功能安全的危害分析和風(fēng)險(xiǎn)評(píng)估方法

樓志江

（比亞迪汽車(chē)工業(yè)有限公司，廣東 深圳 518118）

引言

所謂功能安全，即是通過(guò)分析和設(shè)計(jì)，將系統(tǒng)電子元器件失效引起的安全風(fēng)險(xiǎn)降低到社會(huì)接受的水平。關(guān)于汽車(chē)功能安全的研究由來(lái)已久，早在上世紀(jì)80 年代，歐洲已經(jīng)針對(duì)發(fā)動(dòng)機(jī)系統(tǒng)電子元器件失效的問(wèn)題提出了EGAS 三層架構(gòu)[1]。之后，工程師們將功能安全的開(kāi)發(fā)思想和流程逐漸整理完善，并于2011 年11 月，發(fā)布了第一版汽車(chē)電子電氣系統(tǒng)功能安全的國(guó)際標(biāo)準(zhǔn)ISO 26262[2]，之后第二版也于2018 年正式發(fā)布[3]。

ASIL，全稱(chēng)汽車(chē)安全完整性等級(jí)（Automotive Safety Integrity Level），用于描述失效風(fēng)險(xiǎn)水平以及系統(tǒng)功能可靠性的大小，是貫穿整個(gè)功能安全開(kāi)發(fā)過(guò)程的一個(gè)重要概念。因此，ASIL 評(píng)估的正確與否，對(duì)功能安全的開(kāi)發(fā)起著至關(guān)重要的作用。

然而，在實(shí)際開(kāi)發(fā)過(guò)程中，由于ISO 26262 對(duì)于ASIL的定義過(guò)于抽象，很多工程師難以理解ASIL 的物理意義，加上ISO 26262 中關(guān)于ASIL 的評(píng)估準(zhǔn)則主觀性太強(qiáng)，導(dǎo)致很多工程師難以得出客觀有效的ASIL 評(píng)估結(jié)果。為此，美國(guó)機(jī)動(dòng)車(chē)工程師學(xué)會(huì)先后發(fā)布了SAE J2980 的第一版和第二版用于指導(dǎo)ASIL 定級(jí)[4]，但是該標(biāo)準(zhǔn)在很多問(wèn)題上還是過(guò)于主觀，在實(shí)際應(yīng)用中還存在很多問(wèn)題。

因此，本文通過(guò)數(shù)學(xué)推導(dǎo)介紹了ASIL 的物理意義，同時(shí)結(jié)合實(shí)際的工程應(yīng)用問(wèn)題，提出了九點(diǎn)建議準(zhǔn)則，作為為ASIL 評(píng)估的參考意見(jiàn)。

1 ASIL 物理意義及評(píng)估參考準(zhǔn)則

所謂功能安全，就是功能失效引起的后果降低到社會(huì)能夠接受的水平。換就話(huà)說(shuō)，就是希望導(dǎo)致事故嚴(yán)重度（S）越高的失效，引起事故發(fā)生的概率（f）越低，即：

其中λ 為一個(gè)定值，代表社會(huì)的接受水平。

其中事故發(fā)生的概率f 需要從三個(gè)方面進(jìn)行綜合考慮：首先，它和電子元器件發(fā)生失效的概率f0相關(guān)；其次，即便電子元器件發(fā)生失效，其造成的事故的嚴(yán)重度（S）也是和事故發(fā)生的場(chǎng)景息息相關(guān)的，例如對(duì)剎車(chē)失效而言，該故障發(fā)生在雨雪天造成的后果比在晴天發(fā)生造成的后果要嚴(yán)重，因此，f 也和場(chǎng)景發(fā)生的概率相關(guān)，即暴露率（E）；最后，即便發(fā)生了故障，有的問(wèn)題駕駛員和行人具有處理能力，能防止事故的發(fā)生，因此，f 也和駕駛員和行人的故障處理能力相關(guān)，即可控性（C）。因此，公式（1）可以寫(xiě)成如下：

公式中f0是和電子元器件系統(tǒng)的設(shè)計(jì)水平直接掛鉤的，f0越小，代表系統(tǒng)的失效率非常低。因此，功能安全取，利用嚴(yán)重度（S）、暴露率（E）、可控性（C）三者來(lái)計(jì)算ASIL等級(jí)，ASIL 等級(jí)越高表明事故的后果越嚴(yán)重，我們需要失效率更低的電子元器件系統(tǒng)才能控制住該失效引起的風(fēng)險(xiǎn)。因此，ASIL 既能用于描述失效風(fēng)險(xiǎn)的大小，也能用于描述系統(tǒng)的安全等級(jí)。

