功能安全的危害分析和風險評估方法

樓志江

（比亞迪汽車工業有限公司，廣東 深圳 518118）

引言

所謂功能安全，即是通過分析和設計，將系統電子元器件失效引起的安全風險降低到社會接受的水平。關于汽車功能安全的研究由來已久，早在上世紀80 年代，歐洲已經針對發動機系統電子元器件失效的問題提出了EGAS 三層架構[1]。之后，工程師們將功能安全的開發思想和流程逐漸整理完善，并于2011 年11 月，發布了第一版汽車電子電氣系統功能安全的國際標準ISO 26262[2]，之后第二版也于2018 年正式發布[3]。

ASIL，全稱汽車安全完整性等級（Automotive Safety Integrity Level），用于描述失效風險水平以及系統功能可靠性的大小，是貫穿整個功能安全開發過程的一個重要概念。因此，ASIL 評估的正確與否，對功能安全的開發起著至關重要的作用。

然而，在實際開發過程中，由于ISO 26262 對于ASIL的定義過于抽象，很多工程師難以理解ASIL 的物理意義，加上ISO 26262 中關于ASIL 的評估準則主觀性太強，導致很多工程師難以得出客觀有效的ASIL 評估結果。為此，美國機動車工程師學會先后發布了SAE J2980 的第一版和第二版用于指導ASIL 定級[4]，但是該標準在很多問題上還是過于主觀，在實際應用中還存在很多問題。

因此，本文通過數學推導介紹了ASIL 的物理意義，同時結合實際的工程應用問題，提出了九點建議準則，作為為ASIL 評估的參考意見。

1 ASIL 物理意義及評估參考準則

所謂功能安全，就是功能失效引起的后果降低到社會能夠接受的水平。換就話說，就是希望導致事故嚴重度（S）越高的失效，引起事故發生的概率（f）越低，即：

其中λ 為一個定值，代表社會的接受水平。

其中事故發生的概率f 需要從三個方面進行綜合考慮：首先，它和電子元器件發生失效的概率f0相關；其次，即便電子元器件發生失效，其造成的事故的嚴重度（S）也是和事故發生的場景息息相關的，例如對剎車失效而言，該故障發生在雨雪天造成的后果比在晴天發生造成的后果要嚴重，因此，f 也和場景發生的概率相關，即暴露率（E）；最后，即便發生了故障，有的問題駕駛員和行人具有處理能力，能防止事故的發生，因此，f 也和駕駛員和行人的故障處理能力相關，即可控性（C）。因此，公式（1）可以寫成如下：

公式中f0是和電子元器件系統的設計水平直接掛鉤的，f0越小，代表系統的失效率非常低。因此，功能安全取，利用嚴重度（S）、暴露率（E）、可控性（C）三者來計算ASIL等級，ASIL 等級越高表明事故的后果越嚴重，我們需要失效率更低的電子元器件系統才能控制住該失效引起的風險。因此，ASIL 既能用于描述失效風險的大小，也能用于描述系統的安全等級。

表1 ASIL 評級表

如表1 所述，ASIL 基于嚴重度（S）、暴露率（E）、可控性（C）三者等級而確定。SAE J2980 和ISO 26262 均給出了嚴重度（S）、暴露率（E）、可控性（C）的評估標準，但是這些準則主觀性太大，不適合實際功能安全開發。

結合SAE J2980、ISO 26262 以及實際開發經驗，本文就ASIL 的評估問題，提出以下的一些參考準則：

準則1：評估的重點始終為整車層面單個功能的影響，而且暫且不考慮已經或者將要實施的安全機制（故障檢測、報警、處理等安全措施）。

準則2：駕駛員的過失操作不在考慮范圍內。

準則3：場景不可分割太細，否則暴露率會過低，造成整體ASIL 等級過低的后果。

倘若場景的分割操作不會對嚴重度和可控性造成影響，僅僅只能降低暴露率，那這樣的場景分割操作就是沒必要的。

準則4：凡是和機械剎車失效、轉向失效、電池燃燒、電控爆炸相關的故障，通常情況下嚴重度均取最高等級S3。

類似效果的故障也取S3，例如駕駛過程中誤觸發電子駐車制動系統（EPB），因為其效果和意外剎車一樣，因此，嚴重度等級也取S3。

準則5：對同一個失效，在轉彎或者超車的場景下的嚴重度比直線行駛場景下的嚴重度要高一個到兩個等級。

準則6：暴露率評估可以采取按環境條件約束數量逐級遞減的方法。

例如高速超車的情況，暴露率可以按照如下方法逐級分解為：高速公路暴露率等級為4，同時考慮超車的情況，暴露率等級降低一級為3，因此高速超車的暴露率等級為3。

準則7：和場景無關的危害的暴露率等級均取4

倘若一個失效在任何場景下都會發生嚴重的事故，則其暴露率可以直接評定為4.

準則8：可控性評估需要考慮駕駛員的應對能力，倘若駕駛員有充足的時間進行反應和處理，則可以適當降級。

因此，車速和前后車距是可控性評估的重要考慮因素。

準則9：有的故障在引起事故前已經做出報警，或者駕駛員可明顯感知到異常，則可以適當降低可控性等級。

2 總結

本文從數學層面分析了ASIL 的物理意義，同時，針對實際功能安全開發過程中ASIL 評估主觀性強的問題，提出了九點建議準則。本文的工作成果對ASIL 的評估工作就有一定的指導意義，功能安全工程師們在實際開發過程中可以酌情參考采納。