陳修鋒（大陸泰密克汽車系統(tǒng)（上海）有限公司，上海 201807）

?

FMEDA在汽車工業(yè)產(chǎn)品設(shè)計中的應(yīng)用

陳修鋒
（大陸泰密克汽車系統(tǒng)（上海）有限公司，上海 201807）

摘要：功能安全技術(shù)隨著汽車產(chǎn)業(yè)的不斷發(fā)展得到了整個行業(yè)廣泛的關(guān)注。FMEDA作為ISO26262的三大可靠性分析技術(shù)之一，如何在產(chǎn)品設(shè)計流程中實施FMEDA技術(shù)是系統(tǒng)安全分析工程師的巨大挑戰(zhàn)。文章闡述了如何在系統(tǒng)設(shè)計的過程中使用FMEDA發(fā)現(xiàn)系統(tǒng)的弱點進一步優(yōu)化系統(tǒng)。通過示例分析及優(yōu)化的結(jié)果證明FMEDA的應(yīng)用可以顯著提升產(chǎn)品設(shè)計的質(zhì)量，縮短設(shè)計周期。

關(guān)鍵詞：失效模式；安全機制；診斷覆蓋率

10.16638/j.cnki.1671-7988.2016.05.002

CLC NO.: U467.4Document Code: AArticle ID: 1671-7988(2016)05-05-04

引言

2011年ISO26262《Road vehicles-functional safety》頒布后，功能安全技術(shù)引起了國內(nèi)外汽車廠家及供應(yīng)商的重視，在新產(chǎn)品開發(fā)過程中無論是主機廠還是供應(yīng)商都努力將功能安全的要求納入到產(chǎn)品開發(fā)的流程。FMEA，F(xiàn)TA和FMEDA作為ISO26262三種重要的分析技術(shù)在產(chǎn)品開發(fā)過程中也發(fā)揮了重要的作用，相對于前兩種常用的分析技術(shù)，F(xiàn)MEDA作為定量分析的核心技術(shù)引起了從業(yè)者越來越多的關(guān)注。由于不同的產(chǎn)品應(yīng)用導(dǎo)致的危害不同，ISO 26262如同IEC 61508引入了安全等級的概念及量化指標(biāo)：

在產(chǎn)品設(shè)計過程中，F(xiàn)MEDA可以同時分析以上三個指標(biāo)，度量產(chǎn)品的硬件設(shè)計是否符合相應(yīng)的安全要求。產(chǎn)品設(shè)計的過程中SPFM和LFM可以用來驗證硬件構(gòu)架設(shè)計應(yīng)對隨機失效的魯棒性，PMHF用來評估隨機硬件失效率導(dǎo)致違反安全目標(biāo)的風(fēng)險已經(jīng)足夠小。

在實際產(chǎn)品設(shè)計過程中，往往先根據(jù)產(chǎn)品的使用環(huán)境及用途進行危害分析得出的安全目標(biāo)，再對硬件設(shè)計架構(gòu)實施FMEDA計算出硬件架構(gòu)的三個指標(biāo)，來驗證是否符合相應(yīng)的安全等級要求。如果系統(tǒng)不符合設(shè)計要求，需通過設(shè)計優(yōu)化和分析計算等一系列的迭代活動改進產(chǎn)品設(shè)計，最終設(shè)計出符合要求的產(chǎn)品。

1、FMEDA技術(shù)

FMEDA-失效模式影響與診斷分析（failure mode effect and diagnostic analysis）是產(chǎn)品設(shè)計定量分析的基礎(chǔ)，可以用來分析整個系統(tǒng)也可以用來分析系統(tǒng)的某個模塊單元。

1.1故障、誤差及失效

故障（Fault）指某個異常情況，它會造成某個單元（器件）或整個系統(tǒng)的失效。

誤差（Error）指實際計算的、觀察的或者測試的數(shù)據(jù)/情形和真實的、規(guī)定的或理論上正確的值或情形不相符。

失效（Failure）指能使某個單元或整個系統(tǒng)按要求執(zhí)行某項功能的能力的終止。

系統(tǒng)失效的過程往往是從單元（器件）的異常情況（故障）開始導(dǎo)致測量值與規(guī)定值不符（誤差），最終使系統(tǒng)或單元失去執(zhí)行某項功能的能力（失效）。

