一文详解功能安全分析方法

功能安全作为汽车电子系统开发的重要内容，直接影响汽车的驾驶安全。尤其是在汽车智能化突飞猛进的今天，功能安全显得尤为重要。

那么，功能安全的基本分析方法有哪些？在工程开发中我们该如何应用这些方法呢？本文将详细解读功能安全的分析方法及其用。

方法介绍

在ISO 26262中指出，面向功能安全的分析，主要有归纳安全分析法和演绎安全分析法两大类。

归纳安全分析法是自下而上的一类方法，通过已知的原因来预测未来有可能产生的作用，典型的方法有FMEA、DRBFM、FMEDA、ETA、巴尔可夫模型等。

演绎安全分析法是自上而下的，通过已知的影响来寻找未知的原因，如FTA可靠性框图等。

在实际应用中应该采用归纳法还是演绎法，取决于功能安全的要求。

ISO 26262给出了针对不同的ASIL等级需求，对两类分析方法的推荐度，整理如表1所示。其中2个+表示强烈推荐，1个+表示一般推荐，o表示不推荐。例如，在ASIL B级，推荐采用演绎安全分析法，但更推荐用归纳安全分析法。

表1 不同ASIL等级对应的分析方法推荐

典型方法解读

下面我们选取几种典型的分析方法，进行重点解读。

1.FMEA,全称Feeling Mode and Effects Analysis，即潜在失效模式与后果分析。

FMEA是指在产品开发的过程中，对构成产品的系统，子系统、零件的设计及制造过程进行分析，找出其中的潜在失效模式与影响后果，并制定相应的措施，同时对这些失效风险给予评估和消除。

FMEA适用于以下开发过程：全新平台产品的概念设计，成熟产品迭代，构成产品的某个系统或子系统、零件发生变更，产品的功能或需求发生变更，产品的生产过程或供应链发生变更等。以上这些全新设计或者变更设计，都可以用FEMA进行分析。

2.FMEDA，全称Feeling Mode Effects and Diagnosis Coverage Analysis，即失效模式影响和诊断分析。

FMEDA属于归纳安全分析法，也就是在已知失效原因的情况下，从下往上去推测，可能由于该原因而引发的失效后果及其影响。

FMEDA适用于以下开发过程：产品引入了新的零件，或者构成的零件发生了一些变更，对产品的安全性及可靠性进行分析，对产品的安全性参数进行定量的分析。

3.FTA，全称Fault Tree Analysis，即故障树分析。

FTA属于演绎分析法，也就是从定义好的失效结果以及影响进行从上往下的推测，有可能导致这些失效结果的原因。

FTA适用于：构成产品的系统或零件发生变更，或者引入了新的系统或者零件，对产品的安全性及可靠性进行分析，定性以及定量的分析。FTA可以建安全矩阵，创建对于各个零件的安全要求。

典型方法的比较与应用

对于以上3种典型方法，我们比较了其异同点，整理如表2所示。分别从分析对象、分析方式、分析程度、失效组合等维度，进行了对比分析。

从表中可以看出，FEMA与FTA方法都可以作用于系统和部件，而FMEDA方法主要作用于部件层面。

FEMA和FMEDA都是自下而上的归纳安全分析法，而FTA属于自上而下的演绎安全分析法。

从分析程度上来看，FMEA可以分析整体全部可能的原因，FTA只选取顶部事件进行分析，FMEDA只分析部分与安全相关的硬件因素。

FTA对于单点时效和多点时效都适用，而FMEA与FMEDA只适用于单点失效。

表2 典型功能安全分析方法的比较

从总体上来说，系统的分析可以从上往下通过FTA来分析，也可以从零件、子系统到系统，从下往上进行分析，如FMEA和FMEDA。另外，从时间顺序上来说，一般先采用FMEA完成单点故障分析，然后在此基础上进行FTA分析，最后基于FMEA和FTA的分析结果，再进行FMEDA分析。