C.1失效分类和诊断覆盖率

C.1.1这个要求适用于安全目标的ASIL(B)、C和D。硬件架构度量应定义为项目的硬件，并且只应处理可能对违反安全目标作出重大贡献的与安全相关的硬件元素。

例：硬件元素的失效是n阶的多点失效，n>2，可以从计算中省略，除非显示与技术安全概念相关。

C.12本要求适用于安全目标的ASIL(B)、C和D。安全相关硬件元件中发生的每个失效都应进行分类，如图B.1所示：

1) 单点失效；

2) 残余失效；

例1：可以有“开路”、“短到地”和“短到高”失效的硬件元素，但只有“开路”和“短到地”失效被安全机制覆盖。“短到高”失效是一个残余失效，因为它不包括在一个安全机制，如果它导致违反指定的安全目标。

3) 多点失效；

注1：多点失效的分类需要区分潜在、检测和感知。

4) 安全失效。

图C.1给出了安全相关硬件元素失效分类的图形表示一个项目：

图C.1-安全相关硬件元件的失效分类

在此图形表示中：

距离n表示在导致a的同时存在的独立失效的数目

违反安全目标(n=1用于单点或残余失效，n=2用于双点失效等)；

距离等于n的失效位于圆n和n-1之间的区域；

距离严格高于n=2的多点失效被认为是安全失效，除非在技术安全概念中证明是相关的。

注2在瞬态失效的情况下，安全机制将项目恢复到无失效状态，即使司机从未被告知其存在，这种失效也可以被视为检测到的多点失效。

例2在用于保护内存免受瞬态失效的纠错代码的情况下，如果安全机制-除了向CPU提供正确的值之外-修复内存阵列内翻转位的内容，则该项将恢复到无失效状态。通过写回校正值。

因此，每个安全相关硬件元件的失效率，λ，可以根据方程(C.1)表示（假设所有失效都是独立的，并遵循指数分布），如下所示：

λ=λSPF+λRFλMPF+λS：(C.1)

式中

λSPF：是与硬件元件单点失效相关的失效率；.

λRF：是与硬件元件残余失效相关的失效率；.

λMPF是与硬件元件多点失效相关的失效率；

λS：与硬件元件安全失效相关的失效率。

可以表示与硬件元件多点失效λMPF相关的失效率.

根据方程(C.2)，如下：

λMPF=λMPF，DP+λMPF，L：(C.2)

式中

λMPF，DP是与硬件元素感知或检测到的多点失效相关的失效率；

λMPF，L：是与硬件元件潜在失效相关的失效率。

分配给剩余失效的失效率可以使用避免硬件元件单点失效的安全机制的诊断覆盖率来确定。方程(C.3)给出了与残余失效相关的失效率的保守估计：

式中

λRF，EST是对残余失效的估计失效率；

KDC，RF(也称为DCRF)是对残余失效的诊断覆盖率，以百分比表示。

注3：当已知失效模式分布和失效模式的覆盖范围时，λRF可以计算如下：

式中

λ×DFMI，SR：是与安全相关硬件元件的失效模式相关的失效率；

FMi,safe：是被认为是安全的失效模式的一部分；

(1–FMi,safe)×FFMi,PVSG是第一种失效模式的失效分数，在没有安全机制的情况下具有潜在直接违反安全目标；

KFMCi，RF：是失效模式相对于残余失效的失效模式覆盖范围。

潜在失效分配的失效率可以使用安全机制的诊断覆盖来确定，以避免硬件元件的潜在失效。方程(C.5)给出了与潜在失效相关的失效率的保守估计：

λMPF，L，EST是潜在失效的估计失效率；

KDC，MPF，L(也称为DCMPF，L)是对潜在失效的诊断覆盖率，以百分比表示。

注4：当已知失效模式分布和失效模式覆盖范围时，λMPF，L可以计算如下：

λ×DFMI，SR：是与安全相关硬件元件的失效模式相关的失效率；

FFMi,safe：失效类型的失效分数被认为是安全的；

(1-FFMI，safe)×FFMI，PVSG：是在没有安全机制的情况下有可能直接违反安全目标的失效的分数

(1-FFMI，safe)×(1-FFMI，PVSG)是不被认为是安全的，但在没有安全机制的情况下没有直接违反安全目标的失效的分数；

KFMCi，RF：是失效模式相对于残余失效的失效模式覆盖；

KFMCi，MPF：是对潜在失效的失效模式覆盖。

注5：为此目的，附件D可用作对要求的诊断覆盖率进行诊断的依据，有适当的支持理由。

注6如果上述估计被认为过于保守，那么对硬件元素的失效模式的详细分析可以将每个失效模式按照指定的安全目标分类为失效类别之一（单点失效、剩余失效、潜在、检测或感知多点失效或安全失效），并确定分布到失效模式的失效率。附件B描述了一种可用于失效分类的流程图。

C.2单点失效度量

C.2.1此度量反映了项目对单点和剩余失效的鲁棒性，无论是从安全机制的覆盖，还是通过设计（主要是安全失效）。一个高单点失效度量意味着项目硬件中单点失效和剩余失效的比例较低。

C.2.2此要求适用于安全目标的ASIL(B)、C和D。方程中的计算(C.7)应用于确定单点失效度量：

     是要考虑度量的项目的安全相关硬件元素的λx之和。

注1：此度量只考虑项目的安全相关硬件元素。

例：所有失效都是安全的硬件元素或n阶的多点失效，其中n>2，可以从计算中省略，除非在技术安全概念中显示相关。

注2：图C.2给出了单点失效度量的图形表示。

注3：“单点失效度量”的计算例见附件E。

图C.2-单点失效度量的图形表示

C.3潜在失效度量

C.3.1此度量反映了项目对潜在失效的鲁棒性，无论是通过安全机制中的失效覆盖，还是通过驾驶员识别失效存在于违反安全目标之前，还是通过设计（主要是安全失效）。一个高的潜在失效度量意味着硬件中潜在失效的比例很低。

C.3.2此要求适用于安全目标的ASIL(B)、(C)和D。方程(C.8)中的计算应用于确定潜在失效度量：

是要考虑度量的项目的安全相关硬件元素的λx之和。

注1：此度量只考虑项目的安全相关硬件元素。

例：所有失效都是安全的硬件元素或n阶的多点失效，其中n>2，可以从计算中省略，除非在技术安全概念中显示相关。

注2：图C.3给出了潜在失效度量的图形表示。

注3：附件E给出了计算“潜在失效度量”的一个例子。

注4对于实现容错的项目的潜在失效度量，为了满足安全相关的可用性要求，可以重要的是识别多点失效，其级别高于两个。这可以适用于冗余系统的潜在失效，如果意图是在主系统失效后对冗余系统进行大量的操作。

图C.3-潜在失效度量的图形表示