失效率指系統(tǒng)或零件在單位時間內(nèi)失效的概率，其單位通常用fit表示，1fit=10-9/h。

1.2安全機制及診斷覆蓋率

安全機制是指某項功能，它由電子/電氣器件，或其他技術(shù)手段實現(xiàn)，用于探測故障，或控制失效，以使產(chǎn)品能進入或保持于安全狀態(tài)避免不合理的風(fēng)險。

診斷覆蓋率是指元器件失效率可以被安全機制診斷出來的百分比，典型值：60％、90％和99％。安全機制的覆蓋率可以根據(jù)產(chǎn)品的實際使用場景進一步的分析和優(yōu)化。在產(chǎn)品設(shè)計過程中可以參考ISO 26262 Part 5 Annex D 的安全機制來提高產(chǎn)品設(shè)計的可靠性。圖1為附錄D中一個診斷覆蓋率的評估示例，Low->DC=60％；medium->90％；High->99％。

圖1　診斷覆蓋率評估（ISO 26262 part5 Annex D）

1.3故障類別

從違反系統(tǒng)輸出要求的角度來講，故障可以分為：單點故障、殘余故障、兩點故障、潛伏故障和多點故障等。為了減少故障的發(fā)生率，系統(tǒng)設(shè)計過程中往往會增加一些安全機制，或其他技術(shù)手段實現(xiàn)，用于探測故障控制失效，以使產(chǎn)品能進入或保持于安全狀態(tài)。

安全故障：指某個故障，它不會顯著地增加違反安全目標(biāo)的概率。

單點故障：單點故障指某個硬件單元中的某個故障，它無法被“安全機制”探測到，并且它會直接導(dǎo)致安全目標(biāo)的違反。

殘余故障：在某個硬件單元中被診斷的故障的殘存部分，即沒有被診斷覆蓋（診斷覆蓋率>0％)到的那部分故障，并且它會立即導(dǎo)致安全目標(biāo)的違反。

兩點故障：指某個故障，只有當(dāng)它和另外一個故障共同作用后，才造成了安全目標(biāo)的違反。

多點故障：當(dāng)有多個（大于2個）具有足夠獨立性的故障共同組合后引起的失效，通?？梢院雎浴Ｈ绻岸帱c故障”可以被識別，則應(yīng)歸類為“可檢測的多點故障”；如果“多點故障”可以被探知，并且能夠被駕駛員控制（如：前燈變暗的缺陷），則應(yīng)歸類為“可感知的多點故障”。

潛伏故障：指“多點故障”中未被檢測到的部分，稱為“潛在錯誤”。它是“多點錯誤”，并且不能被檢測到，而是潛藏在系統(tǒng)單元內(nèi)，具有違反安全目標(biāo)的風(fēng)險。

1.4FMEDA計算公式

單點故障度量：

潛伏故障度量：

隨機硬件失效率：

MPMHF------隨機硬件失效率的度量指標(biāo)；

λSPF-----單點故障失效率；

λRF------殘余故障失效率；

λMPF,Latent------潛伏的多點故障失效率（主要指兩點故障）；

TLifetime------產(chǎn)品生命周期；

1.5FMEDA流程

a.根據(jù)系統(tǒng)的硬件架構(gòu)，列出所有的硬件單元，從元器件失效率相關(guān)的標(biāo)準(zhǔn)（SN29500、IEC 62380等）中查詢失效率及不同故障模式所占的比例，并將參考失效率根據(jù)產(chǎn)品的使用環(huán)境轉(zhuǎn)化為可以用于分析計算的的失效率：

