FS-B3 — FTA 与最小割集:为什么一列 FIT 数学上装不下"组合结构",以及 top-down 逻辑证据如何与 FMEDA 概率证据互补

本质与导读

专家养成 · 模块一(功能安全)· B 阶第 3 讲。上一讲 FS-B2 把 FMEDA 的可信度逼到一个数——诊断覆盖率 DC——上,看清整支概率证据是一张失效率分账表。但那张表是 bottom-up 的:它逐个器件枚举失效模式、各自配一个 FIT,然后求和。今天要追问一个 bottom-up 永远答不了的问题:这些失效模式要"几个一起坏"才会真的违背安全目标? 一列边际 FIT 里没有这个信息——而它恰恰决定了哪个失效是必须立刻消灭的单点、哪个只是需要兜底的潜伏点。补上这条信息的,是 top-down 的逻辑证据:故障树(FTA)及其产物——最小割集(MCS)。本讲讲透:为什么概率必须配逻辑,MCS 为什么是两套证据之间的接口对象。

开篇:硬约束——边际失效率的列表,数学上重构不出"危害的布尔结构"

FMEDA 交出的是一张表:器件 $i$ 的某失效模式,边际失效率 $λ_{i}$ 。这是一组边际量。但"安全目标被违背"这个顶层事件,几乎从不等于"某一个 $λ_{i}$ 发生",而是器件失效的布尔组合:有时是"A 或 B 或 C 任一发生"(OR),有时是"A 且 B 同时发生"(AND)。

这里藏着一个纯数学的硬约束:联合概率无法从边际概率列表里恢复。 给你 $q_{A}$ 和 $q_{B}$ 两个边际,你算不出 $P (A \cap B)$ ——除非额外知道它们的相关结构(独立时才有 $P (A \cap B) = q_{A} q_{B}$ ,共因时完全不同)。同理你也算不出顶事件是 $A \cup B$ 还是 $A \cap B$ :这两者概率可以差好几个数量级( $q_{A} + q_{B}$ vs $q_{A} q_{B}$ ),而一张 FMEDA 表对此只字未提。换句话说,bottom-up 枚举给了你所有"砖块"的重量,却没给你"墙怎么砌"的图纸。

于是问题不是"FMEDA 算得准不准",而是 FMEDA 在结构上看不见组合:它把每个失效模式标成 SPF(单点)/ RF(残余)/ MPF(多点),可"这个失效到底是单独就闯祸的单点、还是要凑齐第二个才闯祸的多点"——这个分类本身,需要外部输入。提供这个输入的,就是自顶向下推出的布尔结构。这正是 ISO 26262-9 §8 要求 ASIL D 既做 FMEDA 又做 FTA 的第一性原因:不是流程冗余,是两者各补对方一个数学上的盲区。

中段一:FTA 的第一性定义——从"绝不能发生的事"反向展开的结构函数

FTA 和 FMEDA 的方向恰好相反,而方向决定了它们看见什么。FMEDA 从器件出发问"这个坏了会怎样"(因→果);FTA 从顶事件(Top Event)出发问"要发生这件事,得有什么坏"(果→因)。顶事件不是随便选的,它必须是一个安全目标的违背 / 危害的重现——也就是 HARA 已经判过 ASIL 的那件"绝不能发生的事"。从"绝不能发生的事"倒推,保证了分析的每一条路径都直接挂在安全目标上,不会跑偏去分析无关失效。

往下展开靠逻辑门,而门的类型编码了因果的累积方式:

OR 门:任一输入发生,输出即发生。它表达"冗余的缺失"——这条路上没有第二道防线,所以单独一个就够闯祸。
AND 门:所有输入同时发生,输出才发生。它表达"存在独立的第二道防线"——必须两件事一起坏。

把树一路展开到不可再分的基本事件(basic event)(器件级 root cause,这一层正好和 FMEDA 的失效模式对齐),整棵树就等价于一个布尔结构函数 $φ (x)$ :基本事件状态向量 $x \in {0, 1}^{n}$ 映射到顶事件是否发生。AND 对应布尔积、OR 对应布尔和。这棵树就是 FMEDA 那张表缺的图纸——它把"墙怎么砌"显式写成了逻辑表达式。

