陳修鋒（大陸泰密克汽車系統(tǒng)（上海）有限公司，上海 201807）

?

FMEDA在汽車工業(yè)產(chǎn)品設(shè)計(jì)中的應(yīng)用

陳修鋒
（大陸泰密克汽車系統(tǒng)（上海）有限公司，上海 201807）

摘要：功能安全技術(shù)隨著汽車產(chǎn)業(yè)的不斷發(fā)展得到了整個(gè)行業(yè)廣泛的關(guān)注。FMEDA作為ISO26262的三大可靠性分析技術(shù)之一，如何在產(chǎn)品設(shè)計(jì)流程中實(shí)施FMEDA技術(shù)是系統(tǒng)安全分析工程師的巨大挑戰(zhàn)。文章闡述了如何在系統(tǒng)設(shè)計(jì)的過(guò)程中使用FMEDA發(fā)現(xiàn)系統(tǒng)的弱點(diǎn)進(jìn)一步優(yōu)化系統(tǒng)。通過(guò)示例分析及優(yōu)化的結(jié)果證明FMEDA的應(yīng)用可以顯著提升產(chǎn)品設(shè)計(jì)的質(zhì)量，縮短設(shè)計(jì)周期。

關(guān)鍵詞：失效模式；安全機(jī)制；診斷覆蓋率

10.16638/j.cnki.1671-7988.2016.05.002

CLC NO.: U467.4Document Code: AArticle ID: 1671-7988(2016)05-05-04

引言

2011年ISO26262《Road vehicles-functional safety》頒布后，功能安全技術(shù)引起了國(guó)內(nèi)外汽車廠家及供應(yīng)商的重視，在新產(chǎn)品開(kāi)發(fā)過(guò)程中無(wú)論是主機(jī)廠還是供應(yīng)商都努力將功能安全的要求納入到產(chǎn)品開(kāi)發(fā)的流程。FMEA，F(xiàn)TA和FMEDA作為ISO26262三種重要的分析技術(shù)在產(chǎn)品開(kāi)發(fā)過(guò)程中也發(fā)揮了重要的作用，相對(duì)于前兩種常用的分析技術(shù)，F(xiàn)MEDA作為定量分析的核心技術(shù)引起了從業(yè)者越來(lái)越多的關(guān)注。由于不同的產(chǎn)品應(yīng)用導(dǎo)致的危害不同，ISO 26262如同IEC 61508引入了安全等級(jí)的概念及量化指標(biāo)：

在產(chǎn)品設(shè)計(jì)過(guò)程中，F(xiàn)MEDA可以同時(shí)分析以上三個(gè)指標(biāo)，度量產(chǎn)品的硬件設(shè)計(jì)是否符合相應(yīng)的安全要求。產(chǎn)品設(shè)計(jì)的過(guò)程中SPFM和LFM可以用來(lái)驗(yàn)證硬件構(gòu)架設(shè)計(jì)應(yīng)對(duì)隨機(jī)失效的魯棒性，PMHF用來(lái)評(píng)估隨機(jī)硬件失效率導(dǎo)致違反安全目標(biāo)的風(fēng)險(xiǎn)已經(jīng)足夠小。

在實(shí)際產(chǎn)品設(shè)計(jì)過(guò)程中，往往先根據(jù)產(chǎn)品的使用環(huán)境及用途進(jìn)行危害分析得出的安全目標(biāo)，再對(duì)硬件設(shè)計(jì)架構(gòu)實(shí)施FMEDA計(jì)算出硬件架構(gòu)的三個(gè)指標(biāo)，來(lái)驗(yàn)證是否符合相應(yīng)的安全等級(jí)要求。如果系統(tǒng)不符合設(shè)計(jì)要求，需通過(guò)設(shè)計(jì)優(yōu)化和分析計(jì)算等一系列的迭代活動(dòng)改進(jìn)產(chǎn)品設(shè)計(jì)，最終設(shè)計(jì)出符合要求的產(chǎn)品。

