基于故障树的汽车功能失效分析方法、系统、设备及介质与流程

1.本发明涉及系统安全分析技术领域，尤其涉及一种基于故障树的汽车功能失效分析方法、系统、设备及计算可读存储介质。


背景技术：

2.随着智能网联汽车和自动驾驶汽车的快速发展，设计高可靠性和安全性的整车系统日益受到各方关注，其中功能安全在安全要求较高的系统设计中是必不可缺的一部分。iso 26262是汽车电子/电气系统功能安全的行业标准。功能安全是指“不存在由电子电气系统的功能异常表现引起的危害而导致不合理的风险”，即功能安全关注于系统失效后能否进入安全状态来避免更大的危害，或者通过安全措施来降低危害发生概率，而不是系统的原有功能或性能。因此，电控系统功能安全开发过程中安全分析方法和安全机制导出是重中之重。但是，现有的安全分析技术只能对某个功能或某个组件进行分析，却无法得到全面的分析结果，无法发掘隐藏危害，导致电控系统安全性依然无法提高。


技术实现要素：

3.为了克服现有技术的不足，本发明的目的之一在于提供一种基于故障树的汽车功能失效分析方法。
4.本发明的目的之二在于提供一种基于故障树的汽车功能失效分析系统。
5.本发明的目的之三在于提供一种电子设备。
6.本发明的目的之四在于提供一种计算可读存储介质。
7.本发明的目的之一采用如下技术方案实现：
8.基于故障树的汽车功能失效分析方法，包括：
9.遍历整车系统中每个相关项功能，基于故障树对每个所述相关项功能所对应的组件进行失效影响分析以确定组件失效模式，其中，所述故障树以所述相关项功能违背安全目标作为顶事件，以组件本身失效、输入组件失效和传输组件失效作为所述故障树的中间事件；
10.判断每个所述组件失效模式是否违背其对应的安全目标，为违背安全目标的所述组件失效模式匹配对应的安全机制，并为整车系统中每个相关项汇总和输出对应的fmea分析表。
11.进一步地，所述相关项功能是根据整车系统的每个相关项进行功能划分所得；遍历每个所述相关项功能前，还包括：
12.基于hazop分析确定整车系统中每个所述相关项功能的功能失效模式，并根据功能失效后的影响判断所述相关项功能是否为危害事件。
13.进一步地，所述功能失效模式包括功能丢失、功能超过预期、功能小于预期、功能方向错误、意外地提供功能和按预期更新的功能失效。
14.进一步地，确定整车系统中每个所述相关项功能的功能失效模式后，还包括：
15.基于hara分析和评估每个所述危害事件的风险以确定对应所述相关项功能的安全目标，并为每个安全目标匹配对应的安全asil等级。
16.进一步地，当判断得知所述组件失效模式违背其对应的安全目标时，判断数据库中是否预存有与所述组件失效模式相匹配的安全机制，若是则调取相匹配的安全机制并将其覆盖所述组件失效模式；若数据库中不存在与所述组件失效模式相匹配的安全机制，则根据行动优先级确定是否新增安全机制来覆盖所述组件失效模式。
17.进一步地，所述行动优先级是根据所述组件失效模式的严重度、发生频率以及探测度确定的；当所述行动优先级确定为高优先级或中等优先级时，则增加安全机制以覆盖所述组件失效模式。
18.进一步地，生成每个相关项对应的fmea分析表的方法为：
19.对每个所述相关项功能对应的所有安全目标进行依次分析，汇总所有安全目标分析的分析结果并为每个所述相关项功能生成其对应的初始fmea分析表，再将每个所述相关项功能对应的初始fmea表进行汇总形成相关项的fmea分析表。
20.本发明的目的之二采用如下技术方案实现：
21.基于故障树的汽车功能失效分析系统，执行如上述的基于故障树的汽车功能失效分析方法；所述系统包括：
22.影响分析模块，用于遍历整车系统中每个相关项功能，基于故障树对每个所述相关项功能所对应的组件进行失效影响分析以确定组件失效模式，其中，所述故障树以所述相关项功能违背安全目标作为顶事件，以组件本身失效、输入组件失效和传输组件失效作为所述故障树的中间事件；
23.汇总分析模块，用于判断每个所述组件失效模式是否违背其对应的安全目标，为违背安全目标的所述组件失效模式匹配对应的安全机制，并为整车系统中每个相关项汇总和输出对应的fmea分析表。
24.本发明的目的之三采用如下技术方案实现：
25.一种电子设备，其包括处理器、存储器及存储于所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述的基于故障树的汽车功能失效分析方法。
