故障树功能安全分析实例 | 驻车制动EPB安全分析

导言：对于汽车电子软件控制器的开发工程师来说，发现故障通常是大家并不希望看到的结果。然而在开发符合ISO 26262标准的汽车电子解决方案时，分析失效模式并找出失效根本原因是非常重要的，尤其是当前线控底盘(线控制动，线控转向)快速发展的背景下，需要在产品开发过程中进行安全性分析，将相关安全故障在开发阶段就识别并解决，而不是留到量产后暴露到客户侧。例如，如果电子驻车制动系统(EPB)无法啮合，这种故障背后可能会有多种原因，如执行器故障，电源问题，控制系统故障等。

引用：ZF

---

目录

1. 什么是符合ISO 26262的故障树分析；

2. 如何开展故障树分析；

3. EPB功能简介；

4. EPB故障树分安全分析实例；

5. 总结；

---

故障树分析(Fault Tree Analysis, FTA) 的目标是确保找出所有潜在的故障模式，并采取适当措施加以缓解或者消除。ISO 26262 标准强调使用故障树分析法来分析发现故障的潜在原因(特别是针对ASIL C或者ASIL D等级的ECU开发)；这项工作以有序的树形结构进行，以便清楚地了解故障原因之间的关系。

01 什么是符合ISO 26262的故障树分析

故障树分析法是一种演绎式(deductive)安全分析方法，用于对安全关键型汽车控制器进行安全分析，在这棵树的顶端，我们可以看到顶层事件，通常是重大危险或违反安全目标的事件(unintended Event)。

汽车行业通常采用V流程的开发模式，这个思想在系统软件的开发流程中比较常用，比如基于ASPICE的开发流程，并定义了系统软件的几个子开发流程；随着ASPICE把硬件相关活动也进行了定义，如下图所示，汽车电子产品的功能安全硬件开发通常包括硬件安全需求，硬件架构设计，硬件电路模块设计，PCB集成和制作，单元及硬件模块测试，硬件集成测试，硬件验证测试等不同的子开发流程。在架构设计阶段，需要引入功能安全分析工具对硬件安全性设计进行分析，避免后续设计时因为没有进行安全分析而引入不安全的硬件设计；常用的安全分析方法包括FTA，FMEDA，FMEA等，这个阶段所有的安全分析还停留在定性阶段，还没有深入到定量阶段。需要随着设计逐渐冻结，逐步引入定量分析，并计算相关的硬件安全指标。

引用：网络

FTA作为产品硬件架构设计的一部分，目标是分析出导致顶层事件的条件或者根事件，了解了其目的，我们来看其是如何一步步展开的。

02 如何开展故障树分析

FTA 将系统分解为较小的不同组件，并分析其故障如何传播。通常使用AND，OR等逻辑运算来组合这些组件，逻辑运算一般包括：

• 与(AND)门：系统故障必须同时发生事件 A 和事件 B；

• 或(或)门：事件 C 或事件 D 都可能导致故障；

• 异或门：如果两个输入条件相异，则事件发生，如果两个输入事件相同，则事件不发生；

• 优先逻辑与门： 一个事件只有在特定的条件序列后才会发生；

• 禁门： 一个事件需要特定的输入事件和条件事件所描述的内容。

通过组合这些事件，可以创建一棵故障树，显示导致系统故障的所有可能路径。简而言之，故障树分析过程如下：

• 定义顶端事件：明确指出不希望发生的事件或故障模式；

• 确定直接原因：确定首要事件的直接原因；

• 扩展故障树：针对每个原因，确定更多的子原因，直至找到基本事件；

• 分析逻辑关系： 使用逻辑门将原因和子原因连接起来，说明多个故障如何结合在一起导致最重要事件的发生；

• 定量评估：如果执行定量 FTA，则为基本事件分配概率，并计算最高事件的总体概率。

ISO 26262的核心是确保道路车辆功能安全，特别是电子电气相关故障，故障树分析方法可以在以下安全活动中发挥作用：

• 评估故障(硬件，软件等)对安全目标的影响；

• 量化硬件故障架构指标(PMHF)：PMHF作为三个硬件架构指标中其中一个，用以评估硬件的随机失效率是否满足对应ASIL定义的目标；

• 根据ASIL等级对相关安全需求进行分解或者裁剪；

接下来通过汽车驻车制动控制器(Electric Parking Brake)的故障树分析举例说明如何开展针对功能安全的故障树分析，首先简单介绍EPB的主要功能，然后针对非预期制动力产生的顶层事件的实例进行故障树安全分析。

