羅來(lái)軍 李 兵

(聯(lián)創(chuàng)汽車電子有限公司，上海市 201206)

0 引言

目前隨著汽車技術(shù)的發(fā)展，車輛上各種駕駛輔助功能越來(lái)越多，無(wú)人駕駛的研發(fā)現(xiàn)在也在如火如荼地進(jìn)行。隨著這些輔助駕駛和無(wú)人駕駛功能的增加，汽車電控系統(tǒng)的功能安全越來(lái)越受到重視，2011年發(fā)布的ISO26262是汽車領(lǐng)域功能安全的國(guó)際標(biāo)準(zhǔn)，在此基礎(chǔ)上中國(guó)國(guó)家標(biāo)準(zhǔn)GB/T 34590也于2017年發(fā)布。

功能安全對(duì)系統(tǒng)開發(fā)、軟件與硬件開發(fā)、生產(chǎn)售后、功能安全管理以及安全分析等各個(gè)方面都提出了相應(yīng)的要求，其中對(duì)硬件度量指標(biāo)有具體的量化要求，分別是單點(diǎn)故障度量SPFM(Single Point Fault Metric)，潛伏故障度量LFM(Latent Fault Metric)和隨機(jī)硬件失效概率度量PMHF(Probabilistic Metric for random Hardware Failures)。這三個(gè)指標(biāo)不僅涉及到硬件的設(shè)計(jì)和分析，也需要考慮整個(gè)系統(tǒng)的安全機(jī)制，包括相應(yīng)的軟件診斷等。這些安全機(jī)制需要在計(jì)算硬件指標(biāo)時(shí)進(jìn)行考慮，才能得到最終的硬件指標(biāo)計(jì)算值。

在硬件度量指標(biāo)計(jì)算過(guò)程中，會(huì)遇到一些操作的具體問(wèn)題。本文通過(guò)在項(xiàng)目中的具體實(shí)踐，對(duì)硬件指標(biāo)計(jì)算中的相關(guān)概念和相關(guān)步驟進(jìn)行了解釋，并對(duì)分析計(jì)算過(guò)程給出了一些操作方法的建議。

1 硬件指標(biāo)計(jì)算的準(zhǔn)備

硬件度量指標(biāo)的計(jì)算涉及一些概念定義，也需要得到計(jì)算所需相關(guān)的數(shù)據(jù)，本章對(duì)故障類型、失效率、診斷覆蓋率等的含義進(jìn)行了介紹，并對(duì)實(shí)踐中的具體情況進(jìn)行了相關(guān)說(shuō)明供參考。

1.1 硬件故障的分類

功能安全標(biāo)準(zhǔn)中將硬件故障進(jìn)行了如下分類：?jiǎn)吸c(diǎn)故障、殘余故障、多點(diǎn)故障以及安全故障。其中多點(diǎn)故障中三點(diǎn)及以上的故障通常也被認(rèn)為是安全故障(特殊情況除外)，雙點(diǎn)故障又細(xì)分為可探測(cè)的雙點(diǎn)、可感知的雙點(diǎn)以及潛伏的雙點(diǎn)[1,2,3,4]。

這樣硬件故障的分類變?yōu)槿缦拢喊踩收?、單點(diǎn)故障、殘余故障、可探測(cè)的雙點(diǎn)故障、可感知的雙點(diǎn)故障以及潛伏的雙點(diǎn)故障。根據(jù)故障的時(shí)間特性還可以將硬件故障分為瞬時(shí)故障和永久故障。以下通過(guò)具體實(shí)踐解釋如何理解各個(gè)故障，如何對(duì)不同部件的故障進(jìn)行分類。

1.1.1 安全故障

安全故障分為兩類，一類情況是該部件和安全無(wú)關(guān)，那么它的任意故障都是安全故障。比如PCB板上用于調(diào)試的LED燈，它的故障一般不會(huì)引起系統(tǒng)輸出的變化。

另一類情況是該部件和安全有關(guān)，它的一種或幾種故障類型也可以是安全故障。比如控制器設(shè)計(jì)的基本原則之一通常是沒(méi)有供電時(shí)需要保證系統(tǒng)安全，電源處理電路和控制器的功能實(shí)現(xiàn)相關(guān)，因此和安全相關(guān)。但是其中導(dǎo)致控制器無(wú)法供電的故障會(huì)使得系統(tǒng)進(jìn)入安全狀態(tài)，這部分故障就是安全故障。再比如看門狗誤觸發(fā)的故障，該故障也會(huì)使得系統(tǒng)進(jìn)入安全狀態(tài)，這部分故障也屬于安全故障。