26.本发明的目的之四采用如下技术方案实现：
27.一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被执行时实现如上述的基于故障树的汽车功能失效分析方法。
28.相比现有技术，本发明的有益效果在于：
29.本发明为了全面识别组件的失效模式，得到完备的安全机制，基于功能安全的开发流程，融合了故障树分析方法和失效模式与影响分析方法，将演绎和归纳分析方法结合应用于失效模式分析和安全机制导出，能够得到全面的失效模式和完备的安全机制，有效促进电控系统开发阶段安全性设计水平的提高，增强安全措施的针对性和有效性，提高了电控系统的安全性，降低了系统危害发生的概率。
附图说明
30.图1为本发明基于故障树的汽车功能失效分析方法的整体流程示意图；
31.图2为本发明基于fta的失效模式与影响分析策略示意图；
32.图3为本发明制动灯功能系统架构的结构示意图；
33.图4为本发明制动灯功能的分析流程示意图。
具体实施方式
34.下面，结合附图以及具体实施方式，对本发明做进一步描述，需要说明的是，在不相冲突的前提下，以下描述的各实施例之间或各技术特征之间可以任意组合形成新的实施例。
35.实施例一
36.本实施例提供一种基于故障树的汽车功能失效分析方法，所述方法主要用于发掘汽车整车层面的潜在危险，提高整车系统的安全性，降低了系统危害发生的概率。
37.本实施例所述的基于故障树的汽车功能失效分析方法，参考图1所示，其具体包括如下步骤：
38.步骤s1：预先确定整车的待分析相关项；
39.所述相关项是实现整车层面功能/部分功能的系统或系统组，例如智能车灯系统是整车中的其中一个相关项。
40.步骤s2：相关项功能划分；
41.所述相关项功能是系统或系统组实现的基本功能，而所述相关项功能是根据整车系统的每个相关项进行功能划分所得；例如，智能车灯系统包括点亮/关闭制动灯、点亮/关闭转向灯和点亮/关闭位置灯等功能，因此智能车灯系统的相关项功能包括制动灯功能、转向灯功能和位置灯功能等。
42.步骤s3：确定待分析的相关项功能；
43.本实施例遍历所有相关项功能，可根据实际需求将其中一个相关项功能作为当前分析对象，在该相关项功能完成分析后继续对下一相关项功能进行分析，直至所有相关项功能都分析完毕。
44.步骤s4：通过hazop分析定义相关项功能的功能失效模式；
45.所述hazop分析用来识别和评估相关项功能的失效模式，这些行为可能导致危害，从而对车辆乘员、其他车辆及乘员、或其他人员造成潜在危害。
46.而所述功能失效模式是根据关键字来呈现的，关键字包括功能丢失、功能超过预期、功能小于预期、功能方向错误、意外地提供功能和按预期更新的功能失效；即当功能无法达到预期时，则可通过上述关键字来表达该功能所对应的功能失效模式。
47.同时，根据功能失效后对整车所造成的的影响、以及对人员造成的影响的判断所述相关项功能是否为危害事件，并汇总在表1中，以为后续危害分析和风险评估提供基础支持。
48.表1 hazop分析表
[0049][0050]
步骤s5：通过hara分析确定功能x的安全目标和asil等级；
[0051]
所述hara分析可识别潜在危害，评估每个危害事件的风险以确定功能安全asil等级和安全目标。即根据步骤s4得到的功能失效模式进一步进行分析，基于hara分析和评估每个所述危害事件的风险，如下表所示，根据操作模式、驾驶状况、环境条件选择驾驶场景，参考功能安全标准iso 26262或gbt34590确定暴露率e、严重度s、可控性c以得到asil等级和功能安全目标。
[0052]
表2hara分析表
[0053][0054]
步骤s6：根据相关项功能的安全目标和系统架构通过fta分析确定组件失效模式；
[0055]
其中，所述相关项功能可能存在多个安全目标，其中安全目标为最高层面的安全要求，并为每个安全目标分配其对应的asil等级。而本实施例遍历所有相关项功能过程中，基于故障树对每个所述相关项功能所对应的组件进行失效影响分析从而确定组件失效模式。
[0056]
所述故障树基于系统架构进行构建，所述系统架构为与相关项功能安全相关的组件的集合及其之间的信号交互；如图2所示，本实施例中所述故障树以违背安全目标作为顶事件，其中，顶事件为安全目标的相反事件；所述故障树以组件本身失效、输入组件失效和传输组件失效作为所述故障树的中间事件，分析每个事件的失效对安全目标的影响；即将故障树分析方法应用于组件的失效模式导出，组件为系统架构中跟安全目标相关的部分，以安全目标违背作为顶事件，逐层向下找出违背安全目标的原因，而故障树的中间事件从组件本身失效、输入组件失效和传输组件失效进行分析，分别得到各个组件的所有组件失效模式。
