如何利用FMEDA进行硬件架构度量及随机失效PMHF的计算
01
fmeda步骤
fmeda(failure modes effects and diagnostic analysis) 是一种评估系统安全架构和实施的强大方法,多用于硬件定量分析。
和fmea定性分析不同,fmeda在fmea 自下而上的方法论基础上增加了对硬件故障定量化的评估内容,包括模式失效率(failure rate)、故障模式占比(failure mode distribution)和对应的安全机制诊断覆盖率(diagnostic coverage),对fmea进行扩展从而可以完成定量分析,是计算硬件概率化度量指标的有效手段,其具体流程如下图所示:
具体而言,包括以下几个步骤:
步骤1: 计算失效率
首先,需要根据系统硬件架构,罗列所有硬件单元,为了方便分析和计算,可以对硬件单元按照类型进行分组。
然后,根据行业公认的标准(sn29500, iec 62380),历史或测试数据,查询各硬件单元失效模式以及对应的失效率分布。此过程可以采用手动模式,或者采用利用相关软件,输入系统硬件单元,进行自动化查询及计算。
例如,控制器硬件alu算术逻辑单元:
它的失效率λ=0.348 fit,即该电阻在10^9 h内平均存在0.348次失效。
它存在三种失效模式: fm1, fm2, fm3。
三种失效模式对应的失效分布比例:fm1->25%,fm2->25%,fm3->50%。
步骤2: 识别故障模式
对步骤1中列出的硬件单元进行安全分析,根据故障分析流程图,确定其故障模式是否和功能安全相关以及故障的类型:
如果和功能安全无关,则为安全无关的安全故障。
如果和功能安全相关,则需要进一步分析,确定其故障的类型,包括单点故障或双点故障等(和功能安全相关的三点及以上的故障也属于安全故障),以及是否存在相应的安全机制。
具体故障类型定义及区别见08篇,不再赘述。
不是所有硬件单元的故障都会导致安全目标的违背,为了方便有效识地识别和功能安全相关的故障以及故障类型,可以采用fta安全分析方法,对不同安全目标sg进行自上而下的安全分析,识别出违反安全目标的底层事件,根据不同底层事件和安全目标之间的关系,即''与门''和''或门'',就可以基本识别出不同故障类型。
例如,进行最小割集分析,级数为1的最小割集对应的底层事件就是单点故障,级数为2则为双点故障等等,可以由软件直接得到。
当然,也可以将步骤1得到硬件组件的失效率作为fta底层事件失效数据的输入,利用fta分析工具,进行故障的识别和后续硬件失效相关的度量计算。
步骤3: 计算诊断覆盖率
根据识别得到的硬件单元实施的安全机制,确定诊断覆盖率数值,在iso 26262-5:2018附录d中,提供了硬件系统不同组件,包括传感器,连接器,模拟输入输出,控制单元等常见的安全机制以及对应的诊断覆盖率。
一般安全机制诊断覆盖率可以根据相应的公式进行计算,但过程相对比较复杂,所以多采取保守估算方式。
对于给定要素的典型安全机制的有效性,iso 26262-5:2018附录d按照它们对所列举的故障覆盖能力进行了分类,分别为低、中或高诊断覆盖率。这些低、中或高的诊断覆盖率被分别定义为60%、90%或99%的典型覆盖水平。
继续以alu为例:
针对故障模式fm2和fm3,在硬件设计中存在相应的安全机制sm1和sm2,其对应的诊断覆盖率分别为90%和60%。
以此方式,计算所有硬件单元的安全机制的诊断覆盖率。
步骤4: 计算量化指标
根据硬件架构度量指标spfm,lfm以及随机硬件失效评估pmhf计算公式,计算相应的指标。
pmhf=∑λspf + ∑λrf + ∑λdpf_det × λdpf_latent × tlifetime
具体计算公式见08篇,在此不再赘述。
步骤5: 优化设计
