基于失效风险传递关系的系统可靠性设计技术

邓明，邓林

（中国电子科技集团公司第二十九研究所，四川 成都 610036）

基于失效风险传递关系的系统可靠性设计技术

邓明，邓林

（中国电子科技集团公司第二十九研究所，四川 成都 610036）

可靠性设计是一项复杂的系统工程，其主要目的是通过识别失效风险影响和演化路径，利用设计手段来防范和控制产品失效风险，降低由于产品失效所带来的风险影响，并提高顾客对产品的满意度，从而提升市场竞争力，降低产品售后生命周期费用。所提出的基于失效风险传递关系模型的系统可靠性设计技术可支撑研发团队达成这一目的。此模型也是形成可靠性功能一体化设计，以及实现基于模型的可测试性、可保障性的突破口。

可靠性；安全性；设计；失效风险传递关系模型；系统

0 引言

自1957年可靠性概念形成至今，系统可靠性设计技术的发展已派生出多种学派，包括：基于故障物理的基础材料及元器件研究学派、基于数据分析模型拟合的统计分析学派和基于复杂系统工程应用的工程学派，这些学派站在各种维度来审视、研究和解决产品或装备的可靠性问题，大大地促进了可靠性专业的快速发展。可靠性作为一门综合性技术，它不仅研究元部件问题，而且也研究系统性问题。而研究的对象则是失效事件的两个维度，一个维度是失效为什么发生，频度是多少？另一个维度则是失效会以怎样的方式随产品层级 （器件、组件、单元、设备和系统）的上升而不断地演化，演化的结果又是怎样的 （是轻微的影响还是致命的影响）？

对于系统特别是复杂系统而言，从可靠性和安全性设计上来讲，对这两个纬度的研究尤为重要。可以说，系统的可靠性、安全性设计主要是围绕着识别和控制这两个纬度而开展的。即研究失效的风险及其演化途径，并有针对性地开展失效风险识别，辅之与相应的设计或使用控制手段进行失效危害的阻断或延缓。这也是本文所要讨论的基于失效风险传递关系的系统可靠性设计技术。失效风险传递关系示意图如图1所示。

图1 失效风险传递关系示意图

通过对这种技术的研究和应用，将为系统的可靠性、安全性设计带来新的方法和工具，在并行系统工程设计方法的格局下，通过基于模型化的可靠性和安全性设计，也将使得可靠性和安全性设计融入到系统的数字化协同设计过程之中，提升研发的整体效能。

1 失效风险传递关系建模

在工程领域，可靠性、安全性技术的主要研究问题是失效形成的过程、发生概率，以及局部故障出现后会以怎样的路径演化和演化的后果又是怎样？设计上，根据后果的严重性采取不同的防范、阻断或自保护的措施，并以此来降低失效不良影响的后果损失程度，这也是风险管理和控制的原则。因而，现代风险管控的技术方法大多来自于可靠性工程理论。新版质量管理体系标准GB-T 19001第8.3.3条款关于设计和开发输入中，明确地提出要考虑 “由产品和服务性质所导致的潜在的失效后果”[1]。在这些工作中，核心是识别系统局部和整体之间，以及局部与局部之间的失效风险传递关系。如果能以模型的方式来表述这些关系，进而在设计中运用这些模型，在设计早期识别出风险和相应的处理方法，并以此形成可靠性、安全性与功能设计之间的相互权衡作用，那么势必会使得在设计早期过程中就能够把控住风险，降低设计中后期试验和顾客使用过程中因出现故障损失或设计更迭而带来的不必要的成本。

以下将基于功能描述来建立失效风险传递关系模型。失效是指产品不能完成规定功能的状态，也就是说，失效是功能正常的对立面。例如：人的鼻腔的正常功能是过滤异物和导通气道，失效的状态就是气道堵塞、无法过滤异物或过滤效率降低，后果则可能是无法呼吸或肺部氧气交换效率变差。那么针对鼻腔的正常功能就能够识别出其失效的状态有哪些，进而标准化表述为失效模式。将不同的组成单元之间的失效影响相互运用逻辑门方式关联起来，并描述其与功能单元之间和系统功能之间的关系就能够得出失效风险传递关系模型。