1、FMEDA技術(shù)

FMEDA-失效模式影響與診斷分析（failure mode effect and diagnostic analysis）是產(chǎn)品設(shè)計(jì)定量分析的基礎(chǔ)，可以用來(lái)分析整個(gè)系統(tǒng)也可以用來(lái)分析系統(tǒng)的某個(gè)模塊單元。

1.1故障、誤差及失效

故障（Fault）指某個(gè)異常情況，它會(huì)造成某個(gè)單元（器件）或整個(gè)系統(tǒng)的失效。

誤差（Error）指實(shí)際計(jì)算的、觀察的或者測(cè)試的數(shù)據(jù)/情形和真實(shí)的、規(guī)定的或理論上正確的值或情形不相符。

失效（Failure）指能使某個(gè)單元或整個(gè)系統(tǒng)按要求執(zhí)行某項(xiàng)功能的能力的終止。

系統(tǒng)失效的過(guò)程往往是從單元（器件）的異常情況（故障）開(kāi)始導(dǎo)致測(cè)量值與規(guī)定值不符（誤差），最終使系統(tǒng)或單元失去執(zhí)行某項(xiàng)功能的能力（失效）。

失效率指系統(tǒng)或零件在單位時(shí)間內(nèi)失效的概率，其單位通常用fit表示，1fit=10-9/h。

1.2安全機(jī)制及診斷覆蓋率

安全機(jī)制是指某項(xiàng)功能，它由電子/電氣器件，或其他技術(shù)手段實(shí)現(xiàn)，用于探測(cè)故障，或控制失效，以使產(chǎn)品能進(jìn)入或保持于安全狀態(tài)避免不合理的風(fēng)險(xiǎn)。

診斷覆蓋率是指元器件失效率可以被安全機(jī)制診斷出來(lái)的百分比，典型值：60％、90％和99％。安全機(jī)制的覆蓋率可以根據(jù)產(chǎn)品的實(shí)際使用場(chǎng)景進(jìn)一步的分析和優(yōu)化。在產(chǎn)品設(shè)計(jì)過(guò)程中可以參考ISO 26262 Part 5 Annex D 的安全機(jī)制來(lái)提高產(chǎn)品設(shè)計(jì)的可靠性。圖1為附錄D中一個(gè)診斷覆蓋率的評(píng)估示例，Low->DC=60％；medium->90％；High->99％。

圖1　診斷覆蓋率評(píng)估（ISO 26262 part5 Annex D）

1.3故障類別

從違反系統(tǒng)輸出要求的角度來(lái)講，故障可以分為：?jiǎn)吸c(diǎn)故障、殘余故障、兩點(diǎn)故障、潛伏故障和多點(diǎn)故障等。為了減少故障的發(fā)生率，系統(tǒng)設(shè)計(jì)過(guò)程中往往會(huì)增加一些安全機(jī)制，或其他技術(shù)手段實(shí)現(xiàn)，用于探測(cè)故障控制失效，以使產(chǎn)品能進(jìn)入或保持于安全狀態(tài)。

安全故障：指某個(gè)故障，它不會(huì)顯著地增加違反安全目標(biāo)的概率。

單點(diǎn)故障：?jiǎn)吸c(diǎn)故障指某個(gè)硬件單元中的某個(gè)故障，它無(wú)法被“安全機(jī)制”探測(cè)到，并且它會(huì)直接導(dǎo)致安全目標(biāo)的違反。

殘余故障：在某個(gè)硬件單元中被診斷的故障的殘存部分，即沒(méi)有被診斷覆蓋（診斷覆蓋率>0％)到的那部分故障，并且它會(huì)立即導(dǎo)致安全目標(biāo)的違反。

