FTA 三法 + 双点时间窗

功能安全L1别名 PMHF · Probabilistic Metric for random Hardware Failures · Markov FMEDA · FTA 量化 · 双点失效率 · MPFDI · 双点检测间隔

本质与导读

本质 SPFM/LFM 是覆盖率(比率),而 ASIL D 的 PMHF < 10 FIT 是绝对失效概率率——SPFM 99% 不代表 PMHF 过,因为还要把绝对失效率和双点失效算进去。关键:双点(潜伏)失效率 = λ_det·λ_lat·τ,时间窗 τ 由潜伏故障检测间隔 MPFDI 决定,上电自检 vs 从不检测能差好几个数量级,这才是 PMHF 成败的真正杠杆。

主线坐标:横轨 · 功能安全(跨站) · ↑ 全景主线

1. PMHF 为什么不能只看 SPFM/LFM

SPFM/LFM 衡量的是"危险失效里被覆盖了多少"(比率);PMHF 衡量的是"单位时间真出危害的概率"(绝对率)。一个高 SPFM 的设计若元件总 FIT 很大,绝对残余率仍可能超 10 FIT。下图把三者关系 + PMHF 三项来源一次摆开:

PMHF 三项来源（单点 + 残余 + 双点）与三种算法概览

PMHF 的三类贡献来源:

单点失效 SPF:无 SM 覆盖的危险失效,直接以失效率 $λ_{SPF}$ 贡献
残余失效 RF:有 SM 但未被覆盖的那部分, $λ_{RF} = λ \cdot (1 - D CSPF)$
双点失效 DPF:单个故障不致危害,但潜伏故障 + 第二故障同时存在才酿成——率正比于两失效率之积 × 同时存在的时间窗

前两项是"率级"(直接 1/h),第三项是"率²×时间"——这就是为什么双点项算法上最容易出错,也是 PMHF 与 SPFM/LFM 的根本分野。

2. 闭式法 — ISO 26262-5 Annex F.2 一阶公式

Annex F.2 给的是一阶近似:把三类贡献相加,可在 FMEDA 表里逐行累加,手算/工具都用它做首版估算。

PMHF = \sum λ_{SPF} + \sum λ_{RF} + (\sum λ_{DPF,det}) \cdot (\sum λ_{DPF,lat}) \cdot Tl i f e

各项含义:

$\sum λ_{SPF}$ — 单点故障失效率累加(对该安全目标)
$\sum λ_{RF}$ — 残余故障失效率累加 = $\sum λ \cdot (1 - D C)$
$\sum λ_{DPF,det}$ — 可探测的双点故障率(被 SM 检测的那条腿)
$\sum λ_{DPF,lat}$ — **潜伏(未探测)**的双点故障率(没被任何 SM/驾驶员发现的那条腿)
$Tl i f e$ — 整车运行(通电)小时(EV 典型 ~8000–12000 h;注意 ≠ 日历 8 年的 ~70k h,双点窗按通电时间算)

这条全局式是保守上界: $(\sum λ_{det}) \cdot (\sum λ_{lat})$ 把所有探测腿与所有潜伏腿交叉相乘,会把本不构成同一危害对的组合也算进去 → 系统性高估。精确做法是逐对求和(见 §2.1):只对真正成对的 det/lat 相乘。全局式当快速上界用,瓶颈项必用逐对(或 Markov/FTA)精确化。

2.1 双点项的物理:逐对 λ·λ·τ 与时间窗

双点失效要两个独立故障同时存在,按对算:某条潜伏腿先坏(率 λlat),被发现前平均潜伏一段时间 τ;这段时间里配对的探测腿也坏(率 λdet),才酿成危害。单对联合率与总双点项:

λ_{DPF} \approx λ_{lat} \cdot λ_{det} \cdot τ (单对), DPF \sum = i \sum λ_{lat, i} \cdot λ_{det, i} \cdot τ_{i}

时间窗 τ 的取值:从不检测取 $τ \approx Tl i f e$ (保守);更细的一阶取 $τ \approx Tl i f e /2$ (潜伏故障在 $[0, Tl i f e]$ 均匀到达 → 平均暴露半个寿命);周期检测取 $τ \approx$ MPFDI/2。量纲 $(1/ h) \cdot (1/ h) \cdot h = 1/ h$ 自洽。关键洞见:把 τ 从"从不检测( $Tl i f e$ )"缩到"上电自检(≈ 一次行程时长)",双点项降几个数量级——这正是 LFM(潜伏故障覆盖)在 PMHF 上的杠杆。