需要注意的是這兩類安全故障對(duì)硬件指標(biāo)計(jì)算的影響是不同的。和安全無(wú)關(guān)的部件故障失效率不納入硬件指標(biāo)的計(jì)算公式中，這種安全故障對(duì)硬件指標(biāo)的計(jì)算完全沒(méi)有影響。和安全有關(guān)部件的安全故障會(huì)納入硬件指標(biāo)的計(jì)算公式中，這部分安全故障失效率的增加會(huì)使得單點(diǎn)故障度量SPFM和殘余故障度量LFM增加，對(duì)隨機(jī)硬件失效概率度量PMHF則沒(méi)有影響。

1.1.2 單點(diǎn)故障

單點(diǎn)故障是指該故障發(fā)生后，會(huì)直接導(dǎo)致系統(tǒng)違背安全目標(biāo)，系統(tǒng)中沒(méi)有任何安全機(jī)制來(lái)對(duì)這種故障進(jìn)行診斷和處理。對(duì)于功能安全等級(jí)最高為ASIL C和ASIL D的系統(tǒng)，功能安全標(biāo)準(zhǔn)規(guī)定對(duì)此類故障的診斷覆蓋率不應(yīng)低于90%，否則需增加專用措施。一般情況下，單點(diǎn)故障在ASIL C和ASIL D系統(tǒng)中不會(huì)出現(xiàn)。

1.1.3 殘余故障

殘余故障是指該故障發(fā)生后，也會(huì)直接導(dǎo)致系統(tǒng)違背安全目標(biāo)。系統(tǒng)對(duì)于單點(diǎn)故障會(huì)采取相應(yīng)的安全機(jī)制來(lái)對(duì)進(jìn)行診斷和處理，但是安全機(jī)制一般不能完全覆蓋單點(diǎn)故障的全部可能性，即診斷覆蓋率一般不能達(dá)到100%。功能安全標(biāo)準(zhǔn)對(duì)于診斷覆蓋率建議了低中高三個(gè)等級(jí)，分別為60%、 90% 、99%。因此單點(diǎn)故障實(shí)施安全機(jī)制后，一般都會(huì)產(chǎn)生相應(yīng)的殘余故障，如采用99%診斷覆蓋率的安全機(jī)制時(shí)殘余故障比例為1%。

單點(diǎn)故障和殘余故障是單點(diǎn)故障度量SPFM考察的對(duì)象，這兩個(gè)故障失效率數(shù)值的增加會(huì)使得SPFM降低。因此要盡量避免單點(diǎn)故障，即增加相應(yīng)的安全機(jī)制；同時(shí)降低殘余故障，即提高安全機(jī)制的診斷覆蓋率。

單點(diǎn)故障和殘余故障也是隨機(jī)硬件失效概率度量PMHF考察的對(duì)象，降低這兩個(gè)故障失效率數(shù)值也可以降低隨機(jī)硬件失效概率度量PMHF。

1.1.4 可探測(cè)的雙點(diǎn)故障

首先解釋雙點(diǎn)故障的含義：如果兩個(gè)獨(dú)立的故障同時(shí)發(fā)生后會(huì)使得系統(tǒng)違背安全目標(biāo)，那么這兩個(gè)獨(dú)立的故障都屬于雙點(diǎn)故障。

目前實(shí)踐中分析得到的雙點(diǎn)故障都是某個(gè)故障(稱之為故障X)與其對(duì)應(yīng)的安全機(jī)制失效的故障(稱之為故障Y)，這兩個(gè)故障互為雙點(diǎn)故障。其中如果沒(méi)有安全機(jī)制，故障X會(huì)導(dǎo)致系統(tǒng)違背安全目標(biāo)。安全機(jī)制失效的故障Y分為兩部分，一部分是診斷失效，即無(wú)法診斷出故障X；另一部分為執(zhí)行失效，即正確診斷后無(wú)法將系統(tǒng)切換到安全狀態(tài)。

可探測(cè)的雙點(diǎn)故障指的是這兩個(gè)獨(dú)立故障被探測(cè)到的部分。故障X沒(méi)有被安全機(jī)制覆蓋的部分屬于殘余故障，可以直接違背安全目標(biāo)，不屬于雙點(diǎn)故障；故障X被安全機(jī)制覆蓋的部分故障會(huì)被探測(cè)到，同時(shí)也會(huì)通過(guò)指示燈等提示駕駛員并記錄故障，因此這部分被覆蓋的部分屬于可探測(cè)的雙點(diǎn)故障。如果對(duì)安全機(jī)制也進(jìn)行診斷，同時(shí)通過(guò)指示燈等提示駕駛員并記錄故障，那么診斷到的安全機(jī)制的故障也屬于可探測(cè)的雙點(diǎn)故障。

