关键概念
在讨论DFA之前需要了解一些术语，如图1所示：

上图展示了以下几个关键术语，其中“级联失效”和“免于干扰”已经在上期文章中讲述过，此处不再赘述。
a. Dependent Failures，相关失效
b. Cascading Failures，级联失效
c. Common Cause Failures，共因失效
d. Freedom From Interference，免于干扰
e. Independence，独立性
相关失效：在统计上不独立的故障，即故障合并发生的概率不等于所有考虑的独立故障的发生概率的乘积。相关失效包括：共因失效和级联失效。简单来说，两个或多个要素之间既不存在共因失效又不存在级联失效，它们之间就不存在相关失效。
共因失效：一个相关项的两个或多个要素的失效，直接来自要素的内部或外部的单个特定事件或根本原因，如下图所示。

独立性：在两个或多个要素之间没有可能导致违反安全需求的相关失效，或执行活动的各方的组织分离。本文中所述的“独立性”都是指前者。通常，后者是指“执行活动的独立性要求”，例如执行认可措施的独立性，不作为本文讨论的对象。
可以通过图3来总结上述关键术语之间的关系：
a. 如果A要素发生失效后导致其他部件（要素）失效，则存在级联失效；
b. 如果条件a不成立，则其他部件（要素）免于A要素干扰；
c. 如果A要素与其他部件（要素）是由同一个根本原因导致同时发生失效，则存在共因失效；
d. 如果上面的条件a和条件c都不成立，则A要素和其他部件（要素）之间具备技术独立性。

DFA分析的目的
定性或定量的安全分析（FMEA、FTA）可以作为DFA的输入，但与安全分析不同的是，DFA更加关注架构要素之间的耦合关系，执行DFA分析的目的是当架构设计中出现以下如图4所示的四种情况（①~④）时，通过DFA分析结果提供充分的证据这些情况存在的合理性：

a. 情况①：架构设计中存在不同ASIL等级的要素，需要证明不同ASIL等级的安全要素之间免于干扰；
b.情况②：架构设计中存在ASIL等级的要素，又存在QM要素，需要证明安全要素与非安全要素之间免于干扰；
c. 情况③：开发过程中应用了ASIL分解，需要证明冗余路径的独立性；
d. 情况④：设计中使用了安全机制，需要证明安全机制与被诊断要素之间的独立性；
针对情况①和情况②，当DFA不能提供充分的证据证明要素间的免于干扰时，则应按其影响的最高ASIL的要素开发，如下图示：

针对情况③，如果DFA不能提供充分的证据证明ASIL分解后的冗余路径之间的独立性，则分解后的需求不能低于原始需求的ASIL等级，这种情况下的ASIL分解是没有任何收益的，如下图所示：

情况④与情况③是类似的，如果DFA不能提供充分的证据证明安全机制与被诊断要素之间的独立性，则该安全机制的有效性和诊断覆盖率都会受到威胁，如下图所示：

总的来说，在架构设计过程中执行的DFA，目的就是为了找出架构设计中的属于情况①~④，然后分析其存在的合理性，若发现存在相关失效的可能，则根据分析结果进行设计优化。

DFA分析的实施方法
1. 相关失效的耦合因素
ISO 26262-9:2018附录C中的图C.1为架构上潜在导致相关失效的耦合因素进行了分类，如下图所示：

包括以下7个方面的耦合因素：
a. 共享资源 Shared Resource
b. 共享信息输入 Shared Information Inputs
c. 环境免疫不足 Insufficient Environmental Immunity
d. 系统性耦合 Systematic Coupling
e. 相同类型的组件 Components of Identical Type
f. 通信 Communication
g. 非预期接口 Unintended Interface
同时ISO 26262-9:2018附录C中的表C.1从系统、硬件、软件和半导体从四个层面提供了一些可以参考的耦合因素示例（仅截取了一部分，完整部分请参考ISO 26262-9:2018）如下图所示：

在ISO 26262-11:2018，4.7.5条款中的表21~表26针对半导体也给出了许多相关失效来源的实例，同时也给出了防止相关失效违背安全目标和相关失效发生概率的措施建议，本文不再一一列出。
值得说明的是，在ISO 26262-11:2018中，提到了DFI（Dependent Failure Initiators）这一概念，可以理解为：导致相关失效的潜在来源，即上述提到的7个耦合因子的实例（图9的Examples），我们可以称为DFI。

DFA分析的实施方法
2. 相关失效分析流程
ISO 26262-11:2018，4.7.6条款中给出DFA的完整分析流程，为了方便理解，此处提供一个简化版的流程，如下图所示：

以下是针对上图所示DFA流程的进一步说明：
a. 010：架构设计（系统、硬件、软件架构设计），该步骤是DFA分析的输入；
b. 020：分析两个及以上要素之间是否存在DFI；如图9的DFI检查表是一种用于识别DFI常用方法；
c. 030：分析耦合因素是否导致相关失效；
d. 040：分析030步骤产生的相关失效是否违背安全目标或安全需求；
e. 050：不违背安全目标或安全需求的相关失效按质量管理要求优化；
f. 060：分析是否有安全机制控制那些违背安全目标或安全需求的相关失效；
g. 070：违背安全目标或安全需求且无安全机制控制的相关失效按功能安全要求优化；
h. 080：若已有安全机制控制违背安全目标或安全需求的相关失效，则进行下一组相关失效的分析，回到020步骤，直到所有相关失效的组合（即图4中满足①~④的所有情况）分析完成。

广电计量功能安全服务能力
广电计量在汽车、铁路系统产品检测方面拥有丰富的技术经验和成功案例，为主机厂、零部件供应商、芯片设计企业供给整机、零部件、半导体、原材料等全面的检测、认证服务，保障产品的可靠性、可用性、可维护性和安全性。
广电计量拥有技术领先的功能安全团队，专注于功能安全（包括工业、轨道、汽车、集成电路等领域）、信息安全和预期功能安全领域的专家，具有丰富的集成电路、零部件和整机功能安全实施经验，可根据相应行业的安全标准为不同行业的客户提供培训、检测、审核和认证一站式服务。