[0057]
步骤s7：根据相关项功能中的组件失效模式确定并完善fmea分析表，提出建议的安全机制。
[0058]
所述fmea分析属于归纳分析方法，用于找出所有潜在的失效模式，并分析其可能的后果，从而预先采取必要的措施，提高产品的质量和可靠性。
[0059]
本实施例中根据步骤s6中fta分析识别的组件本身失效、输入组件失效和传输组件失效的所有组件失效模式进行失效影响分析，对功能造成的影响和危害，同时，根据影响分析对每个组件失效模式判断是否违背安全目标，若组件失效模式未违背安全目标，则在创建的fmea表中进行记录，即在表3第五列填入no，分析结束。
[0060]
若判断得知所述组件失效模式违背其对应的安全目标，分析当前系统架构中是否有安全机制覆盖该失效模式，即判断数据库中是否预存有与所述组件失效模式相匹配的安全机制，若是则调取相匹配的安全机制并将其覆盖所述组件失效模式；若有安全机制覆盖该失效，则在创建的fmea表中进行记录，即在表3中填入已有安全机制编号。
[0061]
其中，安全机制是为避免电子电气系统失效所设计的解决方案，当安全机制能检测到组件对应的失效模式，表示可以覆盖到该失效；比如安全机制能检测到电源过压，表示可以覆盖电源过压的这种失效模式。
[0062]
若数据库中不存在与所述组件失效模式相匹配的安全机制，即无安全机制覆盖该失效，则需要进一步分析s/o/d值查表得到行动优先级ap，其中s代表严重度，o代表发生频率，d代表可探测度，行动优先级ap分为高优先级h、中等优先级m、低优先级l，根据不同的行动优先级来确定是否新增安全机制来覆盖失效模式。
[0063]
其中，当行动优先级ap为高优先级h和中等优先级m时，应该增加安全机制，或说明目前控制已经充分；当行动优先级ap为低优先级l时，可不增加安全机制，并说明目前控制已经充分。即若无新增安全机制覆盖失效模式，则需要证据表明当前风险可接受；若有新增安全机制覆盖失效模式，则在fmea表中填入新增有安全机制编号。
[0064]
表3 fmea分析表
[0065][0066]
步骤s8：继续分析相关项中的其他功能，直到全部的相关项功能分析完成，最终得到针对每个安全目标的fmea分析表，并将fmea分析表合并成为相关项的fmea分析表。
[0067]
所述相关项中可能包含多个相关项功能，而每个相关项功能可能对应多个安全目标，再加上同一相关项功能所对应的组件结构相同，因此可能出现同一个组件失效模式可能违背安全目标一却不违背安全目标二的情况。因此，本实施例针对每个安全目标均进行步骤s6和步骤s7的分析，即完成一个相关项功能的全部安全目标的分析之后汇总所有安全目标形成初始fmea分析表；然后，完成一个相关项的所有相关项功能对应的全部安全目标的分析，则得到每个相关项功能对应的一个fmea分析表；最后，将每个相关项功能对应的fmea表进行汇总形成相关项的fmea分析表。
[0068]
下面以智能车灯系统的制动灯功能为例，详细说明故障树分析方法和失效模式与影响分析方法融合开发的实现过程；但需要强调的是智能车灯系统的制动灯功能只是本方法的一部分实施例，而不是全部的实施例。
[0069]
制动灯功能的分析过程如下：
[0070]
步骤1：确定待分析相关项；
[0071]
本实施例相关项为智能车灯系统，智能车灯系统由制动灯功能、转向灯功能和位置灯功能等组成。
[0072]
步骤2：相关项功能划分；
[0073]
本实施例以智能车灯系统为例，将智能车灯系统进行功能划分为制动灯功能、转向灯功能和位置灯功能。
[0074]
步骤3：确定待分析的相关项功能；
[0075]
本实施例以智能车灯系统的制动灯功能为例进行分析，如图3所示，图3为制动灯功能的系统架构，当满足制动灯激活条件，由bcm控制制动灯点亮；当不满足制动灯激活条件，bcm控制制动灯熄灭。其中制动灯激活条件包括刹车踏板踩下和esc紧急制动触发。
[0076]
步骤4：通过hazop分析定义相关项功能的功能失效模式；
[0077]
本实施例以制动灯功能进行hazop分析，其中功能失效模式包括不能点亮制动灯、制动灯点亮过晚、制动灯点亮过早和意外地点亮制动灯，其中不能点亮制动灯和制动灯点亮过晚属于危害事件。其对应的hazop分析表如下：