根据步骤4计算结果,对硬件设计可靠性进行综合评估,判定是否满足指定的asil等级要求,如果满足则分析结束,否则需要根据计算结果,优化硬件设计,增加新的安全机制或者采用更高诊断覆盖率的安全机制,然后再次进行计算,直至满足安全需求为止。
02
fmeda计算实例
虽然在iso 26262-5:2018附录中已经添加了有关硬件架构度量和随机失效率评估的实例,但由于其过程介绍相对简单,导致很多朋友仍然搞不清楚计算过程,接下来就以其中一个实例为例,介绍如何利用fmeda进行硬件概率化度量指标的计算过程。
下图为某ecu硬件设计图,针对其安全目标: ''当速度超过 10km/h 时关闭阀1的时间不得长于20 ms''。安全目标被分配为 asil c 等级。安全状态为:阀1打开(i61控制阀1)。
针对该安全目标,罗列所有硬件组件,如下表所示,根据fmeda步骤1至4,分别查询硬件组件失效率,失效模式及分布比例,并计算相应的硬件度量指标。
例如, 对于控制芯片uc而言,其失效率为100 fit,存在两种失效模式,其分布比例各占50%,只有第一种失效模式和安全相关,第二种失效模式则无需考虑。
由于安全机制sm4的存在,对该硬件组件第一种故障的诊断覆盖率为90%,该硬件组件
单点或残余故障失效率为:
λspf/rf=100×50%×(1-90%)=5fit
由于安全机制sm4还能够对该故障进行探测,防止其成为潜伏故障,其诊断覆盖率为100%,则该硬件组件的双点潜伏故障失效率为:
λdpf_latent=0fit
除单点故障,残余故障及双(多)点潜伏故障,剩余的则是可探测双点潜伏故障,则硬件组件的双(多)点故障的可探测失效率为:
λdpf_det=100×50%-λspf/rf-λdpf_det=50-5=45fit
依此计算所有硬件组件的相关故障失效率,并进行如下统计:
故障失效率 数值
单点或残余故障总和 ∑λspf+∑λrf=5.48fit
双(多)点故障潜伏失效率总和 ∑λdpf_det=12.8fit
双(多)点故障可探测失效率总和 ∑λdpf_latent=69.822fit
车辆生命周期 tlifetime=10000h
则该ecu硬件整体概率化度量指标计算如下:
spfm=1-(5.48/157)=96.5%
lfm=1-[12.8/(157-5.48)]=91.6%
pmhf=∑λspf+∑λrf+∑λdpf_det×λdpf_latent×tlifetime=5.48(fit)+12.80(fit)x69.822(fit)×10000(h)=5.489fit
根据该安全目标asil c,判断其可知,除spfm没有>=97%外,其他指标均满足相应安全要求,所以该硬件设计基本满足安全目标asil c等级需求。当然,也可以对硬件设计进行进一步优化,提高spfm架构度量值。
IGBT的概念和发展历史 IGBT内部结构及工作原理 IGBT市场规模分析
反馈电阻为什么不能过大
工业物联网网关是什么?具备什么功能?
全自动便携式农药残留速测仪是什么
电力传输系统特性研究
如何利用FMEDA进行硬件架构度量及随机失效PMHF的计算
“中国电光源之父”蔡祖泉先生 一生研制光源 做科学战线上的“无产者”
小米Mix大获成功之余又开发黑科技:正反侧面显示屏!
TD-LTE系统的物理层和MAC层对下行流量的主要影响因素分析
激光雷达的7大分类
中国移动凛冬未至:4G正是救星
开源赋能 普惠未来|XuperCore诚邀您参与2023开放原子全球开源峰会
Open RAN运营商乐天情况惨烈
[资料分享]4412开发板移植Python 教程
小米 | 小米手环4外形渲染图曝光!升级OLED彩屏、支持小爱同学
Ultra96v2 petalinux 2019.2软件平台设计与调试
什么是Digi International
区块链技术在零售行业中的用例
印刷机墨斗辊划伤的修复方法
如何显示STL程序的程序状态呢?
