淺談功能安全關(guān)聯(lián)失效分析（DFA）及一種可用于實(shí)踐的相關(guān)性矩陣分析法

1?什么是DFA？

DFA（Dependent Failure Analysis，相關(guān)失效分析） 是ISO 26262標(biāo)準(zhǔn)中提出的一種系統(tǒng)化分析方法，也是ISO26262中最區(qū)別于其他標(biāo)準(zhǔn)的安全分析。它旨在識(shí)別和評估系統(tǒng)中因要素間關(guān)聯(lián)性引發(fā)的失效風(fēng)險(xiǎn)，確保功能安全設(shè)計(jì)中所需的獨(dú)立性（Independence）和免于干擾能力（Freedom from Interference）得到充分實(shí)現(xiàn)。在ISO26262：2018 – Part 9中提到了如下種類的關(guān)聯(lián)失效。

圖1.關(guān)聯(lián)失效分類圖

由該框圖可得出，防止相關(guān)性失效的核心目標(biāo)包括：

1.防止共因失效（Common Cause Failure, CCF）：由單一根本原因?qū)е露鄠€(gè)要素同時(shí)失效，例如共享電源故障引發(fā)傳感器與控制器同時(shí)宕機(jī)。

2. 防止級聯(lián)失效（Cascading Failure, CF）：一個(gè)要素的失效引發(fā)其他要素的連鎖失效，如某個(gè)功能模塊錯(cuò)誤導(dǎo)致其安全機(jī)制亦無法檢測或報(bào)出。

DFA通過分析這些關(guān)聯(lián)失效的潛在原因（Dependent Failure Initiators, DFI），驗(yàn)證設(shè)計(jì)中是否通過隔離、冗余或獨(dú)立的監(jiān)控機(jī)制有效規(guī)避了相關(guān)風(fēng)險(xiǎn)，從而支撐ASIL分解、冗余架構(gòu)設(shè)計(jì)等關(guān)鍵安全策略的實(shí)施。

2?DFA與FMEA/FTA的關(guān)注區(qū)別點(diǎn)

傳統(tǒng)安全分析方法（如FMEA和FTA）存在以下局限性，需通過DFA進(jìn)行補(bǔ)充：

1. FMEA的不足：FMEA的分析對象默認(rèn)為單點(diǎn)故障，忽略了組件之間相互關(guān)系導(dǎo)致的共因失效和級聯(lián)失效。例如，傳感器與主控芯片若取用自同一電源，則二者之間存在關(guān)聯(lián)失效的風(fēng)險(xiǎn)。這類關(guān)聯(lián)失效無法有效地通過FMEA識(shí)別。

2. FTA的假設(shè)缺陷：FTA分析始于頂事件，并根據(jù)分析系統(tǒng)的架構(gòu)以及功能邏輯關(guān)系一路追溯至底事件，底事件即頂事件（安全目標(biāo)違背）的根本原因。FTA分析中假設(shè)底事件獨(dú)立，因此忽略了實(shí)際系統(tǒng)中故障傳遞的關(guān)聯(lián)性。例如，看門狗若與其監(jiān)控對象共享時(shí)鐘源，則時(shí)鐘故障可能導(dǎo)致功能失效且看門狗無法觸發(fā)安全狀態(tài)。

因此， FMEA/FTA更加關(guān)注于識(shí)別單點(diǎn)故障與雙點(diǎn)/多點(diǎn)故障，開發(fā)中配合通過評估ISO 26262: 2018-5定義的量化指標(biāo)（如SPFM/LFM）來定義安全機(jī)制，并在必要時(shí)進(jìn)行補(bǔ)充、優(yōu)化，以達(dá)成硬件故障度量指標(biāo)。但如前述段落提到，他們相對忽略架構(gòu)要素之間的耦合關(guān)系。因此，關(guān)聯(lián)失效分析（DFA）作為補(bǔ)充手段，可用于重點(diǎn)驗(yàn)證安全機(jī)制有效性不受共因失效源頭的影響。如ISO 26262-5:2018第7.4.3節(jié)所述，DFA可以在硬件設(shè)計(jì)規(guī)范階段，用于進(jìn)一步制定已識(shí)別出的共因(如共享資源)的安全機(jī)制；在驗(yàn)證階段，則可用于確認(rèn)設(shè)計(jì)實(shí)現(xiàn)達(dá)到預(yù)期防護(hù)效能，以此形成完整的設(shè)計(jì)-驗(yàn)證閉環(huán)。 