2.2 一阶法的局限

一阶公式假设不可修复(automotive 现场修复率 μ=0)、单一检测间隔、故障率恒定(指数分布)。它高估双点项(取 τ=Tlife 的保守上界),架构稍复杂(分级检测、混合可修)就需要 Markov 或 FTA 精确化(见 §3、§4)。Part 10 明确一阶只作首版,签字版常要更精确法。

3. Markov 法 — 状态机精确建模

Markov 把系统建成状态 + 转移率:正常态经失效率 λ 转到故障态,经检测/修复率 μ 转回或转到安全态,危害态吸收。PMHF = 危害态的时间平均到达率。它能自然表达分级检测、可修复、双点的先后顺序,是 Part 10 的精确法。

PMHF 的 Markov 状态机：单点直达危害 + 双点经潜伏中间态

3.1 状态与转移

最小双点模型四态:

OK — 全好。经 λSPF 直达危害(单点);经 λlat 进潜伏态
潜伏 — 潜伏腿已坏但未被发现。经检测率 μMPFDI 回 OK(被周期自检抓到);经探测腿失效率 λdet 进危害
危害 — 安全目标违背(吸收态)
若系统可修复(automotive 现场一般不可,μ_repair=0;但维保/年检可建为低 μ)

3.2 怎么解

稳态/瞬态解线性微分方程组,取危害态在 $[0, Tl i f e]$ 的平均到达率即 PMHF。潜伏态停留时间 ∝ 1/μMPFDI:检测越频(μ 越大)潜伏停留越短,双点危害率越低——与闭式 §2.1 的 τ 是同一回事的精确版( $τ \approx 1/ μ_{MPFDI}$ 量级,周期 τ 取间隔的一半)。Markov 比闭式准在:它不取保守的 τ=Tlife,而用真实检测率 μ。

4. FTA 量化法 — 顶事件切集

FTA(故障树)从"安全目标违背"顶事件往下建逻辑门,叶子是基本事件(元件危险失效)。量化规则:

OR 门(单点):任一基本事件即顶事件 → 概率/率相加(罕事件近似)
AND 门(双点):须全部发生 → 概率相乘,且双点要叠时间窗(同 §2.1 的 τ)
最小切集(MCS):能使顶事件发生的最小基本事件组合;一阶 MCS = 单点,二阶 MCS = 双点

顶事件率 ≈ Σ(一阶切集率) + Σ(二阶切集率 × τ)。FTA 的优势是可视化共因路径:把共享资源(共 supply/共 reset)显式画成同一基本事件喂多个门,直接暴露 DFA 关注的依赖失效。复杂主驱常 FMEDA(算度量)+ FTA(查共因路径)并用。

5. MPFDI — 潜伏故障检测间隔怎么定

双点项的大小由潜伏腿的检测间隔主导,这就是 MPFDI(Multiple-Point Fault Detection Interval)。三档取值直接拉开 PMHF 量级:

检测方式	MPFDI 量级	双点项相对	例
上电自检(BIST/LBIST)	一次行程时长(零点几~数小时)	最小	每次启动跑 RAM/ROM/lockstep BIST
周期在线自检	任务周期(ms–s)	极小	运行时 SBST 分片、ECC 巡检
维保/年检	数千 h	中	4S 店读 DTC、年检
从不检测	$Tl i f e$	最大(闭式保守上界)	无 latent SM 的潜伏故障

工程结论:潜伏故障必配检测(把 MPFDI 压到行程级),否则双点项吃掉整个 PMHF 预算。这就是 LFM ≥ 90% 这道阈的物理意义——逼你给潜伏故障上二次检测。

6. 三法对照 — 何时用哪个

三种算法精度/成本递增,工程上分阶段用:

方法	精度	成本	适用
闭式 Annex F.2	一阶(保守高估双点)	低(表格累加)	首版估算 / FMEDA 工具默认 / 快速 gap 判断
Markov	高(可建分级检测/可修复)	中(建状态机)	签字版 / 复杂检测时序 / 有维保的系统
FTA	高 + 可视共因	中–高(建树)	复杂架构 / 共因路径排查 / 与 DFA 联动

