功能安全是近年來發展形成的一套全新安全技術理念與管理方法，是對傳統安全管理方式的一種突破。采用功能安全技術的目的是保障安全系統在必要時能有效地執行其安全功能。功能安全技術以系統在安全生命周期各階段的安全完整性水平為核心，通過對受控設備進行危險和風險分析，為其設置有效的安全功能，選擇恰當的目標安全完整性水平，設計出滿足目標安全完整性水平要求的安全功能。

國際電工委員會(IEC)于2000年出臺了功能安全國際標準IEC61508：電氣/電子/可編程電子(E/E/PE)安全相關系統的功能安全。該標準于2010年完成修訂，發布了第二版。該標準是功能安全的通用標準，是其他行業制定功能安全標準的基礎。該標準提出了一個通用的方法，目的是為了針對以電子為基礎的安全相關系統提出一種一致的、合理的技術方針，主要目標是促進應用領域標準的制定。目前已發布的行業標準有IEC 61511(過程工業)、IEC 61513(核工業)、IEC 62601(機械工業)、ISO 26262(汽車工業)等。

為滿足完整有效的功能安全要求，安全分析是必要的手段。安全分析的目的在于檢查相關項及要素的功能、表現及設計的故障和失效后果。安全分析也提供了關于導致違背安全目標及安全要求的條件和原因的信息。此外，安全分析也有助于識別出在先前危害分析和風險評估過程中未被發現的新功能性危害或非功能性危害。安全分析可以分為歸納分析法和演繹分析法。歸納分析法是由下而上的方法，由已知的原因預見未知的影響，比如：失效模式與影響分析(FMEA), 事件樹分析(ETA)，馬爾科夫(Markov)模型等。演繹分析法是由上而下的方法，由已知的影響探尋未知的原因，比如：括故障樹分析(FTA),可靠性框圖,魚骨圖等。

在ISO 26262的標準中，在產品設計的關鍵階段，明確了FMEA和FTA等在安全分析的必要性。比如在系統設計和硬件設計階段：“對系統設計進行安全分析以識別系統性失效的原因和系統性故障的影響”，“硬件設計的安全分析，可以識別硬件失效的原因和故障的影響”應按照下表1執行：

表1系統設計和硬件設計的安全分析

a 一個典型的演繹分析方法是 FTA。

b 一個典型的歸納分析法是 FMEA。

— “++”表示對于指定的ASIL等級，高度推薦該方法；— “+” 表示對于指定的ASIL等級，推薦該方法；— “o” 表示對于指定的ASIL等級，未推薦或反對該方法。

分析相關項和要素的故障和失效時，最常用的兩種技術是 FTA 和FMEA。FMEA是一種從系統各元器件的失效原因到它們的失效對系統的影響的歸納方法(自下而上)。FTA是 一種從非預期的系統行為到導致該行為的可能原因的演繹方法(自上而下)。

圖1 FMEA圖解，自上而下的方法

圖2 FTA 圖解，自上而下的方法

這些方法是互補的，分析的詳細程度和設計的詳細程度是相稱的。在某些情況下，兩種方法都可在不同的細節層面上執行。圖1和2里的橢圓形“Cx”既可表硬件也可代表軟件組件。一種典型的分析方法是使用FTA把危害分析到組件層面。然后使用FMEA自下而上的分析組件的失效模式，以確定其失效模式及消除故障樹底層故障的安全機制，(宜)避免 FTA模型與FMEA的重疊部分所導致的重復工作是所期望的。由此更傾向于將串行系統元器件的 FMEA 結果做為底事件失效率提供給故障樹模型。

系統是由許多零部件和子零部件組成的?？蓪TA和FMEA相結合，以提供具有自上而下和自下而上方法合理平衡的安全分析。如圖 3展示了將FTA和FMEA相結合的可能方法。在此圖中， 底事件是由在更低的抽象層面(例如：子元器件、元器件或組件層面)上完成的不同FMEA(以FMEA A-E標示)中得出的。在本示例中，FMEA B對底事件1和底事件 2沒有影響，但是FMEA D對它們兩個有影響。

圖 3FTA 和 FMEA 相結合的圖解

返回第一電動網首頁 >