fmeda步骤
fmeda(failure modes effects and diagnostic analysis) 是一种评估系统安全架构和实施的强大方法,多用于硬件定量分析。
和fmea定性分析不同,fmeda在fmea 自下而上的方法论基础上增加了对硬件故障定量化的评估内容,包括模式失效率(failure rate)、故障模式占比(failure mode distribution)和对应的安全机制诊断覆盖率(diagnostic coverage),对fmea进行扩展从而可以完成定量分析,是计算硬件概率化度量指标的有效手段,其具体流程如下图所示:
具体而言,包括以下几个步骤:
步骤1: 计算失效率
首先,需要根据系统硬件架构,罗列所有硬件单元,为了方便分析和计算,可以对硬件单元按照类型进行分组。
然后,根据行业公认的标准(sn29500, iec 62380),历史或测试数据,查询各硬件单元失效模式以及对应的失效率分布。此过程可以采用手动模式,或者采用利用相关软件,输入系统硬件单元,进行自动化查询及计算。
例如,控制器硬件alu算术逻辑单元:
它的失效率λ=0.348 fit,即该电阻在10^9 h内平均存在0.348次失效。
它存在三种失效模式: fm1, fm2, fm3。
三种失效模式对应的失效分布比例:fm1->25%,fm2->25%,fm3->50%。
步骤2: 识别故障模式
对步骤1中列出的硬件单元进行安全分析,根据故障分析流程图,确定其故障模式是否和功能安全相关以及故障的类型:
如果和功能安全无关,则为安全无关的安全故障。
如果和功能安全相关,则需要进一步分析,确定其故障的类型,包括单点故障或双点故障等(和功能安全相关的三点及以上的故障也属于安全故障),以及是否存在相应的安全机制。
具体故障类型定义及区别见08篇,不再赘述。
不是所有硬件单元的故障都会导致安全目标的违背,为了方便有效识地识别和功能安全相关的故障以及故障类型,可以采用fta安全分析方法,对不同安全目标sg进行自上而下的安全分析,识别出违反安全目标的底层事件,根据不同底层事件和安全目标之间的关系,即''与门''和''或门'',就可以基本识别出不同故障类型。
例如,进行最小割集分析,级数为1的最小割集对应的底层事件就是单点故障,级数为2则为双点故障等等,可以由软件直接得到。
当然,也可以将步骤1得到硬件组件的失效率作为fta底层事件失效数据的输入,利用fta分析工具,进行故障的识别和后续硬件失效相关的度量计算。
步骤3: 计算诊断覆盖率
根据识别得到的硬件单元实施的安全机制,确定诊断覆盖率数值,在iso 26262-5:2018附录d中,提供了硬件系统不同组件,包括传感器,连接器,模拟输入输出,控制单元等常见的安全机制以及对应的诊断覆盖率。
一般安全机制诊断覆盖率可以根据相应的公式进行计算,但过程相对比较复杂,所以多采取保守估算方式。
对于给定要素的典型安全机制的有效性,iso 26262-5:2018附录d按照它们对所列举的故障覆盖能力进行了分类,分别为低、中或高诊断覆盖率。这些低、中或高的诊断覆盖率被分别定义为60%、90%或99%的典型覆盖水平。
继续以alu为例:
针对故障模式fm2和fm3,在硬件设计中存在相应的安全机制sm1和sm2,其对应的诊断覆盖率分别为90%和60%。
以此方式,计算所有硬件单元的安全机制的诊断覆盖率。
步骤4: 计算量化指标
根据硬件架构度量指标spfm,lfm以及随机硬件失效评估pmhf计算公式,计算相应的指标。
pmhf=∑λspf + ∑λrf + ∑λdpf_det × λdpf_latent × tlifetime
具体计算公式见08篇,在此不再赘述。
步骤5: 优化设计
