來(lái)源 | 汽車ECU開發(fā)

在ISO26262功能安全中，有多個(gè)地方需要進(jìn)行安全分析，安全分析的質(zhì)量很重要的決定了功能安全項(xiàng)目的成敗，本文針對(duì)ISO26262中提到的各種安全分析進(jìn)行匯總說(shuō)明（HARA、FMEA、FTA、FMEDA、SWFMEA、DFA）。

01 HARA

在概念階段，功能安全要求進(jìn)行HARA分析。

HARA（危害分析與風(fēng)險(xiǎn)評(píng)估）目的是識(shí)別項(xiàng)目的功能故障引起的危害，對(duì)危害事件進(jìn)行分類，然后定義與之對(duì)應(yīng)的安全目標(biāo)，以避免不可接受的風(fēng)險(xiǎn)。

HARA分析步驟：

SEC說(shuō)明： 

ASIL等級(jí)說(shuō)明： 

QM指的是 質(zhì)量管理，表示此項(xiàng)功能不影響安全，通過(guò)質(zhì)量管理保證即可。

 舉例說(shuō)明：

HARA分析示例

危害事件 場(chǎng)景分析 S E C ASIL

EPS按照非預(yù)期的方向轉(zhuǎn)向 在城市道路，車輛正常勻速行駛（E4），車輛方向按照非預(yù)期轉(zhuǎn)向，此時(shí)駕駛員很難控制(C3)，道路兩邊人員較多，可能造成路人或者駕駛員的傷亡(S3) 3 4 3 D

02 FMEA

在系統(tǒng)階段，功能安全要求針對(duì)各種失效模式進(jìn)行分析。

FMEA是一種自下而上的歸納分析方法，用于識(shí)別系統(tǒng)失效(failure)，找出失效原因(Fault)，以及分析失效影響(Effect)。

分析步驟（典型七步法）：

（參考：http://www.ts16949rz.org/fmeapx/2395.html）  

目前新版的使用AP值代替了原來(lái)的RPN方法，以下進(jìn)行說(shuō)明。

SOD說(shuō)明：

 

AP說(shuō)明：

 

AP優(yōu)先級(jí)定義：

典型FMEA表格（新老版的）：

03 FTA

在系統(tǒng)階段，ISO26262還要求進(jìn)行FTA（故障樹分析）；

FTA是一種自上而下的演繹分析方法，用于識(shí)別失效原因及失效間的關(guān)系，目前針對(duì)FTA也只是做定性分析。

分析步驟：

1. 確定頂事件，一般為在整車角度描述的影響到安全目標(biāo)的事件，如針對(duì)EPS，頂事件可定義為非駕駛員意圖的轉(zhuǎn)向，針對(duì)MCU，頂事件可定義為非預(yù)期的加速等。

2. 分解中間事件，針對(duì)頂事件，根據(jù)系統(tǒng)組成或特點(diǎn)，進(jìn)行分解，系統(tǒng)外界以及系統(tǒng)內(nèi)部一般都需要考慮在內(nèi)。

3.基本事件，中間事件繼續(xù)向下分析，得到無(wú)法再分解的事件，他們是組成系統(tǒng)頂事件失效的根本原因。

常用的符號(hào)：

典型FTA圖：

04 FMEDA

在硬件設(shè)計(jì)階段，ISO26262要求進(jìn)行定量的安全分析。

由于功能安全標(biāo)準(zhǔn)中已有對(duì)其進(jìn)行較為詳細(xì)的介紹，本文更多的是從中進(jìn)行匯總摘要。

故障類別：

失效分析過(guò)程：

  

失效率：

λS P F — — —與硬件要素單點(diǎn)故障相關(guān)聯(lián)的失效率;

λRF — — —與硬件要素殘余故障相關(guān)聯(lián)的失效率;

λMPF— — —與硬件要素多點(diǎn)故障相關(guān)聯(lián)的失效率;

λS — — —與硬件要素安全故障相關(guān)聯(lián)的失效率。

 

 

單點(diǎn)故障度量：

潛伏故障度量：

總體計(jì)算過(guò)程：

05 SWFMEA

在軟件階段，ISO26262要求對(duì)軟件架構(gòu)進(jìn)行安全分析，此處也是定性分析。

SWFMEA分析的目的在于找出影響到功能安全的軟件失效，從而可以增加探測(cè)或診斷覆蓋來(lái)提高系統(tǒng)的安全。

SWFMEA，分析過(guò)程可參考系統(tǒng)FMEA，只是這里的分析對(duì)象略有差異，以下針對(duì)差異進(jìn)行說(shuō)明。

SWFMEA，主要針對(duì)架構(gòu)元素進(jìn)行分析，如針對(duì)接口，分析其傳入的參數(shù)的異常情況、錯(cuò)誤調(diào)用接口情況等；針對(duì)函數(shù)，分析其傳參的異常情況、調(diào)度的異常情況（沒(méi)調(diào)用、調(diào)用過(guò)快、過(guò)慢等）、數(shù)據(jù)的一致性分析、資源消耗異常等情況。

安全機(jī)制的覆蓋度，可參考ISO26262標(biāo)準(zhǔn)附錄。

06 DFA

DFA指的是相關(guān)性分析，ISO26262要求從三個(gè)層面（系統(tǒng)、硬件、軟件）分析，找出系統(tǒng)中的共因以及級(jí)聯(lián)失效。

若系統(tǒng)進(jìn)行了ASIL分解，則DFA必須分析，以此作為系統(tǒng)分解后的證據(jù)。

級(jí)聯(lián)失效：

任一失效，系統(tǒng)都會(huì)失效；

共因失效：

失效后，冗余措施不起作用。

系統(tǒng)分析角度：

系統(tǒng)架構(gòu)、系統(tǒng)邊界、系統(tǒng)人員、系統(tǒng)環(huán)境、系統(tǒng)開發(fā)生產(chǎn)維護(hù)等過(guò)程。

硬件分析角度：

硬件架構(gòu)、硬件選型、硬件人員、供電電源等。

軟件分析角度：

CPU共享資源、軟件架構(gòu)、軟件人員、軟件工具、算法方案等