ISO 26262中的安全分析之FMEA

本期內(nèi)容以系統(tǒng)架構(gòu)設(shè)計(jì)為例，講解如何在ISO 26262產(chǎn)品開發(fā)過程中實(shí)施安全分析，半導(dǎo)體層面的芯片設(shè)計(jì)也可以參考本文相關(guān)內(nèi)容執(zhí)行安全分析。

安全分析方法

ISO 26262要求根據(jù)不同ASIL等級(jí)組合地使用“演繹分析”和“歸納分析”，如表1所示：

表1：安全分析方法

根據(jù)表1所列信息，開發(fā)團(tuán)隊(duì)會(huì)常常誤認(rèn)為ASIL B是不需要執(zhí)行“演繹分析”。事實(shí)上，ISO 26262的要求對(duì)于連續(xù)數(shù)字（1，2，3……）所列方法，“ ”、“ ”分別是推薦、強(qiáng)烈推薦實(shí)施的。因此，ASIL B也是推薦實(shí)施“演繹分析”的（若沒有實(shí)施，則需要提供理由）。

演繹分析：人們以一定反映客觀規(guī)律的理論認(rèn)識(shí)為依據(jù)，從服從該事物的已知部分，推理得到事物的未知部分的思維方法。即，從一般規(guī)律到個(gè)例。通常，“演繹分析”方法采用FTA（Fault Tree Analysis，故障樹分析）。

歸納分析：人們以一系列經(jīng)驗(yàn)事物或知識(shí)素材為依據(jù)，尋找出其服從的基本規(guī)律或共同規(guī)律，并假設(shè)同類事物中的其他事物也服從這些規(guī)律。即：從個(gè)例到一般規(guī)律。通常，“歸納分析”方法采用FMEA（Failure Mode and Effects Analysis，失效模式和影響分析）。

FMEA分析步驟

關(guān)于FMEA方法，建議參考AIAG-VDA FMEA手冊(cè)，市面上已經(jīng)有很多成熟的軟件工具支持FMEA分析。值得一提的是，在根據(jù)AIAG-VDA第5版FMEA手冊(cè)中，增加FMEA-MSR（Monitoring and System Response，監(jiān)視和系統(tǒng)響應(yīng)），作為DFMEA的補(bǔ)充。

通常，F(xiàn)MEA按下圖所示的七步法進(jìn)行：

圖1：FMEA七步法

第1步-策劃和準(zhǔn)備：確定負(fù)責(zé)人和團(tuán)隊(duì)、項(xiàng)目名稱、時(shí)間安排和分析工具等信息。

第2步-結(jié)構(gòu)分析：結(jié)構(gòu)化分析對(duì)象，例如設(shè)計(jì)系統(tǒng)架構(gòu)。

第3步-功能分析：產(chǎn)品功能可視化，例如確定系統(tǒng)架構(gòu)要素的功能。第3步是在第2步的基礎(chǔ)上實(shí)施的，因此第2步的“要素”和第3步的“功能”是對(duì)應(yīng)的。

第4步-失效分析：每個(gè)功能的潛在失效影響，失效模式和失效起因。

第5步-風(fēng)險(xiǎn)分析：分析針對(duì)失效起因的現(xiàn)行預(yù)防控制；分析針對(duì)失效起因和（或）失效模式的現(xiàn)行探測控制。

第6步-優(yōu)化：識(shí)別、實(shí)施降低風(fēng)險(xiǎn)的必要措施。

第7步-結(jié)果文件化

將上述第1步～第6步的實(shí)施情況記錄在FMEA模板或分析工具中，形成完整的FMEA報(bào)告。FMEA的總結(jié)與分析，包含以下內(nèi)容：

• a.文件化FMEA過程中的所有分析記錄和采取的措施；

• b.組織內(nèi)部/顧客/供應(yīng)商對(duì)結(jié)果和分析結(jié)論進(jìn)行溝通，組織FMEA評(píng)審驗(yàn)證；

