、主控制功能失效（包括時鐘失效、復位失效、終端失效、CAN 收發(fā)失效等）、慣性傳感器芯片失效、CAN 通信相關器件失效等均為安全相關失效。

圖2 IMU電路原理

表2 IMU系統(tǒng)主要器件FIT

最終計算結果為：SPFM=99.80%，LFM=96.72%，PMHF=0.378 8 h-1，滿足ASIL D等級對硬件架構度量指標的要求。

表3 IMU主要器件失效百分比 %

表4 IMU連接器失效百分比 %

表5 IMU診斷覆蓋率定義 %

6 結束語

本文在總結FMEDA 分析流程和關鍵因素的基礎上，提出了FMEDA分析結果的三維準確度驗證方法，并以慣性傳感器系統(tǒng)為例，闡述了該方法的應用過程。所提出的三維準確度驗證方法從數(shù)據(jù)來源、分析過程、失效判斷3個維度驗證了FMEDA定量分析的準確性。