中段二:最小割集——把布尔结构压成"几组、每组几阶",阶数即危害等级

结构函数本身还太大,不好用。真正的工程产物是把它化简成最小割集(Minimal Cut Set, MCS)。

割集(cut set):一组基本事件,只要它们同时发生,顶事件就发生。最小割集:再去掉其中任何一个,就不再能引发顶事件的割集——即"不可约简的最小肇事组合"。把结构函数用布尔代数化简(反复套用吸收律 $A + A B = A$ ),顶事件就等价表达成所有 MCS 的并:

φ (x) = 1 - i = 1 \prod k (1 - j \in C_{i} \prod x_{j})

读法:顶事件发生,当且仅当至少一个最小割集 $C_{i}$ 里的事件全部发生。

MCS 最有用的一个属性是它的阶(order)= 集合里基本事件的个数,因为阶直接翻译成安全语义:

1 阶 MCS = 单点故障(SPF)。 一个事件单独就能违背安全目标——这是最危险的结构,ASIL D 下原则上必须被消灭(SPFM $\geq 99%$ 的几何意义就是"几乎没有 1 阶割集裸奔")。
2 阶及以上 MCS = 多点故障(MPF)。 必须凑齐两个及以上独立事件才闯祸,概率是各事件概率之积,通常小几个数量级;它们活在潜伏故障和 LFM 的管辖区(见 FS-A3 讲的 MPFDTI 第二根时间轴)。

到这里,前一讲埋的接口对象浮出水面:MCS 正是 FTA 交给 FMEDA 的握手数据。 FMEDA 要判一个失效模式是 SPF 还是 MPF,看的就是它落在几阶的割集里——这个"几阶",只有 FTA 能给。反过来,FMEDA 把 FIT 填进每个基本事件,FTA 才能从纯逻辑升级成定量概率。两者在 MCS 这个对象上对接。

中段三:worked example——主驱意外扭矩,从树到割集到概率,再到一次设计迭代

走一个完整的数,把"逻辑→割集→概率→改设计"跑通一遍。顶事件 $T$ = 逆变器输出非预期扭矩(SG"无非预期扭矩"的违背,设 ASIL D)。展开后得到三个最小割集:

$C_{1} = {B_{5}}$ :栅极驱动输出级失效直接导致误导通(无保护时单独闯祸,1 阶)。
$C_{2} = {B_{1}, B_{2}}$ :MCU 扭矩计算错( $B_{1}$ )且 lockstep 比较器失效未拦住( $B_{2}$ )(2 阶)。
$C_{3} = {B_{3}, B_{4}}$ :相电流采样故障( $B_{3}$ )且软件合理性校验失效( $B_{4}$ )(2 阶)。

把 FMEDA 的 FIT 填进来( $1 FIT = 1 0^{- 9} / h$ ),取整车寿命 $T_{L} = 1.5 \times 1 0^{4} h$ ,稀有事件下基本事件的寿命概率 $q \approx λ T_{L} = FIT \times 1.5 \times 1 0^{- 5}$ :

基本事件	含义	$λ$ (FIT)	$q = λ T_{L}$
$B_{5}$	驱动输出级失效(无保护)	50	$7.5 \times 1 0^{- 4}$
$B_{1}$	MCU 扭矩计算错	100	$1.5 \times 1 0^{- 3}$
$B_{2}$	lockstep 潜伏失效	80	$1.2 \times 1 0^{- 3}$
$B_{3}$	电流采样故障	20	$3.0 \times 1 0^{- 4}$
$B_{4}$	合理性校验潜伏失效	60	$9.0 \times 1 0^{- 4}$

顶事件概率用稀有事件近似(Boole 不等式给的上界,各项独立时由 inclusion-exclusion 截断到一阶):

