功能安全设计-Safety Analysis - FTA

来源:汽车功能安全公众号
2020-05-10
2952
Safety Analysis - FTA


作者 Carson




针对ASIL C,D的安全目标,ISO26262 Part4明确要求必须进行演绎分析,而FTA是业界最常用的演绎分析方法之一,既可以定性分析也可以定量分析。FTA定性分析一般是基于系统架构去进行分析,为系统设计的适用性提供证据,以提供与ASIL相关的特定安全相关功能和特性;识别故障原因和故障影响;识别或确认安全相关的系统元素和接口;以及根据确定的故障原因和故障影响,支持设计规范并验证安全机制的有效性。









FTA方法步骤:




1)确定分析范围:系统边界、抽象级别;
2)选择要分析的故障(即顶级事件):通常,顶部事件是严重的意外事件,例如:功能完全丧失、不需要的功能、备份系统丧失、未检测到的故障、安全目标被违反;考虑FMEA中的高严重性或高RPN故障;
3)确定直接、必要和充分的原因:全面描述立即导致此顶级事件的所有事件,考虑系统状态和组件状态故障;
4)将每个确定的原因视为次顶部事件;
5)在最低抽象级别或系统输入(如:组件故障模式)停止并分析以了解逻辑和风险;
6)建议采取安全措施以消除相关故障路径。




下图是一个简易的系统架构图,接下来基于Medini这款软件和此架构说明下FTA分析方法。






FTA是至顶向下的分析方法,因此我们首先需要创建FTA的顶事件,即安全目标被违反:


  1. 创建FTA顶事件






2) 基于顶事件向下分析可能导致顶事件发生的可能原因及原因之间的逻辑关系,通过拖拽架构中的模块创建原因,同时通过各种“门”逻辑创建各原因之间的逻辑关系:








3) 获取安全需求:当我们识别到故障点后,可以增加安全机制控制故障。比如需要为某个单点故障增加安全机制,以将其变为双点故障。这可以在FTA中自动生成一条安全需求,即通过安全分析来指导设计。




故障树结果可能会导致系统设计的改进,并产生新的安全需求,如下所示:






4) 通过FTA可以评估最小割集“Cut-sets”,即找到违反安全目标的单点故障、双点故障和安全故障。此步骤4和步骤3是相互迭代的一个过程。割集是故障树的若干底事件的集合,如果这些底事件都发生,则顶事件必然发生。最小割集是底事件数目不能再减少的割集,即在最小割集中任意去掉一个底事件之后,剩下的底事件集合就不是割集。
一个最小割集代表引起故障树顶事件发生的一种故障模式,研究最小割集可以找出故障树的薄弱环节。






以上是定性FTA的使用方法简单介绍,通常可以用来获取功能安全需求和技术安全需求,很好地指导系统层面的安全分析和设计。




同时还可以继续支持通过FTA定量计算硬件的随机硬件失效率指标(PMHF),即定量FTA。定量FTA和定性FTA的不同之处在于“树”的底事件要有失效率值,我们需要将硬件BOM中的安全相关的元器件连同它们的失效模式、失效率一同拖入FTA中作为底事件,就能够计算当前安全目标的PMHF了,如下图:





        基本的固定和指数概率模型的主要事件已经扩展了与新版本的模型可修复和监测组件。这可以对系统的不可靠性和不可用性进行清晰的评估。此外,还支持具有非恒定故障率的组件的通用Weibull分布和自定义概率模型(基于用户给定的概率分布)。




在新的事件概率模型中,对不可靠性和不可用性进行了时变评估。在给定的mission time 的unavailabilty,任务时间unreliabilty以及它们的平均值可以计算出来,例如IEC61508所要求的故障概率(PFD)和每小时故障概率(PFH)以及相关的评估。




总结:
前面做了这么FTA的分析,那么我们如何判断或者我们怎么知道故障树是正确的?
1)审核最小割集,看看是否符合逻辑或原理;
2)与DFMEA去进行比较,理论上是一致的;
3)分解和验证子系统故障树,范围更小,更容易检查一致性和完整性。




参考:




1.Medini 2019 ESL Example;
2.ISO26262 2018 version



收藏
点赞
2000