[0078]
表4 hazop分析表
[0079][0080][0081]
步骤5：通过hara分析确定相关项功能的安全目标和asil等级；
[0082]
对于本实施例的制动灯功能，包含一个安全目标，安全目标为车辆刹车时，点亮制动灯，asil等级为asil a。其对应的危害分析和风险评估表如下：
[0083]
表5危害分析和风险评估表
[0084][0085]
步骤6：根据相关项功能的安全目标和系统架构通过fta分析确定组件层级失效模式；
[0086]
根据步骤5分析得到制动灯功能的安全目标为车辆刹车时，点亮制动灯。根据功能逻辑分析得到制动灯功能系统架构(如图3所示)，通过故障树分析方法得到组件层级的组件失效模式。如图4所示，根据制动灯功能系统架构构建的故障树以制动灯无法点亮为顶事件，以制动灯本身失效、制动灯输入失效作为中间事件，而制动灯输入失效的事件又细分为bcm本身失效、bcm输入失效以及can传输失效，逐层向下分析找出所有违背安全目标的原因。
[0087]
步骤7：根据相关项功能中组件层级的组件失效模式确定并完善fmea分析表，提出
建议的安全机制。
[0088]
根据步骤6得到的制动灯系统相关组件的失效模式进行失效影响分析，得到覆盖失效模式的安全机制，并汇总成如下的fmea分析表。
[0089]
表6 fmea分析表
[0090]
[0091][0092]
其中，安全机制如表7所示：
[0093]
表7安全机制表
[0094]
安全机制编号描述asil等级sm01制动灯应该由一组串联或并联的led组成，并能检测制动灯状态asil asm02应有检测电路来监控制动灯驱动功能asil asm03bcm应该监控电源供电asil asm04can通信自诊断asil asm05刹车开关应该通过两路冗余硬线连接asil asm06在线监控进行范围检测asil a
[0095]
步骤8：继续分析相关项中的其他功能，直到全部功能分析完成，最终得到针对每个安全目标的fmea分析表，并将fmea分析表合并成为相关项的fmea分析表。
[0096]
智能车灯系统的制动灯功能只包含一个安全目标，因此，本实施例的制动灯功能分析完成，位置灯功能和转向灯功能作为相关项中的其他功能根据步骤3～步骤7进行下一步分析。
[0097]
综上，基于故障树分析方法和失效模式与影响分析方法的开发要求，提出了一种基于fta的功能安全失效模式与影响分析方法。将故障树分析方法和失效模式与影响分析方法结合分析系统组件层级的失效和影响，能够得到全面的失效模式和完备的安全机制。不仅为电控系统功能安全开发提供了新思路，还确保了开发过程的高可靠性和高安全性。
[0098]
实施例二
[0099]
本实施例提供一种基于故障树的汽车功能失效分析系统，执行如实施例一所述的基于故障树的汽车功能失效分析方法；所述系统包括：
[0100]
影响分析模块，用于遍历整车系统中每个相关项功能，基于故障树对每个所述相关项功能所对应的组件进行失效影响分析以确定组件失效模式，其中，所述故障树以所述相关项功能违背安全目标作为顶事件，以组件本身失效、输入组件失效和传输组件失效作为所述故障树的中间事件；
[0101]
汇总分析模块，用于判断每个所述组件失效模式是否违背其对应的安全目标，为违背安全目标的所述组件失效模式匹配对应的安全机制，并为整车系统中每个相关项汇总
和输出对应的fmea分析表。
[0102]
在一些实施例中，还提供一种电子设备，其包括处理器、存储器及存储于所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现实施例一中的基于故障树的汽车功能失效分析方法。
[0103]
另外，在一些实施例中，还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被执行时实现上述的基于故障树的汽车功能失效分析方法。
[0104]
上述系统、设备及存储介质与前述实施例中的方法是基于同一发明构思下的多个方面，在前面已经对方法实施过程作了详细的描述，所以本领域技术人员可根据前述描述清楚地了解上述系统、设备及存储介质的结构及实施过程，为了说明书的简洁，在此就不再赘述。
[0105]
上述实施方式仅为本发明的优选实施方式，不能以此来限定本发明保护的范围，本领域的技术人员在本发明的基础上所做的任何非实质性的变化及替换均属于本发明所要求保护的范围。