本期內(nèi)容以系統(tǒng)架構(gòu)設(shè)計為例,講解如何在ISO 26262產(chǎn)品開發(fā)過程中實施安全分析,半導體層面的芯片設(shè)計也可以參考本文相關(guān)內(nèi)容執(zhí)行安全分析。
安全分析方法
ISO 26262要求根據(jù)不同ASIL等級組合地使用“演繹分析”和“歸納分析”,如表1所示:
表1:安全分析方法
根據(jù)表1所列信息,開發(fā)團隊會常常誤認為ASIL B是不需要執(zhí)行“演繹分析”。事實上,ISO 26262的要求對于連續(xù)數(shù)字(1,2,3……)所列方法,“+”、“++”分別是推薦、強烈推薦實施的。因此,ASIL B也是推薦實施“演繹分析”的(若沒有實施,則需要提供理由)。
演繹分析:人們以一定反映客觀規(guī)律的理論認識為依據(jù),從服從該事物的已知部分,推理得到事物的未知部分的思維方法。即,從一般規(guī)律到個例。通常,“演繹分析”方法采用FTA(Fault Tree Analysis,故障樹分析)。
歸納分析:人們以一系列經(jīng)驗事物或知識素材為依據(jù),尋找出其服從的基本規(guī)律或共同規(guī)律,并假設(shè)同類事物中的其他事物也服從這些規(guī)律。即:從個例到一般規(guī)律。通常,“歸納分析”方法采用FMEA(Failure Mode and Effects Analysis,失效模式和影響分析)。
FMEA分析步驟
關(guān)于FMEA方法,建議參考AIAG-VDA FMEA手冊,市面上已經(jīng)有很多成熟的軟件工具支持FMEA分析。值得一提的是,在根據(jù)AIAG-VDA第5版FMEA手冊中,增加FMEA-MSR(Monitoring and System Response,監(jiān)視和系統(tǒng)響應(yīng)),作為DFMEA的補充。
通常,F(xiàn)MEA按下圖所示的七步法進行:
圖1:FMEA七步法
1、DFMEA分析步驟
第1步-策劃和準備:確定負責人和團隊、項目名稱、時間安排和分析工具等信息。
第2步-結(jié)構(gòu)分析:結(jié)構(gòu)化分析對象,例如設(shè)計系統(tǒng)架構(gòu)。
第3步-功能分析:產(chǎn)品功能可視化,例如確定系統(tǒng)架構(gòu)要素的功能。第3步是在第2步的基礎(chǔ)上實施的,因此第2步的“要素”和第3步的“功能”是對應(yīng)的。
第4步-失效分析:每個功能的潛在失效影響,失效模式和失效起因。
第5步-風險分析:分析針對失效起因的現(xiàn)行預(yù)防控制;分析針對失效起因和(或)失效模式的現(xiàn)行探測控制。
第6步-優(yōu)化:識別、實施降低風險的必要措施。
第7步-結(jié)果文件化
將上述第1步~第6步的實施情況記錄在FMEA模板或分析工具中,形成完整的FMEA報告。FMEA的總結(jié)與分析,包含以下內(nèi)容:
a.文件化FMEA過程中的所有分析記錄和采取的措施;
b.組織內(nèi)部/顧客/供應(yīng)商對結(jié)果和分析結(jié)論進行溝通,組織FMEA評審驗證;
c.持續(xù)跟進預(yù)防措施和探測措施的實施情況,定期動態(tài)更新AP值,確保在設(shè)計定稿前風險已降到可接受的程度。
2、FMEA-MSR2.1、FMEA-MSR決策流程
FMEA-MSR作為DFMEA的補充,更加關(guān)注產(chǎn)品在實際用戶條件下的失效,因此進一步地完善了FMEA在安全相關(guān)機電系統(tǒng)(所謂機電系統(tǒng)就是系統(tǒng)中至少包括傳感器、電子控制器和執(zhí)行器或它們的組件)領(lǐng)域的應(yīng)用。在實際項目開發(fā)過程中,研發(fā)人員容易把DFMEA和FMEA-MSR搞混,導致了許多重復(fù)或遺漏的分析工作。