• c.持續(xù)跟進(jìn)預(yù)防措施和探測措施的實(shí)施情況，定期動(dòng)態(tài)更新AP值，確保在設(shè)計(jì)定稿前風(fēng)險(xiǎn)已降到可接受的程度。

2.1、FMEA-MSR決策流程

FMEA-MSR作為DFMEA的補(bǔ)充，更加關(guān)注產(chǎn)品在實(shí)際用戶條件下的失效，因此進(jìn)一步地完善了FMEA在安全相關(guān)機(jī)電系統(tǒng)（所謂機(jī)電系統(tǒng)就是系統(tǒng)中至少包括傳感器、電子控制器和執(zhí)行器或它們的組件）領(lǐng)域的應(yīng)用。在實(shí)際項(xiàng)目開發(fā)過程中，研發(fā)人員容易把DFMEA和FMEA-MSR搞混，導(dǎo)致了許多重復(fù)或遺漏的分析工作。

下圖展示了FMEA-MSR決策流程，提供了一個(gè)DFMEA和FMEA-MSR配合使用的思路。

圖2：FMEA-MSR決策流程

1)在上述流程中，若一個(gè)失效模式的嚴(yán)重度被評(píng)為8、9、10分，則認(rèn)為是違背法律法規(guī)或功能安全要求。

2)若上述1)不成立，繼續(xù)執(zhí)行第5、6步的DFMEA分析。可選擇性地根據(jù)組織現(xiàn)有流程以及改進(jìn)計(jì)劃，增加MSR機(jī)制。

3)若上述1)成立，則此時(shí)需要分析系統(tǒng)是否已經(jīng)存在針對(duì)客戶操作期間發(fā)生該失效模式的MSR機(jī)制。

4)若上述3）不成立，繼續(xù)執(zhí)行第5、6步的DFMEA分析，必須增加MSR機(jī)制。增加MSR機(jī)制后，由于作了設(shè)計(jì)變更，因此更新DFMEA，更新后上述第3)點(diǎn)成立，執(zhí)行第5)點(diǎn)。這里需要注意的是，作為MSR本身而言，通過DFMEA來分析即可。

5)若上述3）成立，則此時(shí)直接針對(duì)該失效模式進(jìn)行FMEA-MSR分析。

總結(jié)上述內(nèi)容，下圖提供一個(gè)形成DFMEA文件和FMEA-MSR文件的思路。事實(shí)上，兩者既可合并在一起，也可以單獨(dú)形成文件，取決于開發(fā)組織自身的流程。

圖3：DFMEA文件和FMEA-MSR文件

2.2、FMEA-MSR分析步驟

FMEA-MSR同樣采用圖1所示的七步法，且僅第5、6步與DFMEA不同，下面只針對(duì)這兩個(gè)步驟的分析展開描述。

第5步-風(fēng)險(xiǎn)分析（FMEA-MSR）：分析失效模式發(fā)生頻率F（也可稱為頻度），指系統(tǒng)在實(shí)際工作時(shí)間內(nèi)產(chǎn)生失效的頻率，該頻率需要統(tǒng)計(jì)數(shù)據(jù)論證其合理性；分析針對(duì)失效起因的現(xiàn)行診斷監(jiān)視；分析針對(duì)診斷到失效模式后的現(xiàn)行系統(tǒng)響應(yīng)；分析MSR起作用后的失效影響嚴(yán)重度。

第6步-優(yōu)化（FMEA-MSR）：識(shí)別、實(shí)施降低風(fēng)險(xiǎn)的必要措施。

FMEA分析示例

如下圖所示，假設(shè)現(xiàn)有一個(gè)用于ADAS系統(tǒng)的ALC（自動(dòng)車道居中）的ECU（電子控制單元）的系統(tǒng)架構(gòu)，其主要功能是從Ext_01接口接收外部傳感器SPI數(shù)據(jù)，作為MCU的路徑規(guī)劃決策輸入。

圖4：ALC的ECU系統(tǒng)架構(gòu)

（注：該架構(gòu)僅方便用于FMEA分析，不考慮其內(nèi)部合理性，不作為真實(shí)架構(gòu)用途）

以下示例假設(shè)其中一個(gè)模塊（Sys_element01）故障，假設(shè)ECU針對(duì)Sys_element01故障沒有任何診斷監(jiān)視措施，按照DFMEA的分析步驟展開。

