汽车嵌入式软件FMEA应用研究-FMEA Master-FMEA/失效分析-软服之家

汽车嵌入式软件FMEA应用研究

王继昆，刘四海，于洁清

中国第一汽车股份有限公司技术中心，汽车电子部

【摘要】软件FMEA（失效模式和影响分析）是硬件或系统FMEA的扩展，应用于嵌入式软件可靠性、安全性分析。但是，目前缺乏应用经验。本文阐述软件FMEA的原理、实施过程和要点，提出了适用汽车嵌入式软件的失效模式及原因，对失效模式的影响进行了严酷度等级分类，给出了对该软件实施SFMEA的过程和结果。结果表明了FMEA的有效性和实用性。

【关键词】软件可靠性，FMEA，软件失效模式

FMEA Application Research of Automotive Embedded Software

Wang Jikun，Liu Sihai，Yu Jieqing

China FAW co.,Ltd. Research and Design Center

Abstract: Software FMEA (failure mode andeffects analysis) is an extension of hardware FMEA or system FMEA, used inembedded software reliability and security analysis, however, the current lackof experience. The implementation principle, process and key points of thesoftware FMEA, the failure modes and causes for automotive embedded software,the effects of the failure mode was severity classification, gives theimplementation process and results of the software SFMEA. The results show theeffectiveness and practicability of the software FMEA.

Key words: software reliability, FMEA, effects ofthe software failure mode

引言

软件失效模式及其影响分析（SoftwareFailure Mode and Effect Analysis, SFMEA）是一种系统化的工程技术和模式化的思考形式，它以失效模式为基础，以失效影响或后果为中心，根据分析层次和因果关系推理、归纳进行分析，以识别软件的薄弱环节，并提出改进措施建议。目前，软件FMEA常用于开发阶段的需求分析、概要设计阶段和详细设计阶段，以及产品定型后的可靠性、安全性分析。

随着用户对于汽车嵌入式软件的可靠性、安全性要求日益提升，以及软件功能及复杂程度的增加，应用FMEA方法进行软件产品可靠性、安全性分析具有重要意义。本文将以分析软件FMEA方法和实施过程为基础，对汽车嵌入式软件进行举例分析及总结。

1 软件FMEA实施过程和要点

1.1软件FMEA和软件开发过程关系

软件FMEA是一种软件可靠性、安全性设计与分析技术，它是一种诱导式的分析方法，通常是在软件的概要设计完成后展开，并在其后的各开发阶段反复进行。图1以汽车嵌入式软件生存模型——V流程模型为例，说明了实施软件FMEA和开发过程之间的关系。基于模型的设计开发过程中，通过MIL（Model in the Loop,模型在环）仿真、SIL（Software in the Loop,软件在环）仿真能够在V模型的早期阶段对软件组件和系统设计进行对应的测试验证。MIL和SIL仿真不仅能够验证模型的设计正确性，更可以通过模型验证优化模型设计，同时从系统和软件FMEA分析角度出发，对模型进行评估与优选是在设计过程的早期阶段实施质量控制的有效手段。

图一汽车嵌入式软件FMEA和开发过程关系图

1.2 软件FMEA实施过程

软件FMEA的过程与硬件设计FMEA的过程类似，分为以下主要步骤：软件系统结构和约定层次定义、建立功能网络、建立失效网络、分析软件的失效模式及原因、分析软件失效模式的影响严酷度、改进措施建议（图2）.下面对个步骤的主要工作进行说明。

图2 软件FMEA 分析流程图

1.2.1软件系统结构和约定层次定义

根据软件需求规格说明、概要设计说明、详细设计说明等文档，定义被分析的软件系统，确定软件约定层次结构，定义软件FMEA分析范围。软件约定层级分为初始约定层次、约定层次、最低约定层次（图3）。

图3 软件FMEA分析实施过程示意图

1.2.2建立功能网络

软件功能网络由子系统、组件或函数块等部件组成，并使用逻辑符号或者连接线表示这些部件之间的交互作用和关系。功能网通过逐层递推方式展现子系统、组件功能的依赖性和相互影响力。

1.2.3 建立故障网络

通过故障网络说明故障模式、原因和影响之间的关系，功能网络中最低层级功能对应故障描述为失效模式，次低层级功能对应故障描述为失效原因，次低层上一级功能对应故障定义为失效影响。

1.2.4 分析软件的失效模式及失效原因

软件有若干功能模块所组成，其失效模式包括功能失效模式和性能失效模式。本文研究探讨的主要以功能失效模式为主。

软件失效原因是由于软件缺陷在运行时被触发而产生的。软件FMEA是找出其关键通用调用路径下的关键软件缺陷。

通过以上分析，对变速器控制软件的失效模式和原因进行分类，形成具有相对功能集中的该软件失效模式集合，如图4和图5所示。

1.2.5分析软件失效模式的影响严酷度

根据每个软件故障模式影响严重程度划分严酷度等级。本文结合项目时间，将该软件失效的严酷度等级划分为5个等级，即未能符合安全和/或法规要求、基本功能的损失或降级、次要功能的损失或降低、其他功能不良以及没有影响。

图4 软件故障模式分类

图5 软件故障原因按其缺陷分类

1.2.6 改进措施建议

经过分析得到潜在失效模式和影响，根据每一个失效模式产生的原因和对系统的影响程度，提出相应改进措施，形成完整的FMEA表。

1.2.7其它过程

对实施改进措施、更新FMEA状态、核准FMEA释放等过程可依照项目开发流程进行，本文不进行过多分析。

2 变速器控制软件FMEA应用实例分析

变速器是汽车动力传动系统的关键总成部件，是影响车辆安全行驶的核心环节之一，其控制软件的可靠性显得尤为重要。该软件使用Matlab、Simulink软件工具编写模型，，利用RTW完成模型到C代码自动转换。采用自顶向下结构化的设计方法，分为系统调度、换挡规律、协调管理、发动机控制、离合器控制、变速器控制、输入/输出处理、离线测试、CAN通信解析、故障管理、自学习和底层驱动等若干子系统（图6），每一个子系统又分为若干组件。