技術(shù)分享 | ISO 26262中的安全分析之FMEA

本期內(nèi)容以系統(tǒng)架構(gòu)設(shè)計為例，講解如何在ISO 26262產(chǎn)品開發(fā)過程中實施安全分析，半導體層面的芯片設(shè)計也可以參考本文相關(guān)內(nèi)容執(zhí)行安全分析。

安全分析方法

ISO 26262要求根據(jù)不同ASIL等級組合地使用“演繹分析”和“歸納分析”，如表1所示：

表1：安全分析方法

根據(jù)表1所列信息，開發(fā)團隊會常常誤認為ASIL B是不需要執(zhí)行“演繹分析”。事實上，ISO 26262的要求對于連續(xù)數(shù)字（1，2，3……）所列方法，“+”、“++”分別是推薦、強烈推薦實施的。因此，ASIL B也是推薦實施“演繹分析”的（若沒有實施，則需要提供理由）。

演繹分析：人們以一定反映客觀規(guī)律的理論認識為依據(jù)，從服從該事物的已知部分，推理得到事物的未知部分的思維方法。即，從一般規(guī)律到個例。通常，“演繹分析”方法采用FTA（Fault Tree Analysis，故障樹分析）。

歸納分析：人們以一系列經(jīng)驗事物或知識素材為依據(jù)，尋找出其服從的基本規(guī)律或共同規(guī)律，并假設(shè)同類事物中的其他事物也服從這些規(guī)律。即：從個例到一般規(guī)律。通常，“歸納分析”方法采用FMEA（Failure Mode and Effects Analysis，失效模式和影響分析）。

FMEA分析步驟

關(guān)于FMEA方法，建議參考AIAG-VDA FMEA手冊，市面上已經(jīng)有很多成熟的軟件工具支持FMEA分析。值得一提的是，在根據(jù)AIAG-VDA第5版FMEA手冊中，增加FMEA-MSR（Monitoring and System Response，監(jiān)視和系統(tǒng)響應(yīng)），作為DFMEA的補充。

通常，F(xiàn)MEA按下圖所示的七步法進行：

圖1：FMEA七步法

1、DFMEA分析步驟

第1步-策劃和準備：確定負責人和團隊、項目名稱、時間安排和分析工具等信息。

第2步-結(jié)構(gòu)分析：結(jié)構(gòu)化分析對象，例如設(shè)計系統(tǒng)架構(gòu)。

第3步-功能分析：產(chǎn)品功能可視化，例如確定系統(tǒng)架構(gòu)要素的功能。第3步是在第2步的基礎(chǔ)上實施的，因此第2步的“要素”和第3步的“功能”是對應(yīng)的。

第4步-失效分析：每個功能的潛在失效影響，失效模式和失效起因。

第5步-風險分析：分析針對失效起因的現(xiàn)行預(yù)防控制；分析針對失效起因和（或）失效模式的現(xiàn)行探測控制。

第6步-優(yōu)化：識別、實施降低風險的必要措施。

第7步-結(jié)果文件化

將上述第1步～第6步的實施情況記錄在FMEA模板或分析工具中，形成完整的FMEA報告。FMEA的總結(jié)與分析，包含以下內(nèi)容：

a.文件化FMEA過程中的所有分析記錄和采取的措施；

b.組織內(nèi)部/顧客/供應(yīng)商對結(jié)果和分析結(jié)論進行溝通，組織FMEA評審驗證；

c.持續(xù)跟進預(yù)防措施和探測措施的實施情況，定期動態(tài)更新AP值，確保在設(shè)計定稿前風險已降到可接受的程度。

2、FMEA-MSR2.1、FMEA-MSR決策流程

FMEA-MSR作為DFMEA的補充，更加關(guān)注產(chǎn)品在實際用戶條件下的失效，因此進一步地完善了FMEA在安全相關(guān)機電系統(tǒng)（所謂機電系統(tǒng)就是系統(tǒng)中至少包括傳感器、電子控制器和執(zhí)行器或它們的組件）領(lǐng)域的應(yīng)用。在實際項目開發(fā)過程中，研發(fā)人員容易把DFMEA和FMEA-MSR搞混，導致了許多重復(fù)或遺漏的分析工作。