表1.Table. DFA與FTA、DFMEA的關(guān)注點(diǎn)區(qū)別

3?DFA可重點(diǎn)用于識(shí)別的場景

標(biāo)準(zhǔn)ISO26262：2018-Part 9中粗略的提到了DFA可以實(shí)施的場景 1) 不同ASIL等級的要素免于干擾 2)QM和帶ASIL等級的要素免于干擾 3）ASIL等級分解需要證明冗余要素獨(dú)立性 4) 功能與安全機(jī)制的獨(dú)立性。 

其中，安全機(jī)制的完整性驗(yàn)證是必不可少的考慮要點(diǎn)。若安全機(jī)制本身與其監(jiān)控對象，因?yàn)槟撤N共享資源（如時(shí)鐘、電源）而一同失效，這種情況下，安全機(jī)制的設(shè)計(jì)是無效的。因此需通過DFA識(shí)別這類風(fēng)險(xiǎn)并證明其獨(dú)立性。

圖2. 安全機(jī)制與其監(jiān)控對象的關(guān)聯(lián)失效示意

此外，ISO 26262要求在進(jìn)行ASIL分解或不同ASIL等級組件共存時(shí)，通過DFA證明架構(gòu)的獨(dú)立性，包括免于干擾以及防止共因失效。否則分解無效。例如：一個(gè)ASIL D的需求在實(shí)施時(shí)分解為ASIL B(D)+ASIL B(D)。

圖3.ASIL D的需求在實(shí)施時(shí)分解圖

若冗余要素中使用了相同型號(hào)芯片，則可能因?yàn)槟撤N共因（如制造問題、EMC抗性問題等系統(tǒng)性失效）同時(shí)失效。因此在開發(fā)實(shí)踐中，可以通過異構(gòu)設(shè)計(jì)(不同供應(yīng)商芯片)消除潛在的共因失效；抑或是針對這類同質(zhì)冗余設(shè)計(jì)，需通過DFA證明（包括但不限于分析、測試等手段），不存在潛在的共因失效源頭。以下是標(biāo)準(zhǔn)對于同質(zhì)冗余的需求描述和對于ASIL分解及同質(zhì)冗余的說明：

5.4.3 The initial safety requirement shall be decomposed to redundant safety requirements,that shall be implemented by sufficiently indenendent elements, These elements are sufficiently independent if the analysis of dependent failures (see Clause 7) does not find a plausible cause of dependent failures that can lead to the violation of an initial safety requirement, or if each identified cause of dependent failures is controlled by an adequate safety measure according to the ASlL of the initial safety requirement,

NOTE 1  A given decomposed requirement can be the result of the decomposition of several initial safety requirements.

NOTE 2  The use of homogenous redundancy to implement the decomposed requirements (e.g. by duplicated device or duplicated software) does not address the systematic failures of hardware and software. This prevents the ASlL from being reduced, unless an analysis of dependent failures (see Clause7) provides evidence that sufficient independence (see ISO 26262-1:2018, 3.78) exists or that the potential common causes lead to a safe state. Therefore, homogenous redundancy alone is, in general, not sufficient for reducing the AslL without the support of the analysis of dependent failures for the specific system context.

當(dāng)進(jìn)一步落到項(xiàng)目實(shí)踐中時(shí)，ISO26262-9：2018 Annex C中對于系統(tǒng)級功能安全項(xiàng)目實(shí)踐中的DFA提供了更詳細(xì)的指導(dǎo)。在執(zhí)行DFA時(shí)，可以考慮7個(gè)方面的耦合因素：

表2.ISO26262-9：2018 Annex C對系統(tǒng)級功能安全項(xiàng)目實(shí)踐中的DFA的指導(dǎo)

而ISO26262:2018 – 11中針對半導(dǎo)體，也提到了類似的DFI Checklist，不再贅述。但值得注意的是，半導(dǎo)體器件通常沒有service，因此可以不予考慮。

4?標(biāo)準(zhǔn)ISO 26262-11：2018 對半導(dǎo)體DFA的

推薦執(zhí)行方法

針對半導(dǎo)體廠商實(shí)施DFA的方法，ISO 26262 Part 9（安全分析）和Part 11（半導(dǎo)體指南）詳細(xì)提出了一種供參考的執(zhí)行流程與技術(shù)要求。