03 EPB功能简介

电子驻车制动器(EPB)系统包括 EPB 开关、EPB 卡钳和电子控制单元ECU， 使用电动机和减速器对制动片施加压力，从而将压力施加到制动盘；其中一个关键部件是驻车制动闩，它就像一个棘轮，可以防止活塞中的压力使电机旋转，从而保持制动。从技术上讲，该系统是线控制动系统的一个子系统，驻车制动器的主要功能是避免车辆在驻停时发生移动。

引用：Screw Technology

一般来说，驻车制动器只在车辆后轮上工作。EPB 功能依赖于四个要素：控制开关、车轮速度传感器、力传感器和电机。这些元件共同监控各种输入信号，并决定何时踩下或松开制动器；由于使用了电子元件，该系统的运行几乎是瞬时和高效的。此外，由于没有机械连接，它还提高了制动的可靠性，当驾驶员踩下加速踏板时，制动器会自动停用。

04 EPB故障树分安全分析实例

下图是一个符合ISO 26262标准的故障树示例，其顶部事件为非预期的电子制动功能使能。

定性故障树分析（FTA）的主要目的是找到称为 “最小切割集 ”的最小事件组；当所有这些事件一起发生时，就会导致大问题（顶端事件），下面是一个从上图故障树得出的割集示例。

序号	割集阶次	割集	割集描述	失效概率
1	2	[EV1,SM1]	EV1: H桥组件随机硬件失效； SM1：H桥信号反馈监控失效；	1.2E-07
2	2	[EV2,SM2]	EV2: H桥驱动ASIC失效； SM2：通过uC监控驱动芯片状态；	2.1E-05
3	2	[EV3,SM3]	EV3: uC随机硬件失效； SM3：外部看门狗监控;	7E-06
4	2	[EV4,SM4]	EV4: 电源输出出现故障； SM4：电源监控；	1.2E-05

顶部事件：非预期电子制动器使能；

任何非预期的EPB电子驻车制动器应用都可能对车内人员造成严重后果，因此该顶部事件被评定为ASIL D等级(ISO 26262标准中最高风险等级)。意外EPB使能可能会导致突然和意外的制动事件，造成车辆失控、潜在碰撞以及对车内人员和其他道路使用者造成重大伤害。

ASIL D 代表 ISO 26262 标准中的最高风险级别，表明需要采取最严格的安全措施。从上图中可以看出，意外使能 EPB 主要涉及以下三种故障：

4.1 H桥输出故障

H 桥是一种电子电路，可在负载两端任一方向施加电压，它用于控制 EPB 中电机的方向；H 桥输出故障是指 H 桥电路输出级的故障，该电路用于控制电子驻车制动器 (EPB) 中流向电机的电流方向和功率; 输出级通常由晶体管或开关组成，用于管理流向电机的电流。

• H桥组件随机硬件失效(EV1): H桥组件（晶体管、二极管等）的随机硬件故障可能导致电机非预期激活。此类故障主要源于两类原因：
• 短路：晶体管内部短路会导致电机持续通电，从而引发非预期制动；
• 开路：电路断路可能导致控制信号丢失，引发制动意外触发；

        缓解措施：采用高质量可靠组件，并集成保险丝、限流电路等保护功能以防止损坏。

• H桥信号反馈监控失效(SM1): H桥的反馈监控系统负责实时输出状态数据，若反馈机制失效，可能导致向EPB电机发送错误信号。引发此类故障的两大主要原因为：
• 传感器器故障：传感器失效会导致反馈数据不准确，使系统误判电机状态并意外触发制动；
• 信号完整性受损：电磁干扰（EMI）可能导致反馈信号失真；

          缓解措施：采用高质量可靠组件，并集成保险丝、限流电路等保护功能以防止损坏。

引用：TI

4.2 H桥输入故障

H桥输入信号异常可能导致EPB非预期启动。例如在行驶过程中，驻车制动可能因信号干扰、软件漏洞或控制电路硬件问题而突然触发。在本FTA案例中，以最常见的原因进行分析：

• H桥驱动芯片失效: 驱动H桥的专用集成电路（ASIC）负责向EPB电机发送功率与方向信号。ASIC故障可能导致非预期制动。此类故障主要源于两类原因：
• 逻辑错误：ASIC逻辑缺陷可能发送错误指令，引发电机误动作；
• 电源波动：ASIC供电不稳定会导致功能异常；