1.1.5 可感知的雙點(diǎn)故障

可感知的雙點(diǎn)故障是指雙點(diǎn)故障中沒(méi)有被探測(cè)到，但是可以被駕駛員感知到的故障。假如系統(tǒng)診斷到故障X的發(fā)生，也采取了安全措施，但是沒(méi)有對(duì)駕駛員進(jìn)行提醒，駕駛員有可能通過(guò)系統(tǒng)性能的改變來(lái)感知到有故障發(fā)生，那么這種情況應(yīng)該歸屬于可感知的雙點(diǎn)故障。目前實(shí)踐中沒(méi)有遇到可感知的雙點(diǎn)故障，一般情況下系統(tǒng)中沒(méi)有此類故障。

如前所述，故障X只包含殘余故障和可探測(cè)的雙點(diǎn)故障，因此它不含可感知的雙點(diǎn)故障。如果不對(duì)相應(yīng)的安全機(jī)制進(jìn)行診斷，安全機(jī)制發(fā)生故障時(shí)系統(tǒng)性能一般不會(huì)受影響，這種情況下安全機(jī)制的故障也無(wú)法通過(guò)駕駛員感知到，當(dāng)疊加故障X后就會(huì)直接違背安全目標(biāo)，也不屬于可感知的雙點(diǎn)故障。

1.1.6 潛伏的雙點(diǎn)故障

潛伏的雙點(diǎn)故障是指雙點(diǎn)故障中沒(méi)有被探測(cè)到，也沒(méi)有被駕駛員感知到的故障。

如前所述，安全機(jī)制的故障被診斷覆蓋到的部分也屬于可探測(cè)的雙點(diǎn)故障，另外沒(méi)有被診斷覆蓋的部分則屬于潛伏的雙點(diǎn)故障。

潛伏的雙點(diǎn)故障是潛伏故障指標(biāo)LFM考察的對(duì)象，提高對(duì)安全機(jī)制檢測(cè)的診斷覆蓋率，會(huì)增加可探測(cè)的雙點(diǎn)故障失效率同時(shí)降低潛伏的雙點(diǎn)故障失效率，進(jìn)而提高潛伏故障指標(biāo)LFM。

潛伏的雙點(diǎn)故障也對(duì)隨機(jī)硬件失效概率度量PMHF有所貢獻(xiàn)，它和對(duì)應(yīng)的雙點(diǎn)故障同時(shí)發(fā)生會(huì)使得系統(tǒng)違背安全目標(biāo)，這兩個(gè)故障同時(shí)發(fā)生的概率需要在PMHF中進(jìn)行計(jì)算。由于雙點(diǎn)故障互相獨(dú)立，兩個(gè)故障同時(shí)發(fā)生的概率等于兩個(gè)故障單獨(dú)發(fā)生的概率的乘積，因此與殘余故障相比，潛伏的雙點(diǎn)故障對(duì)PMHF的貢獻(xiàn)通常不大。降低潛伏的雙點(diǎn)故障也可以稍稍降低隨機(jī)硬件失效概率度量PMHF。

1.1.7 瞬時(shí)故障和永久故障

瞬時(shí)故障指的是發(fā)生后就消失的故障，比如RAM數(shù)據(jù)中的一位數(shù)據(jù)在外界干擾下由0變?yōu)?，之后如果再次對(duì)RAM數(shù)據(jù)進(jìn)行寫操作結(jié)果仍會(huì)是正常的，這種故障就是瞬時(shí)故障，瞬時(shí)故障通常最遲在下次上電初始化時(shí)就會(huì)恢復(fù)正確狀態(tài)。

永久故障發(fā)生后則不會(huì)消失和恢復(fù)，比如RAM數(shù)據(jù)中的一個(gè)數(shù)據(jù)位發(fā)生故障始終為1，無(wú)法寫入0，發(fā)生永久故障后對(duì)RAM數(shù)據(jù)進(jìn)行讀寫操作都無(wú)法修復(fù)故障。

需要考慮瞬時(shí)故障的一般是集成電路IC以及存儲(chǔ)單元等。瞬時(shí)故障對(duì)SPFM和LFM以及PMHF都有影響。由于瞬時(shí)故障通常最遲在下次上電初始化時(shí)會(huì)恢復(fù)，它的存在時(shí)間最長(zhǎng)是一個(gè)駕駛周期，在通過(guò)PMHF計(jì)算雙點(diǎn)故障時(shí)，瞬時(shí)故障的影響一般可以忽略。

1.2 失效率FIT數(shù)值和診斷覆蓋率的確定

計(jì)算硬件度量指標(biāo)時(shí)需要得到各部件的失效率FIT(Failures in Time)數(shù)值以及相應(yīng)安全機(jī)制的診斷覆蓋率數(shù)值，本節(jié)對(duì)這些數(shù)值的來(lái)源進(jìn)行說(shuō)明和建議。

1.2.1 失效率FIT數(shù)值來(lái)源

功能安全標(biāo)準(zhǔn)中對(duì)于失效率FIT數(shù)值的來(lái)源規(guī)定有三種：業(yè)界公認(rèn)的失效率標(biāo)準(zhǔn)、統(tǒng)計(jì)數(shù)據(jù)以及專家評(píng)估[2,4]。