兩點(diǎn)故障：指某個(gè)故障，只有當(dāng)它和另外一個(gè)故障共同作用后，才造成了安全目標(biāo)的違反。

多點(diǎn)故障：當(dāng)有多個(gè)（大于2個(gè)）具有足夠獨(dú)立性的故障共同組合后引起的失效，通?？梢院雎?。如果“多點(diǎn)故障”可以被識(shí)別，則應(yīng)歸類為“可檢測(cè)的多點(diǎn)故障”；如果“多點(diǎn)故障”可以被探知，并且能夠被駕駛員控制（如：前燈變暗的缺陷），則應(yīng)歸類為“可感知的多點(diǎn)故障”。

潛伏故障：指“多點(diǎn)故障”中未被檢測(cè)到的部分，稱為“潛在錯(cuò)誤”。它是“多點(diǎn)錯(cuò)誤”，并且不能被檢測(cè)到，而是潛藏在系統(tǒng)單元內(nèi)，具有違反安全目標(biāo)的風(fēng)險(xiǎn)。

1.4FMEDA計(jì)算公式

單點(diǎn)故障度量：

潛伏故障度量：

隨機(jī)硬件失效率：

MPMHF------隨機(jī)硬件失效率的度量指標(biāo)；

λSPF-----單點(diǎn)故障失效率；

λRF------殘余故障失效率；

λMPF,Latent------潛伏的多點(diǎn)故障失效率（主要指兩點(diǎn)故障）；

TLifetime------產(chǎn)品生命周期；

1.5FMEDA流程

a.根據(jù)系統(tǒng)的硬件架構(gòu)，列出所有的硬件單元，從元器件失效率相關(guān)的標(biāo)準(zhǔn)（SN29500、IEC 62380等）中查詢失效率及不同故障模式所占的比例，并將參考失效率根據(jù)產(chǎn)品的使用環(huán)境轉(zhuǎn)化為可以用于分析計(jì)算的的失效率：

λref---在假定參考條件下的失效率；

πU---相關(guān)電壓的參數(shù)；

πI----相關(guān)電流的參數(shù)；

πT---相關(guān)溫度參數(shù)。

由于有些器件僅有廠家提供的PPM值，可以根據(jù)工作時(shí)間將其轉(zhuǎn)化為fit值：

假如T為8000小時(shí)，則1PPM=0.125fit。

b. 根據(jù)故障模式分析的流程圖及是否會(huì)違反安全要求，逐個(gè)確認(rèn)硬件單元的故障模式是否是安全相關(guān)的，是否有相應(yīng)的安全機(jī)制，直至確認(rèn)該故障模式為安全故障、單點(diǎn)故障或多點(diǎn)故障。

圖2　故障模式分析流程圖

c. 參照ISO26262-5附錄D的安全機(jī)制目錄，確定產(chǎn)品設(shè)計(jì)過(guò)程中所制定的安全機(jī)制的診斷覆蓋率以用于計(jì)算分析。如果相應(yīng)的診斷覆蓋率查不到對(duì)應(yīng)項(xiàng)，需根據(jù)之前的項(xiàng)目設(shè)計(jì)經(jīng)驗(yàn)評(píng)估出相應(yīng)診斷覆蓋率的值。

d. 根據(jù)SPFM、LFM和PMHF的公式計(jì)算出硬件架構(gòu)的各項(xiàng)衡量指標(biāo)，以評(píng)估計(jì)算分析結(jié)果是否符合相應(yīng)安全等級(jí)的衡量指標(biāo)。

e. 假如設(shè)計(jì)不符合相應(yīng)安全等級(jí)的要求，可以根據(jù)FMEDA分析的相應(yīng)結(jié)果，針對(duì)產(chǎn)品設(shè)計(jì)的薄弱項(xiàng)進(jìn)行優(yōu)化迭代直至分析結(jié)果可以符合安全等級(jí)的要求為止。

2、FMEDA實(shí)例分析

電池管理系統(tǒng)是決定新能源汽車能否在市場(chǎng)破冰的核心技術(shù)之一，本文以簡(jiǎn)易的電池充電管理系統(tǒng)模塊作為示例來(lái)闡述FMEDA在汽車行業(yè)產(chǎn)品設(shè)計(jì)過(guò)程中的實(shí)際應(yīng)用。