实务:工具(Polarion/IQ-FMEDA)先出闭式 PMHF 做 gap,瓶颈项(通常是双点)再用 Markov/FTA 精确化。三法对同一系统应收敛到同量级——若闭式远高于 Markov,多半是 τ=Tlife 的保守造成,缩 MPFDI 即收敛。

7. Worked example — EV 主驱 ECU

接 driver IC FMEDA 与 ev-ecu 集成的数字,用闭式法初算:

$\sum λ_{SPF} + \sum λ_{RF}$ ≈ 3.4 FIT(系统级 SM 补救后的单点+残余)
双点:潜伏腿(如 CLAMP 失效未检,λlat ≈ 5 FIT)× 探测腿(如 driver OUT,λdet ≈ 6 FIT)
$Tl i f e$ = 10000 h

双点项 = $5 \times 1 0^{- 9} \cdot 6 \times 1 0^{- 9} \cdot 1 0^{4}$ /h = $3 \times 1 0^{- 13}$ /h ≈ 0.0003 FIT(可忽略——因为潜伏腿已配 BIST,真实 MPFDI 远小于 Tlife,此处即便用保守 Tlife 仍极小)。

PMHF ≈ 3.4 + ~0(双点) ≈ 3.4 FIT < 10 FIT ✓。反例:若 CLAMP 潜伏腿不配自检且与一个高 FIT 探测腿配对,双点项可飙到数 FIT,把本来 SPFM 过线的设计在 PMHF 上拖不过——这正是 §5 强调"潜伏必检"的量化后果。

核心要点

PMHF 是绝对率阈(ASIL D < 10 FIT),与 SPFM/LFM(比率)不同;SPFM 过 ≠ PMHF 过
闭式一阶: $PMHF = \sum λ_{SPF} + \sum λ_{RF} + \sum λ_{DPF,det} \cdot \sum λ_{DPF,lat} \cdot Tl i f e$ (全局式是保守上界——交叉计数;精确按逐对求和 $\sum_{i} λ_{lat} λ_{det} τ_{i}$ )
双点项 = 两失效率之积 × 时间窗 τ;τ 由潜伏故障检测间隔 MPFDI 定,从不检测取保守 $Tl i f e$
潜伏必配检测把 MPFDI 压到行程级,否则双点项吃掉 PMHF 预算——这是 LFM≥90% 的物理意义
三法:闭式(首版,高估双点)/ Markov(精确,可建分级检测可修复)/ FTA(可视共因,与 DFA 联动)
工具先出闭式做 gap,瓶颈双点项再 Markov/FTA 精确化,三法应收敛同量级

缩写表

缩写	全称	中文
PMHF	Probabilistic Metric for random Hardware Failures	随机硬件失效概率度量
FMEDA	Failure Modes, Effects and Diagnostic Analysis	失效模式、影响与诊断分析
SPFM	Single-Point Fault Metric	单点故障度量
LFM	Latent Fault Metric	潜伏故障度量
SPF	Single-Point Fault	单点故障
RF	Residual Fault	残余故障
DPF	Dual-Point Fault	双点故障
DC	Diagnostic Coverage	诊断覆盖率
FIT	Failure In Time	每 $1 0^{9}$ 小时失效数
SM	Safety Mechanism	安全机制
MPFDI	Multiple-Point Fault Detection Interval	多点故障检测间隔
BIST	Built-In Self-Test	内建自检
LBIST	Logic BIST	逻辑内建自检
SBST	Software-Based Self-Test	软件自检
ECC	Error Correcting Code	纠错码
FTA	Fault Tree Analysis	故障树分析
MCS	Minimal Cut Set	最小切集
DFA	Dependent Failure Analysis	相关失效分析(ISO 26262-9)
ASIL	Automotive Safety Integrity Level	汽车安全完整性等级
DTC	Diagnostic Trouble Code	诊断故障码

Cross-references

← 索引
FMEDA 深度 — SPFM/LFM/PMHF 的失效分类与覆盖率基础(本页的前置)
ASIL 分解深度 — 双点失效的独立性前提(DFA)与共因
driver IC FMEDA worked — 提供本页 worked example 的元件数字
EV ECU FMEDA 集成 — 三链合并后的系统级 PMHF
Safe State Manager 深度 — 探测腿/安全态如何降单点残余