 圖4.工作流一覽（Part 11流程圖）：

上述工作流可簡要概述如下：

1. B1-B2：通過架構(gòu)分析、遍歷識(shí)別半導(dǎo)體設(shè)計(jì)中可能引發(fā)關(guān)聯(lián)失效的要素組，建立關(guān)聯(lián)失效源頭（DFI）清單

2. B3-B5：通過不斷迭代和完善，檢查DFI清單的完整性，合并關(guān)鍵DFI。

3. B6-B8：為滿足獨(dú)立性要求及免受干擾性要求，需在目標(biāo)架構(gòu)中實(shí)施針對性安全措施以緩解相關(guān)性失效影響。所有必需的安全措施需形成文檔化記錄。該過程亦需要通過迭代、完善確保措施完整性。

4. B9-B12：評估措施有效性，迭代優(yōu)化直至風(fēng)險(xiǎn)達(dá)標(biāo)。為驗(yàn)證所實(shí)施安全措施在緩解或避免依賴失效方面的有效性，評估可采用安全分析、故障注入仿真、EMC測試或?qū)＜以u審等系統(tǒng)性驗(yàn)證方法。 

5?一種基于關(guān)聯(lián)性矩陣的DFA實(shí)踐方法

常見的DFA執(zhí)行方法中，通?；跇?biāo)準(zhǔn)推薦的“耦合因素表”或演繹式檢查清單，要求工程師依據(jù)經(jīng)驗(yàn)逐項(xiàng)列舉系統(tǒng)中可能存在的關(guān)聯(lián)失效。此類方法的核心問題在于其強(qiáng)主觀性與經(jīng)驗(yàn)依賴性：工程師需憑借個(gè)人對系統(tǒng)架構(gòu)和功能交互的理解，手動(dòng)遍歷如共享資源、通信協(xié)議、環(huán)境干擾等項(xiàng)目并逐一映射到具體模塊中去。然而，在復(fù)雜系統(tǒng)中，模塊間的物理與邏輯耦合關(guān)系往往呈現(xiàn)多層級、跨領(lǐng)域特征，單純依賴人工推導(dǎo)極易因認(rèn)知局限或思維盲區(qū)導(dǎo)致關(guān)鍵關(guān)聯(lián)路徑的遺漏。

為此，本文提出一種結(jié)構(gòu)化關(guān)聯(lián)性矩陣分析方法，該方法采用關(guān)聯(lián)性矩陣通過結(jié)構(gòu)化約束與系統(tǒng)性遍歷機(jī)制為工程師的分析提供一種思路指引，相較于標(biāo)準(zhǔn)上的表格法顯著降低了分析過程的主觀偏差，尤其適用于高復(fù)雜度、多安全等級共存的系統(tǒng)設(shè)計(jì)，亦可用于芯片安全架構(gòu)設(shè)計(jì)。

該分析方法的核心在于關(guān)聯(lián)失效分析矩陣。分析時(shí)，矩陣的首行與首列需系統(tǒng)化納入當(dāng)前設(shè)計(jì)中的關(guān)鍵模塊集合，涵蓋功能模塊（如LDO1，LDO2）與安全機(jī)制模塊（如LDO UV/OV Monitor等），即廣義的電路功能單元集合。由于DFA主要貢獻(xiàn)于架構(gòu)設(shè)計(jì)，模塊顆粒度的定義需遵循架構(gòu)設(shè)計(jì)階段的需求：即避免過度細(xì)化至詳細(xì)設(shè)計(jì)級別。

圖5.關(guān)聯(lián)性矩陣示意

通過模塊的完整列舉，工程師將獲得一個(gè)N×N的交叉驗(yàn)證矩陣，其交叉單元格代表任意兩模塊間的潛在關(guān)聯(lián)路徑。在此框架下，需結(jié)合ISO 26262標(biāo)準(zhǔn)推薦的典型分析場景進(jìn)行定向聚焦，例如：