2.1簡(jiǎn)易電池管理系統(tǒng)的FMEDA

假如在電池充電管理系統(tǒng)進(jìn)行危害分析（HA）中得出電池充電過(guò)程中電壓超過(guò)5V會(huì)導(dǎo)致系統(tǒng)故障，即系統(tǒng)的一個(gè)安全目標(biāo)：避免電池充電過(guò)程中電壓超過(guò)5V，安全等級(jí)為ASIL B。根據(jù)標(biāo)準(zhǔn)要求，其硬件設(shè)計(jì)架構(gòu)需要滿足以下條件：

表2　系統(tǒng)硬件架構(gòu)需滿足的要求

圖3　簡(jiǎn)易電池管理系統(tǒng)架構(gòu)

電池：整車制動(dòng)能量回收及電能存儲(chǔ)；

電壓監(jiān)測(cè)模塊：實(shí)時(shí)監(jiān)測(cè)電池電壓，并將電壓值發(fā)送到MCU；

MCU：實(shí)施監(jiān)控電池電壓是否在安全范圍內(nèi)，將電壓值通過(guò)CAN總線發(fā)送給其它系統(tǒng)；

系統(tǒng)供電：為整個(gè)電池管理系統(tǒng)提供電源；

CAN Bus：系統(tǒng)間實(shí)時(shí)通訊；

安全機(jī)制1：MCU監(jiān)控電壓監(jiān)測(cè)模塊輸出，電壓＞5V或者是沒(méi)有電壓輸入時(shí)，通過(guò)CAN發(fā)送告警信號(hào)（DC High）；

安全機(jī)制2：CAN信號(hào)校驗(yàn)。（DC High）。

表3　簡(jiǎn)易電池管理系統(tǒng)FMEDA結(jié)果

系統(tǒng)的FMEDA分析結(jié)果顯示：?jiǎn)吸c(diǎn)故障率衡量指標(biāo)為31.36％遠(yuǎn)遠(yuǎn)不滿足ASIL B的要求，潛伏故障衡量指標(biāo)為100％符合ASIL B的要求，系統(tǒng)的隨機(jī)硬件失效率為92.67符合ASIL B的要求。通過(guò)FMEDA發(fā)現(xiàn)由于MCU缺乏相應(yīng)的安全機(jī)制導(dǎo)致單點(diǎn)故障率非常高，所以MCU是系統(tǒng)設(shè)計(jì)的主要薄弱點(diǎn)，需要在系統(tǒng)改進(jìn)時(shí)加強(qiáng)安全監(jiān)控機(jī)制。

2.2系統(tǒng)優(yōu)化后的FMEDA

根據(jù)FMEDA發(fā)現(xiàn)系統(tǒng)的薄弱項(xiàng)后，為了確保系統(tǒng)的可靠性，進(jìn)行了一下優(yōu)化措施。

1）增加了外部看門狗監(jiān)控MCU，同時(shí)采用MCU的I/O監(jiān)控看門狗芯片的信號(hào)輸出端；

2）增加電池電壓監(jiān)控的冗余電路，避免電池監(jiān)控的單點(diǎn)故障；

3）采用看門狗電路監(jiān)控系統(tǒng)供電的電壓的安全機(jī)制，進(jìn)一步提高系統(tǒng)的可靠性。

根據(jù)以上改進(jìn)措施，優(yōu)化后的系統(tǒng)架構(gòu)圖如下：

圖4　電池管理系統(tǒng)（優(yōu)化）

WD（看門狗）模塊：實(shí)施監(jiān)控MCU運(yùn)行狀況以及系統(tǒng)供電模塊的工作狀態(tài)；

電壓比較模塊：將電池檢測(cè)電壓與參考電壓進(jìn)行比較，將比較值發(fā)送給MCU；

安全機(jī)制3：MCU檢測(cè)電壓檢測(cè)模塊的輸出，當(dāng)電池電壓＞5V時(shí)通過(guò)CAN發(fā)送告警信號(hào)（DC High）；

