功能安全相关概念介绍

1、前言

        ISO 26262中对“Functional Safety, 功能安全”的定义如下： Absence of unreasonable risk due to hazards caused by malfunctioning behavior of E/E systems. （不存在由电子电气系统的功能异常表现引起的危害而导致不合理的风险）       

        而从本质上来讲，电子电器系统的功能异常表现由两类失效引起：

• 随机硬件失效(random hardware failure)：在硬件要素的生命周期中，非预期发生并服从概率分布的失效。

• 系统性失效（systematic failure）：以确定的方式与某个原因相关的失效，只有对设计或生产流程、操作规程、文档或其他相关因素进行变更后才可能排除这种失效。

        从这个角度，可以认为功能安全的目标就是将电子电器系统的随机硬件失效和系统性失效控制在合理的（或者说可接受的）范围内。适当且充分的安全分析可以帮助功能安全开发更好地实现这一目标。安全分析方法包含两类：

• 归纳分析 （Inductive analysis）

• 演绎分析 （Deductive analysis）

        ISO 26262标准中对这两类分析方法分别推荐了FMEA (Failure Mode and Effects Analysis)和FTA (Fault Tree Analysis)。

        另一方面，ISO 26262中对功能安全开发的要求既有定性分析的要求，也有定量分析的要求。当试图将这些要求与分析方法对应时存在着一些误解，认为FMEA只能用于定性分析，而FTA则只用于定量分析，其实不然。

        作为两种被很多行业广泛使用的分析方法，FMEA和FTA均既能用于定量分析也能用于定性分析，只是不同行业会基于不同的目标加以筛选使用。而实际上在功能安全开发过程中，FMEA和FTA的定量分析和定性分析均所有体现且发挥着不同的作用。

        FTA用于分析故障原因及影响，DFA评估组件间的独立性，而FMEDA则关注硬件功能块的故障模式及安全机制。内容包括各个分析方法的定义、实施步骤、所需输入和最终交付物。

2、FMEA(Failure Modes and Effects Analysis 故障模式及后果分析)

2.1 什么是FMEA

        FMEA主要针对技术风险，是对产品开发和生产流程中进行预防性质量管理的一种分析方法。FMEA分析方法最大的特点是从系统各元器件的失效原因到它们的失效对系统的影响，从而对可能造成不可接受的影响的失效原因制定优化措施，是一种“自下而上（bottom—up）”的分析方法。

        FMEA在构建系统架构的基础上识别出系统的底层各个功能的失效模式，并自下而上识别出这些底层的失效模式对整车层造成的失效影响，进而评估系统使用过程中所有可能的风险，并制定和实施适当的措施以优化产品开发和生产环节的质量控制以降低故障成本。

2.2 怎么分析

        因为FMEA用来进行单点故障分析，因此在考虑某个底层故障时既不考虑其他故障对自身的影响，也不考虑对其他故障的影响；而FTA进行定量计算的前提是假设所有的底事件之间是相互独立的不受彼此影响。但是对于一个真实的系统而言，可能出现两种情况：

•         底事件A发生故障同时导致底事件B和底事件C发生故障
•         底事件A发生故障导致底事件B也发生故障

        这两种情况也存在安全风险，如果在安全分析如FMEA和FTA中不对这两种情况进行考量的话，安全分析的结果是不完整的。ISO 26262将对以上两种情况的分析称为“相关失效分析（DFA， Dependent Failure Analysis）”。相对于FMEA和FTA而言，读者对DFA比较陌生

2.3 FMEA与定性分析——"七步法"

        FMEA定性分析归纳为七步，其中第1步和第7步是新版本加上去的，分别对计划和最后的文档工作进行指导，而中间五步则是FMEA的核心。

1、Structural Analysis(结构分析)

        这里的结构指的是系统的结构。系统由若干个要素（element）组成，这些要素都具备相应的特征同时通过一定的关系与其他要素相互联系。同时系统具有将系统与外界环境分开的明确的边界，并且其与环境的关系由输入和输出定义。

        结构分析的目的就是清晰、完整地描述产品的组成部分，包括系统的边界。在FMEA中用树状图的形式描述了整个系统中的要素。

2、Function Analysis(功能分析)

        功能分析的目的是保证产品功能被适当地分配给了相应的要素，从而将产品功能和要素功能关联起来形成功能网络。而这个工作将在已经确定的系统结构树的基础上完成。

3、Failure Analysis（失效分析）

        对失效的定义来源于功能定义，当功能不能被实现时即为失效。一条完整的失效网包含以下三个因素，三者的关系如下。失效分析的目的是正确地识别出失效原因（failure cause）、失效模式（failure mode）和失效影响（failure effect）, 从而基于功能网确定失效网。

• 失效原因（failure cause）

• 失效模式（failure mode）

• 失效影响（failure effect）

        failure cause则为使failure mode发生的原因；failure mode是使要素无法满足预期功能的方式；failure effect被定义为failure mode所引起的后果。

