安全分析-DFA

相关失效分析

FMEA用来进行单点故障分析，因此在考虑某个底层故障时，既不考虑其他故障对自身的影响，也不考虑对其他故障的影响；而FTA进行定量计算的前提是假设所有的底事件之间是相互独立而不受彼此影响。

相关失效分析（DFA，Dependent Failure Analsis）用于确保系统设计中充分考虑并解决了由于要素之间的相互关联而导致的失效风险，以实现更完整、可靠的功能安全保障；可被用于论证避免单点故障和潜伏故障安全机制的有效性。

• 共因失效（Common Cause Failure - CCF）：一个相关项中，由一个单一特定事件或根本原因引起的两个或多个要素的失效。

       ASIL分解之间，冗余要素之间，安全机制和基本功能之间需要分析

• 级联失效（Cascading Failure）：同一个相关项中，一个要素的失效引起另一个或多个要素的失效

        不同ASIL 或无ASIL等级和有ASIL等级间交互需要分析

独立性受共因失效和级联失效的威胁，而免于干扰仅受级联失效的威胁

架构特征

分析架构并评估元素之间的相关性，罗列可能导致相关失效的引发源；可考虑如下架构特性

相似的和不相似的冗余要素 similar and dissimilar redundant elements

由相同的软件或硬件要素实现的不同功能 different functions implemented with identical software or hardware elements

功能及其相关安全机制, functions and their respective safety mechanisms

功能的分割或软件要素的分隔（不同ASIL干扰） partitions of functions or software elements

硬件要素间物理距离 physical distance between hardware elements, with or without a barrier

共同的外部资源 common external resources

耦合因素

参见26262 18版-9-7.4.4

安全分析的结果可用于识别出潜在可能的相关失效：FTA中重复相同的事件，FMEA中多次出现的具有相似失效模式的相似元器件或组件，可作为耦合因素的干扰项考虑

软件干扰

对于不同ASIL等级的软件模块，要想避免干扰一实现要素共存准则，首先要清楚干扰是如何存在的。ISO 26262, part6的附录D将软件干扰总结为三类：

• 时序和执行 (Timing and execution)

• 内存 (Memory)

• 信息交换 (Exchange of information)

 DFA分析步骤

26262 18版-11中梳理了半导体应用的DFA流程图