功能安全分析方法之FMEDA(一)
FMEA, FTA和FMEDA作为 IS026262三种重要的分析技术在产品开发过程中也发挥了重要的作用, 相对于前两种常用的分析技术, FMEDA作为定量分析的核心技术引起了从业者越来越多的关注。由于不同的产品应用导致的危害不同,ISO26262引入了安全等级和量化指标。
产品设计过程中, FMEDA可以同时分析以上三个指标,度量产品的硬件设计是否符合相应的安全要求。产品设计的过程中SPFM 和LFM 可以用来验证硬件构架设计应对随机失效的鲁棒性,PMHF用来评估随机硬件失效率导致违反安全目标的风险已经足够小。
FMEDA介绍
FMEDA-失效模式影响与诊断分析 (failure mode effect and diagnostic analysis) 是产品设计定量分析的基础,可以用 来分析整个系统也可以用来分析系统的某个模块单元。
系统失效的过程往往是从单元(器件) 的异常情况(故 障)开始导致测量值与规定值不符(误差),最终使系统或单元失去执行某项功能的能力(失效)。失效率指系统或零件 在单位时间内失效的概率,其单位通常用fit表示,Ifit=10-9 /h。
安全机制与诊断覆盖率
安全机制是指某项功能,它由电子I电气器件,或其他技术手段实现,用于探测故障, 或控制失效,以使产品能进入 或保持千安全状态避免不合理的风险。
诊断覆盖率是指元器件失效率可以被安全机制诊断出来 的百分比, 典型值:60%、 90%和 99%. 安全机制的覆盖率可以根据产品的实际使用场景进一步的分析和优化。 在产品 设计过程中可以参考 ISO 26262 Part 5 Annex D 的安全机制来提高产品设计的可靠性。图 l 为附录 D 中一个诊断覆盖率 的评估示例, Low->DC =60%: medium->90%; High ->99%。
故障分类:
从违反系统输出要求的角度来讲,故障可以分为:单点故障、 残余故障、 两点故障、 潜伏故障和多点故障等。为了减少故障发生率,系统通常增加一些安全机制,或其他技术手段实现,用于探测故障控制失效,以使产 品能进入或保持于安全状态。
安全故障:指某个故障,它不会显著地增加违反安全目标的概率。
单点故障:单点故障指某个硬件单元中的某个故障,它无法被 “安全机制” 探测到, 并且它会直接导致安全目标的 违反。
残余故障:在某个硬件单元中被诊断的故障的残存部分, 即没有被诊断覆盖(诊断覆盖率>0%)到的那部分故障,井且它会立即导致安全目标的违反。
两点故障: 指某个故障,只有当它和另外一个故障共同作用后,才造成了安全目标的违反。
多点故障:大于两个障共同组合后引起的失效,通常可以忽略。如果 “多点故障” 可以被识别,则应归类为 ”可检测的多点故障”;如果 “多点故障”可以被探知,并且能够被驾驶员控制(如:前灯变暗 的缺陷),则应归类为“可感知的多点故障”。
潜伏故障:多点故障中未被探测到的错误,称为潜伏故障,具有违背安全目标的危险。
- 用户评论
