功能安全：不存在由电子电气系统的故障而引起的危害导致不合理的风险。因此，功能安全开发的首要任务是要避免不可接受的风险。功能安全的最终目的是确保产品安全运行，即便出现问题也可以继续保驾护航。

实际操作中，功能安全系统必须由独立评估员认证，符合所有安全标准。实现功能安全需要具备预测能力的故障模式，实时判断系统状态是功能完整，部分功能损坏，还是系统必须关闭进行重启或重置。

并不是所有故障都会立刻引发严重事故。比如，汽车动力转向系统故障可能会导致突发性的错误转向，但是由于电气和机械设计天然的时间延迟，故障并不会马上产生后果，这一延迟通常是几毫秒以上，ISO 26262将之定义为容错时间间隔，间隔长短取决于潜在的事故类型和系统设计。所以，不难理解，对系统安全要求越高，产生不安全事件的故障就越应该避免。

理想情况下，功能安全不会影响系统性能；但现实生活中，现行的许多安全措施都会严重影响系统性能、功率和面积（PPA）。

 功能安全和V模式设计流程（来源：经纬恒润）

今天就主要介绍功能安全涉及到硬件的两种指标：硬件架构指标与随机硬件失效指标。

1.硬件架构指标

硬件架构指标又包括了单点故障指标（SPFM:Single-Point Fault Metric）和潜在故障指标（LFM:Latent-FaultMetric）两部分。

这两个指标对应不同的功能安全等级的要求如下图，它们是一个百分数，是需要自己计算得到的。

想要把SPFM与LFM弄清楚是啥，我们就需要首先了解一下ISO26262对故障的定义与划分；在ISO26262-5中，定义了所有故障的划分，如下图所示，包括了安全故障、多点故障、单点\残余故障。

其中多点故障又分为可检测的多点故障、可预计的多点故障、潜在的多点故障。

到这里是不是感觉到还是不太懂，没关系，继续看下面的这个图，这个图很形象地把各种故障类型汇总到了一起，其中n代表n个独立的故障同时发生时会造成违反安全目标，所以n=1就代表单点故障，n＞1就代表多点故障。

依照上图，重新阐述一下各个故障的定义。

安全故障：指即使某个故障发生了，但不会违反安全目标。

多点故障：指几个故障同时发生、共同作用下会违反安全目标。

单点故障：指一个故障发生了，就直接违反了安全目标。

在多点故障中，两点以上就认为是安全故障，所以我们只要考虑双点故障；进一步地举例，对于双点故障，如果安全机制只能覆盖80%，那么剩下的20%就是潜在故障，即双点故障中没有被检测到的部分。

单点故障与残余故障其实是一回事，举个例子，一个单点故障，如果我们有诊断机制去覆盖它，但这个诊断机制的诊断覆盖率只有80%，那么剩下的20%就叫做残余故障；进一步地，如果一个单点故障没有安全机制去覆盖它，那么它本身就是一个残余故障。

所以，SPFM与LFM就是衡量我们的硬件架构应对单点/残余故障和潜伏故障的有效性，SPFM与LFM的值越大，代表能诊断出来的故障比例就越高；功能安全做的事就是让故障更多地被诊断出来，保证功能是安全的。

2.随机硬件失效指标

随机硬件失效指标其实有两种评估的方法：随机硬件失效率（PMHF:Probabilistic Metric for random Hardware Failures）与独立评估每一种会违背安全目标的故障（EEC:Evaluation of Each Cause of safety goal violation），二选一即可，通常选用的是PMHF指标。

它是用来表明随机硬件失效导致违背安全目标的残余风险是否足够低，针对不同的安全等级，PMHF的具体要求如下表。

硬件架构的两个指标是百分数，是相对值，体现的是硬件架构的设计水平；而随机硬件失效率指标PMHF是一个绝对值，包括了单点/残余故障失效率、潜在故障失效率，一般通过定量分析来得到。

3.硬件评价指标的计算方法

前两节把功能安全涉及到的硬件两个评价指标的概念描述完了，这次把它们的计算过程从头到尾过一遍，加深理解。

作为硬件开发人员，我们熟悉的是电路图与元器件，而功能安全硬件指标的计算，都是围绕元器件与电路图来具体操作的，这个也是我们理解功能安全在硬件上实现的抓手。

进一步地，每个元器件都会有失效率，那什么是失效率呢？

失效率是指工作到某一时刻尚未失效的产品，在该时刻后，单位时间内发生失效的概率，一般记为λ，它是时间t的函数；失效率以FIT（Failures In Time）表示，1FIT=1次失效/10^9小时，代表一个器件使用了小时，只发生了一次失效。

硬件架构指标

上文把所有故障的概念与分类交代清楚了，这次把这些故障进一步量化，即用失效率来进行表征，按照每一种故障分类，产品整体的失效率可以用下式来表达：即总的失效率等于单点故障失效率、残余故障失效率、多点故障失效率和安全故障失效率的总和。

单点故障指标SPFM

SPFM的计算公式如下图，看起来很复杂，总结起来SPFM=（总失效率-单点\残余故障失效率）/总失效率，可以参照下面示意图。

潜在故障指标LFM

同样的，LFM的计算公式如下图，总结起来LFM=（总体失效率-单点\残余故障失效率-潜在故障失效率）/（总体失效率-单点\残余故障失效率），注意分母中是去掉了单点\残余故障失效率的。

随机硬件失效率指标PMHF

标准中PMHF的简化计算公式如下所示，其实PMHF的计算方法真正了解起来可能更复杂，但实际我们有软件的协助，很多细节被隐藏了，可能最终只关注结果就好。

下面开始正式的计算：

首先针对某个安全目标，我们要对原理图进行安全分析，以下图为例：它由阻容、IC构成，我们就针对每一个器件做安全分析，以其中一个元件为例，看一下是怎么做安全分析的。

以上图中的晶体管T71为例，我们要逐项填写下面的这张表格，填写完成后，也就完成了安全分析的动作。

1、每一个类型的元件都有一个失效率，这里T71的失效率为5 FIT；

2、接着评估T71是否是与安全目标相关的元件，这里T71是安全相关的；

3、然后区分元件的失效模式与分布，T71有两种：开路与短路，每种比例各50%，这样的话每种失效模式的失效率为2.5 FIT；

4、接着填写单点、双点失效相关项，对应每种失效模式是否会造成失效，这里画×的地方代表会；

5、如果会造成失效后，是否有安全机制（SM）对失效进行检测，同时需要评估安全机制的诊断覆盖率（DC），填入表中；

这样把前期的准备工作都做完了，下面需要计算单点\残余故障失效率与潜在故障失效率。

针对于T71的短路失效模式：

λ（单点或残余）=5*0.5*（1-0.9）=0.25 FIT；

λ（潜在）=5*0.5*0.9*（1-0.8）=0.45 FIT；

注意上面在计算潜在故障失效率时，要把单点\残余故障失效率部分减去。

下面的这张图比较重要，用来评估每一种元件的失效模式最终会造成哪种故障，在上面的安全分析中会频繁被用到。

上面只举例了一个元件，实际上要详细计算所有元件的相关失效率，最后根据这些失效率表格，按照前面的公式，计算出SPFM、LFM、PHMF，当然最后的计算工作基本是由专门的软件完成，我们填好表格即可。