失效率FIT數(shù)值的單位是每10^9小時(shí)發(fā)生一次故障，功能安全標(biāo)準(zhǔn)對(duì)FIT數(shù)值的置信度有要求，如果通過(guò)統(tǒng)計(jì)數(shù)據(jù)來(lái)得到FIT數(shù)值，那么需要龐大的統(tǒng)計(jì)數(shù)據(jù)量才能得到比較精確的結(jié)果。如果統(tǒng)計(jì)數(shù)據(jù)量較小，為了提高統(tǒng)計(jì)結(jié)果的置信度，必然得到比較保守即比較大的FIT數(shù)值，進(jìn)而影響后續(xù)硬件指標(biāo)計(jì)算的結(jié)果。如果投放市場(chǎng)產(chǎn)品的產(chǎn)量比較大，通過(guò)對(duì)售后故障的統(tǒng)計(jì)可以得到相對(duì)準(zhǔn)確的FIT值，這種情況下需要對(duì)售后故障件的返回與分析有很好的監(jiān)控和管理，同時(shí)這種方法也并不適用于新開發(fā)中采用的新元器件。因此由統(tǒng)計(jì)數(shù)據(jù)得到FIT值的方法一般不采用。

專家評(píng)估的方法也需要有一定的試驗(yàn)數(shù)據(jù)做基礎(chǔ)同時(shí)對(duì)評(píng)估方法也有要求，這種得到FIT數(shù)值的方法通常也不采用。

目前汽車行業(yè)功能安全硬件指標(biāo)計(jì)算的實(shí)踐中，F(xiàn)IT數(shù)值的來(lái)源通常都是業(yè)界公認(rèn)的失效率標(biāo)準(zhǔn)，其中最常用的是兩個(gè)：IEC/TR 62380和SN 29500，這兩個(gè)標(biāo)準(zhǔn)得到的FIT數(shù)值的置信度都可以達(dá)到99%[2,4]。這兩個(gè)標(biāo)準(zhǔn)用來(lái)計(jì)算元器件的永久故障，對(duì)于瞬態(tài)故障可以參考標(biāo)準(zhǔn)JESD89A，關(guān)于瞬態(tài)故障的數(shù)據(jù)建議向供應(yīng)商索取。

1.2.2 FIT數(shù)值計(jì)算所需參數(shù)

硬件元器件分為電阻、電容、電感、IC等類別，其中每個(gè)類別又分為不同的類型，比如SN 29500標(biāo)準(zhǔn)中將電阻分為Carbon film, Networks(film circuits), Metal film, Metal-oxide, Wire-wound, Variable等類型[5]。在通過(guò)標(biāo)準(zhǔn)計(jì)算FIT數(shù)值時(shí)首先需要確定元器件的具體類型。部分類型還需要了解具體的元器件參數(shù)，比如門電路的數(shù)量等[5,6]，通常需要供應(yīng)商提供相關(guān)參數(shù)。

同一個(gè)元器件在不同的使用條件和使用環(huán)境下，發(fā)生失效的概率是不同的，在根據(jù)IEC/TR 62380以及SN 29500計(jì)算各個(gè)部件的失效率FIT數(shù)值時(shí)，都需要確定相關(guān)的環(huán)境和條件參數(shù)，來(lái)計(jì)算得到符合實(shí)際使用情況的FIT值。

在計(jì)算失效率FIT值時(shí)，不同類型元器件的參數(shù)是不同的；同一類型元器件在不同標(biāo)準(zhǔn)(IEC/TR 62380和SN 29500)中使用的參數(shù)也是不同的。在實(shí)際應(yīng)用過(guò)程中需要根據(jù)器件的類型和選擇的標(biāo)準(zhǔn)，確定所需的相關(guān)參數(shù)，計(jì)算得到FIT數(shù)值。

其中溫度參數(shù)對(duì)于失效率的影響比較大，兩個(gè)標(biāo)準(zhǔn)中都有溫度相關(guān)的參數(shù)。在IEC/TR 62380中溫度是作為Mission Profile來(lái)使用的，Mission Profile需要定義不同溫度所占的時(shí)間以及系統(tǒng)開啟和關(guān)閉的次數(shù)等參數(shù)。在SN 29500里溫度是作為平均溫度使用的。在確定溫度參數(shù)時(shí)，需要確定元器件所處環(huán)境的溫度，也要確定元器件在工作過(guò)程中的溫升情況。

環(huán)境溫度可以參考IEC/TR 62380里給出的汽車領(lǐng)域的兩個(gè)Mission Profile(Motor control和Passenger compartment),也可以根據(jù)試驗(yàn)數(shù)據(jù)進(jìn)行選取。元器件的溫升則需要根據(jù)元器件的實(shí)際功率以及元器件的溫度系數(shù)等進(jìn)行計(jì)算得到。