P (T) = P (i ⋃ j \in C_{i} ⋂ B_{j}) \leq i = 1 \sum k j \in C_{i} \prod q_{j}

代入三个割集:

P (T) \approx C_{1} (1 阶) 7.5 \times 1 0^{- 4} + C_{2} = 1.8 \times 1 0^{- 6} 1.5 \times 1 0^{- 3} \cdot 1.2 \times 1 0^{- 3} + C_{3} = 2.7 \times 1 0^{- 7} 3.0 \times 1 0^{- 4} \cdot 9.0 \times 1 0^{- 4} \approx 7.52 \times 1 0^{- 4}

第一个工程读数立刻跳出来:1 阶割集 $C_{1}$ 独占了 99.7% 的概率质量,比两个 2 阶割集之和大约 400 倍。这不是因为 $B_{5}$ 的 FIT 特别大(它才 50 FIT,比 $B_{1}$ 还小),而纯粹是阶数的杠杆——少乘一个 $\sim 1 0^{- 3}$ 的因子,概率就高三个数量级。这正是 FMEDA 边际列表看不见、而 FTA 一眼看穿的结构事实:先消灭 1 阶割集,远比优化任何 FIT 都重要。

于是做这棵树指定的设计动作:给 $B_{5}$ 加一道独立保护(DESAT + 安全态门控),记作基本事件 $B_{6}$ ( $λ_{6} = 60$ FIT 潜伏, $q_{6} = 9.0 \times 1 0^{- 4}$ )。原来的 1 阶割集 $C_{1} = {B_{5}}$ 被升阶成 2 阶 $C_{1}^{'} = {B_{5}, B_{6}}$ ——现在驱动误导通必须"输出级坏且保护也坏"才发生:

C_{1}^{'} : q_{5} \cdot q_{6} = 7.5 \times 1 0^{- 4} \times 9.0 \times 1 0^{- 4} = 6.75 \times 1 0^{- 7}

P (T)_{after} \approx 6.75 \times 1 0^{- 7} + 1.8 \times 1 0^{- 6} + 2.7 \times 1 0^{- 7} \approx 2.75 \times 1 0^{- 6}

顶事件概率掉了约 270 倍,而且全树再无 1 阶割集。换算成 PMHF 量级( $P (T) / T_{L} \approx 1.8 \times 1 0^{- 10} / h \approx 0.18$ FIT)已远低于 ASIL D 的 10 FIT 门槛。注意这次主导项换人了:消灭单点后, $C_{2} = {B_{1}, B_{2}}$ (MCU + lockstep)以 $1.8 \times 1 0^{- 6}$ 成了新瓶颈。FTA 的迭代回路就是这样:化简→看主导割集→打掉它→重算→看下一个主导项,直到达标。把每个割集贡献除以 $P (T)$ 就是 Fussell–Vesely 重要度——此时 $FV (C_{2}) = 1.8 \times 1 0^{- 6} /2.75 \times 1 0^{- 6} \approx 0.65$ ,定量地告诉你下一刀该砍哪。

中段四:为什么 FTA 与 FMEDA 必须互补——结构与质量的对偶,以及近似失效的边界

把两套证据的分工讲到底,就能看清它们是一对对偶,不是二选一也不是冗余:

FTA 给"结构":哪些事件组合成割集、各几阶、谁是单点。它擅长组合逻辑,但门里填的概率要等别人给。
FMEDA 给"质量":每个基本事件分多少 FIT、被 DC 覆盖掉多少残余。它擅长穷举失效率,但组合关系要等别人给。
MCS 是握手对象:FTA 产出 MCS,FMEDA 据其阶数判 SPF/MPF 并把 FIT 灌进去;两数在此合一,才同时得到"结构对"和"概率够"两重证据。这也是为什么 ISO 26262 把 FMEDA(归纳)和 FTA(演绎)并列要求——单跑任何一个都留一个数学盲区。

