本篇属于汽车功能安全专题系列第19篇内容,属于相关失效分析DFA内容的上篇,我们主要聊聊相关性失效分析基本内容。
开始阅读之前强烈建议参考之前系列文章:
相关失效分析DFA(Dependent failure Analysis)是功能安全开发必不可缺的环节,多用于提供免于要素干扰和ASIL分解独立性要求证据,虽然本质上也属于安全分析,但也存在其特殊性,也是功能安全开发中的难点之一。本文围绕以下问题展开,旨在帮助朋友们进一步了解相关失效分析相关内容:
什么是相关失效分析? 相关失效分析解决什么问题 相关失效分析和安全分析的区别?
Q: 什么是相关失效分析?
失效分析是功能安全开发的基础,只有对研究对象进行有效分析并识别出失效的原因,才能针对性制定安全措施,尽可能降低失效发生的可能性。
从失效的类型来看,失效可以分为单点/双点,残余/潜伏等不同类型的失效,但究其失效原因,可能是由要素个体原因导致的相对独立的失效,即特定的原因只会导致特定的单一失效,但导致失效的原因也可能存在相关性,例如,由一个共同原因直接导致两个或以上的失效产生,或一个要素失效导致其他要素相继失效。
这些彼此相关的,非独立的失效,其分析过程相对较为复杂,在常规的安全分析不容易被直接识别出来,但它一旦发生了就会引发一连串(至少两个)的失效,失效影响非常严重,所以需要对其特别对待,对常规的安全分析进行补充,相关失效分析由此产生。
相关失效分析就是用于分析和识别要素之间非独立的失效,即共因失效或级联失效.
根据ISO 26262-1:2018的定义:
所谓的共因失效就是,由单一特定事件或根本原因直接导致一个相关项中两个或多个要素的失效,该事件或根本原因可来自所有这些要素的内部或外部。
所谓的级联失效就是,由一个根本原因(来自要素内部或外部)导致某个相关项的要素的失效,进而引起相同或不同相关项的另一个要素或多个要素的失效。
Q: 相关失效分析解决什么问题?
在汽车功能安全开发,相关失效分析通过对以上两种失效形式进行分析,主要用于解决以下问题:
评估功能安全解决方案或安全措施的有效性和存在的缺陷
为解决不同的失效问题,我们会应用不同的安全机制,但这些安全机制之间,或者功能实现和安全机制之间,可能存在共因失效或级联失效的问题,导致安全机制没有办法按照预期发挥作用,这时候就需要进行相关失效分析,如果存在相关失效问题,则需要制定新的安全需求或措施。
提供要素免于干扰(FFI) 和ASIL等级分解独立性要求(Independence)的证据
FFI: 要避免在两个或者更多要素之间由于级联失效而导致的违反功能安全要求。 ASIL等级分解独立性: 除保证无级联失效外,还需要保证无共因失效问题。所以独立性要求更为广泛,需要通过相关失效分析(DFA)证明。
为什么FFI只要求避免级联失效,而ASIL分解独立性要求,除避免级联失效外,还要求避免共因失效呢?
二者需要解决的问题不同:
1
FFI旨在解决不同ASIL等级(包括QM)组件共存的问题,需要对不同ASIL等级组件进行有效隔离,防止低ASIL等级组件故障蔓延或者影响到其他高ASIL等级组件,即防止串联失效,这属于级联关系的失效。
共因失效,即共同外部因素错误导致的组件失效,可以简单理解为并联失效。不管组件之间是否进行了隔离,只要存在共同的错误输入,涉及的组件一定会出现故障,所以共因失效和FFI无关。
2
ASIL分解独立性
ASIL分解的本质是通过冗余,降低原有ASIL等级的开发难度,只有被分解后的要素即不存在共因失效,也不存在级联失效,才能算真正的冗余存在。
Q: 相关失效分析和安全分析的区别?
很多朋友搞不清楚相关失效分析和安全分析的关系。从本质上讲,相关失效分析属于安全分析,二者分析对象都可以是系统,软件和硬件要素,但和安全分析相比,相关失效分析存在一定的特殊性,主要体现在以下两个方面:
1
分析的角度不同
安全分析主要用于识别危害,并对导致危害产生的故障或失效原因进行分析,识别出不同类型的失效,例如,单点/残余失效,双点失效等,属于纵向的分析过程。
而相关失效分析则侧重于识别不同失效之间的关系,是在基本的安全分析的基础上分析失效之类是否存在相关性,更多的是横向的分析过程。
2
应用主体不同
但不管怎么样,相关失效分析的方法离不开安全分析的支持,很多时候二者也可以同时进行,或者借助安全分析的结果进行进一步分析,这部分内容我们在下篇继续!
写在最后:
相关失效分析相关内容我们就聊完了,希望能够给朋友们对其带来更多理解。AUTO世代付费社区限时开通,福利多多,更多优质内容,精彩不容错过,感兴趣的朋友可以直接长按下方二维码了解。
END
【点赞】和【在看】= 原创的动力
多谢【点赞】和【在看】
