前言：安全是未来汽车发展的关键问题之一，随着汽车功能越来越多、技术日益复杂、软件和机电一体化应用不断增加，来自系统性失效和随机硬件失效的风险逐渐增加，从而增加了汽车功能失效的概率，使得汽车的安全性越来越低。ISO 26262《道路车辆 功能安全》这一方法论通过提供适当的要求和流程给出了避免风险的指导。开发符合上述标准要求的汽车功能，需进行Item定义、HAZA分析、安全分析（包括FMEA、FTA）、功能安全概念FSC、技术安全概念TSC、软件安全需求SSR、硬件安全需求TSR等，在硬件设计阶段结合安全目标实施FMEDA，以评估设计的硬件是否满足功能安全要求。按照ISO 26262《道路车辆功能安全》要求实施FMEDA的过程中常见的问题及解答，将在正文中详细说明。

FQA1：什么是FMEDA？

FMEDA（Failure ModeEffect and Diagnostic Analysis）是FMEA的扩展和延伸，在FMEA的基础上通过增加安全机制（诊断技术），以识别和评估诊断的有效性。

FMEDA是一种定量的方法，在硬件设计阶段，用于计算SPFM、LFM、PMHF，以评估那些应用了安全机制的硬件电路是否满足相应的ASIL等级要求。

FMEDA可以为硬件安全设计提供定量的数据支持，是硬件设计是否满足硬件安全需求的一种评估方法。

FQA2：ISO 26262定义的故障类型包括哪些？

1、安全相关的元素：该元素的失效会违背安全目标；

2、安全故障：该故障不存在违背安全目标的可能；

3、单点故障：没有适当的安全机制来控制元素失效，且该失效直接导致违背安全目标；

4、残余故障：元素的某部分失效会直接导致违背安全目标，且安全机制没有覆盖到这部分失效。

5、可探测的多点故障：该故障只有在与一个独立的硬件故障同时发生的时候才会违背安全目标，且该故障能被安全机制探测到；

6、可感知的多点故障：该故障只有在与一个独立的硬件故障同时发生的时候才会违背安全目标，且该故障可以在规定的时间内被驾驶员感知到；

7、潜伏故障：那些没有被安全机制探测到，且没有再规定的时间内被驾驶员感知到的多点故障。

FQA3：不同的故障类型是如何分类的？

FQA4：如何进行单点故障度量？

单点故障度量反映了相关项通过安全机制覆盖或通过设计手段（主要是安全故障）实现的对单点故障和残余故障的鲁棒性。高的单点故障度量值意味着相关项硬件的单点故障和残余故障所占的比例低。

单点故障度量图示及计算公式如下：

FQA5：如何进行潜伏故障度量？

潜伏故障度量反映了相关项通过安全机制覆盖、通过驾驶员在安全目标违背之前识别或通过设计手段（主要是安全故障）实现的对潜伏故障的鲁棒性。高的潜伏故障度量意味着硬件的潜伏故障所占的比例低。

潜伏故障度量图示及计算公式如下：

FQA6：如何评估诊断覆盖率？

ISO 26262附录D对如何评估诊断覆盖率有指导性的建议，在评估诊断覆盖率的时候建议参照附录D执行。附录D.2-D.14列出了常见的安全机制可实现的典型的诊断覆盖率，附录D.1对特定元素的某一级别的诊断覆盖率所需分析的失效模式也提出了指导建议，实际应用中可参照附录D.1执行，即对于某一特定的元素，若想诊断覆盖率达到99%，需诊断的失效模式可在表D.1中找到。

FQA7：什么是系统性失效？

对于EE系统，系统性失效更多的是指软件层面的失效，如软件bug，不正确的软件计算等；系统性失效都有明确的原因，故障可复现。

FQA8：什么是随机失效？

对于EE系统，随机失效更多的是指硬件层面的失效，失效的发生具备不确定性，不能明确原因。随机硬件失效不能消除，只能控制。

FQA9：硬件失效率是如何得到的？

ISO 26262 Part5中的8.4.3要求，FMEDA中用到的硬件元器件预估失效率可通过如下方法得到：

1、使用业界公认的硬件元器件失效率数据；如：ICE/TR 62380、ICE 61709等；

2、使用现场反馈或测试的统计数据；

3、使用功能方法形成专家判断，该工程方法基于定量和定性的论证。应依托结构化准则进行专家判断，这些准则是判断的基础，应在失效率预估前进行设定；

注：专家判断准则可包括现场经验、测试、可靠性分析和设计的新颖性。

FQA10：如何实施FMEDA（包含实施步骤）

第一步：部件失效率计算（可参照IEC/TR 62380、SN29500）；

第二步：失效模式和失效率分布（可使用业界公认的数据）；

第三步：评估部件的每一个失效模式在缺少安全机制的情况下是否会违背安全目标，以确定是单点故障还是潜伏故障；

第四步：列出所采用的安全机制及诊断覆盖率（参照ISO 26262附录D）；

第五步：计算单点故障度量SPFM、潜伏故障度量LFM

FMEDA实施案例可参考ISO26262 Part5的附录E