下圖展示了FMEA-MSR決策流程,提供了一個DFMEA和FMEA-MSR配合使用的思路。
圖2:FMEA-MSR決策流程
1)在上述流程中,若一個失效模式的嚴重度被評為8、9、10分,則認為是違背法律法規(guī)或功能安全要求。
2)若上述1)不成立,繼續(xù)執(zhí)行第5、6步的DFMEA分析。可選擇性地根據(jù)組織現(xiàn)有流程以及改進計劃,增加MSR機制。
3)若上述1)成立,則此時需要分析系統(tǒng)是否已經(jīng)存在針對客戶操作期間發(fā)生該失效模式的MSR機制。
4)若上述3)不成立,繼續(xù)執(zhí)行第5、6步的DFMEA分析,必須增加MSR機制。增加MSR機制后,由于作了設(shè)計變更,因此更新DFMEA,更新后上述第3)點成立,執(zhí)行第5)點。這里需要注意的是,作為MSR本身而言,通過DFMEA來分析即可。
5)若上述3)成立,則此時直接針對該失效模式進行FMEA-MSR分析。
總結(jié)上述內(nèi)容,下圖提供一個形成DFMEA文件和FMEA-MSR文件的思路。事實上,兩者既可合并在一起,也可以單獨形成文件,取決于開發(fā)組織自身的流程。
圖3:DFMEA文件和FMEA-MSR文件
2.2、FMEA-MSR分析步驟
FMEA-MSR同樣采用圖1所示的七步法,且僅第5、6步與DFMEA不同,下面只針對這兩個步驟的分析展開描述。
第5步-風險分析(FMEA-MSR):分析失效模式發(fā)生頻率F(也可稱為頻度),指系統(tǒng)在實際工作時間內(nèi)產(chǎn)生失效的頻率,該頻率需要統(tǒng)計數(shù)據(jù)論證其合理性;分析針對失效起因的現(xiàn)行診斷監(jiān)視;分析針對診斷到失效模式后的現(xiàn)行系統(tǒng)響應(yīng);分析MSR起作用后的失效影響嚴重度。
第6步-優(yōu)化(FMEA-MSR):識別、實施降低風險的必要措施。
FMEA分析示例
如下圖所示,假設(shè)現(xiàn)有一個用于ADAS系統(tǒng)的ALC(自動車道居中)的ECU(電子控制單元)的系統(tǒng)架構(gòu),其主要功能是從Ext_01接口接收外部傳感器SPI數(shù)據(jù),作為MCU的路徑規(guī)劃決策輸入。
圖4:ALC的ECU系統(tǒng)架構(gòu)
(注:該架構(gòu)僅方便用于FMEA分析,不考慮其內(nèi)部合理性,不作為真實架構(gòu)用途)
1、DFMEA的分析示例
以下示例假設(shè)其中一個模塊(Sys_element01)故障,假設(shè)ECU針對Sys_element01故障沒有任何診斷監(jiān)視措施,按照DFMEA的分析步驟展開。
圖5:帶故障的ECU
1)識別每個模塊的功能,例如Sys_element01的主要功能是向MCU傳輸傳感器數(shù)據(jù);(DFMEA第3步)
2)識別模塊的失效行為,例如Sys_element01故障導致傳感器數(shù)據(jù)錯誤、延遲、丟失等;(DFMEA第4步)
3)確定傳感器數(shù)據(jù)錯誤將導致的后果嚴重程度(得到嚴重度S評分),例如:該故障發(fā)生時導致MCU路徑規(guī)劃錯誤,影響行車安全,嚴重度達到S=10;(DFMEA第4步)
4)確定是否存在預(yù)防控制措施,例如,該系統(tǒng)架構(gòu)使用可信的設(shè)計方案、使用魯棒性設(shè)計、通過設(shè)計評審等;(DFMEA第5步)
5)定在上述預(yù)防控制措施之下該模塊的故障頻度(得到頻度O評分),例如:已使用可信設(shè)計、魯棒性設(shè)計、設(shè)計評審后,故障頻度可降至O=2;(DFMEA第5步)
6)確定是否存在探測控制措施,例如,功能測試、故障注入測試、DV測試、量產(chǎn)測試等;(DFMEA第5步)