1.2.3 失效模式來(lái)源

硬件指標(biāo)計(jì)算中需要根據(jù)各個(gè)元器件的各個(gè)故障模式進(jìn)行分析，因此，在得到元器件的整體失效率后，需要根據(jù)故障模式的百分比確定各個(gè)故障模式的失效率FIT數(shù)值。

功能安全標(biāo)準(zhǔn)中對(duì)于失效模式及其百分比的來(lái)源規(guī)定也有三種，和FIT數(shù)值來(lái)源一樣：業(yè)界公認(rèn)的失效率標(biāo)準(zhǔn)、統(tǒng)計(jì)數(shù)據(jù)以及專家評(píng)估[2,4]。

基于類似的原因，目前功能安全硬件指標(biāo)計(jì)算的實(shí)踐中，失效模式和百分比的來(lái)源通常也是業(yè)界公認(rèn)的標(biāo)準(zhǔn)，其中比較常用的有：IEC/TR 62380、IEC 61709以及EN 62601等。功能安全標(biāo)準(zhǔn)附錄中有一些關(guān)于失效模式的說(shuō)明，也可以作為參考。

1.2.4 診斷覆蓋率來(lái)源

在確定殘余故障以及潛伏的雙點(diǎn)故障的失效率FIT數(shù)值時(shí)，需要得到相應(yīng)安全機(jī)制的診斷覆蓋率。

診斷覆蓋率的來(lái)源一般是功能安全標(biāo)準(zhǔn)第五部分的附錄D，其中將診斷覆蓋率建議了低中高三個(gè)等級(jí)，覆蓋率分別為60%、90%、99%。標(biāo)準(zhǔn)中對(duì)不同安全機(jī)制都有所對(duì)應(yīng)的診斷覆蓋率的建議[2,4]。

此附錄D中的診斷覆蓋率是建議值，實(shí)踐中可以根據(jù)實(shí)際情況對(duì)覆蓋率進(jìn)行調(diào)整，比如調(diào)整為高于99%等，這種情況下需要對(duì)調(diào)整進(jìn)行合理性說(shuō)明。目前一般是直接采用標(biāo)準(zhǔn)附錄D的建議。如果安全機(jī)制的診斷周期太長(zhǎng)，或者診斷效果有所降低等，則需要降低診斷覆蓋率。

1.3 硬件度量指標(biāo)

功能安全標(biāo)準(zhǔn)中關(guān)于硬件度量指標(biāo)分為兩個(gè)部分：第一部分是硬件架構(gòu)度量指標(biāo)，包括單點(diǎn)故障度量SPFM和潛伏故障度量LFM；第二部分是隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評(píng)估，這個(gè)部分可以通過(guò)兩種方法之一進(jìn)行評(píng)估，方法一就是常用的隨機(jī)硬件失效概率度量PMHF，方法二是對(duì)可能違背安全目標(biāo)的每個(gè)原因針對(duì)不同功能安全等級(jí)和不同失效率FIT值等級(jí)進(jìn)行診斷覆蓋率的評(píng)估[2,4]。方法二中需要根據(jù)每個(gè)失效進(jìn)行單獨(dú)評(píng)估，沒(méi)有系統(tǒng)整體的評(píng)價(jià)指標(biāo)。

目前關(guān)于第二部分隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評(píng)估中普遍采用的是方法一即PMHF。這樣加上第一部分的兩個(gè)度量SPFM和LFM，功能安全開發(fā)中硬件度量指標(biāo)一般采用這三個(gè)。

功能安全標(biāo)準(zhǔn)對(duì)這三個(gè)度量指標(biāo)目標(biāo)值的選取也定義了兩種，一種是標(biāo)準(zhǔn)中根據(jù)功能安全等級(jí)的推薦值，另一種是從歷史項(xiàng)目中計(jì)算得到，項(xiàng)目要具備相似性且應(yīng)用了普遍信任的設(shè)計(jì)方案。目前實(shí)踐中普遍采用標(biāo)準(zhǔn)推薦的數(shù)值見(jiàn)表1。

表1 硬件指標(biāo)要求

2 硬件指標(biāo)的計(jì)算與評(píng)價(jià)

功能安全的三個(gè)硬件指標(biāo)中，單點(diǎn)故障度量SPFM和潛伏故障度量LFM需要通過(guò)FMEDA(Failure Mode Effect & Diagnostic Analysis)方法分析計(jì)算得到，隨機(jī)硬件失效概率度量PMHF通常通過(guò)定量FTA(Failure Tree Analysis)方法分析計(jì)算得到。本章介紹在FMEDA和FTA分析實(shí)踐中的相關(guān)事項(xiàng)。