1.1 模型描述

对于失效风险传递关系模型而言，描述模型的方法是基于功能模型，对各个功能对象的元描述和各元之间的失效影响关系进行描述。其中，元描述是对功能模型描述中对应的功能单元的失效模式 （FM）的细节性描述，其中，不可再分的元可作为基础元 （例如：元器件、材料、组件或共性基础模块等）。在描述的过程中，应将描述的对象视为黑盒。基于功能和经验，逐一地分析描述对象的失效模式和相关信息，例如：功能、对应的失效模式、发生概率、量化判据、诊断方法、诱发原因和失效机理等 （每一层级的描述要素略有不同）。以人鼻为例进行说明，其元失效模式描述如表1所示。

各元之间的失效关系描述则是通过逻辑表述方法，根据功能设计原理与各元功能处理过程的输入输出关系，建立起各元失效模式之间的转换关系，由此建立起各个产品层级之间的失效传递的逻辑关系，例如：图2中表述的是单元3（UNIT3）中的5 个功能模块 （MD1、 MD2、 MD3、 MD4、 MD5）的失效模式、本层级和其上层级UNIT3的失效模式传递关系。

表1 鼻腔的失效模式描述

图2 失效关系描述示意图

根据此失效模式的传递关系，可生成对应的数学参数模型。而基于数学参数模型可以推理出系统或单元层级所需失效模式下的可靠性框图和数学模型，从而将各个失效模式紧密地关联在一起，并获得设计改进所需要的各类信息。

1.2 元模型参数

对于失效风险传递关系建模的底层元 （如元器件、材料和基本结构）而言，以元模型中的故障模式分析为中心，关联出诱发条件、失效机理、特征寿命、失效频率、自诊断方法和量化衡量特征等参数后，可对这些参数进一步地建立参数模型来进一步地构建各个参数之间的关系，从而将权衡设计理念融入到模型之中。

例如：特征寿命可利用失效物理理论形成的成果给出，目前常见的失效机理特征寿命模型[2]如表2所示；失效频率可利用统计分析方法给出的经验失效率数据 （见HDBK-217PlusTM）来判断[3]；失效触发条件或诱发条件可以采用EOS、ESD或者环境响应参数模型来分析；量化衡量特征可使用元对应的功能参数模型使其与功能紧密相关等，此处不再细述。

基于这些参数模型的表述将赋予失效模式新的含义，即通过失效模式的各种不同专业领域方向的表述将参数紧密地关联在一起。这也是实现一种面向各种特性权衡设计的关键点。基于此思路，在元模型的基础上，扩展到各个产品层级的模型表述，则可以将产品或装备的环境适应性、可靠性、安全性、测试性、维修性和保障性的设计联系在一起。在理想情况下，可以通过参数模型的合理运用和计算得到备件策略、维护策略、测试策略和应急处置策略等。

表2 失效机理寿命特征模型

1.3 模型应用

基于以上原理，可以根据产品的系统构架和功能原理，逐层建立各层对象的失效风险传递关系模型，站在另外一个视角 （失效的视角），将原本孤立的各个系统组成单元的失效关系联系起来。

这其中需要注意的是，在建立各层失效模式的联系时，需要考虑失效触发条件在每个层级发生的变化。即除去最低层级外，每一层级的失效并不一定是低层级传递上来的，而会有因逻辑、时序等在高一层级引入失效的因素。此时，模型描述时，在失效触发条件 （或诱因）上，应增加相关因素，这也是为什么对于模块、单元和系统等高一层产品的可靠性预计不能简单地基于元器件失效率数据进行运算的原因。

模型一旦建立，就可以基于模型来拓展各种与失效相关的业务。例如：可靠性建模，可以针对特性任务的危害分析，分析出与之对应的失效模式，基于失效原因，给出其任务可靠性模型，并可获得发生概率等参数；基于FMECA和FTA模型可以快速地形成所需的报表，安全性设计可以从此模型中快速地构建起PHA，识别产品风险及其关键路径。此模型可抽象地视为基于危害性的风险地图，犹如实时交通地图一样，让人一目了然，如图3所示。

有了失效风险传递关系的地图后，如何测试、如何保障、应加强哪些部位的可靠性设计等问题，就会变得有针对性和条理性，从而提高设计的费效比。

成熟的模型也可应用于产品的健康管理的故障预测和维护保养的故障诊断过程之中，从而使得模型本身成为多个不同专业之间的桥梁和沟通点。

图3 北京市交通高峰时地图

2 提升模型准确度的方法

2.1 基于实物测试的迭代改进方式

模型建立完成后，对于模型传递关系准确度的验证可基于对实物产品的测试验证进行。对于改型的产品，可利用改型前的产品进行模型的验证。通过测试、试验等手段，验证模型提出的失效风险传递路径的准确性和每条路径发生的概率，不断地修正模型的准确度，并迭代到新产品的设计之中，逐步地改进产品的可靠性和安全性，使之成为行之有效的设计预防措施。