7)確定上述探測控制措施的探測度(得到探測度D評分);例如:實施功能測試、故障注入測試、DV測試、量產(chǎn)測試后,探測度可達D=3;(DFMEA第5步)
8)根據(jù)S、O、D評分,綜合得出措施優(yōu)先級AP值,AP=L;(DFMEA第5步)
9)必要時,根據(jù)AP值,制定進一步的風險降低措施;(DFMEA第6步)
10)文件化將上述分析步驟。(DFMEA第7步)
根據(jù)第3)步驟顯示,該示例中的ECU是一個安全相關(guān)的機電系統(tǒng),且存在失效模式導致違背功能安全,滿足2.1節(jié)FMEA-MSR決策流程第4)的條件,在后續(xù)的設(shè)計優(yōu)化中必須增加MSR機制。
2、FMEA-MSR的分析示例
本節(jié)基于前面1節(jié)DFMEA的分析示例的ECU示例,在其基礎(chǔ)上增加了MSR機制,優(yōu)化了該ECU的系統(tǒng)架構(gòu),如下圖所示。其中綠色模塊(安全相關(guān))為分配了ASIL等級的安全需求,灰色模塊(非安全相關(guān))開發(fā)為QM要素。其中:
· Sys_element04開發(fā)為安全要素;
· 增加Sys_element06用于診斷來自Sys_element01的數(shù)據(jù)的正確性和一致性;
· 增加Sys_element07故障收集和診斷模塊;
· 增加Sys_element08用于診斷MCU內(nèi)部失效。
圖6:優(yōu)化后的ECU系統(tǒng)架構(gòu)(注:該架構(gòu)僅方便用于FMEA分析,不考慮其內(nèi)部合理性,不作為真實架構(gòu)用途)
下面同樣假設(shè)其中一個模塊(Sys_element01)故障,假設(shè)ECU針對Sys_element01故障已經(jīng)采取診斷監(jiān)視措施,按照FMEA-MSR的分析步驟展開。
圖7:帶故障的ECU及其診斷路徑
1)識別每個模塊的功能,例如Sys_element01的主要功能是向MCU傳輸傳感器數(shù)據(jù);(FMEA-MSR第3步)
2)識別模塊的失效行為;例如:假設(shè)Sys_element01(SPI通信模塊)故障導致傳感器數(shù)據(jù)錯誤;(FMEA-MSR第4步)
3)確定傳感器數(shù)據(jù)錯誤將導致的后果嚴重程度(得到嚴重度S評分),例如:該故障發(fā)生時導致MCU路徑規(guī)劃錯誤,影響行車安全,嚴重度達到S=10;(FMEA-MSR第4步)
4)確定該模塊的故障頻率(得到頻率F評分),例如,這里假設(shè)Sys_element01在其使用生命周期內(nèi)故障發(fā)生的概率非常低(實際項目中應(yīng)結(jié)合可靠性預(yù)測結(jié)果來評估),頻率F=3;(FMEA-MSR第5步)
5)確定系統(tǒng)中是否有監(jiān)控措施(即監(jiān)視和系統(tǒng)響應(yīng),或者稱之為安全機制)及其監(jiān)控能力,例如,該Sys_element01發(fā)生故障時,不能通過Sys_element06的校驗,由Sys_element07向上級系統(tǒng)發(fā)出錯誤警報(如圖7紅色曲線路徑所示),假設(shè)該安全機制的診斷覆蓋率為99%,監(jiān)視則可評定為M=3。在汽車功能安全中,一個非常重要的概念是FTTI(故障容錯時間間隔),如下圖所示。
圖8:功能安全概念中的時間約束
FTTI可以用來衡量安全機制的有效性,它來自車輛層面的安全目標,用于表示車輛部件在某個場景下發(fā)生故障直到產(chǎn)生對人身產(chǎn)生危害事件的這段時間間隔。進一步地細分,相關(guān)的時間概念還有FDTI(故障檢測時間隔離)、FRTI(故障響應(yīng)時間時間)以及FHTI(故障處理時間間隔)。在設(shè)計監(jiān)視和系統(tǒng)響應(yīng)機制時需要考慮上述時間約束,確保系統(tǒng)或子系統(tǒng)滿足分配其的時間要求:FDTI + FRTI = FHTI < FTTI。(FMEA-MSR第5步)
