01

FMEDA步驟

FMEDA(Failure Modes Effects and Diagnostic Analysis) 是一種評估系統安全架構和實施的強大方法，多用于硬件定量分析。

和FMEA定性分析不同，FMEDA在FMEA 自下而上的方法論基礎上增加了對硬件故障定量化的評估內容，包括模式失效率(Failure rate)、故障模式占比(Failure mode distribution)和對應的安全機制診斷覆蓋率(Diagnostic coverage)，對FMEA進行擴展從而可以完成定量分析，是計算硬件概率化度量指標的有效手段，其具體流程如下圖所示：

具體而言，包括以下幾個步驟：

步驟1: 計算失效率

首先，需要根據系統硬件架構，羅列所有硬件單元，為了方便分析和計算，可以對硬件單元按照類型進行分組。

然后，根據行業公認的標準(SN29500, IEC 62380)，歷史或測試數據，查詢各硬件單元失效模式以及對應的失效率分布。此過程可以采用手動模式，或者采用利用相關軟件，輸入系統硬件單元，進行自動化查詢及計算。

例如，控制器硬件ALU算術邏輯單元：

它的失效率λ=0.348 FIT，即該電阻在10^9 h內平均存在0.348次失效。

它存在三種失效模式: FM1, FM2, FM3。

三種失效模式對應的失效分布比例：FM1->25%，FM2->25%，FM3->50%。

步驟2: 識別故障模式

對步驟1中列出的硬件單元進行安全分析，根據故障分析流程圖，確定其故障模式是否和功能安全相關以及故障的類型：

如果和功能安全無關，則為安全無關的安全故障。

如果和功能安全相關，則需要進一步分析，確定其故障的類型，包括單點故障或雙點故障等(和功能安全相關的三點及以上的故障也屬于安全故障)，以及是否存在相應的安全機制。

具體故障類型定義及區別見08篇，不再贅述。

不是所有硬件單元的故障都會導致安全目標的違背，為了方便有效識地識別和功能安全相關的故障以及故障類型，可以采用FTA安全分析方法，對不同安全目標SG進行自上而下的安全分析，識別出違反安全目標的底層事件，根據不同底層事件和安全目標之間的關系，即''與門''和''或門''，就可以基本識別出不同故障類型。

例如，進行最小割集分析，級數為1的最小割集對應的底層事件就是單點故障，級數為2則為雙點故障等等，可以由軟件直接得到。

當然，也可以將步驟1得到硬件組件的失效率作為FTA底層事件失效數據的輸入，利用FTA分析工具，進行故障的識別和后續硬件失效相關的度量計算。

步驟3: 計算診斷覆蓋率

根據識別得到的硬件單元實施的安全機制，確定診斷覆蓋率數值，在ISO 26262-5:2018附錄D中，提供了硬件系統不同組件，包括傳感器，連接器，模擬輸入輸出，控制單元等常見的安全機制以及對應的診斷覆蓋率。

一般安全機制診斷覆蓋率可以根據相應的公式進行計算，但過程相對比較復雜，所以多采取保守估算方式。

對于給定要素的典型安全機制的有效性，ISO 26262-5:2018附錄D按照它們對所列舉的故障覆蓋能力進行了分類，分別為低、中或高診斷覆蓋率。這些低、中或高的診斷覆蓋率被分別定義為60%、90%或99%的典型覆蓋水平。

繼續以ALU為例：

針對故障模式FM2和FM3，在硬件設計中存在相應的安全機制SM1和SM2，其對應的診斷覆蓋率分別為90%和60%。

以此方式，計算所有硬件單元的安全機制的診斷覆蓋率。

步驟4: 計算量化指標

根據硬件架構度量指標SPFM，LFM以及隨機硬件失效評估PMHF計算公式，計算相應的指標。

PMHF=∑λSPF+ ∑λRF+ ∑λDPF_det× λDPF_latent× TLifetime

具體計算公式見08篇，在此不再贅述。

步驟5: 優化設計

根據步驟4計算結果，對硬件設計可靠性進行綜合評估，判定是否滿足指定的ASIL等級要求，如果滿足則分析結束，否則需要根據計算結果，優化硬件設計，增加新的安全機制或者采用更高診斷覆蓋率的安全機制，然后再次進行計算，直至滿足安全需求為止。

02

FMEDA計算實例

雖然在ISO 26262-5:2018附錄中已經添加了有關硬件架構度量和隨機失效率評估的實例，但由于其過程介紹相對簡單，導致很多朋友仍然搞不清楚計算過程，接下來就以其中一個實例為例，介紹如何利用FMEDA進行硬件概率化度量指標的計算過程。

下圖為某ECU硬件設計圖，針對其安全目標:''當速度超過 10km/h 時關閉閥1的時間不得長于20 ms''。安全目標被分配為 ASIL C 等級。安全狀態為：閥1打開(I61控制閥1)。

針對該安全目標，羅列所有硬件組件，如下表所示，根據FMEDA步驟1至4，分別查詢硬件組件失效率，失效模式及分布比例，并計算相應的硬件度量指標。

例如， 對于控制芯片uc而言，其失效率為100 FIT，存在兩種失效模式，其分布比例各占50%，只有第一種失效模式和安全相關，第二種失效模式則無需考慮。

由于安全機制SM4的存在，對該硬件組件第一種故障的診斷覆蓋率為90%，該硬件組件

單點或殘余故障失效率為：

由于安全機制SM4還能夠對該故障進行探測，防止其成為潛伏故障，其診斷覆蓋率為100%，則該硬件組件的雙點潛伏故障失效率為：

除單點故障，殘余故障及雙(多)點潛伏故障，剩余的則是可探測雙點潛伏故障，則硬件組件的雙(多)點故障的可探測失效率為：

依此計算所有硬件組件的相關故障失效率，并進行如下統計：

則該ECU硬件整體概率化度量指標計算如下：

根據該安全目標ASIL C，判斷其可知，除SPFM沒有>=97%外，其他指標均滿足相應安全要求，所以該硬件設計基本滿足安全目標ASIL C等級需求。當然，也可以對硬件設計進行進一步優化，提高SPFM架構度量值。

審核編輯：劉清