2.2 基于功能模型的迭代仿真验证改进方式

对于新研发的产品，在没有经验模型支撑的条件下，需要依靠仿真验证手段进行模型准确度的验证和改进。蒙特卡洛模拟方法是有效的失效风险概率仿真手段，可用于预估风险概率。而失效风险演化路径的准确性可以依靠功能模型的仿真验证能力进行验证，例如：SIMULINK、ADS、System View和PSS/E等，方法可以采用失效风险传递关系模型元参数中的失效特征量化参数关联至功能模型参数的方式进行功能故障模拟，并从电路整体方面仿真验证传递关系的正确性，根据仿真验证的结果，不断地修正模型的准确性。由于不同的产品对象的功能仿真工具和方法不同，此处不再细述。

3 基于模型的可靠性设计

失效风险传递关系模型一般是随产品研发过程的展开而逐步细化的，因此，宜采用过程的方法来应用此模型以达到各个过程可靠性设计活动的目的。GB/T 19000-2016将过程方法定义为将活动作为相互关联、功能连贯的过程组成的体系来理解和管理时，可更加有效和高效地得到一致的、可预知的结果[4]。采用这种方法可将失效风险传递关系模型的应用效果发挥到一个新的高度。

a）概念阶段，产品需求和功能模型建立以后，根据此模型的定义，可形成与之对应的系统层 （或level0层）失效风险传递关系模型。在此基础上，可识别出系统层的高风险失效模式及与之对应的功能，可靠性、安全性设计的主要目的则是重点防范此类风险影响的形成。因此，基于高风险失效模式，可推测出其对应的可靠性模型，从而在功能分解过程中，形成了合理的可靠性、安全性分解要求。实现与功能设计密切相关的一体化设计能力。

b）详细设计阶段，基于功能的分解和逻辑物理特性的形成，失效风险传递关系模型随之细化，并与系统层失效风险传递关系模型相对接和迭代优化。此时的模型，已经建立起了相互之间的联系。而可靠性、安全性的设计需求也随模型分解至各物理单元，据此可进行可靠性设计要求的符合性验证。而每一元模型提供的失效经验知识库对应的基于经验教训的设计准则检查单，可有效地指导基础元的可靠性设计，预防失效事件的重复发生，有效地提升基础元的设计成熟度。对于高风险失效路径，则在逻辑和物理单元设计中，引入风险监控和阻断装置，避免出现高危害事件的单点故障。就如同大楼每个房间中的烟雾探测和喷淋装置。

c）验证阶段，基于测试、试验验证，可验证模型的正确性，并在模型的引导下，快速地进行故障诊断。在故障处置中，同时对基础元模型的参数进行修正和补充，使得系统模型数据不断地得到修正和丰富，在各个低层级验证的基础上，基于各种基础元数据和低层级失效传递关系模型，可评估出不同的功能用途下系统的可靠性水平。

d）制造阶段，此阶段模型已基本成熟，制造阶段出现的各类故障，可基于此模型进行快速故障诊断，辅助制造线问题处置效率的提升，以及保障制造过程工艺可靠性的能力提升。制造过程的失效数据亦可补充如基础元失效知识库，形成经验知识的有效沉淀和快速索引应用。

e）产品寿命周期维护阶段，在此阶段，可以将失效风险传递关系模型作为维护保养和备件策略的基础手段，并利用顾客反馈的故障信息继续补充修正失效风险传递关系模型，形成持续改进能力，支撑产品使用可靠性的不断提升。

4 结束语

可靠性设计是一个复杂的系统工程过程，其主要目的是通过识别失效风险影响和演化路径，利用设计手段防范和控制产品失效风险 （发生概率和影响程度），降低由于产品失效所带来的各种影响，并增强顾客对产品的满意度，从而提升组织的市场竞争力，降低产品售后生命周期费用。本文提出的基于失效风险传递关系模型的系统可靠性设计技术可支撑研发团队达成这一目的。基于模型的设计的一个主要好处在于，有机会随所有的其他开发步骤一起并行进行验证和确认[5]。此模型也是形成可靠性功能一体化设计，以及实现基于模型的可测试性、PHM、可保障性的突破口，是基于模型可靠性功能一体化协同设计的工程专业发展方向。

[1]全国质量管理和质量保证标准化技术委员会.质量管理体系要求：GB/T 19001-2016[S].北京：中国标准出版社.