λref---在假定參考條件下的失效率；

πU---相關(guān)電壓的參數(shù)；

πI----相關(guān)電流的參數(shù)；

πT---相關(guān)溫度參數(shù)。

由于有些器件僅有廠家提供的PPM值，可以根據(jù)工作時間將其轉(zhuǎn)化為fit值：

假如T為8000小時，則1PPM=0.125fit。

b. 根據(jù)故障模式分析的流程圖及是否會違反安全要求，逐個確認(rèn)硬件單元的故障模式是否是安全相關(guān)的，是否有相應(yīng)的安全機制，直至確認(rèn)該故障模式為安全故障、單點故障或多點故障。

圖2　故障模式分析流程圖

c. 參照ISO26262-5附錄D的安全機制目錄，確定產(chǎn)品設(shè)計過程中所制定的安全機制的診斷覆蓋率以用于計算分析。如果相應(yīng)的診斷覆蓋率查不到對應(yīng)項，需根據(jù)之前的項目設(shè)計經(jīng)驗評估出相應(yīng)診斷覆蓋率的值。

d. 根據(jù)SPFM、LFM和PMHF的公式計算出硬件架構(gòu)的各項衡量指標(biāo)，以評估計算分析結(jié)果是否符合相應(yīng)安全等級的衡量指標(biāo)。

e. 假如設(shè)計不符合相應(yīng)安全等級的要求，可以根據(jù)FMEDA分析的相應(yīng)結(jié)果，針對產(chǎn)品設(shè)計的薄弱項進行優(yōu)化迭代直至分析結(jié)果可以符合安全等級的要求為止。

2、FMEDA實例分析

電池管理系統(tǒng)是決定新能源汽車能否在市場破冰的核心技術(shù)之一，本文以簡易的電池充電管理系統(tǒng)模塊作為示例來闡述FMEDA在汽車行業(yè)產(chǎn)品設(shè)計過程中的實際應(yīng)用。

2.1簡易電池管理系統(tǒng)的FMEDA

假如在電池充電管理系統(tǒng)進行危害分析（HA）中得出電池充電過程中電壓超過5V會導(dǎo)致系統(tǒng)故障，即系統(tǒng)的一個安全目標(biāo)：避免電池充電過程中電壓超過5V，安全等級為ASIL B。根據(jù)標(biāo)準(zhǔn)要求，其硬件設(shè)計架構(gòu)需要滿足以下條件：

表2　系統(tǒng)硬件架構(gòu)需滿足的要求

圖3　簡易電池管理系統(tǒng)架構(gòu)

電池：整車制動能量回收及電能存儲；

電壓監(jiān)測模塊：實時監(jiān)測電池電壓，并將電壓值發(fā)送到MCU；

MCU：實施監(jiān)控電池電壓是否在安全范圍內(nèi)，將電壓值通過CAN總線發(fā)送給其它系統(tǒng)；

系統(tǒng)供電：為整個電池管理系統(tǒng)提供電源；

CAN Bus：系統(tǒng)間實時通訊；

安全機制1：MCU監(jiān)控電壓監(jiān)測模塊輸出，電壓＞5V或者是沒有電壓輸入時，通過CAN發(fā)送告警信號（DC High）；

安全機制2：CAN信號校驗。（DC High）。

表3　簡易電池管理系統(tǒng)FMEDA結(jié)果

系統(tǒng)的FMEDA分析結(jié)果顯示：單點故障率衡量指標(biāo)為31.36％遠遠不滿足ASIL B的要求，潛伏故障衡量指標(biāo)為100％符合ASIL B的要求，系統(tǒng)的隨機硬件失效率為92.67符合ASIL B的要求。通過FMEDA發(fā)現(xiàn)由于MCU缺乏相應(yīng)的安全機制導(dǎo)致單點故障率非常高，所以MCU是系統(tǒng)設(shè)計的主要薄弱點，需要在系統(tǒng)改進時加強安全監(jiān)控機制。