根据步骤4计算结果,对硬件设计可靠性进行综合评估,判定是否满足指定的asil等级要求,如果满足则分析结束,否则需要根据计算结果,优化硬件设计,增加新的安全机制或者采用更高诊断覆盖率的安全机制,然后再次进行计算,直至满足安全需求为止。
02
fmeda计算实例
虽然在iso 26262-5:2018附录中已经添加了有关硬件架构度量和随机失效率评估的实例,但由于其过程介绍相对简单,导致很多朋友仍然搞不清楚计算过程,接下来就以其中一个实例为例,介绍如何利用fmeda进行硬件概率化度量指标的计算过程。
下图为某ecu硬件设计图,针对其安全目标: ''当速度超过 10km/h 时关闭阀1的时间不得长于20 ms''。安全目标被分配为 asil c 等级。安全状态为:阀1打开(i61控制阀1)。
针对该安全目标,罗列所有硬件组件,如下表所示,根据fmeda步骤1至4,分别查询硬件组件失效率,失效模式及分布比例,并计算相应的硬件度量指标。
例如, 对于控制芯片uc而言,其失效率为100 fit,存在两种失效模式,其分布比例各占50%,只有第一种失效模式和安全相关,第二种失效模式则无需考虑。
由于安全机制sm4的存在,对该硬件组件第一种故障的诊断覆盖率为90%,该硬件组件
单点或残余故障失效率为:
λspf/rf=100×50%×(1-90%)=5fit
由于安全机制sm4还能够对该故障进行探测,防止其成为潜伏故障,其诊断覆盖率为100%,则该硬件组件的双点潜伏故障失效率为:
λdpf_latent=0fit
除单点故障,残余故障及双(多)点潜伏故障,剩余的则是可探测双点潜伏故障,则硬件组件的双(多)点故障的可探测失效率为:
λdpf_det=100×50%-λspf/rf-λdpf_det=50-5=45fit
依此计算所有硬件组件的相关故障失效率,并进行如下统计:
故障失效率 数值
单点或残余故障总和 ∑λspf+∑λrf=5.48fit
双(多)点故障潜伏失效率总和 ∑λdpf_det=12.8fit
双(多)点故障可探测失效率总和 ∑λdpf_latent=69.822fit
车辆生命周期 tlifetime=10000h
则该ecu硬件整体概率化度量指标计算如下:
spfm=1-(5.48/157)=96.5%
lfm=1-[12.8/(157-5.48)]=91.6%
pmhf=∑λspf+∑λrf+∑λdpf_det×λdpf_latent×tlifetime=5.48(fit)+12.80(fit)x69.822(fit)×10000(h)=5.489fit
根据该安全目标asil c,判断其可知,除spfm没有>=97%外,其他指标均满足相应安全要求,所以该硬件设计基本满足安全目标asil c等级需求。当然,也可以对硬件设计进行进一步优化,提高spfm架构度量值。
IGBT的概念和发展历史 IGBT内部结构及工作原理 IGBT市场规模分析
反馈电阻为什么不能过大
工业物联网网关是什么?具备什么功能?
全自动便携式农药残留速测仪是什么
电力传输系统特性研究
如何利用FMEDA进行硬件架构度量及随机失效PMHF的计算
“中国电光源之父”蔡祖泉先生 一生研制光源 做科学战线上的“无产者”
小米Mix大获成功之余又开发黑科技:正反侧面显示屏!
TD-LTE系统的物理层和MAC层对下行流量的主要影响因素分析
激光雷达的7大分类
中国移动凛冬未至:4G正是救星
开源赋能 普惠未来|XuperCore诚邀您参与2023开放原子全球开源峰会
Open RAN运营商乐天情况惨烈
[资料分享]4412开发板移植Python 教程
小米 | 小米手环4外形渲染图曝光!升级OLED彩屏、支持小爱同学
Ultra96v2 petalinux 2019.2软件平台设计与调试
什么是Digi International
区块链技术在零售行业中的用例
印刷机墨斗辊划伤的修复方法
如何显示STL程序的程序状态呢?