但有一条前提必须点破,否则上面的乘法全是幻觉:2 阶割集 $q_{A} q_{B}$ 的概率优势,完全建立在 $A, B$ 相互独立之上。若两个事件有共因(同一颗电源、同一束线、同一次 EMI、同一个时钟),它们会同时失效, $P (A \cap B)$ 会远大于 $q_{A} q_{B}$ ——稀有事件近似在这里彻底失真,一个看似 $1 0^{- 6}$ 的 2 阶割集实际可能退化成接近 1 阶的风险。这正是共因失效(CCF)与 $β$ 因子要解决的问题(下下讲 FS-B5),也是 ASIL 分解(下一讲 FS-B4)成立与否的命门——分解 $D = B (D) + B (D)$ 的全部合法性,就压在"两条通道真的独立"这一个 AND 门上。FTA 把这个独立性假设显式画成了那个 AND 门,从而让它变成一个可被 DFA 审计、可被推翻的对象——而不是藏在 FMEDA 表格深处的一个默认。

落到工程结论:自顶向下的逻辑分解流程 + 三条准则

把方法拼成可执行流程。给定一个安全目标:

定顶事件:取 SG 违背 / 危害重现为 Top Event(已带 ASIL),保证每条路径都挂在安全目标上。
展开结构:用 AND/OR 门一路分解到器件级基本事件,写出结构函数;AND 门处显式标注它依赖的独立性假设。
化简到 MCS:布尔吸收律约简,列出所有最小割集及其阶数;1 阶割集 = 单点,红线优先消灭。
灌 FMEDA 的 FIT:每个基本事件填 $λ (1 - DC)$ 残余率,稀有事件近似算 $P (T) = \sum_{i} \prod_{j \in C_{i}} q_{j}$ 。
按重要度迭代:算 Fussell–Vesely 找主导割集→加 SM 把它升阶 / 降残余→重算,直到 $P (T)$ 折算 PMHF 达标且无裸 1 阶割集。
交回 DFA 审独立性:每个 2 阶割集的 AND 门,送 DFA 核共因(电源/时钟/物理/线束),否则乘法失效——接 FS-B5。

带走三条准则:

阶数是比 FIT 更强的杠杆。 1 阶割集独占概率质量,消灭单点永远先于优化任何边际 FIT;FTA 一眼能给出阶,FMEDA 列表给不出。
MCS 是 FTA 与 FMEDA 的唯一接口。 结构(谁与谁组合)来自 FTA,质量(各多少 FIT)来自 FMEDA,二者只在 MCS 上对接——缺任一支,证据就有数学盲区。
2 阶割集的概率优势是有前提的支票。 $q_{A} q_{B}$ 只在独立时成立;FTA 把独立性显式画成 AND 门,逼你用 DFA 去兑现它,而不是默认它。

承上启下:今天我们补上了概率证据缺的…

承上启下:今天我们补上了概率证据缺的那张图纸——FTA 自顶向下把"危害的布尔结构"显式化,化简成最小割集;割集的阶直接区分单点与多点,1 阶割集独占概率质量,而 2 阶割集的概率优势全压在"两通道独立"这个 AND 门上。下一讲 FS-B4 就钻进那个 AND 门:ASIL 分解 $D = B (D) + B (D)$ 的数学到底是什么、独立性前提为何最难证、以及把两条根本不独立的通道当成分解的"伪分解陷阱"如何让整支证据塌掉。预热可读 ASIL 分解深度。

FS-B3 — FTA 与最小割集:为什么一列 FIT 数学上装不下"组合结构",以及 top-down 逻辑证据如何与 FMEDA 概率证据互补

本质与导读

1. 开篇:硬约束——边际失效率的列表,数学上重构不出"危害的布尔结构"

2. 中段一:FTA 的第一性定义——从"绝不能发生的事"反向展开的结构函数

3. 中段二:最小割集——把布尔结构压成"几组、每组几阶",阶数即危害等级

4. 中段三:worked example——主驱意外扭矩,从树到割集到概率,再到一次设计迭代

5. 中段四:为什么 FTA 与 FMEDA 必须互补——结构与质量的对偶,以及近似失效的边界

6. 落到工程结论:自顶向下的逻辑分解流程 + 三条准则