MUNIK解读ISO26262 : 硬件架构评估及FMEDA(系统级)

前言

功能安全领域硬件层面的核心安全活动---FMEDA（Failure Modes Effects and Diagnostic Analysis）一直受到功能安全工程师的广泛关注！作为定量分析的安全分析方法，FMEDA涉及到了复杂的计算公式和大范围的数据处理。

为何做FMEDA

汽车功能安全关注汽车电子/电气系统功能的正确、完整、可靠的实现，但由于硬件要素物理因素的限制，不同的硬件要素总会出现各种随意硬件失效，这个是由于要素材质、工艺、技术等因素带来的不可消除的影响。那汽车功能安全的实现肯定是绕不开这个问题的，所以我们将此类随机的硬件失效以量化的数据来表述出来，就有了我们FMEDA中的PMHF（Probabilistic Model for Hardware Failures）计算。我们可以用数据来直观感受硬件系统发生随机硬件失效的可能性，并以此来作为衡量该硬件系统安全性的指标。

如何做FMEDA

λSPF ———与硬件要素单点故障相关联的失效率;

λRF ———与硬件要素残余故障相关联的失效率;

λS ———与硬件要素安全故障相关联的失效率。

λMPF,DP———与硬件要素可察觉或者可探测的多点故障相关联的失效率;

λMPF,L ———与硬件要素潜伏故障相关联的失效率。

1、基础失效率导出

在执行FMEDA计算之前首先我们要确定系统内元器件的参考失效率以及任务剖面下器件受何种影响从而导出基础失效率。

元器件基础失效率数据的常见来源有以下几种：

1-从实验中测试获取的数据

根据元器件应用场景与功能特性的要求可建立相关样本实验（需要足够的样本集与实验周期）
零部件厂商数据统计可收集相关信息
整车厂统计车辆维修的记录中有可能获取部分信息

2-由现场事故观测得出的失效率，对于作为现场失效返回的材料分析

3-<主流方法>通过应用行业可靠性数据手册估算出的或从其中推导出并结合专家判断得出的失效率（IEC 61709，SN 29500，TR 62380，etc.）

基础失效率相关修正因子计算

系统级基础失效率计算公式：

常用修正因子计算如下：

电压相关修正因子计算（参考SN29500）

注：数字电路应当采用公式1.2进行计算，模拟电路则采用公式1.3进行计算

2.温度相关修正因子计算（公式参考SN29500）

考虑到任务剖面的因素影响，不同工作温度区间加权计算，示例如下：

3.应力相关修正因子计算（参考SN29500）

下图是我司一个玻璃电容的基础失效率计算示例：

2、安全相关要素识别

FMEDA分析过程第一步是将系统中安全相关的要素识别出来，该类别要素作为我们FMEDA的分析对象，其余要素为非安全相关硬件要素。

3、器件失效模式分布

当获取到BOM表中所有器件的基础失效率（芯片基础失效率来源于芯片安全手册或芯片FMEDA报告）后，FMEDA的准备工作就结束了。此时，我们需要分析或查找系统内元器件的失效模式与失效模式的分布数据，这个信息可以在相关标准中（IEC 62380、IEC 62061等）获取，也可依据实验与分析得出失效模式分布数据。

IEC 62380 铝电解电容失效模式分布

IEC 62061继电器失效模式分布

4、单点失效覆盖判定

遍历BOM表中每个器件的所有失效模式（由于应用场景与安全机制覆盖情况可能不同，因此同种类器件不可合并），判断该失效模式发生后是否违背安全目标。如果违反安全目标则会成为单点或残余故障，反之则归类为安全故障。此时，还需判定会违反安全目标的这些失效模式是否有安全机制将其覆盖。若有安全机制覆盖此失效模式则安全机制（考虑安全机制诊断覆盖率）未覆盖到的部分称为残余故障，无安全机制覆盖到的失效模式直接形成单点失效。