下圖展示了FMEA-MSR決策流程，提供了一個DFMEA和FMEA-MSR配合使用的思路。

圖2：FMEA-MSR決策流程

1)在上述流程中，若一個失效模式的嚴重度被評為8、9、10分，則認為是違背法律法規(guī)或功能安全要求。

2)若上述1)不成立，繼續(xù)執(zhí)行第5、6步的DFMEA分析。可選擇性地根據(jù)組織現(xiàn)有流程以及改進計劃，增加MSR機制。

3)若上述1)成立，則此時需要分析系統(tǒng)是否已經(jīng)存在針對客戶操作期間發(fā)生該失效模式的MSR機制。

4)若上述3）不成立，繼續(xù)執(zhí)行第5、6步的DFMEA分析，必須增加MSR機制。增加MSR機制后，由于作了設(shè)計變更，因此更新DFMEA，更新后上述第3)點成立，執(zhí)行第5)點。這里需要注意的是，作為MSR本身而言，通過DFMEA來分析即可。

5)若上述3）成立，則此時直接針對該失效模式進行FMEA-MSR分析。

總結(jié)上述內(nèi)容，下圖提供一個形成DFMEA文件和FMEA-MSR文件的思路。事實上，兩者既可合并在一起，也可以單獨形成文件，取決于開發(fā)組織自身的流程。

圖3：DFMEA文件和FMEA-MSR文件

2.2、FMEA-MSR分析步驟

FMEA-MSR同樣采用圖1所示的七步法，且僅第5、6步與DFMEA不同，下面只針對這兩個步驟的分析展開描述。

第5步-風險分析（FMEA-MSR）：分析失效模式發(fā)生頻率F（也可稱為頻度），指系統(tǒng)在實際工作時間內(nèi)產(chǎn)生失效的頻率，該頻率需要統(tǒng)計數(shù)據(jù)論證其合理性；分析針對失效起因的現(xiàn)行診斷監(jiān)視；分析針對診斷到失效模式后的現(xiàn)行系統(tǒng)響應(yīng)；分析MSR起作用后的失效影響嚴重度。

第6步-優(yōu)化（FMEA-MSR）：識別、實施降低風險的必要措施。

FMEA分析示例

如下圖所示，假設(shè)現(xiàn)有一個用于ADAS系統(tǒng)的ALC（自動車道居中）的ECU（電子控制單元）的系統(tǒng)架構(gòu)，其主要功能是從Ext_01接口接收外部傳感器SPI數(shù)據(jù)，作為MCU的路徑規(guī)劃決策輸入。

圖4：ALC的ECU系統(tǒng)架構(gòu)

（注：該架構(gòu)僅方便用于FMEA分析，不考慮其內(nèi)部合理性，不作為真實架構(gòu)用途）

1、DFMEA的分析示例

以下示例假設(shè)其中一個模塊（Sys_element01）故障，假設(shè)ECU針對Sys_element01故障沒有任何診斷監(jiān)視措施，按照DFMEA的分析步驟展開。

圖5：帶故障的ECU

1）識別每個模塊的功能，例如Sys_element01的主要功能是向MCU傳輸傳感器數(shù)據(jù)；（DFMEA第3步）

2）識別模塊的失效行為，例如Sys_element01故障導致傳感器數(shù)據(jù)錯誤、延遲、丟失等；（DFMEA第4步）

3）確定傳感器數(shù)據(jù)錯誤將導致的后果嚴重程度（得到嚴重度S評分），例如：該故障發(fā)生時導致MCU路徑規(guī)劃錯誤，影響行車安全，嚴重度達到S=10；（DFMEA第4步）

4）確定是否存在預(yù)防控制措施，例如，該系統(tǒng)架構(gòu)使用可信的設(shè)計方案、使用魯棒性設(shè)計、通過設(shè)計評審等；（DFMEA第5步）