        缓解措施：设计ASIC时需强化逻辑验证与电源稳定性，对关键逻辑功能采用三重模块冗余（TMR）等技术，增加电源监控，驱动信号回读监控及芯片自检等安全机制。

H桥驱动芯ASIC故障可进一步归因于两类问题：

1. H桥驱动ASIC随机硬件故障(EV2): ASIC随机硬件失效可能导致H桥驱动时不想要的行为，进而影响EPB电机正常工作。
   
   热失控：过热导致芯片失效；
   电迁移：长期电流引发导电路径退化；
   
    缓解措施：优化散热设计（如散热片、冷却系统），选用抗电迁移材料。
   
   
2. 电机驱动状态监控失效(SM2): 电机驱动状态监控系统确保相关操作被正确执行，系统中的失效可以导致错误的电机行为。
• 故障检测缺陷：算法失效无法识别驱动异常；
• 信号处理错误：信号解析错误导致状态误判；

            

                缓解措施：升级故障检测算法，采用高精度ADC与可靠软件确保信号处理准确性。

引用：网络

4.3 微控制器故障: 

微控制器负责控制整个EPB系统，其故障可能导致非预期制动触发，具体问题取决于MCU设计、布局、环境条件、热管理及固件漏洞等因素；以下是两类常见故障：

• 固件漏洞：软件缺陷可能导致向EPB系统发送错误控制指令；
• 硬件故障：执行全面的固件验证，并采用内置错误检测机制的稳健MCU设计方案；

      缓解措施：执行全面的固件验证，并采用内置错误检测机制的稳健MCU设计方案。

• 微控制器随机硬件故障(EV3):  微控制器随机硬件失效会导致EPB意外激活，此类故障通常由静电放电（ESD）、过热或制造缺陷引发。例如：
• 静电放电（ESD）：ESD事件可能损坏MCU元件；
• 老化效应：长期运行可能导致性能下降。

          缓解措施：采用ESD防护策略（如TVS二极管），并选用高耐久性、高可靠性MCU。

• 微控制器看门狗监控失效(SM3): 看门狗定时器用于监控微控制器运行状态并在必要时重置系统。若看门狗失效（如未检测到微控制器卡死），可能导致EPB异常。可能产生的原因有：
• 超时错误：看门狗定时器参数设置不当，无法及时复位；
• 信号干扰：信号噪声引发误触发复位；

           缓解措施：优化看门狗定时器配置，确保响应灵敏度；使用防抖电路过滤信号噪声。

引用：AIP

4.4 EPB电机供电电源故障

当电机驱动器的供电不稳定或失效时，即发生电机驱动供电故障。在故障树分析（FTA）中，此类故障可能通过以下两种途径显现：

• 电源输出故障(EV4): 电源为EPB电机驱动器提供必要的电压与电流, 其故障可能导致非预期制动触发; 
• 电压尖峰：瞬时电压突增可能导致电机意外启动；
• 电源掉电：完全断电可能触发制动系统的安全保护机制（如强制驻车）；

                 缓解措施：使用浪涌保护器(如TVS二极管)抑制电压尖峰，同时使用冗余电源架构，确保供电稳定性。

• 供电电压监控失效(SM4): 电压监测系统负责确保电机驱动器接收正确的电压, 若监测失效，可能导致制动系统误动作;
• 传感器精度不足：传感器误差可能导致电压读数异常；
• 监控电路故障：电路缺陷可能无法检测电压异常；

              缓解措施：采用高精度电压传感器并设计冗余监控电路。

05 总结

故障树分析是实现汽车开发中ISO 26262功能安全标准的核心方法。它通过识别和分析潜在失效模式、确定根本原因，并计算非预期事件的发生概率，确保系统安全性；FTA在ISO 26262框架中扮演关键角色，通过对每个组件和系统进行彻底的安全风险验证，保障全生命周期内的功能安全。

FTA需与FMEA（失效模式与影响分析）、DFA（相关失效分析）、FMEDA（失效模式与影响诊断分析）等安全分析方法结合使用，共同构建安全可靠的汽车解决方案；这种多维度分析方法为汽车电子系统（如制动、ADAS，动力域控）的安全设计提供完整验证，确保符合ISO 26262的ASIL（汽车安全完整性等级）要求。

---