[2]任占勇.数字化研制环境下的可靠性工程技术：基于产品数字样机的可靠性设计与分析 [M].北京：航空工业出版社，2015.

[3]于迪，史典阳，任艳，等.工程用IGBI模块可靠性预计模型探讨 [J].电子产品可靠性与环境试验，2015，33（5）： 10-14.

[4]张增照.可靠性预计模型的参数敏感度分析 [J].电子产品可靠性与环境试验，2001，19（3）：7-13.

[5]BRETT Murphy.使用基于模型的设计进行虚拟测试 [J].电子设计应用，2010（11）：48-50.

System Reliability Design Technology Based on Failure Risk Transfer Model

DENG Ming，DENG Lin
（The 29th Institute of CETC， Chengdu 610036， China）

Reliability design is a complex system engineering， and its main purpose is to prevent failure risk with design means by identifying the failure risk and evolution path，reduce risk effects caused by product failures， and increase customer satisfaction with the product， so as to enhance the market competitiveness and reduce product life cycle cost.And the proposed system reliability design technology based on the failure risk transfer model can support the R&D team to achieve this goal.Besides，this model is also a breakthrough to form the integrated design of reliability and function and to realize model based testability and supportability.

reliability； security； design； failure risk transfer model； system

TB 114.32

A

1672-5468（2017）04-0019-06

10.3969/j.issn.1672-5468.2017.04.004

2017-01-18

2017-04-06

邓明 （1970-），男，四川遂宁人，中国电子科技集团公司第二十九研究所副总工程师、高级工程师，从事航空电子信息装备系统工程设计、效能保障等工作。

Sigma Designs公司将推出HDR 10+标准STV 7803/4 UHD HDR芯片组

美国Sigma Designs,Inc.公司是一家智能电视平台和智能家居物联网 （IoT）设备的行业领先供应商，其致力于设计与构建重要的半导体技术，促进智能家居技术融合，重新塑造了电视、智能手机、穿戴式装置、平板电脑、数码产品、网络系统和内存、系统芯片和LED设备的解决方案。该公司最近宣布推出一款支持HDR 10+标准的通用HDR芯片组STV 7803和 STV 7804。

近期三星电子公司推出了一种被称为HDR 10+的高动态范围成像 （HDR）影片的新开放标准(ST.2094-40)，它利用动态元数据生成优化的对比度和颜色，让电视画面更为逼真。介绍如下：HDR 10+是一个开放标准、免版税协议及SMPTE 2094技术标准的一部分，该标准增添了逐格画面调整的 “动态色调映射”技术。这项创新功能可以在影片回放时实时地调整亮度，令每个使用该标准的显示屏都能连续地优化画质。HDR 10+标准是对原标准HDR 10的改进，其增添了动态元数据来取代静态元数据。事实上，在整个影片播放期间，HDR 10会牺牲画质，并使用静态技术处理较暗和较亮的画面。相较之下，HDR 10+使用动态色调映射技术中的元数据连续地调整亮度范围，实时地优化具体的画面，甚至是逐格画面的效果。HDR 10+标准可以令暗淡的画面更暗，明亮的画面更亮，带来比HDR 10静态单一标准更强的画面对比效果。

据智能家居集团公司 （Strategy Analytics'Intelligent Home Group）的最新报告显示，HDR画质电视机于2020年在全球的年销售量将达到5 800万台，按家庭至少拥有一台HDR画质电视机计算，全球总数量将达到1.7亿台。该报告还预测于2020年美国家庭拥有HDR电视机的比例将接近25%。

“我们很高兴与三星合作，推出我们最新的成果——UHD芯片组”，Sigma Designs公司的智能电视产品市场营销副总裁Alfred Chan表示： “当大多数竞争者仍在生产第一代HDR解决方案的产品时，我们已经设计出支持Sigma第三代HDR和广色域标准的STV 7803和STV 7804 UHD TV SoC芯片组。Sigma第三代HDR引擎具备强大的可编程设计功能，这让开发者能够快速地实施最新的SMPTE 2094标准，包括三星和其他品牌。通过与三星的合作，Sigma证明了Sigma的HDR引擎的完整性和灵活性。”

“三星作为业界领导者，始终致力于通过创新，开发最尖端的科技。HDR 10+是一个新的开放标准（ST.2094-40），能带来前所未有的 “逼真”的画面”，三星公司的视觉呈现部副总裁Kyoungwon Lim表示： “我们很高兴能与Sigma Designs合作，扩大我们在HDR技术领域的领导地位，而我们将协助Sigma强大并具多种功能的芯片组达到HDR 10+标准。” （本刊讯）