潛伏故障中的潛伏，來自醫(yī)學(xué)術(shù)語潛伏期，潛伏期是指從病原體侵入人體起,至開始出現(xiàn)臨床危害癥狀為止的時期。各種傳染病的潛伏期不同，非典型肺炎的潛伏期通常在4-5天，艾滋病毒潛伏期平均為8-9年。

回到功能安全，類比醫(yī)學(xué)上的潛伏期，潛伏故障本身在潛伏期沒有能力造成危害，它埋伏在暗處，等待著時機(jī)，隨時準(zhǔn)備發(fā)動伏擊。這里的時機(jī)是指有另外一個獨立的故障發(fā)生，這兩個故障組合起來會造成危害。

所以，功能安全的潛伏期和醫(yī)學(xué)潛伏期還有些區(qū)別，在醫(yī)學(xué)上從潛伏期到危害發(fā)生主要靠時間，在功能安全上從潛伏期到危害發(fā)生是靠另外一個故障的發(fā)生。

言歸正傳，下面通過三種情形來說明如何處理潛伏故障。

情形一，flash memory出現(xiàn)單比特位永久性位反轉(zhuǎn)故障。如下圖標(biāo)記為紅色標(biāo)記位所示。

對情形1總結(jié)如下：

1.閃存里面發(fā)生了一位永久性位反轉(zhuǎn)故障。

2.由于ECC的保護(hù)，MCU的core在讀取這段閃存的時候會糾正此故障位，所以這個故障不會違反安全目標(biāo)。

3.這種情況下，這個故障就是潛伏故障，因為該故障既不會被檢測到，也不會被司機(jī)察覺到（因為對系統(tǒng)的功能沒有影響)。所以這個故障就一直潛伏在這里，如果ECC邏輯也出現(xiàn)了故障，失去了糾錯能力，兩個故障的組合就會導(dǎo)致違反安全目標(biāo)。

情形二，ECC邏輯單元發(fā)生故障，失去糾錯能力。

對情形2總結(jié)如下：

1.ECC邏輯發(fā)生故障，失去糾錯能力，這也是一種潛伏故障，因為ECC邏輯發(fā)生故障，不會違反安全目標(biāo)，既不會被檢測到，也不會被司機(jī)察覺到（因為對系統(tǒng)的功能沒有影響）。所以這個故障一直潛伏在這里，如果flash memory發(fā)生位反轉(zhuǎn)故障，此時ECC已經(jīng)失去糾錯能力，所以這兩個故障的組合會導(dǎo)致違反安全目標(biāo)。

下面結(jié)合情形1和情形2做一下FMEDA，如下表格所示：

假設(shè)相關(guān)的安全目標(biāo)級別是ASIL B，分析結(jié)果為：SPFM=96%,LFM=0%,可以看出LFM與ASILB要求的60%相差很遠(yuǎn)。并且潛伏故障的潛伏期為車輛的整個生命周期。

那么采取哪些措施才能使?jié)摲收现笜?biāo)滿足要求呢？

下面看情形三:

情形三描述如下：

1）Flash memory發(fā)生單比特位反轉(zhuǎn)故障，ECC邏輯單元對該故障位進(jìn)行糾正并置flash memory error標(biāo)志位，ECU檢測到標(biāo)志位后通過故障燈提醒駕駛員。

2）ECU在每個上電周期對ECC邏輯單元進(jìn)行上電自檢。

結(jié)合情形三，在情形一和情形二的基礎(chǔ)上更新FMEDA如下：

分析結(jié)果為：SPFM=96%,LFM=93.75%,滿足ASIL B的目標(biāo)值，并且潛伏期縮短至一個上電周期。

根據(jù)以上分析得出如何處理潛伏故障的方法。

具體有以下兩個方面：

1.如果安全機(jī)制只有控制故障的能力（比如只有糾正故障的能力)，沒有診斷及提醒駕駛員的能力，那么這個安全機(jī)制能控制的那一部分故障全部算為潛伏故障，改進(jìn)措施是增加探測和提醒駕駛員的功能。

2.如果對安全機(jī)制本身的故障沒有采取任何措施，那么安全機(jī)制的故障全部算為潛伏故障（假設(shè)安全機(jī)制本身的故障不違反安全目標(biāo)），改進(jìn)措施是增加安全機(jī)制的安全機(jī)制，比如上電或下電安全機(jī)制自身功能自檢等。

聲明：以上三種情形只是示例，不能直接應(yīng)用到實際項目開發(fā)中。