一个功能的失效可分为随机硬件失效和系统性失效。两种失效的预防方法不同。因为随机硬件失效是硬件产品固有的失效，其无法消除。我们能采取的方法是增加相应的安全机制，去检测失效，当失效发生时，系统可以相应的处理，导入到安全机制，从而避免伤害。这些工作主要针对的是硬件开发部分。而系统性失效通常是设计缺陷等引起的。对于系统性失效，我们需要增加针对性的安全活动去避免和减轻。这类安全活动包括安全分析，即FMEA和FTA。这些活动在开发的各个阶段都需要相应的按标准要求进行。图1避免失效的措施硬件开发的基于硬件安全需求，其来源于TSR、HSI和系统架构。硬件设计主要分为硬件架构设计和硬件详细设计。硬件架构设计需要以模型或者框图的方式进行，定义清楚硬件内部各元素及其功能，同时内部之间各接口需要详细定义。在硬件架构定义好后，进行硬件详细设计，设计硬件原理图和layout。对于硬件设计，为了避免系统性失效，需要进行对应的安全分析。对于ASIL C等级的产品，硬件设计的安全分析需要同时进FMEA和FTA分析。硬件设计可以进行定量评估，对于单点故障和潜伏故障诊断覆盖率的评估，可以分别以单点故障度量和潜伏故障度量来评估。标准里对不同ASIL等级产品的规定如下：表1 硬件架构度量目标值ASIL BASIL CASIL D单点故障度量SPFM>90%>97%>99%潜伏故障度量LFM>60%>80%>90%单点故障度量和潜伏故障度量衡量的是对故障诊断的覆盖率，也就是在覆盖率外，还有残余的故障是不能被检测发现。这里有两个系统，可以对比一下。表2  不同系统对比系统SPFMLFM残余故障率系统197.3%82%10Fit系统298%85%100Fit对比这两个系统，系统1 的SPFM和LFM都低于系统2，但系统2的残余故障率的绝对值却是系统2的10倍。所以单纯以SPFM和LFM是不能有效评估系统的安全性。这里系统又定义了两种方法来评估系统的残余风险。第一种方法是从总体上评估，即以安全目标为对象，评估违反安全目标的可能性度量。这里标准成为PMHF随机硬件失效概率度量。PMHF的计算可以通过定量的FTA计算方法或者FMEDA的方式。具体对应不同ASIL等级的PMHF目标见下表。表3   随机硬件失效率目标值ASIL BASIL CASIL D<10-7h-1<10-7h-1<10-8h-1第二种方法是独立的分析每一个导致违反安全目标的单点和残余故障、双点故障，确保每一故障的概率都足够低，这样也可以保障整个系统最后的残余风险是足够低的。这种分析方法也叫割集分析。进行割集分析前，首先了解一下标准对硬件元器件失效率等级的定义。表4 硬件元器件失效率等级Failure Rate Class(FRC)ValueFRC1<10-10h-1 (0.1 Fit)FRC2<10-9h-1 (1 Fit)FRC3<10-8h-1 (10 Fit)FRCi,i>3<10-10*(i-1)h-1  (10(i-2) Fit)对于单点故障相关的硬件元件失效率，标准规定了每个ASIL等级对应的最低失效率等级要求。元器件选择时，需要参考标准要求，可以以更严苛的标准选择具有更低失效率的元件。表5  单点故障相关硬件器件的失效率等级目标ASIL of the safety goalFailure rate classDFailure rate class 1+ dedicated measuresCFailure rate class 2+ dedicated measuresOrFailure rate class 1BFailure rate class 2OrFailure rate class 1这里提到的专用措施包括：-硬件元件使用中的过设计（如电压、热承受等级）或者物理隔离-针对特定失效模式的来料样品测试-老化试验-控制计划中专门的控制设定对于残余故障和潜伏故障，目标要求的是不同诊断覆盖率对应的硬件元件失效率的值。表6 对给定诊断覆盖率的硬件元件的最大失效率等级-残余故障ASIL of the safety goalDiagnostic coverage with respect to residual faults≥99.9%≥99%≥90%<90%DFailure rate class 4Failure rate class 3Failure rate class 2Failure rate class 1+ dedicated measuresCFailure rate class 5Failure rate class 4Failure rate class 3Failure rate class 2+ dedicated measuresBFailure rate class 5Failure rate class 4Failure rate class 3Failure rate class 2表7硬件元件的诊断覆盖率和失效率等级目标-双点故障ASIL of the safety goalDiagnostic coverage with respect to residual faults≥99%≥90%<90%DFailure rate class 4Failure rate class 3Failure rate class 2CFailure rate class 5Failure rate class 4Failure rate class 3在评估系统的残余风险上，两种方法是等效的。在实际使用中，PMHF需要比较大量的数学计算，需要借助工具。而割集的分析方式比较简单，但需要针对每一种情况都进行分析，所以工作量比较大。实际开发中可根据情况选择。在系统阶段对于SG001，对CMU硬件提出了ASIL C的要求，对残余风险采用的是PHMF的评估方法。通过FMEDA来计算CMU硬件架构的三个指标。在FMEDA计算的第一步，需要导入硬件BOM，确定每个元器件的失效率和失效模式。这些值可以参考现有标准，如IEC 62380、SN29500等。而对于很多器件，尤其是IC，因为标准比较老旧，器件可能未包含在标准里，可以从IC供应商处索要失效率数据。这里以一个NTC电阻为例来说明。表8 电阻失效率及失效模式分布PartnameParttypeFailure rate(Fit)Failure modeDistributionR2NTC2Short60%Open10%Drift(R*0.5)15%Drift(R*2)15%对于CMU的温度检测功能，以下面一个最简化的系统，来分析如果针对具体SG进行FMEDA分析。图2 最简CMU的温度检测功能在进行分析前需要把系统的安全机制列出来。这里假设uC中存在一个安全机制SM1，其可以检测NTC电阻分压后AFE采集的温度信号值得有效范围。表8 安全机制SM1SM IDDescriptionAllocate toDiagnosticCoverageSM1Check the valid range of input cell  temperature valueuC60%针对SG001进行NTC R2的FMEDA分析。表9 SG001的FMEDA根据上表，可计算SG001的硬件架构指标（仅考虑R2）：SPFM=1-(λRF+λSPF)/λSR=66%LFM=1-λmpf,l/ (λSR - λRF+λSPF )=90.9%计算结果可以看到SPFM是不满足ASIL C要求的。这是因为对于R2的失效，只有SM1去诊断，而仅诊断输入温度值的温度范围，其诊断覆盖率比较低，而且SM1没法诊断R2的drift的失效模式。为了达到目标，可以新增更有效的诊断机制。比如增加SM2：通过增加一个冗余的温度传感器，对比两个传感器，检测温度传感器的drift，offset和其他错误。SM2的诊断覆盖率可以达到90%，可同时覆盖R2的open和drift失效模式。加入SM2之后重新计算FMEDA,会明显提高SPFM的值。上面的例子只分析了SG001相关的温度传感器R2，对于完成的SG001在CMU硬件架构上的计算，需要把CMU上所有与SG001上相关的元器件都以相同的方式加进来，最终计算所有指标。在硬件架构度量的计算过程中，第一次不一定所有指标都能通过。在FSR和TSR提出的安全措施，在计算硬件架构度量时，其诊断的覆盖率可能不足。这时需要根据计算差距，增加新的安全机制或选用失效率更低的元器件。（本文及功能安全开发系列文章中，所有例子和相关参数均为个人交流使用，所有均为假设，无任何项目相关或验证。仅供参考学习）