MUNIK解读ISO26262: 硬件架构指标评估及FMEDA

 

前言

功能安全领域硬件层面的核心安全活动---FMEDAFailure Modes Effects and Diagnostic Analysis一直受到功能安全工程师的广泛关注!作为定量分析的安全分析方法,FMEDA涉及到了复杂的计算公式和大范围的数据处理。

 

为何做FMEDA

汽车功能安全关注汽车电子/电气系统功能的正确、完整、可靠的实现,但由于硬件要素物理因素的限制,不同的硬件要素总会出现各种随意硬件失效,这个是由于要素材质、工艺、技术等因素带来的不可消除的影响。那汽车功能安全的实现肯定是绕不开这个问题的,所以我们将此类随机的硬件失效以量化的数据来表述出来,就有了我们FMEDA中的PMHFProbabilistic Model for Hardware Failures)计算。我们可以用数据来直观感受硬件系统发生随机硬件失效的可能性,并以此来作为衡量该硬件系统安全性的指标

 

如何做FMEDA 

img1

λSPF ———与硬件要素单点故障相关联的失效率;

λRF ———与硬件要素残余故障相关联的失效率;

λS ———与硬件要素安全故障相关联的失效率。

λMPF,DP———与硬件要素可察觉或者可探测的多点故障相关联的失效率;

λMPF,L ———与硬件要素潜伏故障相关联的失效率。

 

1基础失效率导出

在执行FMEDA计算之前首先我们要确定系统内元器件的参考失效率以及任务剖面下器件受何种影响从而导出基础失效率

 

元器件基础失效率数据的常见来源有以下几种:

1)                      从实验中测试获取的数据

a)                      根据元器件应用场景与功能特性的要求可建立相关样本实验(需要足够的样本集与实验周期)

b)                      零部件厂商数据统计可收集相关信息

c)                      整车厂统计车辆维修的记录中有可能获取部分信息

2)                      由现场事故观测得出的失效率,对于作为现场失效返回的材料分析

3)                      <主流方法>通过应用行业可靠性数据手册估算出的或从其中推导出并结合专家判断得出的失效率(IEC 61709SN 29500TR 62380etc.

 

基础失效率相关修正因子计算

系统级基础失效率计算公式:

img2

常用修正因子计算如下:

1)                      电压相关修正因子计算(参考SN29500

img3

  

img4

注:数字电路应当采用公式1.2进行计算,模拟电路则采用公式1.3进行计算

2)                      温度相关修正因子计算(公式参考SN29500

img5

  

img6

考虑到任务剖面的因素影响,不同工作温度区间加权计算,示例如下:

img7

 

img8

3)                      应力相关修正因子计算(参考SN29500

img9

  

img10

 

下图是我司一个玻璃电容的基础失效率计算示例:

img11

 

2安全相关要素识别

FMEDA分析过程第一步是将系统中安全相关的要素识别出来,该类别要素作为我们FMEDA的分析对象,其余要素为非安全相关硬件要素

 

3、器件失效模式分布

当获取到BOM表中所有器件的基础失效率(芯片基础失效率来源于芯片安全手册或芯片FMEDA报告)后,FMEDA的准备工作就结束了。此时,我们需要分析或查找系统内元器件的失效模式与失效模式的分布数据,这个信息可以在相关标准中(IEC 62380IEC 62061获取,也可依据实验与分析得出失效模式分布数据。

img12

IEC 62380 铝电解电容失效模式分布

img13

IEC 62061继电器失效模式分布

 

4、单点失效覆盖判定

遍历BOM表中每个器件的所有失效模式(由于应用场景与安全机制覆盖情况可能不同,因此同种类器件不可合并),判断该失效模式发生后是否违背安全目标。如果违反安全目标则会成为单点或残余故障,反之则归类为安全故障。此时,还需判定会违反安全目标的这些失效模式是否有安全机制将其覆盖。若有安全机制覆盖此失效模式则安全机制(考虑安全机制诊断覆盖率)未覆盖到的部分称为残余故障,无安全机制覆盖到的失效模式直接形成单点失效。

img14

 

5、多点失效覆盖判定(以器件与安全机制的双点失效组合为例)

当单点故障被安全机制覆盖时,安全机制覆盖到的部分会生成双点故障,它们单独失效都不会导致安全目标的违背,只有当器件与覆盖它失效模式的安全机制同时失效时才会违背安全目标。此时,考虑增加安全机制来防止双点失效的发生,被安全机制覆盖的部分是可探测和和感知的双点故障,安全机制未覆盖到的部分是潜伏的双点故障。

img15

 

6、硬件架构度量值与随机硬件失效度量值计算

FMEDA的计算结果以三个指标呈现:SPFM(单点故障度量)、LFM(潜伏故障度量)、PMHF(随机硬件失效概率度量)

SPFM衡量系统处理单点故障能力的度量值

SPFM = 1 - Σ (λSPFRF)/Σ λ

 

img16

LFM:衡量系统处理潜伏故障能力的度量值

LFM = 1 - Σ λLF /(Σ λ-(λSPFRF))

 

img17

 

PMHF:衡量系统发生随机硬件失效概率的度量值

PMHF=λSP+λRF+λMPFDP*λMPFL*Tlifetime

Tlifetime产品使用寿命

 

img18

 

系统整体的ASIL等级以三个指标中满足最低ASIL等级的值为准

例如(系统A):

SPFM=99%ASIL D)、LFM=75.4%ASIL B)、PMHF=2.3FITASIL D

此时A系统的ASIL等级应取最低的ASILB(来自潜伏故障度量指标)

 

 

FMEDA作为功能安全硬件层面开发的灵魂,是每位功能安全工程师都绕不改的一道坎。本文以简单的示例做引导,希望能够给到各位一点帮助。想要了解更多信息,欢迎大家持续关注我们的公众号,MUNIK会持续为在功能安全领域耕耘的各位分享功能安全知识,谢谢!

前一个:
后一个: