本文要點：在上文（EPB功能安全筆記(13)：FTA定量分析之FMEDA和FTA的交互）中介紹了FMEDA的背景并基于案例說明了FMEDA的分析步驟以及與FTA之間的交互。FTA的底事件包含了識別出來的能造成違背整車安全目標的硬件失效，將這些底事件轉換成系統對硬件的功能安全需求輸入給FMEDA；FMEDA則通過分析構建出底層元器件失效模式與硬件功能安全需求之間的失效網絡，并結合元器件的失效模式及對應的失效率，進一步確認該功能安全需求所對應的以下列舉的各個失效率并作為FTA的輸入。

• 安全相關故障失效率總和：λ _unsafe

• 單點故障失效率總和：λ _SPF

• 殘余故障失效率總和：λ _RF

• 潛伏故障失效率總和：λ _MPF_L

FTA與FMEDA之間的交互

FTA如何運用FMEDA的輸入，取決于ISO 26262對所研究的系統的隨機硬件失效要求。ISO 26262中從兩個方面對隨機硬件失效提出了要求：

1.硬件架構度量的評估(Evaluation of the hardware architectural metrics)

2.隨機硬件失效導致違背安全目標的評估(Evaluation of safety goal violations due to random hardware failures)

本期將對這些隨機硬件失效要求進行介紹。

硬件架構度量的評估

簡單來說，硬件架構度量用來評估相關項的架構應對隨機硬件失效時的有效性。這些度量所針對的隨機硬件失效僅限于相關項中某些安全相關電子和電氣硬件元器件，即那些能對安全目標的違背或實現有顯著影響的元器件，并限于這些元器件的單點故障、殘余故障和潛伏故障。

硬件架構的度量旨在實現以下目標：

• 顯示用于防止硬件架構中單點或殘余故障風險的安全機制的覆蓋率是否足夠(單點故障度量)；

• 顯示用于防止硬件架構中潛伏故障風險的安全機制的覆蓋率是否足夠(潛伏故障度量)

而要想實現以上目標，在已經確定了隨機硬件失效率相關數據的情況下，需要確定硬件架構度量的方法和評價標準，具體來說包括：

• 客觀上可評估：度量是可核實的，并且足夠精確以區分不同的架構；

• 支持最終設計的評估(基于詳細的硬件設計完成精確計算)；

• 為硬件架構提供基于ASIL等級的合格/不合格準則。

接下來就ISO 26262推薦的單點故障度量和潛伏故障度量具體方法和評價標準展開說明。在說明之前再次回顧一下安全相關的故障類型及對應的失效率表達符號，方便后文理解。

安全相關的硬件要素的故障分類

上圖中：

• 距離n 表示了在同一時刻存在的導致違背一個安全目標的獨立故障的數量(n=1對應單點故障或者殘余故障，n=2對應雙點故障)；

• 距離等于n 的故障位于圓環n 和n-1之間的區域。

• 除非在技術安全概念中明確表示需要分析，否則認為距離高于n=2的多點故障是安全故障，即只需要考慮雙點故障。

假設所有的硬件失效都是相互獨立的，那么每個安全相關的硬件要素的失效率總和λ都可以按照下面的公式來表示：

λ_unsafe = λ _SPF + λ _RF + λ _MPF + λ _S

式中

• 安全相關故障失效率總和：λ _unsafe

• 單點故障失效率總和：λ _SPF

• 殘余故障失效率總和：λ _RF

• 多點故障失效率總和：λ _MPF

• 安全故障失效率總和：λ _S

而對于多點故障，可以進一步拆分：

λ _MPF = λ _MPF_D + λ _ MPF_P + λ _MPF_L

式中

• 多點故障失效率總和：λ _MPF

• 可探測的多點故障失效率總和：λ _MP_D

• 可感知的多點故障失效率總和：λ _MPF_P

• 潛伏故障失效率總和：λ _MPF_L

1.1.單點故障度量（single-point fault metric）

單點故障度量反映了相關項通過安全機制覆蓋或通過設計手段(主要為安全故障) 實現的對單點故障和殘余故障的魯棒性。高的單點故障度量值意味著相關項硬件的單點故障和殘余故障所占的比例低，系統可靠性更高。