2.1 FMEDA分析計(jì)算

FMEDA是失效模式后果及診斷分析，圖1為功能安全標(biāo)準(zhǔn)附錄里FMEDA的示例[2]。圖1中按照列可以分為三部分，A部分是各個(gè)元器件以及根據(jù)標(biāo)準(zhǔn)計(jì)算的FIT數(shù)值和失效模式的百分比，B部分用來(lái)分析各個(gè)故障是否可能直接違背安全目標(biāo)(假設(shè)沒(méi)有任何安全機(jī)制)，同時(shí)根據(jù)診斷覆蓋率確定單點(diǎn)故障(若有)和殘余故障的FIT數(shù)值，C部分用來(lái)分析各個(gè)故障是否和雙點(diǎn)故障相關(guān)，同時(shí)根據(jù)診斷覆蓋率確定潛伏的雙點(diǎn)故障的FIT數(shù)值。最終根據(jù)A、B、C三部分匯總分別得到整體的FIT數(shù)值、單點(diǎn)故障加殘余故障的FIT數(shù)值以及潛伏的雙點(diǎn)故障的FIT數(shù)值，最后根據(jù)公式計(jì)算得到SPFM和LFM的指標(biāo)結(jié)果。

計(jì)算公式為[2,4]：

2.1.1 單點(diǎn)和殘余故障的處理方法

圖1中B部分涉及單點(diǎn)故障和殘余故障與SPFM相關(guān)。首先需考慮各個(gè)故障在沒(méi)有任何安全機(jī)制時(shí)是否可能違背安全目標(biāo)，如果可能違背，則根據(jù)實(shí)施的安全機(jī)制確定診斷覆蓋率。如果需要，可以同時(shí)填寫多個(gè)安全機(jī)制。診斷覆蓋率根據(jù)安全機(jī)制按照高中低的原則進(jìn)行選擇，通常不會(huì)達(dá)到100%。

圖1 FMEDA計(jì)算示例

2.1.2 潛伏的雙點(diǎn)故障的處理方法

圖1中C部分涉及潛伏的多點(diǎn)故障，與LFM相關(guān)，這部分中的診斷覆蓋率有可能達(dá)到100%，即全部覆蓋，沒(méi)有潛伏的多點(diǎn)故障。

對(duì)于已經(jīng)涉及B部分的故障，其中在B部分被安全機(jī)制覆蓋的部分通常會(huì)對(duì)相應(yīng)故障信息進(jìn)行記錄并且提示駕駛員，因此通常全部為可探測(cè)的雙點(diǎn)故障，不含有潛伏的雙點(diǎn)故障，所以此類故障在C部分中的診斷覆蓋率可以達(dá)到100%。此類既涉及B部分又涉及C部分的故障通常為功能實(shí)現(xiàn)相關(guān)模塊的故障。

對(duì)于不涉及B部分只涉及C部分的故障，在C部分確定診斷覆蓋率時(shí)同樣根據(jù)高中低的原則進(jìn)行選擇，通常不會(huì)達(dá)到100%。此類故障一般為安全機(jī)制的故障，比如看門狗和專門用于診斷信號(hào)的相關(guān)硬件電路等。

如前所述，通常所有涉及B部分的故障在FMEDA中都和C部分相關(guān)，同時(shí)在C部分的診斷覆蓋率為100%即潛伏的雙點(diǎn)故障是零。這樣的結(jié)果和在C部分選擇無(wú)關(guān)的結(jié)果是一樣的。因此在實(shí)際操作中，對(duì)于涉及B部分的相關(guān)故障，在C部分的雙點(diǎn)故障中可以選擇無(wú)關(guān)，這樣可以降低一些工作量，同時(shí)便于FMEDA的檢查與維護(hù)。如果選擇這樣操作，需要在FMEDA中進(jìn)行相應(yīng)的說(shuō)明。如果出現(xiàn)B部分被安全機(jī)制覆蓋的部分沒(méi)有全部通知駕駛員的情況，則需要在C部分選擇雙點(diǎn)故障相關(guān)，并且確定相應(yīng)的診斷覆蓋率(此時(shí)為被駕駛員感知到的部分，通常達(dá)不到100%)，目前實(shí)踐中還沒(méi)有遇到這種情況。

2.1.3 FMEDA分析的其他注意事項(xiàng)

FMEDA分析時(shí)應(yīng)該按照模塊對(duì)元器件進(jìn)行分組，便于分析和檢查的連貫性和按照模塊對(duì)結(jié)果進(jìn)行匯總，建議按照硬件設(shè)計(jì)中的模塊對(duì)元器件進(jìn)行分組。

分析某個(gè)故障是否可能違背安全目標(biāo)時(shí)需要先考慮沒(méi)有任何安全機(jī)制的情況，如果有多個(gè)安全機(jī)制，也需要假設(shè)這些安全機(jī)制全部沒(méi)有時(shí)的情況。