2.2系統(tǒng)優(yōu)化后的FMEDA

根據(jù)FMEDA發(fā)現(xiàn)系統(tǒng)的薄弱項后，為了確保系統(tǒng)的可靠性，進行了一下優(yōu)化措施。

1）增加了外部看門狗監(jiān)控MCU，同時采用MCU的I/O監(jiān)控看門狗芯片的信號輸出端；

2）增加電池電壓監(jiān)控的冗余電路，避免電池監(jiān)控的單點故障；

3）采用看門狗電路監(jiān)控系統(tǒng)供電的電壓的安全機制，進一步提高系統(tǒng)的可靠性。

根據(jù)以上改進措施，優(yōu)化后的系統(tǒng)架構(gòu)圖如下：

圖4　電池管理系統(tǒng)（優(yōu)化）

WD（看門狗）模塊：實施監(jiān)控MCU運行狀況以及系統(tǒng)供電模塊的工作狀態(tài)；

電壓比較模塊：將電池檢測電壓與參考電壓進行比較，將比較值發(fā)送給MCU；

安全機制3：MCU檢測電壓檢測模塊的輸出，當(dāng)電池電壓＞5V時通過CAN發(fā)送告警信號（DC High）；

安全機制4：WD檢測MCU程序運行，發(fā)現(xiàn)異常后重置MCU并發(fā)出告警信號（DC Medium）；

安全機制5：WD檢測MCU電壓VCC，當(dāng)MCU檢測到WD信號輸出端為低電平時發(fā)出告警信號（DC Low）；

安全機制6：MCU檢測WD信號輸出端電平，發(fā)現(xiàn)異常重置WD（DC High）。

優(yōu)化電池管理系統(tǒng)架構(gòu)的FMEDA結(jié)果顯示：單點故障率衡量指標(biāo)為93.88％，潛伏故障衡量指標(biāo)為99.79％，系統(tǒng)的隨機硬件失效率為10.12fit，符合ASIL B安全目標(biāo)的要求。假如對系統(tǒng)進行危害分析得出安全目標(biāo)對ASIL等級要求更高，該系統(tǒng)還可以進一步進行優(yōu)化。例如：采用雙核MCU，增加系統(tǒng)供電模塊的監(jiān)控以及一些軟件安全機制。

表4　電池管理系統(tǒng)優(yōu)化后FMEDA結(jié)果

3、結(jié)論

對比優(yōu)化前后的系統(tǒng)架構(gòu)和衡量指標(biāo)，會發(fā)現(xiàn)系統(tǒng)的優(yōu)化需要做一定的取舍，尤其是硬件冗余電路必然會帶來成本的增加。因此在硬件條件允許的情況下，盡可能多的使用軟件診斷的安全機制，既可以降低成本又可以提升系統(tǒng)的可靠性和評估指標(biāo)。雖然功能安全技術(shù)的實施會讓系統(tǒng)變得更安全，但需要平衡各方面因素使系統(tǒng)設(shè)計能得到最大效益化，既要避免或降低危害的發(fā)生，又要防止過設(shè)計。

參考文獻

[1]ISO 26262 Road vehicles—Functional safety-part 5: Product development at the hardware level [S]. 2011.

[2]ISO 26262 Road vehicles— Functional safety- part 10: Guideline on ISO 26262 [S]. 2011.

[3]IEC 61508-2010 Functional safety of electrical/electronic/programmable electronic safety-related systems- Part 7: Overview of techniques and measures [S]. 2010.

[4]SN29500 Failure rate of components[S].2005.

Application of FMEDA in automotive industrial product design

Chen Xiufeng
( Mainland Thai Mick automotive systems (Shanghai) Co., Ltd., Shanghai 201807 )

Abstract:Functional safety technology attracts total industry attention during the continuous development of the automotive industry. FMEDA is one of the three reliability analysis technology. How to implement FMEDA technology in product design process is a great challenge for system safety analysis engineer. The paper expounds product how to use FMEDA to find the system weakness in system design process and further optimize system. FMEDA application can significantly improve the quality of product design and shorten design cycle through the practice analysis result.

Keywords:failure mode; safety mechanism; diagnostic coverage

中圖分類號：U467.4

文獻標(biāo)識碼：A

文章編號：1671-7988（2016）05-05-04

作者簡介：陳修鋒，碩士，就職于大陸泰密克汽車系統(tǒng)（上海）有限公司?，F(xiàn)從事汽車工業(yè)產(chǎn)品設(shè)計及應(yīng)用的安全管理和分析。