圖5：帶故障的ECU

1）識(shí)別每個(gè)模塊的功能，例如Sys_element01的主要功能是向MCU傳輸傳感器數(shù)據(jù)；（DFMEA第3步）

2）識(shí)別模塊的失效行為，例如Sys_element01故障導(dǎo)致傳感器數(shù)據(jù)錯(cuò)誤、延遲、丟失等；（DFMEA第4步）

3）確定傳感器數(shù)據(jù)錯(cuò)誤將導(dǎo)致的后果嚴(yán)重程度（得到嚴(yán)重度S評(píng)分），例如：該故障發(fā)生時(shí)導(dǎo)致MCU路徑規(guī)劃錯(cuò)誤，影響行車安全，嚴(yán)重度達(dá)到S=10；（DFMEA第4步）

4）確定是否存在預(yù)防控制措施，例如，該系統(tǒng)架構(gòu)使用可信的設(shè)計(jì)方案、使用魯棒性設(shè)計(jì)、通過設(shè)計(jì)評(píng)審等；（DFMEA第5步）

5）定在上述預(yù)防控制措施之下該模塊的故障頻度（得到頻度O評(píng)分），例如：已使用可信設(shè)計(jì)、魯棒性設(shè)計(jì)、設(shè)計(jì)評(píng)審后，故障頻度可降至O=2；（DFMEA第5步）

6）確定是否存在探測控制措施，例如，功能測試、故障注入測試、DV測試、量產(chǎn)測試等；（DFMEA第5步）

7）確定上述探測控制措施的探測度（得到探測度D評(píng)分）；例如：實(shí)施功能測試、故障注入測試、DV測試、量產(chǎn)測試后，探測度可達(dá)D=3；（DFMEA第5步）

8）根據(jù)S、O、D評(píng)分，綜合得出措施優(yōu)先級(jí)AP值，AP=L；（DFMEA第5步）

9）必要時(shí)，根據(jù)AP值，制定進(jìn)一步的風(fēng)險(xiǎn)降低措施；（DFMEA第6步）

10）文件化將上述分析步驟。（DFMEA第7步）

根據(jù)第3)步驟顯示，該示例中的ECU是一個(gè)安全相關(guān)的機(jī)電系統(tǒng)，且存在失效模式導(dǎo)致違背功能安全，滿足2.1節(jié)FMEA-MSR決策流程第4)的條件，在后續(xù)的設(shè)計(jì)優(yōu)化中必須增加MSR機(jī)制。

本節(jié)基于前面1節(jié)DFMEA的分析示例的ECU示例，在其基礎(chǔ)上增加了MSR機(jī)制，優(yōu)化了該ECU的系統(tǒng)架構(gòu)，如下圖所示。其中綠色模塊（安全相關(guān)）為分配了ASIL等級(jí)的安全需求，灰色模塊（非安全相關(guān)）開發(fā)為QM要素。其中：

• Sys_element04開發(fā)為安全要素；

• 增加Sys_element06用于診斷來自Sys_element01的數(shù)據(jù)的正確性和一致性；

• 增加Sys_element07故障收集和診斷模塊；

• 增加Sys_element08用于診斷MCU內(nèi)部失效。

圖6：優(yōu)化后的ECU系統(tǒng)架構(gòu)

（注：該架構(gòu)僅方便用于FMEA分析，不考慮其內(nèi)部合理性，不作為真實(shí)架構(gòu)用途）

下面同樣假設(shè)其中一個(gè)模塊（Sys_element01）故障，假設(shè)ECU針對(duì)Sys_element01故障已經(jīng)采取診斷監(jiān)視措施，按照FMEA-MSR的分析步驟展開。