1.1.1.單點故障度量的計算

單點故障度量的計算公式為：

式中分母即安全相關的失效率總和。單點故障度量公式圖示如下。

單點故障度量圖示

1.1.2.ISO 26262對單點故障度量的要求

ISO 26262中對單點故障度量的要求如下，對ASIL A的安全目標沒有要求，對ASIL B的安全目標沒有強制要求，對ASIL C和ASIL D的安全目標有強制要求。

1.2.潛伏故障度量

潛伏故障度量反映了相關項通過安全機制覆蓋、通過駕駛員在安全目標違背之前識別或通過設計手段(主要為安全故障)實現的對潛伏故障的魯棒性。高的潛伏故障度量值意味著硬件的潛伏故障所占的比例低，系統可靠性更高。

1.2.1.潛伏故障度量的計算

潛伏故障度量的計算公式為：

式中分母即安全相關的失效率總和。潛伏故障度量公式圖示如下。

潛伏故障度量的圖示

1.2.2.ISO 26262對潛伏故障度量的要求

ISO 26262中對潛伏故障度量的要求如下，對ASIL A的安全目標沒有要求，對ASIL B的安全目標沒有強制要求，對ASIL C和ASIL D的安全目標有強制要求。

隨機硬件失效導致違背安全目標的評估

簡單來說，對隨機硬件失效導致違背安全目標的評估是用來確定違背安全目標的殘余風險已經足夠低。ISO 26262對這一評估推薦了兩個方法：

• 第一個方法包括使用概率的度量,即“隨機硬件失效概率度量”( Probabilistic Metric for random Hardware Failures，PMHF)，通過使用例如定量故障樹分析(FTA)及將此計算結果與目標值相比較的方法，評估是否違背所考慮的安全目標。

• 第二個方法包括獨立的評估每個殘余和單點故障，及每個雙點失效是否導致違背所考慮的安全目標。

因為在實際開發中所有的公司幾乎都使用PMHF，所以本文只對PMHF展開說明，感興趣的朋友可以參考ISO 26262，part5了解第二種方法。

PMHF表示在汽車運行周期中每小時平均失效概率。ISO 26262對PMHF的要求如下，從表格中可以看出兩點：

1.PMHF對ASIL A沒有要求；

2.PMHF對ASIL C和ASIL B的要求一樣，同時與ASIL D的要求差一個數量級。

針對這個目標值，必須要澄清以下兩點：

PMHF的目標值不是失效率 (failure rate)

失效率和PMHF的單位雖然都是(per hour)，但是意義不同。也正是由于這一點太容易被混淆，在ISO 26262-2018版的part5中附錄F和part10中8.3.2專門針對PMHF補充了說明。附錄F中提供的PMHF計算公式如下，通過公式可以清楚為什么PMHF和失效率的單位都是（per hour）但是意義不同，最大的不同點在于PMHF需要考慮多點失效的暴露持續時間 (Lifetime) ：

暴露持續時間從故障可能發生時開始，包括：

a)與每個安全機制有關的多點故障探測時間間隔，或者當故障不對駕駛員顯示(潛伏故障)時的車輛生命周期;

b)單次行程的最長持續時間(對于駕駛員被要求以一種安全方式停車的情況)；及

c)直到車輛進入車間維修前的平均時間間隔(對于駕駛員被警示要去維修車輛的情況)。

因此，暴露持續時間取決于涉及的監控類型(例如:連續監控、周期性自檢、駕駛員監控、無監控)和探測到故障后的反應種類。對于連續監控觸發向安全狀態轉移的情況，它可以短至幾毫秒。當沒有監控時，它可以長到車輛的生命周期。

與此同時，對車輛去維修的平均時間的假設取決于故障的類型:

a)對舒適性功能的降級，200次車輛行程;

b)對駕駛輔助功能的降級，50次車輛行程;

c)對黃色警告燈或影響駕駛表現時，20次車輛行程;

d)對紅色警告燈，1次車輛行程。

其中對于乘用車而言，1次車輛行程通常假設為1小時。

PMHF的目標值沒有絕對意義，僅用于新舊設計的比較

ISO 26262, part5中對PMHF這個特征的說明可能是整個ISO 26262最關鍵的說明。

注1： 這些……定量目標值沒有任何絕對的意義，僅有助于將一個新的設計與已有設計相比較。其目的是生成可用的設計指導，并獲得設計符合安全目標的可用證據。

換句話說，對研究對象進行PMHF計算的目的在于驗證新設計的可靠性比上一代更好。只有對一個全新設計的產品在沒有任何可參照的PMHF值時才會采用ISO 26262中推薦的表格進行評定。