5）定在上述預(yù)防控制措施之下該模塊的故障頻度（得到頻度O評分），例如：已使用可信設(shè)計、魯棒性設(shè)計、設(shè)計評審后，故障頻度可降至O=2；（DFMEA第5步）

6）確定是否存在探測控制措施，例如，功能測試、故障注入測試、DV測試、量產(chǎn)測試等；（DFMEA第5步）

7）確定上述探測控制措施的探測度（得到探測度D評分）；例如：實施功能測試、故障注入測試、DV測試、量產(chǎn)測試后，探測度可達D=3；（DFMEA第5步）

8）根據(jù)S、O、D評分，綜合得出措施優(yōu)先級AP值，AP=L；（DFMEA第5步）

9）必要時，根據(jù)AP值，制定進一步的風險降低措施；（DFMEA第6步）

10）文件化將上述分析步驟。（DFMEA第7步）

根據(jù)第3)步驟顯示，該示例中的ECU是一個安全相關(guān)的機電系統(tǒng)，且存在失效模式導致違背功能安全，滿足2.1節(jié)FMEA-MSR決策流程第4)的條件，在后續(xù)的設(shè)計優(yōu)化中必須增加MSR機制。

2、FMEA-MSR的分析示例

本節(jié)基于前面1節(jié)DFMEA的分析示例的ECU示例，在其基礎(chǔ)上增加了MSR機制，優(yōu)化了該ECU的系統(tǒng)架構(gòu)，如下圖所示。其中綠色模塊（安全相關(guān)）為分配了ASIL等級的安全需求，灰色模塊（非安全相關(guān)）開發(fā)為QM要素。其中：

· Sys_element04開發(fā)為安全要素；

· 增加Sys_element06用于診斷來自Sys_element01的數(shù)據(jù)的正確性和一致性；

· 增加Sys_element07故障收集和診斷模塊；

· 增加Sys_element08用于診斷MCU內(nèi)部失效。

圖6：優(yōu)化后的ECU系統(tǒng)架構(gòu)（注：該架構(gòu)僅方便用于FMEA分析，不考慮其內(nèi)部合理性，不作為真實架構(gòu)用途）

下面同樣假設(shè)其中一個模塊（Sys_element01）故障，假設(shè)ECU針對Sys_element01故障已經(jīng)采取診斷監(jiān)視措施，按照FMEA-MSR的分析步驟展開。

圖7：帶故障的ECU及其診斷路徑

1）識別每個模塊的功能，例如Sys_element01的主要功能是向MCU傳輸傳感器數(shù)據(jù)；（FMEA-MSR第3步）

2）識別模塊的失效行為；例如：假設(shè)Sys_element01（SPI通信模塊）故障導致傳感器數(shù)據(jù)錯誤；（FMEA-MSR第4步）

3）確定傳感器數(shù)據(jù)錯誤將導致的后果嚴重程度（得到嚴重度S評分），例如：該故障發(fā)生時導致MCU路徑規(guī)劃錯誤，影響行車安全，嚴重度達到S=10；（FMEA-MSR第4步）

4）確定該模塊的故障頻率（得到頻率F評分），例如，這里假設(shè)Sys_element01在其使用生命周期內(nèi)故障發(fā)生的概率非常低（實際項目中應(yīng)結(jié)合可靠性預(yù)測結(jié)果來評估），頻率F=3；（FMEA-MSR第5步）

5）確定系統(tǒng)中是否有監(jiān)控措施（即監(jiān)視和系統(tǒng)響應(yīng)，或者稱之為安全機制）及其監(jiān)控能力，例如，該Sys_element01發(fā)生故障時，不能通過Sys_element06的校驗，由Sys_element07向上級系統(tǒng)發(fā)出錯誤警報（如圖7紅色曲線路徑所示），假設(shè)該安全機制的診斷覆蓋率為99%，監(jiān)視則可評定為M=3。在汽車功能安全中，一個非常重要的概念是FTTI（故障容錯時間間隔），如下圖所示。