圖7：帶故障的ECU及其診斷路徑

1）識(shí)別每個(gè)模塊的功能，例如Sys_element01的主要功能是向MCU傳輸傳感器數(shù)據(jù)；（FMEA-MSR第3步）

2）識(shí)別模塊的失效行為；例如：假設(shè)Sys_element01（SPI通信模塊）故障導(dǎo)致傳感器數(shù)據(jù)錯(cuò)誤；（FMEA-MSR第4步）

3）確定傳感器數(shù)據(jù)錯(cuò)誤將導(dǎo)致的后果嚴(yán)重程度（得到嚴(yán)重度S評(píng)分），例如：該故障發(fā)生時(shí)導(dǎo)致MCU路徑規(guī)劃錯(cuò)誤，影響行車安全，嚴(yán)重度達(dá)到S=10；（FMEA-MSR第4步）

4）確定該模塊的故障頻率（得到頻率F評(píng)分），例如，這里假設(shè)Sys_element01在其使用生命周期內(nèi)故障發(fā)生的概率非常低（實(shí)際項(xiàng)目中應(yīng)結(jié)合可靠性預(yù)測結(jié)果來評(píng)估），頻率F=3；（FMEA-MSR第5步）

5）確定系統(tǒng)中是否有監(jiān)控措施（即監(jiān)視和系統(tǒng)響應(yīng)，或者稱之為安全機(jī)制）及其監(jiān)控能力，例如，該Sys_element01發(fā)生故障時(shí)，不能通過Sys_element06的校驗(yàn)，由Sys_element07向上級(jí)系統(tǒng)發(fā)出錯(cuò)誤警報(bào)（如圖7紅色曲線路徑所示），假設(shè)該安全機(jī)制的診斷覆蓋率為99%，監(jiān)視則可評(píng)定為M=3。在汽車功能安全中，一個(gè)非常重要的概念是FTTI（故障容錯(cuò)時(shí)間間隔），如下圖所示。

圖8：功能安全概念中的時(shí)間約束

FTTI可以用來衡量安全機(jī)制的有效性，它來自車輛層面的安全目標(biāo)，用于表示車輛部件在某個(gè)場景下發(fā)生故障直到產(chǎn)生對(duì)人身產(chǎn)生危害事件的這段時(shí)間間隔。進(jìn)一步地細(xì)分，相關(guān)的時(shí)間概念還有FDTI（故障檢測時(shí)間隔離）、FRTI（故障響應(yīng)時(shí)間時(shí)間）以及FHTI（故障處理時(shí)間間隔）。在設(shè)計(jì)監(jiān)視和系統(tǒng)響應(yīng)機(jī)制時(shí)需要考慮上述時(shí)間約束，確保系統(tǒng)或子系統(tǒng)滿足分配其的時(shí)間要求：FDTI FRTI = FHTI < FTTI。（FMEA-MSR第5步）

6）分析在MSR起有效作用后，即系統(tǒng)響應(yīng)安全機(jī)制后失效的嚴(yán)重度；例如，如上述第5)點(diǎn)的監(jiān)控措施啟動(dòng)后，車輛通知向駕駛員發(fā)出接管方向盤的警示，盡管車道偏離可能已經(jīng)偏離，但在FTTI的時(shí)間內(nèi)駕駛員已經(jīng)及時(shí)接管方向盤并將方向回正（假設(shè)駕駛員有能力處理這種情況），此時(shí)原先定義的嚴(yán)重度可適當(dāng)降低到S=6；（FMEA-MSR第5步）

7）根據(jù)S、F、M評(píng)分，綜合得出措施優(yōu)先級(jí)AP值，AP=L；（FMEA-MSR第5步）

8）必要時(shí)，根據(jù)AP值，制定進(jìn)一步的風(fēng)險(xiǎn)降低措施；（FMEA-MSR第6步）

9）文件化將上述分析步驟。（DFMEA第7步）

這里需要注意的是，如2.1FMEA-MSR決策流程第4）點(diǎn)所述，對(duì)比DFMEA的分析示例：

• Sys_element04由于設(shè)計(jì)變更（由原先的QM要素開發(fā)為安全要素），需要更新其先前的DFMEA結(jié)果；

• 新增Sys_element06~08的三個(gè)模塊，需要新增它們的DFMEA。