4、Risk Analysis （风险分析）

        风险分析的目的是通过评估风险的严重度（Severity）、频度（Occurrence）和探测度（Detection）来确定需要采取优化措施的优先级。

• Severity值指的是最顶层（整车层）的failure effect所造成的严重程度。简单来说，10表示最严重，0表示最不严重。

• Occurrence值反映的是在为避免failure cause发生所采取的预防措施的作用下failure cause发生的可能性。简单来说，10表示发生的可能性最大，0表示可能性最小。

• Detection值则反映了在产品量产释放之前采取的探测failure cause的措施的有效性。简单来说，10表示探测的有效性最差，0表示有效性最好。

5、Optimization（优化）

        在确定失效网的S\O\D值后，将进行风险分析，确定需要采取优化措施的优先级。对于风险评估的标准每个公司都可能有自己的标准，有些公司用RPN值，RPN=O*D*S，根据RPN的结果大小来确定优先级。有些公司采用S*O值的结果来进行确定。不管采取哪一种评价标准，核心的目的是识别出系统中最需要优化的点。

        优化的目的是对需要采取进一步措施的failure cause定义新的预防措施和探测措施，以降低O/D值从而将风险降低到可接受的范围。

3、FMEDA(Failure Modes,Effects and Diagnostic Analysis 故障模式、影响和诊断分析)

        在功能安全开发中，FMEDA(Failure Modes, Effects and Diagnostic Coverage Analysis)作为对电子元器件的随机硬件失效分析方法而被广泛熟知，而实际上FMEDA是在FMEA的“自下而上（bottom-up）”的分析思路的基础上，加入以下两部分内容发展而来的：

• 底层故障的各个故障模式失效率(failure rate)和故障模式占比(failure mode distribution)

• 故障模式的诊断及诊断覆盖率(Diagnostic Coverage)

        从这个角度，可以认为FMEDA就是FMEA分析方法进行定量分析的典型应用。

        FMEDA的第一步是识别出电子元器件的每一个故障模式对系统造成的影响。完成这一目标需使用上节提到的FMEA定性分析步骤中的“结构分析”、“功能分析”与 “失效分析”，从而构建出功能网和失效网。当失效网确定后，有安全影响的电子元器件及其失效模式也随之确定。

        FMEDA的第二步是对每一个与安全相关的失效模式确定以下三个值，从而为定量分析提供数据支持）。

4、FTA(Fault Tree Analysis 故障树分析)

4.1 什么是FTA 

        FTA是故障树分析的简称。是一种用于分析的图形表示技术，经常被用来识别引发故障的原因，以及描述故障所产生的影响。FTA应用于高风险的应用中，分别从定性和定量角度来证明系统的容错能力。

        FTA从整车层Safety Goal出发，基于系统架构搭建故障树从而自上而下识别出所有可能违背Safety Goal的底层事件；在确定电子元器件相关的底事件的失效率基础上，通过布尔运算定量分析系统是否符合功能安全对随即硬件失效的要求。

4.2 如何进行FTA 

        通过确定单个或组合的较低级别故障或事件如何引起顶级事件（顶级UE）。 这就是“定性”故障树分析。
        此外，“定量”故障树分析包括定义事件（危险或主要不良事件）发生的数字概率。

4.3 FTA的作用

        FTA的作用可以概括为：

        1）.识别出可能引起顶层事件非预期发生的原始事件和原始事件组合

        2）.筛选出最有可能导致顶层事件非预期发生的原始事件或组合

        3）.通过布尔代数理论计算导致顶层事件非预期发生的可能性

        4）.确定改进设计的思路和方向

4.4 FTA与定性分析——割集（cut set）

        FTA的定性分析的主要作用是通过构建故障树识别顶事件与底事件之间的关系，同时识别出可能引起顶层事件非预期发生的原始事件和原始事件组合。

        由于FMEA是从系统的底层原因触发，因此在分析某个底层事件的某个失效模式时会假定其他底层事件都是正常状态，而不考虑与其他底层事件同时发生故障对系统顶层造成的影响，所以FMEA仅用于分析单点故障。而FTA的优势则可以分析多点故障。

        割集结果验证了前面提到的FTA定性分析相比FMEA既可以识别单点故障又可以识别多点故障的优势。基于分析结果可以筛选出对安全目标有影响的故障以及故障的类型（单点故障或者多点故障），从而优化设计。

4.5 FTA与定量分析——SPFM, LFM, PMHF

        在功能安全开发中，FTA定量分析被广泛运用于计算电子电器系统的随即硬件失效率是否满足以下两个方面的要求：

        1).硬件架构度量的评估(Evaluation of the hardware architectural metrics)

        2).随机硬件失效导致违背安全目标的评估(Evaluation of safety goal violations due to random hardware failures)

        要求1：硬件架构度量的评估

        硬件架构度量用来评估相关项的架构应对随机硬件失效时的有效性。这些度量所针对的随机硬件失效仅限于相关项中某些安全相关电子和电气硬件元器件，即那些能对安全目标的违背或实现有显著影响的元器件，并限于这些元器件的单点故障、残余故障和潜伏故障。

        硬件架构度量的评估旨在实现以下目标：

• 显示用于防止硬件架构中单点或残余故障风险的安全机制的覆盖率是否足够(单点故障度量,single-point fault metric, SPFM)；

• 显示用于防止硬件架构中潜伏故障风险的安全机制的覆盖率是否足够(潜伏故障度量, Latent fault metric, LFM)

