ISO26262 标准下 FMEDA如何改进硬件安全失效模式

近日，盖世汽车新一期沙龙活动在安亭﹒上海零部件出口基地成功举办，来自上汽、江淮汽车、蔚来汽车、大陆汽车、TRW等知名企业的30余名专家学者们齐聚现场，共同探讨“FMEDA在ISO26262汽车功能安全硬件开发中的应用”，德国莱茵TUV硬件安全专家吴伊律作为主讲嘉宾不仅带来了精彩分享，在互动环节也针对在场听众的问题进行了专业解答。

与ISO 26262的关系

在演讲中，吴伊律从汽车功能安全的话题引入，对ISO 26262标准进行了简单介绍。作为旨在提高汽车电子、电气产品功能安全的国际标准，ISO 26262根据安全风险程度对系统或系统某组成部分确定划分由A到D的安全需求等级（Automotive Safety Integrity Level 汽车安全完整性等级ASIL），其中D级为最高等级，需要最苛刻的安全需求。

伴随着ASIL等级的增加，针对系统硬件和软件开发流程的要求也随之增强。吴伊律表示：“ISO26262在硬件开发阶段，对硬件的随机失效会提出多项量化指标的要求。而FMEDA（Failure Modes Effects and Diagnositcs Analysis），也即失效模式、影响和诊断分析技术可以计算其中的量化指标。”

ISO 26262把失效分为系统失效和随机失效两大类。其中，系统失效包软硬件在需求，设计等方面的错误，“如果存在错误，只要条件具备，就一定会发生，它是非常明确的”。而随机失效则与其相反，你无法预期它会怎样发生，以及在哪一台机器发生，尽管硬件的设计是完好的，元器件也都是符合质量标准的。“FMEDA的对象不是针对系统失效，但由于随机失效是符合概率分布的，所以我们可以通过FMEDA，分析一个电路的随机失效发生的概率是不是控制在我们可以接受的范围之内。”吴伊律补充道。

据吴伊律介绍，FMEDA是一种“自下向上”的分析方法，由系统内所有部件的一个详细列表开始，一次一个部件的分析。“对于ISO 26262来说，FMEDA是对FMEA方法的一种扩展，它加入了对诊断机制的考虑，这样我们就能在加入诊断机制以后判断，这个机制加的地方对不对，是不够还是过了。另外，为了符合这个标准，FMEDA还加入了对ISO 26262一些特点的考虑，比如双点失效。”

操作流程

前面说到，FMEDA加入了对诊断机制的考虑，那么，诊断机制被加在何种位置？又是如何发挥作用的？这就涉及到FMEDA的操作流程。吴伊律在演讲中将其流程具体化，向听众深入介绍了FMEDA的五大步骤。而在进入具体步骤之前，吴伊律强调，我们需要首先输入安全目标、要达到的安全状态、报警概念以及电路图和物料清单。

第一步需要我们计算元器件的失效率。所谓失效率，就是单位时间内失效的概率，它是一个概率的密度，而非概率。“ISO 26262中的失效率是基于以下假设的：首先，接受分析的汽车电子产品是不可修复的；其次，通常意义上的失效率是随时间变化的，前中后期失效率会产生变化，而ISO 26262是采用中间阶段比较稳定的值，因此我们在ISO 26262中查到的是恒定值，而不是一个时间函数。”

第二步是分析元器件失效模式和分布。与失效率的计算不同，失效模式和分布的获取是没有标准可以用来计算的，但是在一些标准的附录部分会有一些简单器件的失效模式和分布，来为我们提供参考。

第三步便涉及到诊断措施，在此阶段我们需要确定安全机制、诊断措施的诊断覆盖率，这里分为针对单点和双点的两种覆盖率，它们是可以量化的。ISO 26262在附录中提供三种覆盖率，分别为99%、90%、60%。

第四步则需要我们通过分析找出错误机制并进行分类。这里的错误分为很多种，比如安全失效、单点失效、双点失效等，而ISO 26262对FMEDA的要求是找出单点失效、残余失效以及潜藏失效三种错误。其中，残余失效是指由于诊断覆盖率问题所导致的未被检测出一些残余错误。

最后是根据单点量、残余量、潜藏量计算出相应指标。将由以上步骤得来的几个关键数值带入到既定公式中，计算出SPFM（Single-PointFault Metric）以及LFM（Latent-Fault Metric）的值，继而将这些值与所对应的ISO 26262中的各等级的目标值进行对比，便可得出其满足B-D哪一等级的安全需求。

总而言之，通过以上环环相扣的五大步骤，FMEDA可以帮助用户评估某电路对于一个特定的安全目标是否达到了安全的要求，或者还有那些薄弱点，以此来帮助用户改进硬件电路的设计。也正如吴伊律所言，FMEDA就是分析评估随机失效带来的风险是否已被控制到可接受的程度内。

（文章来源：盖世汽车）