和安全無(wú)關(guān)的元器件應(yīng)選取為安全無(wú)關(guān)，去除這部分零件對(duì)FMEDA結(jié)果的影響。

硬件指標(biāo)計(jì)算中的整體原則之一是保守，根據(jù)標(biāo)準(zhǔn)計(jì)算得到的FIT數(shù)值會(huì)偏保守，診斷覆蓋率為高時(shí)覆蓋率為99%也偏保守，在FMEDA分析中也應(yīng)遵循保守的原則。如果分析過(guò)程中對(duì)某個(gè)故障是否可能違背安全目標(biāo)難以確定，可以根據(jù)保守原則選擇有可能違背，分析是否屬于雙點(diǎn)故障時(shí)也類似。為了得到比較理想的硬件指標(biāo)結(jié)果，需要對(duì)元器件的故障進(jìn)行仔細(xì)分析，減少出于保守原則進(jìn)行的選擇。

2.2 FTA分析計(jì)算

PMHF的計(jì)算中既包含單點(diǎn)故障以及殘余故障，也包括雙點(diǎn)故障同時(shí)發(fā)生導(dǎo)致違背安全目標(biāo)的情況，一般采用定量FTA的分析方法進(jìn)行計(jì)算。

FTA通過(guò)各個(gè)基本事件進(jìn)行與門和或門的計(jì)算，可以對(duì)雙點(diǎn)故障同時(shí)發(fā)生的概率進(jìn)行計(jì)算，得到PMHF值。計(jì)算過(guò)程中，除了需要FMEDA計(jì)算所需的失效率FIT數(shù)值和診斷覆蓋率之外，還需要Mission Time的參數(shù)，即系統(tǒng)運(yùn)行的總時(shí)間，該時(shí)間通常來(lái)自系統(tǒng)設(shè)計(jì)規(guī)范，一般在幾千到幾萬(wàn)小時(shí)。該參數(shù)的作用是用來(lái)計(jì)算雙點(diǎn)故障在這段時(shí)間內(nèi)同時(shí)發(fā)生的概率。

2.2.1 FTA中單點(diǎn)和殘余故障的處理

FTA里單點(diǎn)故障通常作為基本事件通過(guò)幾個(gè)或門最終連接到頂層事件，即安全目標(biāo)的違背，這些或門表明這個(gè)基本事件單獨(dú)即可導(dǎo)致頂層事件。

FTA里殘余故障通常由基本事件與相應(yīng)安全機(jī)制通過(guò)與門連接到上層事件，基本事件的參數(shù)為失效率FIT值，安全機(jī)制的參數(shù)為(1-DC)，即沒(méi)有被診斷覆蓋的部分，此參數(shù)為與時(shí)間無(wú)關(guān)的固定值。

2.2.2 FTA中雙點(diǎn)故障的處理

如1.14節(jié)所述，雙點(diǎn)故障通常有如下兩種：故障X與其對(duì)應(yīng)的安全機(jī)制同時(shí)失效，故障X與進(jìn)入安全狀態(tài)的路徑同時(shí)失效，都會(huì)使得系統(tǒng)無(wú)法進(jìn)入安全狀態(tài)。

對(duì)于安全機(jī)制的失效，一般對(duì)于安全機(jī)制的檢測(cè)會(huì)在每個(gè)駕駛循環(huán)進(jìn)行一次，這就意味著在一個(gè)駕駛循環(huán)之內(nèi)，安全機(jī)制的故障可能未被探測(cè)到。直到下一個(gè)駕駛循環(huán)，該故障才會(huì)被探測(cè)到并進(jìn)行相應(yīng)的處理。由于一個(gè)駕駛循環(huán)的時(shí)間相對(duì)于系統(tǒng)運(yùn)行總時(shí)間很小，這部分可能由可探測(cè)的雙點(diǎn)故障導(dǎo)致的失效在進(jìn)行PMHF計(jì)算時(shí)可以忽略。

對(duì)于安全機(jī)制失效中的瞬時(shí)故障，由于瞬時(shí)故障最遲在下一個(gè)駕駛循環(huán)就會(huì)恢復(fù)，因此潛伏的雙點(diǎn)故障中瞬時(shí)故障部分也可以進(jìn)行忽略。

對(duì)于進(jìn)入安全狀態(tài)的路徑失效的故障，如果每次上電時(shí)都對(duì)安全狀態(tài)路徑的功能進(jìn)行檢測(cè)，這部分可能由安全狀態(tài)路徑的故障導(dǎo)致的失效在進(jìn)行PMHF計(jì)算時(shí)也可以忽略或降低。

