失效保护为一种常见的策略，简言之可将它定义为：当一个系统里的某些量发生预期之内的变异后，采取的保护性策略。每个系统在设计的时候都会涉及到很多量，理论每位工程师都希望所有量在可控范围内，但是实际中物理世界的干扰和变化是不可预知和不可避免的。如果要求某个量可控，便要求其可观测，至少要可以间接通过别的量或直接通过其本身被观测到。当观测到某些失效发生时，为最大可能的避免损失，需采取相应的策略。

　　失效保护列分三种，即硬件输入端口失效、硬件输出端口的失效、其他（电源、总线）异常。

　　输入端口的失效。例如某开关的粘连。拿喇叭打个比方，如果喇叭开关一直被按下，BCM应当要能检测出来开关存在异常，而不能因为检测到了喇叭开关一直按着就一直驱动喇叭鸣响，否则喇叭几分钟后就会被烧毁。这种策略便是失效保护策略，而需要注意的是系统的匹配，如喇叭顶多只能承受持续5min的驱动，但BCM却定义成持续驱动喇叭10min后才释放，那这种策略是无用的，做了和没做一样，因为当BCM释放时，喇叭早就被烧掉了。这个例子中隐含的一个前提是喇叭的鸣响是由BCM控制的，很多低端车是直接由喇叭开关控制的，这种情况无法实现本例所提的策略。所以设计者设计的细节不是拍脑袋想的，而是需要根据系统的实际情况来定义。在做这项定义的时候需考虑到法规、安全性、用户感受，一般法规是优先考虑的（法规本质上也是从用户角度出发，只不过将用户需求转化成了技术标准）。
　　输出端口的失效。例如高驱端口短路，主要从本模块角度考虑，看该失效模式是否会影响本模块的性能和寿命，如果影响则必须做保护策略。如在检测到短路后停止输出，在检测到断路时可以持续保持输出，因为后者不会伤害到本模块、也不会对外部造成伤害，而当断路故障恢复时则可以让被控对象及时恢复功能。
　　其他（电源、总线）异常。这些失效处理具备通用性但又不全相同。像电源电压超出正常工作范围，对于不同的功能或系统可能有不同的策略，如对于外饰卤素灯泡、电机类的系统，可能要及时关闭掉，不然很可能损坏灯泡或影响电机系统的寿命，也即防止充电系统的异常给整车带来其他系统的异常；这主要从负载保护的角度考虑。对于一些总线信号的丢失，如周期性的电源档位信号，在收不到后认为是什么电源档位、要做哪些处理，这对于不同模块来说处理方式会所有不同，均需根据具体情况去定义。
　　最后需要说明的是失效保护的设计思想广泛存在于系统设计中，而上边的举例是从模块设计的角度出发的，功能设计时不应只据泥于模块侧的思考。

（2015-1-14 发表于本人QQ空间）