1. 功能與安全機(jī)制的獨(dú)立性驗(yàn)證

以某功能（如傳感器）及其安全機(jī)制（如集成于MCU中的傳感器信號(hào)合理性校驗(yàn)）為例，需遍歷用于監(jiān)控該功能的安全機(jī)制中涉及到的所有相關(guān)模塊（如ADC采樣單元、故障上報(bào)模塊、上述所有模塊的供電）。注意，分析時(shí)應(yīng)包含檢測和上報(bào)全路徑。識(shí)別出所有關(guān)聯(lián)模塊后，可采用標(biāo)號(hào)定義為Coupling_Case_0x。針對該Case應(yīng)進(jìn)行深入探究，以識(shí)別涉及到的所有模塊是否存在共因失效、級聯(lián)失效。

圖6.功能與安全機(jī)制關(guān)聯(lián)模塊示意

舉例：

· 共因失效（CCF）：若功能模塊與安全機(jī)制共享帶隙基準(zhǔn)，電壓漂移可能導(dǎo)致兩者同時(shí)失效。

· 級聯(lián)失效（CF）：功能模塊的軟件溢出錯(cuò)誤可能覆蓋安全機(jī)制的配置寄存器，導(dǎo)致檢測邏輯失效。

2. ASIL分解與多安全等級組件的交互分析

在ASIL分解場景中（如將ASIL D功能分解為兩個(gè)ASIL B模塊），需驗(yàn)證冗余要素間是否存在共因失效和級聯(lián)失效。任一不滿足，則ASIL等級分解不成立。

3. 不同ASIL等級要素間應(yīng)免于干擾

當(dāng)不同ASIL等級的組件或安全與非安全要素共存時(shí)，低安全等級要素的失效可能通過時(shí)序、內(nèi)存或通信干擾，導(dǎo)致高安全等級組件無法實(shí)現(xiàn)其安全需求。例如，非安全相關(guān)的軟件模塊錯(cuò)誤寫入共享內(nèi)存，可能破壞安全關(guān)鍵功能的數(shù)據(jù)完整性。因此在識(shí)別出此類關(guān)聯(lián)失效時(shí)，架構(gòu)設(shè)計(jì)優(yōu)化、資源隔離等進(jìn)行消除。

除硬件隨機(jī)失效外，針對每一個(gè)DFA_Case_0x, 還需重點(diǎn)評估系統(tǒng)性失效。包括但不限于開發(fā)階段的設(shè)計(jì)缺陷、生產(chǎn)階段的工藝偏差及環(huán)境干擾等。

該方法的優(yōu)勢在于:

1. 結(jié)構(gòu)化約束降低主觀偏差

矩陣的Crosscheck通過強(qiáng)制遍歷所有模塊組合，規(guī)避傳統(tǒng)演繹式清單中因經(jīng)驗(yàn)局限導(dǎo)致的遺漏。

2. 場景驅(qū)動(dòng)的優(yōu)先級劃分

基于ISO 26262推薦的的典型場景（如功能安全機(jī)制獨(dú)立性、ASIL分解有效性），可快速定位高風(fēng)險(xiǎn)單元格，避免“全矩陣均勻分析”的資源浪費(fèi)。

3. 系統(tǒng)性失效的全覆蓋

除硬件隨機(jī)失效外，該方法需集成對系統(tǒng)性失效模式的評估字段，包括：

1. 開發(fā)錯(cuò)誤

2.生產(chǎn)錯(cuò)誤

3.環(huán)境因素

4. 等等

通過上述方法的聯(lián)動(dòng)，即可將DFA分析的主觀性和隨機(jī)性降低到一個(gè)可接受的水平。

6?結(jié)論

本文系統(tǒng)性地介紹了DFA作為ISO26262獨(dú)有的一種安全分析方法的通用概述。DFA作為功能安全分析的關(guān)鍵環(huán)節(jié)，填補(bǔ)了傳統(tǒng)安全分析方法在關(guān)聯(lián)失效識(shí)別上的盲區(qū)，其獨(dú)特性導(dǎo)致它在功能安全開發(fā)中不可或缺。 此外，基于工程實(shí)踐，本文提出一種優(yōu)于標(biāo)準(zhǔn)推薦workflow的DFA實(shí)施方法，旨在通過采用關(guān)聯(lián)失效分析矩陣，約束并引導(dǎo)工程師進(jìn)行系統(tǒng)性遍歷，進(jìn)而避免主關(guān)聯(lián)想帶來的分析不完備以及隨機(jī)性，大大降低了DFA分析中的系統(tǒng)性失效。

A.Hills| 作者

胡沖 | 審核