汽车领域基于ISO26262 功能安全FMEDA培训

清雅轩

课程介绍
     近年来，随着现代化的电子、电气及可编程电子器件在汽车电子控制领域的大量应用，汽车行业包括混合动力车和电动车的技术高速发展，危险事故也随之产生。
     各大汽车厂商频频大量召回汽车，不仅给各整车厂带来巨大的经济损失，而且对自身品牌产生不利影响。危险事件的发生，也给消费者带来生命威胁。这使得政府、企业及消费者越来越关注功能安全的问题。
     如何使产品在整个生命周期都能满足安全完整性等级（ASIL）的要求，也日渐成为业内的关注重点。全球知名买家采购相继提出了功能安全的要求，对其供应商加以规范及限定。
旨在提高道路车辆功能安全的国际标准ISO26262于2011年11月正式颁布，该标准对车辆和系统作出了功能性的安全要求，确保系统或产品的可靠性，避免过当设计而增加成本，使安全系统及产品符合所需安全完整性等级，符合市场要求及规定。

预期效益
     培训会将根据ISO 26262标准，让您初步了解ISO26262中的术语，安全目标、安全状态、安全机制、诊断覆盖率、单点故障、多点故障。培训后可获得 功能安全培训证书。
目标对象
     本课程适合整车生产制造行业、电动汽车研发行业、混合动力车行业、车用控制行业、车用电子行业等，且以ISO 26262 标准为基础，从事电动汽车的自动控制安全系统、可编程电子安全部件、安全控制产品的开发设计人员、集成技术人员、电子安全部件的检查人员、质量控制人员、认证专员或欲申请测试认证的企业。

培训内容
Part I：相关术语介语介绍及准备工作
•安全目标、安全状态
•安全机制及诊断覆盖率（结合实例和练习，解释如何确定DC值）
•ISO26262中对故障的分类（结合实例和练习）
•如何获得器件的Failure Rate和Failure Mode Distribution

Part II： SPFM、LFM计算
•如何确定SPFM/LFM的目标值
•SPFM/LFM的计算步骤
•实例讲解和练习

Part III： 难点解析
•如何处理不同来源的failure rate
•如何考虑Microcontroller

培训方式：企业内训2天
联 系 人：张先生
电话：13038325513
手机：13038325513
微信号：cartech8_cq
QQ:542334618
邮箱：qchjl_admin@126.com
重庆卡特柯科技有限公司（汽车工程师之家）
网上自动报名系统，报名后我们会主动联系你：
http://www.cartech8.com/plugin.php?id=hejin_forms&formid=8


相关文章
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
与ISO 26262的关系
在演讲中，吴伊律从汽车功能安全的话题引入，对ISO 26262标准进行了简单介绍。作为旨在提高汽车电子、电气产品功能安全的国际标准，ISO 26262根据安全风险程度对系统或系统某组成部分确定划分由A到D的安全需求等级（Automotive Safety Integrity Level 汽车安全完整性等级ASIL），其中D级为最高等级，需要最苛刻的安全需求。
伴随着ASIL等级的增加，针对系统硬件和软件开发流程的要求也随之增强。吴伊律表示：“ISO26262在硬件开发阶段，对硬件的随机失效会提出多项量化指标的要求。而FMEDA（Failure Modes Effects and Diagnositcs Analysis），也即失效模式、影响和诊断分析技术可以计算其中的量化指标。”
ISO 26262把失效分为系统失效和随机失效两大类。其中，系统失效包软硬件在需求，设计等方面的错误，“如果存在错误，只要条件具备，就一定会发生，它是非常明确的”。而随机失效则与其相反，你无法预期它会怎样发生，以及在哪一台机器发生，尽管硬件的设计是完好的，元器件也都是符合质量标准的。“FMEDA的对象不是针对系统失效，但由于随机失效是符合概率分布的，所以我们可以通过FMEDA，分析一个电路的随机失效发生的概率是不是控制在我们可以接受的范围之内。”吴伊律补充道。
据吴伊律介绍，FMEDA是一种“自下向上”的分析方法，由系统内所有部件的一个详细列表开始，一次一个部件的分析。“对于ISO 26262来说，FMEDA是对FMEA方法的一种扩展，它加入了对诊断机制的考虑，这样我们就能在加入诊断机制以后判断，这个机制加的地方对不对，是不够还是过了。另外，为了符合这个标准，FMEDA还加入了对ISO 26262一些特点的考虑，比如双点失效。”
操作流程
前面说到，FMEDA加入了对诊断机制的考虑，那么，诊断机制被加在何种位置？又是如何发挥作用的？这就涉及到FMEDA的操作流程。吴伊律在演讲中将其流程具体化，向听众深入介绍了FMEDA的五大步骤。而在进入具体步骤之前，吴伊律强调，我们需要首先输入安全目标、要达到的安全状态、报警概念以及电路图和物料清单。
第一步需要我们计算元器件的失效率。所谓失效率，就是单位时间内失效的概率，它是一个概率的密度，而非概率。“ISO 26262中的失效率是基于以下假设的：首先，接受分析的汽车电子产品是不可修复的；其次，通常意义上的失效率是随时间变化的，前中后期失效率会产生变化，而ISO 26262是采用中间阶段比较稳定的值，因此我们在ISO 26262中查到的是恒定值，而不是一个时间函数。”
第二步是分析元器件失效模式和分布。与失效率的计算不同，失效模式和分布的获取是没有标准可以用来计算的，但是在一些标准的附录部分会有一些简单器件的失效模式和分布，来为我们提供参考。
第三步便涉及到诊断措施，在此阶段我们需要确定安全机制、诊断措施的诊断覆盖率，这里分为针对单点和双点的两种覆盖率，它们是可以量化的。ISO 26262在附录中提供三种覆盖率，分别为99%、90%、60%。
第四步则需要我们通过分析找出错误机制并进行分类。这里的错误分为很多种，比如安全失效、单点失效、双点失效等，而ISO 26262对FMEDA的要求是找出单点失效、残余失效以及潜藏失效三种错误。其中，残余失效是指由于诊断覆盖率问题所导致的未被检测出一些残余错误。
最后是根据单点量、残余量、潜藏量计算出相应指标。将由以上步骤得来的几个关键数值带入到既定公式中，计算出SPFM（Single-PointFault Metric）以及LFM（Latent-Fault Metric）的值，继而将这些值与所对应的ISO 26262中的各等级的目标值进行对比，便可得出其满足B-D哪一等级的安全需求。
总而言之，通过以上环环相扣的五大步骤，FMEDA可以帮助用户评估某电路对于一个特定的安全目标是否达到了安全的要求，或者还有那些薄弱点，以此来帮助用户改进硬件电路的设计。也正如吴伊律所言，FMEDA就是分析评估随机失效带来的风险是否已被控制到可接受的程度内。