功能安全的危害分析和風(fēng)險評估方法

樓志江

（比亞迪汽車工業(yè)有限公司，廣東 深圳 518118）

引言

所謂功能安全，即是通過分析和設(shè)計，將系統(tǒng)電子元器件失效引起的安全風(fēng)險降低到社會接受的水平。關(guān)于汽車功能安全的研究由來已久，早在上世紀80 年代，歐洲已經(jīng)針對發(fā)動機系統(tǒng)電子元器件失效的問題提出了EGAS 三層架構(gòu)[1]。之后，工程師們將功能安全的開發(fā)思想和流程逐漸整理完善，并于2011 年11 月，發(fā)布了第一版汽車電子電氣系統(tǒng)功能安全的國際標(biāo)準(zhǔn)ISO 26262[2]，之后第二版也于2018 年正式發(fā)布[3]。

ASIL，全稱汽車安全完整性等級（Automotive Safety Integrity Level），用于描述失效風(fēng)險水平以及系統(tǒng)功能可靠性的大小，是貫穿整個功能安全開發(fā)過程的一個重要概念。因此，ASIL 評估的正確與否，對功能安全的開發(fā)起著至關(guān)重要的作用。

然而，在實際開發(fā)過程中，由于ISO 26262 對于ASIL的定義過于抽象，很多工程師難以理解ASIL 的物理意義，加上ISO 26262 中關(guān)于ASIL 的評估準(zhǔn)則主觀性太強，導(dǎo)致很多工程師難以得出客觀有效的ASIL 評估結(jié)果。為此，美國機動車工程師學(xué)會先后發(fā)布了SAE J2980 的第一版和第二版用于指導(dǎo)ASIL 定級[4]，但是該標(biāo)準(zhǔn)在很多問題上還是過于主觀，在實際應(yīng)用中還存在很多問題。

因此，本文通過數(shù)學(xué)推導(dǎo)介紹了ASIL 的物理意義，同時結(jié)合實際的工程應(yīng)用問題，提出了九點建議準(zhǔn)則，作為為ASIL 評估的參考意見。

1 ASIL 物理意義及評估參考準(zhǔn)則

所謂功能安全，就是功能失效引起的后果降低到社會能夠接受的水平。換就話說，就是希望導(dǎo)致事故嚴重度（S）越高的失效，引起事故發(fā)生的概率（f）越低，即：

其中λ 為一個定值，代表社會的接受水平。

其中事故發(fā)生的概率f 需要從三個方面進行綜合考慮：首先，它和電子元器件發(fā)生失效的概率f0相關(guān)；其次，即便電子元器件發(fā)生失效，其造成的事故的嚴重度（S）也是和事故發(fā)生的場景息息相關(guān)的，例如對剎車失效而言，該故障發(fā)生在雨雪天造成的后果比在晴天發(fā)生造成的后果要嚴重，因此，f 也和場景發(fā)生的概率相關(guān)，即暴露率（E）；最后，即便發(fā)生了故障，有的問題駕駛員和行人具有處理能力，能防止事故的發(fā)生，因此，f 也和駕駛員和行人的故障處理能力相關(guān)，即可控性（C）。因此，公式（1）可以寫成如下：

公式中f0是和電子元器件系統(tǒng)的設(shè)計水平直接掛鉤的，f0越小，代表系統(tǒng)的失效率非常低。因此，功能安全取，利用嚴重度（S）、暴露率（E）、可控性（C）三者來計算ASIL等級，ASIL 等級越高表明事故的后果越嚴重，我們需要失效率更低的電子元器件系統(tǒng)才能控制住該失效引起的風(fēng)險。因此，ASIL 既能用于描述失效風(fēng)險的大小，也能用于描述系統(tǒng)的安全等級。

表1 ASIL 評級表

如表1 所述，ASIL 基于嚴重度（S）、暴露率（E）、可控性（C）三者等級而確定。SAE J2980 和ISO 26262 均給出了嚴重度（S）、暴露率（E）、可控性（C）的評估標(biāo)準(zhǔn)，但是這些準(zhǔn)則主觀性太大，不適合實際功能安全開發(fā)。

結(jié)合SAE J2980、ISO 26262 以及實際開發(fā)經(jīng)驗，本文就ASIL 的評估問題，提出以下的一些參考準(zhǔn)則：

準(zhǔn)則1：評估的重點始終為整車層面單個功能的影響，而且暫且不考慮已經(jīng)或者將要實施的安全機制（故障檢測、報警、處理等安全措施）。

準(zhǔn)則2：駕駛員的過失操作不在考慮范圍內(nèi)。

準(zhǔn)則3：場景不可分割太細，否則暴露率會過低，造成整體ASIL 等級過低的后果。

倘若場景的分割操作不會對嚴重度和可控性造成影響，僅僅只能降低暴露率，那這樣的場景分割操作就是沒必要的。

準(zhǔn)則4：凡是和機械剎車失效、轉(zhuǎn)向失效、電池燃燒、電控爆炸相關(guān)的故障，通常情況下嚴重度均取最高等級S3。

類似效果的故障也取S3，例如駕駛過程中誤觸發(fā)電子駐車制動系統(tǒng)（EPB），因為其效果和意外剎車一樣，因此，嚴重度等級也取S3。

準(zhǔn)則5：對同一個失效，在轉(zhuǎn)彎或者超車的場景下的嚴重度比直線行駛場景下的嚴重度要高一個到兩個等級。

準(zhǔn)則6：暴露率評估可以采取按環(huán)境條件約束數(shù)量逐級遞減的方法。

例如高速超車的情況，暴露率可以按照如下方法逐級分解為：高速公路暴露率等級為4，同時考慮超車的情況，暴露率等級降低一級為3，因此高速超車的暴露率等級為3。

準(zhǔn)則7：和場景無關(guān)的危害的暴露率等級均取4

倘若一個失效在任何場景下都會發(fā)生嚴重的事故，則其暴露率可以直接評定為4.

準(zhǔn)則8：可控性評估需要考慮駕駛員的應(yīng)對能力，倘若駕駛員有充足的時間進行反應(yīng)和處理，則可以適當(dāng)降級。

因此，車速和前后車距是可控性評估的重要考慮因素。

準(zhǔn)則9：有的故障在引起事故前已經(jīng)做出報警，或者駕駛員可明顯感知到異常，則可以適當(dāng)降低可控性等級。

2 總結(jié)

本文從數(shù)學(xué)層面分析了ASIL 的物理意義，同時，針對實際功能安全開發(fā)過程中ASIL 評估主觀性強的問題，提出了九點建議準(zhǔn)則。本文的工作成果對ASIL 的評估工作就有一定的指導(dǎo)意義，功能安全工程師們在實際開發(fā)過程中可以酌情參考采納。