圖8：功能安全概念中的時間約束

FTTI可以用來衡量安全機制的有效性，它來自車輛層面的安全目標，用于表示車輛部件在某個場景下發(fā)生故障直到產(chǎn)生對人身產(chǎn)生危害事件的這段時間間隔。進一步地細分，相關(guān)的時間概念還有FDTI（故障檢測時間隔離）、FRTI（故障響應(yīng)時間時間）以及FHTI（故障處理時間間隔）。在設(shè)計監(jiān)視和系統(tǒng)響應(yīng)機制時需要考慮上述時間約束，確保系統(tǒng)或子系統(tǒng)滿足分配其的時間要求：FDTI + FRTI = FHTI < FTTI。（FMEA-MSR第5步）

6）分析在MSR起有效作用后，即系統(tǒng)響應(yīng)安全機制后失效的嚴重度；例如，如上述第5)點的監(jiān)控措施啟動后，車輛通知向駕駛員發(fā)出接管方向盤的警示，盡管車道偏離可能已經(jīng)偏離，但在FTTI的時間內(nèi)駕駛員已經(jīng)及時接管方向盤并將方向回正（假設(shè)駕駛員有能力處理這種情況），此時原先定義的嚴重度可適當降低到S=6；（FMEA-MSR第5步）

7）根據(jù)S、F、M評分，綜合得出措施優(yōu)先級AP值，AP=L；（FMEA-MSR第5步）

8）必要時，根據(jù)AP值，制定進一步的風險降低措施；（FMEA-MSR第6步）

9）文件化將上述分析步驟。（DFMEA第7步）

這里需要注意的是，如2.1FMEA-MSR決策流程第4）點所述，對比DFMEA的分析示例：

· Sys_element04由于設(shè)計變更（由原先的QM要素開發(fā)為安全要素），需要更新其先前的DFMEA結(jié)果；

· 新增Sys_element06~08的三個模塊，需要新增它們的DFMEA。

廣電計量功能安全服務(wù)能力

廣電計量在汽車、鐵路系統(tǒng)產(chǎn)品檢測方面擁有豐富的技術(shù)經(jīng)驗和成功案例，能為主機廠、零部件供應(yīng)商、芯片設(shè)計企業(yè)提供整機、零部件、半導體、原材料等全面的檢測、認證服務(wù)，保障產(chǎn)品的可靠性、可用性、可維護性和安全性。

廣電計量擁有技術(shù)領(lǐng)先的功能安全團隊，專注于功能安全（包括工業(yè)、軌道、汽車、集成電路等領(lǐng)域）、信息安全和預(yù)期功能安全領(lǐng)域的專家，具有豐富的集成電路、零部件和整機功能安全實施經(jīng)驗，可根據(jù)相應(yīng)行業(yè)的安全標準為不同行業(yè)的客戶提供培訓、檢測、審核和認證一站式服務(wù)。

廣電計量半導體服務(wù)優(yōu)勢

• 工業(yè)和信息化部“面向集成電路、芯片產(chǎn)業(yè)的公共服務(wù)平臺”。

工業(yè)和信息化部“面向制造業(yè)的傳感器等關(guān)鍵元器件創(chuàng)新成果產(chǎn)業(yè)化公共服務(wù)平臺。

國家發(fā)展和改革委員會“導航產(chǎn)品板級組件質(zhì)量檢測公共服務(wù)平臺”。

廣東省工業(yè)和信息化廳“汽車芯片檢測公共服務(wù)平臺”。

江蘇省發(fā)展和改革委員會“第三代半導體器件性能測試與材料分析工程研究中心。

上海市科學技術(shù)委員會“大規(guī)模集成電路分析測試平臺”。

在集成電路及SiC領(lǐng)域是技術(shù)能力最全面、知名度最高的第三方檢測機構(gòu)之一，已完成MCU、AI芯片、安全芯片等上百個型號的芯片驗證，并支持完成多款型號芯片的工程化和量產(chǎn)。

在車規(guī)領(lǐng)域擁有AEC-Q及AQG324全套服務(wù)能力，獲得了近50家車廠的認可，出具近400份AEC-Q及AQG324報告，助力100多款車規(guī)元器件量產(chǎn)。