Fault Tree Analysis (FTA) 深度 — top-down 安全分析

功能安全L2别名 FTA · Fault Tree Analysis · 故障树 · cut set · minimal cut set · top-down 安全分析

本质与导读

本质 FTA 是 ISO 26262 Part 9 §8 的 top-down 安全分析:从 Top Event(SG 违背)反向追到 Minimal Cut Set——不可再约简的 fault 组合。它与 bottom-up 的 FMEDA 互补,MCS 正是 FMEDA 的输入,所以 ASIL D 必须两者都做。

主线坐标:横轨 · 功能安全(跨站) · ↑ 全景主线

1. FTA 范例 — 主驱意外加速

下图把"主驱意外加速"的 FTA 一次说清:

FTA — 主驱意外加速顶事件 → cut set

3 个核心观察:

顶事件 = SG 违背
gate(AND / OR)描述 fault 累积逻辑
basic event = root cause (SEU / lockstep 失效 / 短路 / PWM 错)

2. FTA vs FMEDA 对比

两个分析方法互补:

维度	FTA	FMEDA
方向	top-down	bottom-up
起点	top event (SG)	基本元件
输出	Minimal Cut Set	SPFM / LFM / PMHF
适用	系统级	元件级
ISO 26262	Part 9 §8 推荐	Part 5 §8 (SPFM/LFM) + §9 (PMHF)
工具	FaultTree+ / Risk Spectrum	Polarion FMEDA / IQ-FMEDA

ASIL D 项目:两个都做 — FTA 找 cut set,FMEDA 算 FIT。

3. FTA 符号 — 5 大 gate

ISO 26262 + IEC 61025 标准符号:

3.1 AND gate

AND gate 的工程特点 + 应用场景:

所有输入都发生才输出
$P o u t = \prod P in$
适合"冗余架构"分析(如 lockstep + 1 个 SEU)

3.2 OR gate

OR gate 的工程特点 + 应用场景:

任一输入发生就输出
$P o u t = 1 - \prod (1 - P in)$
适合"任一通道失败"

3.3 Voting (k-out-of-n)

Voting 的工程特点 + 应用场景:

n 个输入中 ≥ k 个发生才输出
e.g., 2oo3 (3 个里至少 2 个失效)
适合 BMS 表决架构

3.4 NOT gate

NOT gate 的工程特点 + 应用场景:

输入不发生才输出
用得少,逻辑反转

3.5 Conditional gate

Conditional gate 的工程特点 + 应用场景:

输入 + 条件同时成立才输出
e.g., 故障 × 高温环境

4. Cut Set + Minimal Cut Set

cut set 是 FTA 的核心输出:

4.1 Cut Set 定义

Cut Set 定义的工程特点 + 应用场景:

一组 basic event 同时发生 → top event 发生
一个 FTA 通常有 100-1000 个 cut set
不一定 minimal

4.2 Minimal Cut Set (MCS)

MCS 的工程特点 + 应用场景:

不可再约简的 cut set
是最敏感的 fault 组合
ASIL D 项目 MCS 必 ≤ 50 个

4.3 算 MCS

算 MCS 的工程特点 + 应用场景:

工具自动算(Isograph / Risk Spectrum)
人工算用 MOCUS / SETS 算法
大 tree 必工具

5. Importance Measure

Importance measure 量化每个 basic event 对 top 的贡献:

Birnbaum:对 top 概率的边际贡献
Fussell-Vesely:基本事件在 cut set 中的频率
Risk Reduction Worth:消除该 event 后 top 概率下降比例
Risk Achievement Worth:该 event 100% 发生时 top 概率增

ASIL D 项目用 importance 排序,重点防护 top 10 important events。

6. 主流 FTA 工具

3 大主流 FTA 工具:

6.1 Isograph FaultTree+

Isograph FaultTree+ 的工程特点 + 应用场景:

老牌 (1980s)
ISO 26262 cert
用户多,模板丰富
价格 5-15k USD/seat

6.2 Lloyd's Risk Spectrum

Lloyd's Risk Spectrum 的工程特点 + 应用场景:

核电起家,功能全
适合大型 + 多 ASIL 项目
价格 8-15k USD/seat

6.3 ITEM Toolkit

ITEM Toolkit 的工程特点 + 应用场景:

集成 FTA + FMEDA + Markov
性价比高
价格 3-8k USD/seat

6.4 国产

国产 FTA 工具现状:

沪牛软件 — 部分功能,ASIL B+ cert
经纬恒润 INTEWORK — 集成在 ALM 内
国产替代率 30%,主驱 ASIL D 仍 Tier 1

7. 主驱 FTA 实战 — 意外加速

EV 主驱 SG-001 (意外加速) FTA:

7.1 顶事件

顶事件的工程特点 + 应用场景:

"主驱产生 > +50Nm 意外扭矩"
来自 HARA + Safety Goal

7.2 第一层分解

第一层分解:

扭矩 cmd 错 (来自 VCU / MCU)
扭矩 execution 错 (PEU / 主驱)
二者 OR

7.3 扭矩 cmd 错的二级

扭矩 cmd 错二级分解:

MCU SEU 引起错指令
但有 lockstep CCC 保护 → AND latent SM 失效
E2E 错 → 但有 receiver CRC 检测

7.4 扭矩 execution 错的二级

扭矩 execution 错二级分解:

驱动短路 (DESAT 检测)
PWM 错 (read-back 校验)
ADC 错 (双 ADC 对比)

7.5 输出 MCS

输出 MCS 5 个典型:

{SEU, lockstep 失效}
{E2E corrupt, E2E disabled}
{DESAT 失效, 桥臂短路}
{PWM register 翻位, PWM read-back 失效}
{ADC 漂移, ADC redundancy 失效}

8. FTA 量化分析

FTA 量化输出:

top event 概率 Ptop(无量纲)
top event 失效率 λtop(单位 1/h 或 FIT,由 basic event 失效率沿门传播得到)
每个 MCS 概率 PMCS
importance ranking
PMHF 对照(与 FMEDA 一致)

ASIL D 目标:λtop ≤ 10 FIT (= ASIL D PMHF 目标 < 10 FIT,与 FMEDA 一致;注意是失效率不是概率)。

9. ASIL D 主驱 FTA 验证 5 项

ASIL D FTA 验证清单:

完整性 — top event 列全 (所有 SG)
可追溯 — basic event 链回 HW component
MCS 数量 — ≤ 50 个,否则架构需优化
importance 排序 — top 10 排序 + 防护证据
与 FMEDA 一致 — λtop ≈ PMHF

10. FTA 在 ASIL Decomposition 的角色

FTA 是 ASIL Decomposition 的工具:

D = B(D) + B(D) 拆解后,两个 B 必独立
FTA 验证独立性(无共 cut set)
DFA 6 项独立性证据来自 FTA
见 topic-asil-decomposition-deep

11. FTA + FMEDA + FTA 联动

3 大分析协同:

FTA (top-down) → cut set
FMEDA (bottom-up) → SPFM / LFM / PMHF
DFA (独立性) → 跨组件 6 项验证
三者一致 = FSAR 通过

详见 topic-dfa-fmeda-fta。

12. 一句话总结

FTA = ISO 26262 Part 9 §8 (Safety analyses) top-down 安全分析 — 从 SG 违背 (顶事件) 反向追溯到 root cause,输出 MCS = FMEDA 输入。主流工具:Isograph FaultTree+ (主驱主流) / Risk Spectrum / ITEM Toolkit。ASIL D 必两个分析都做 — FTA 找 cut set,FMEDA 算 FIT,FSAR 评审拒签 root cause 之一是 FTA + FMEDA 不一致。新项目设计时 FTA 早做(M1 阶段),指导架构设计 + 防护资源分配。

核心要点

FTA top-down,FMEDA bottom-up,二者互补
Top event = SG 违背,basic event = root cause
AND / OR / Voting gate 描述 fault 累积
MCS = Minimal Cut Set = FMEDA 输入
Isograph FaultTree+ 是 EV 主流工具

缩写表

只列本页用到的工业标准缩写;通用英语…

只列本页用到的工业标准缩写;通用英语 / 单位 / 月份 / 我们的 层/Lx tag 不列。覆盖不到的术语见正文 inline 注释。

缩写	全称	中文 / 备注
FTA	Fault Tree Analysis	故障树分析
ISO	International Organization for Standardization	国际标准化组织
FMEDA	Failure Modes, Effects and Diagnostic Analysis	含诊断覆盖的 FMEA
IEC	International Electrotechnical Commission	国际电工委员会
SG	Safety Goal	安全目标(ISO 26262-3)
FIT	Failures In Time	1e9 小时失效率单位 (1 FIT = 1 failure / 1e9 h)
ASIL	Automotive Safety Integrity Level	ISO 26262 安全完整性等级 QM→A→B→C→D
PWM	Pulse Width Modulation	脉冲宽度调制
SPFM	Single-Point Fault Metric	单点失效度量
LFM	Latent Fault Metric	潜伏故障度量
PMHF	Probabilistic Metric for Hardware Failures	硬件随机失效概率指标
BMS	Battery Management System	电池管理系统
EV	Electric Vehicle	电动车
HARA	Hazard Analysis and Risk Assessment	危害分析与风险评估,part 3
VCU	Vehicle Control Unit	整车控制器
MCU	Microcontroller Unit	微控制器(本页多指车规多核 MCU)
SM	Safety Mechanism	安全机制
E2E	End-to-End protection	端到端通信保护 (AUTOSAR)
ADC	Analog-to-Digital Converter	模数转换器
DFA	Dependent Failure Analysis	相关失效分析(ISO 26262-9)

Cross-references

← 索引
功能安全工程师指南 hub — V-cycle + 8 大主题
FMEDA 深度 — FMEDA 与 FTA 互补
DFA / FMEDA / FTA — 3 大分析联动
HARA Worked Example — top event 来源
ASIL Decomposition 深度 — FTA 验证独立性
Functional Safety 工具栈 — Isograph + Risk Spectrum