表1 ASIL 評(píng)級(jí)表

如表1 所述，ASIL 基于嚴(yán)重度（S）、暴露率（E）、可控性（C）三者等級(jí)而確定。SAE J2980 和ISO 26262 均給出了嚴(yán)重度（S）、暴露率（E）、可控性（C）的評(píng)估標(biāo)準(zhǔn)，但是這些準(zhǔn)則主觀性太大，不適合實(shí)際功能安全開(kāi)發(fā)。

結(jié)合SAE J2980、ISO 26262 以及實(shí)際開(kāi)發(fā)經(jīng)驗(yàn)，本文就ASIL 的評(píng)估問(wèn)題，提出以下的一些參考準(zhǔn)則：

準(zhǔn)則1：評(píng)估的重點(diǎn)始終為整車(chē)層面單個(gè)功能的影響，而且暫且不考慮已經(jīng)或者將要實(shí)施的安全機(jī)制（故障檢測(cè)、報(bào)警、處理等安全措施）。

準(zhǔn)則2：駕駛員的過(guò)失操作不在考慮范圍內(nèi)。

準(zhǔn)則3：場(chǎng)景不可分割太細(xì)，否則暴露率會(huì)過(guò)低，造成整體ASIL 等級(jí)過(guò)低的后果。

倘若場(chǎng)景的分割操作不會(huì)對(duì)嚴(yán)重度和可控性造成影響，僅僅只能降低暴露率，那這樣的場(chǎng)景分割操作就是沒(méi)必要的。

準(zhǔn)則4：凡是和機(jī)械剎車(chē)失效、轉(zhuǎn)向失效、電池燃燒、電控爆炸相關(guān)的故障，通常情況下嚴(yán)重度均取最高等級(jí)S3。

類(lèi)似效果的故障也取S3，例如駕駛過(guò)程中誤觸發(fā)電子駐車(chē)制動(dòng)系統(tǒng)（EPB），因?yàn)槠湫Ч鸵馔鈩x車(chē)一樣，因此，嚴(yán)重度等級(jí)也取S3。

準(zhǔn)則5：對(duì)同一個(gè)失效，在轉(zhuǎn)彎或者超車(chē)的場(chǎng)景下的嚴(yán)重度比直線行駛場(chǎng)景下的嚴(yán)重度要高一個(gè)到兩個(gè)等級(jí)。

準(zhǔn)則6：暴露率評(píng)估可以采取按環(huán)境條件約束數(shù)量逐級(jí)遞減的方法。

例如高速超車(chē)的情況，暴露率可以按照如下方法逐級(jí)分解為：高速公路暴露率等級(jí)為4，同時(shí)考慮超車(chē)的情況，暴露率等級(jí)降低一級(jí)為3，因此高速超車(chē)的暴露率等級(jí)為3。

準(zhǔn)則7：和場(chǎng)景無(wú)關(guān)的危害的暴露率等級(jí)均取4

倘若一個(gè)失效在任何場(chǎng)景下都會(huì)發(fā)生嚴(yán)重的事故，則其暴露率可以直接評(píng)定為4.

準(zhǔn)則8：可控性評(píng)估需要考慮駕駛員的應(yīng)對(duì)能力，倘若駕駛員有充足的時(shí)間進(jìn)行反應(yīng)和處理，則可以適當(dāng)降級(jí)。

因此，車(chē)速和前后車(chē)距是可控性評(píng)估的重要考慮因素。

準(zhǔn)則9：有的故障在引起事故前已經(jīng)做出報(bào)警，或者駕駛員可明顯感知到異常，則可以適當(dāng)降低可控性等級(jí)。

2 總結(jié)

本文從數(shù)學(xué)層面分析了ASIL 的物理意義，同時(shí)，針對(duì)實(shí)際功能安全開(kāi)發(fā)過(guò)程中ASIL 評(píng)估主觀性強(qiáng)的問(wèn)題，提出了九點(diǎn)建議準(zhǔn)則。本文的工作成果對(duì)ASIL 的評(píng)估工作就有一定的指導(dǎo)意義，功能安全工程師們?cè)趯?shí)際開(kāi)發(fā)過(guò)程中可以酌情參考采納。