安全機(jī)制4：WD檢測(cè)MCU程序運(yùn)行，發(fā)現(xiàn)異常后重置MCU并發(fā)出告警信號(hào)（DC Medium）；

安全機(jī)制5：WD檢測(cè)MCU電壓VCC，當(dāng)MCU檢測(cè)到WD信號(hào)輸出端為低電平時(shí)發(fā)出告警信號(hào)（DC Low）；

安全機(jī)制6：MCU檢測(cè)WD信號(hào)輸出端電平，發(fā)現(xiàn)異常重置WD（DC High）。

優(yōu)化電池管理系統(tǒng)架構(gòu)的FMEDA結(jié)果顯示：?jiǎn)吸c(diǎn)故障率衡量指標(biāo)為93.88％，潛伏故障衡量指標(biāo)為99.79％，系統(tǒng)的隨機(jī)硬件失效率為10.12fit，符合ASIL B安全目標(biāo)的要求。假如對(duì)系統(tǒng)進(jìn)行危害分析得出安全目標(biāo)對(duì)ASIL等級(jí)要求更高，該系統(tǒng)還可以進(jìn)一步進(jìn)行優(yōu)化。例如：采用雙核MCU，增加系統(tǒng)供電模塊的監(jiān)控以及一些軟件安全機(jī)制。

表4　電池管理系統(tǒng)優(yōu)化后FMEDA結(jié)果

3、結(jié)論

對(duì)比優(yōu)化前后的系統(tǒng)架構(gòu)和衡量指標(biāo)，會(huì)發(fā)現(xiàn)系統(tǒng)的優(yōu)化需要做一定的取舍，尤其是硬件冗余電路必然會(huì)帶來(lái)成本的增加。因此在硬件條件允許的情況下，盡可能多的使用軟件診斷的安全機(jī)制，既可以降低成本又可以提升系統(tǒng)的可靠性和評(píng)估指標(biāo)。雖然功能安全技術(shù)的實(shí)施會(huì)讓系統(tǒng)變得更安全，但需要平衡各方面因素使系統(tǒng)設(shè)計(jì)能得到最大效益化，既要避免或降低危害的發(fā)生，又要防止過(guò)設(shè)計(jì)。

參考文獻(xiàn)

[1]ISO 26262 Road vehicles—Functional safety-part 5: Product development at the hardware level [S]. 2011.

[2]ISO 26262 Road vehicles— Functional safety- part 10: Guideline on ISO 26262 [S]. 2011.

[3]IEC 61508-2010 Functional safety of electrical/electronic/programmable electronic safety-related systems- Part 7: Overview of techniques and measures [S]. 2010.

[4]SN29500 Failure rate of components[S].2005.

Application of FMEDA in automotive industrial product design

Chen Xiufeng
( Mainland Thai Mick automotive systems (Shanghai) Co., Ltd., Shanghai 201807 )

Abstract:Functional safety technology attracts total industry attention during the continuous development of the automotive industry. FMEDA is one of the three reliability analysis technology. How to implement FMEDA technology in product design process is a great challenge for system safety analysis engineer. The paper expounds product how to use FMEDA to find the system weakness in system design process and further optimize system. FMEDA application can significantly improve the quality of product design and shorten design cycle through the practice analysis result.

Keywords:failure mode; safety mechanism; diagnostic coverage

中圖分類號(hào)：U467.4

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1671-7988（2016）05-05-04

作者簡(jiǎn)介：陳修鋒，碩士，就職于大陸泰密克汽車系統(tǒng)（上海）有限公司?，F(xiàn)從事汽車工業(yè)產(chǎn)品設(shè)計(jì)及應(yīng)用的安全管理和分析。