因此PMHF計(jì)算中雙點(diǎn)一般可以簡(jiǎn)化為被安全機(jī)制覆蓋的功能失效與其對(duì)應(yīng)的安全機(jī)制的潛伏的雙點(diǎn)故障中永久故障部分。安全機(jī)制的實(shí)施通常由MCU或IC實(shí)施，不同安全機(jī)制對(duì)應(yīng)的潛伏的雙點(diǎn)故障FIT數(shù)值通常也不完全相同，通過(guò)對(duì)MCU或IC的詳細(xì)FTA分析可以得到不同安全機(jī)制的潛伏的雙點(diǎn)故障FIT數(shù)值。具體實(shí)踐中通常不對(duì)MCU及IC進(jìn)行詳細(xì)的FTA分析，通常使用MCU及IC的FMEDA分析中得到的潛伏的雙點(diǎn)故障的整體FIT數(shù)值作為安全機(jī)制失效的潛伏的雙點(diǎn)故障。

2.2.3 FTA中殘余故障與雙點(diǎn)故障的結(jié)合

如果沒(méi)有安全機(jī)制時(shí)故障X的發(fā)生會(huì)導(dǎo)致系統(tǒng)違背安全目標(biāo)，那么故障X通常既有殘余故障部分也有雙點(diǎn)故障部分，在FTA處理時(shí)可以將兩部分故障結(jié)合起來(lái)處理。

例如圖2，左邊是各個(gè)器件的故障，右邊既包含1%的殘余故障比例，也包含由99%的可探測(cè)的雙點(diǎn)故障和安全機(jī)制的潛伏故障同時(shí)發(fā)生導(dǎo)致的失效。這樣結(jié)合處理可以降低FTA里的基本事件數(shù)量，減少相應(yīng)的工作量，同時(shí)便于FTA的檢查與維護(hù)。

圖2 FTA示例

2.2.4 FTA分析的其他注意事項(xiàng)

FTA同樣應(yīng)該按照模塊進(jìn)行樹狀結(jié)構(gòu)的建立。

FTA的里基本事件應(yīng)與FMEDA里(除安全故障)的基本事件相同。基本事件的FIT失效率數(shù)值應(yīng)與FMEDA里的數(shù)值相同。

FTA中同一個(gè)基本事件需要放在不同的分支時(shí)，需要將這些事件設(shè)定為重復(fù)事件或重復(fù)分支，否則會(huì)對(duì)計(jì)算結(jié)果有影響。

2.3 硬件指標(biāo)評(píng)價(jià)

2.3.1 硬件指標(biāo)評(píng)價(jià)

硬件指標(biāo)計(jì)算完成后，需要對(duì)硬件指標(biāo)進(jìn)行評(píng)價(jià)，評(píng)價(jià)通常是根據(jù)功能安全標(biāo)準(zhǔn)的要求進(jìn)行，即表1。

FMEDA計(jì)算結(jié)果中有單點(diǎn)故障度量SPFM和殘余故障度量LFM，也有單點(diǎn)故障加殘余故障的FIT數(shù)值。隨機(jī)硬件失效概率度量PMHF計(jì)算的結(jié)果應(yīng)該比FMEDA里單點(diǎn)故障加殘余故障的數(shù)值稍大一些。

2.3.2 硬件指標(biāo)與設(shè)計(jì)的關(guān)系

為了得到合格的硬件指標(biāo)，在系統(tǒng)開發(fā)中需要對(duì)安全機(jī)制進(jìn)行相應(yīng)設(shè)計(jì)。

比如對(duì)于ASIL D等級(jí)的電控系統(tǒng)，首先安全機(jī)制需要覆蓋所有可能違背安全目標(biāo)的器件，同時(shí)盡可能選取診斷覆蓋率為高的安全機(jī)制。這些安全機(jī)制的運(yùn)行周期也要滿足安全需求，通常在運(yùn)行過(guò)程中這些安全機(jī)制需要一直工作。

對(duì)于安全機(jī)制自身的故障，也要盡量進(jìn)行診斷，降低潛伏的雙點(diǎn)故障FIT數(shù)值。對(duì)安全機(jī)制進(jìn)行的診斷通?？梢赃x擇在上電時(shí)進(jìn)行一次，不需要，很多情況下有也沒(méi)辦法做到在運(yùn)行過(guò)程中對(duì)安全機(jī)制進(jìn)行診斷。

3 結(jié)論

本文對(duì)功能安全硬件指標(biāo)計(jì)算相關(guān)的概念進(jìn)行了解釋，并通過(guò)舉例說(shuō)明了相關(guān)故障類型與實(shí)際系統(tǒng)中元器件的關(guān)系。對(duì)硬件指標(biāo)計(jì)算的相關(guān)步驟進(jìn)行了解釋，并對(duì)操作方法給出了一些建議，有助于加深對(duì)硬件指標(biāo)的理解，更好的完成硬件指標(biāo)計(jì)算的工作。最后對(duì)硬件指標(biāo)計(jì)算的和系統(tǒng)設(shè)計(jì)的關(guān)系進(jìn)行了說(shuō)明。