        要求2：随机硬件失效导致违背安全目标的评估

        对随机硬件失效导致违背安全目标的评估是用来确定违背安全目标的残余风险已经足够低。最常用的方法为“随机硬件失效概率度量”( Probabilistic Metric for random Hardware Failures，PMHF)。PMHF表示在汽车运行周期中每小时平均失效概率。

4.4 需要的输入

        PHA

4.5 FTA的交付物

        具有定性和定量分析的故障树分析报告

5、FTA与FMEDA合作

        FTA定量分析的目标为计算并分析电子电器系统的随机硬件失效是否满足ISO 26262对SPFM, LFM以及PMHF的要求。这一过程需要FTA和FMEDA合作完成。

        从微观角度讲，对于一个电子电器系统的的ECU电路图，我们可以确定电路图中所有电子元器件的失效模式与对应的失效率以及对失效的诊断覆盖率。但是，从宏观角度讲有两点需要明确：

• 不是所有的电子元器件都能引起引起整车安全问题

• 对于某一个安全相关的电子元器件，不是所有的失效模式都能引起整车安全问题

        因此需要对所有电子元器件的失效模式进行分析和筛选。FTA定性分析过程中搭建的故障树中的底事件中已经识别出了能造成整车安全影响的硬件失效，将这些底事件转换成系统对硬件的需求输入给FMEDA，以构建出顶层失效与底层电子元器件故障的失效网络；失效网络确认后，通过FMEDA分析确定和安全相关的电子元器件的失效率、故障模式占比以及安全机制的诊断覆盖率，并将相关数据作为FTA的输入。

        在此需要指出，除了在ECU层设计安全机制外，在软件层也可以设计满足一定诊断覆盖率的安全机制（即软件监控），而这一部分在FMEDA中是没有的，它存在于FTA故障树中。因此，FTA在计算SPFM, LFM以及PMHF时，输入并不完全是来自FMEDA，而应该是FMEDA加上软件层的安全机制覆盖率。

        通过上述说明可以归纳以下几点：

        1、FMEA和FTA作为两种不同的分析方法被引入功能安全开发中，两者均能进行定性分析，也能进行定量分析；

        2、FMEA进行定性分析的主要目标是从系统各元器件的失效原因到它们的失效对系统的影响，从而对造成不可接受的影响的失效原因制定优化措施；

        3、FMEDA作为对电子元器件的随机硬件失效分析方法，实际上是在FMEA的方法论基础上发展而来，因此可以认为FMEA的定量分析体现在FMEDA的应用中；

        4、FTA进行定性分析的主要作用是通过构建故障树识别顶事件与底事件之间的关系，同时识别出可能引起顶层事件非预期发生的原始事件和原始事件组合；

        5、确定电子电器系统的随即硬件失效是否满足ISO 26262的定量要求，通常需要借助FTA和FMEDA共同完成，FTA的底事件为FMEDA提供设计需求，FMEDA为FTA提供随机硬件失效相关的数据。

6、DFA(Dependent Failure Analysis，相关故障分析)

6.1 什么是DFA

        相关故障分析DFA是一种定性分析的手段，可以用于定性分析组件之间有足够的独立性，组件之间不存在相互干扰。

        ISO26262将相关失效归纳为两类：

        共因失效(Common Cause Failure，CCF)：一个相关项中，由一个单一特定事件或根本原因引起的两个或多个要素的失效；

        级联失效(Cascading Failure，CF)：同一个相关项中，一个要素的失效引起另一个或多个要素的失效。

6.2 相关失效的目的

        ISO26262将相关失效分析的目的归纳为两点：

        （1）通过识别潜在的引起相关失效的原因及相关失效的发起点（DFI，Dependent Failure Initiators），确认在设计中充分实现了功能安全所需的独立性或不受干扰的能力(to confirm that a required independence or freedom from interf erence is sufficiently achieved in the design by analysing their potential causes or initiators)

        (2)必要时定义安全措施以减轻可能引起的相关性故障(to define safety measures to mitigate plausible dependent failures, if necessary.)

        对于第一点中提到的独立性（independence），读者比较熟知的是ASIL分解，ISO 26262中要求ASIL分解的前提是：ASIL分解需要安全要求具有冗余性，且分配给充分独立的架构要素。

        而对于第一点中提到的不受干扰的能力（freedom from interference），指的是两个或两个以上的要素之间不存在可能导致违背安全要求的级联失效。举个例子，如果功能安全概念往下分配时对软件模块A是ASILD的要求，而对其他软件模块是QM的要求，那么对于其他模块存在的比如篡改模块A存储地址的风险，被称为对模块A的干扰，需要有相应的安全机制来避免这些干扰。

        结合上一节的内容，相关失效分析的目的可以简单概括为：证明系统既不存在级联失效，也不存在共因失效。进一步地，ISO26262指出，当级联失效和共因失效都不存在时，可以认为实现了独立性；当不存在级联失效时，则证明相关性有避免干扰的能力。