6)分析在MSR起有效作用后,即系統(tǒng)響應(yīng)安全機制后失效的嚴重度;例如,如上述第5)點的監(jiān)控措施啟動后,車輛通知向駕駛員發(fā)出接管方向盤的警示,盡管車道偏離可能已經(jīng)偏離,但在FTTI的時間內(nèi)駕駛員已經(jīng)及時接管方向盤并將方向回正(假設(shè)駕駛員有能力處理這種情況),此時原先定義的嚴重度可適當降低到S=6;(FMEA-MSR第5步)
7)根據(jù)S、F、M評分,綜合得出措施優(yōu)先級AP值,AP=L;(FMEA-MSR第5步)
8)必要時,根據(jù)AP值,制定進一步的風險降低措施;(FMEA-MSR第6步)
9)文件化將上述分析步驟。(DFMEA第7步)
這里需要注意的是,如2.1FMEA-MSR決策流程第4)點所述,對比DFMEA的分析示例:
· Sys_element04由于設(shè)計變更(由原先的QM要素開發(fā)為安全要素),需要更新其先前的DFMEA結(jié)果;
· 新增Sys_element06~08的三個模塊,需要新增它們的DFMEA。
廣電計量功能安全服務(wù)能力
廣電計量在汽車、鐵路系統(tǒng)產(chǎn)品檢測方面擁有豐富的技術(shù)經(jīng)驗和成功案例,能為主機廠、零部件供應(yīng)商、芯片設(shè)計企業(yè)提供整機、零部件、半導體、原材料等全面的檢測、認證服務(wù),保障產(chǎn)品的可靠性、可用性、可維護性和安全性。
廣電計量擁有技術(shù)領(lǐng)先的功能安全團隊,專注于功能安全(包括工業(yè)、軌道、汽車、集成電路等領(lǐng)域)、信息安全和預(yù)期功能安全領(lǐng)域的專家,具有豐富的集成電路、零部件和整機功能安全實施經(jīng)驗,可根據(jù)相應(yīng)行業(yè)的安全標準為不同行業(yè)的客戶提供培訓、檢測、審核和認證一站式服務(wù)。
廣電計量半導體服務(wù)優(yōu)勢
- 工業(yè)和信息化部“面向集成電路、芯片產(chǎn)業(yè)的公共服務(wù)平臺”。
工業(yè)和信息化部“面向制造業(yè)的傳感器等關(guān)鍵元器件創(chuàng)新成果產(chǎn)業(yè)化公共服務(wù)平臺。
國家發(fā)展和改革委員會“導航產(chǎn)品板級組件質(zhì)量檢測公共服務(wù)平臺”。
廣東省工業(yè)和信息化廳“汽車芯片檢測公共服務(wù)平臺”。
江蘇省發(fā)展和改革委員會“第三代半導體器件性能測試與材料分析工程研究中心。
上海市科學技術(shù)委員會“大規(guī)模集成電路分析測試平臺”。
在集成電路及SiC領(lǐng)域是技術(shù)能力最全面、知名度最高的第三方檢測機構(gòu)之一,已完成MCU、AI芯片、安全芯片等上百個型號的芯片驗證,并支持完成多款型號芯片的工程化和量產(chǎn)。
在車規(guī)領(lǐng)域擁有AEC-Q及AQG324全套服務(wù)能力,獲得了近50家車廠的認可,出具近400份AEC-Q及AQG324報告,助力100多款車規(guī)元器件量產(chǎn)。
-
半導體
+關(guān)注
關(guān)注
334文章
26629瀏覽量
212547 -
ISO
+關(guān)注
關(guān)注
0文章
251瀏覽量
39509 -
FMEA
+關(guān)注
關(guān)注
1文章
92瀏覽量
13572 -
失效分析
+關(guān)注
關(guān)注
18文章
205瀏覽量
66354 -
ISO26262
+關(guān)注
關(guān)注
3文章
28瀏覽量
14342
發(fā)布評論請先 登錄
相關(guān)推薦
評論