认证专题知识：浅谈IEC 61508 FMEDA失效分析表编写指南

只看该作者 · 2025-5-28 15:04

本帖最后由 Reli-eng-z 于 2025-5-28 15:14 编辑

#申请原创# #技术资源#

认证专题知识：浅谈IEC 61508 FMEDA失效分析表编写指南

FMEDA（Failure Modes, Effects and Diagnostic Analysis，故障模式、影响及诊断分析）是IEC 61508功能安全认证中的核心分析工具，用于量化随机硬件失效对安全目标的影响。本文将系统介绍FMEDA表的编写方法，包括关键步骤、数据来源、分析逻辑及常见问题。

1. FMEDA的核心目标

FMEDA的主要任务是：

1. 识别故障模式（如短路、开路、信号偏差等）。

2. 评估故障影响（是否导致安全功能失效）。

3. 计算诊断覆盖率（DC）（检测机制的有效性）。

4. 量化失效率（FIT值）（如MTTF、PFH）。

最终输出结果需满足IEC 61508对硬件随机失效概率的要求（如SIL 2/3/4的PFH目标）。

2. FMEDA表的组成结构

典型的FMEDA表包含以下字段（以芯片为例）：

字段名	说明
Component	分析对象（如MCU、ADC、电源管理IC）。
Failure Mode	故障模式（如“输出信号卡滞高电平”）。
Failure Rate	基础失效率（FIT，来自标准库如SN 29500、IEC 61709）。
Effect	故障影响（如“导致刹车信号误触发”）。
Safe/Unsafe	分类为安全故障（Safe）或危险故障（Dangerous）。
Diagnostics	检测机制（如“看门狗定时器”、“ECC校验”）。
DC（%）	诊断覆盖率（如90%表示90%的此类故障可被检测）。
Residual Risk	剩余风险（未被检测的故障率，需满足SIL等级要求）。

3. FMEDA编写步骤

步骤1：系统分解与元器件清单

- 列出所有涉及安全功能的硬件组件（如CPU、传感器、通信接口）。

- 示例：

```markdown

- MCU (极海APM32F103)

- 电源管理IC (TPS7A4700)

- CAN收发器 (TCAN1042)

```

步骤2：故障模式识别

- 参考标准库（如FMD-91、JEDEC JEP122）或厂商数据手册。

- 示例：

```markdown

- MCU故障模式：时钟信号丢失、寄存器位翻转、RAM SEU（单粒子翻转）。

- 电源IC故障模式：输出电压超限、短路到地。

```

步骤3：故障影响与分类

- 判断故障是否影响安全功能（如导致安全状态丢失）。

- 分类标准：

- 安全故障（Safe）：不会导致危险（如MCU复位）。

- 危险故障（Dangerous）：可能引发系统危险（如信号输出卡滞）。

步骤4：诊断措施与覆盖率（DC）

- 列出所有诊断机制，并评估其覆盖率（DC）。

- 示例：

```markdown

- 看门狗定时器：DC=90%（可检测90%的CPU死机故障）。

- ADC自检：DC=80%（可检测80%的ADC偏差故障）。

```

- DC计算依据：

- 实验数据（如故障注入测试）。

- 历史数据（如相似产品的可靠性报告）。

步骤5：失效率计算

- 使用标准库（如SN 29500）获取基础失效率（λ）。

- 公式：

- 危险未检测故障率（λ_DU） = λ × (1 - DC)

- 安全故障率（λ_S） = λ × DC（若故障被检测后进入安全状态）。

步骤6：汇总与SIL等级验证

- 计算总失效率（Σλ_DU），对比IEC 61508的SIL要求：

计算总失效率（Σλ_DU），对比IEC 61508的SIL要求：

SIL等级	PFH（每小时危险失效概率）
SIL 1	≥1E-6 to <1E-5
SIL 2	≥1E-7 to <1E-6
SIL 3	≥1E-8 to <1E-7
SIL 4	<1E-8

4. 关键注意事项

1. 数据来源权威性

- 优先使用行业标准库（如SN 29500、IEC 61709），避免主观假设。

2. 诊断覆盖率的合理性

- DC值需通过测试或文献支持（如“双核锁步的DC=99%”需提供锁步比对测试报告）。

3. 共因失效（CCF）分析

- 需单独评估（如β因子模型），避免因共同原因导致诊断失效。

4. 工具链支持

- 使用专业工具（如ANSYS Medini、exida FMEDA）提高效率。

5. 常见问题与解决

- 问题1：如何确定某故障模式的DC值？

- 解决：通过故障注入测试或参考同类产品认证报告（如ISO 26262 ASIL D案例）。

- 问题2：若FMEDA结果不满足SIL要求怎么办？

- 解决：增加诊断措施（如冗余传感器、更频繁的自检）。

- 问题3：FMEDA与FMEA的区别？

- FMEA：定性分析，关注故障影响；

- FMEDA：定量分析，计算失效率与DC。

6. 案例：MCU的FMEDA片段

Component	Failure Mode	λ (FIT)	Effect	Diagnostics	DC (%)	λ_DU (FIT)
CPU Core	寄存器位翻转	50	错误控制信号输出	ECC校验	99	0.5
Power Supply	输出电压超限	20	MCU复位失效	电压监控电路	95	1

总λ_DU = 1.5 FIT → 满足SIL 3（PFH <1E-7）要求。

TIPS：极海APM32F103VB系列MCU，于2020年4月通过IEC61508 SIL2认证，凭借对产品品质的极致追求，时隔7个月，该系列MCU再次通过IEC61508 SIL3认证（国产同类芯片中首家获得该认证的产品）。本次认证主要面向产品生命周期定义阶段的系统安全完整性评估与验证，覆盖CPU、ROM、RAM、寄存器、ADC和时钟等模块，以及芯片和封装等功能安全认证事项。

总结

编写FMEDA表的关键在于：

1. 系统性分解硬件，覆盖所有安全相关组件。

2. 严格引用数据源，避免主观估计。

3. 合理评估诊断措施，确保DC值可信。

4. 验证SIL合规性，必要时优化设计。

通过规范的FMEDA分析，可为IEC 61508认证提供坚实的硬件安全证据，降低产品安全风险。

极海 APM32F103VB系列工业级通用MCU，基于ARM® Cortex®-M3内核，具有低功耗、高性能、高安全、高集成、可移植性好、客户接受程度高等产品特性。工作温度范围覆盖-40℃~+105℃，已通过IEC61508 SIL3认证，并支持工业级MCU+安全芯片产品组合，符合工业级和车用高可靠性标准；已通过USB-IF认证，可满足客户终端产品的出口需求。该系列产品目前已成功批量应用于国内四家头部工控企业。