一、功能安全這個(gè)概念的形成與發(fā)展?對(duì)中國(guó)汽車(chē)行業(yè)和企業(yè)而言，重要性何在?

功能安全概念的形成起源于上個(gè)世紀(jì)。19世紀(jì)70年代到80年代，在世界范圍內(nèi)，尤其是石油化工領(lǐng)域中一些大型項(xiàng)目的生產(chǎn)過(guò)程中，多次發(fā)生爆炸事故或者嚴(yán)重的污染物泄漏事情。當(dāng)時(shí)業(yè)內(nèi)專(zhuān)家通過(guò)系列而系統(tǒng)的分析手段，明確了事故發(fā)生的主要原因是因?yàn)橄嚓P(guān)安全控制系統(tǒng)安全功能失效導(dǎo)致的，而造成這些失效的直接原因中，由于電子、電氣、可編程邏輯控制器產(chǎn)品自身安全功能不完善導(dǎo)致系統(tǒng)失效的比重是非常大的。

為了提高電子、電氣、可編程邏輯控制器產(chǎn)品的安全性能，從1989年開(kāi)始，世界范圍內(nèi)的業(yè)內(nèi)專(zhuān)家，對(duì)產(chǎn)品安全性設(shè)計(jì)技術(shù)非常重視，并且計(jì)劃將電子、電氣及可編程電子安全控制系統(tǒng)相關(guān)的技術(shù)發(fā)展為一套成熟的安全設(shè)計(jì)技術(shù)標(biāo)準(zhǔn)。1993年，在包含TüV SüD技術(shù)專(zhuān)家的專(zhuān)家技術(shù)團(tuán)隊(duì)的不斷努力下，誕生了DIN V VDE 0801標(biāo)準(zhǔn)。之后隨著更多業(yè)內(nèi)專(zhuān)家的參與和積極努力，國(guó)際電工委員會(huì)終于在1998年的時(shí)候，正式頒布了IEC61508(功能安全基礎(chǔ)標(biāo)準(zhǔn))標(biāo)準(zhǔn)的第一版，并在2010年正式頒布了該標(biāo)準(zhǔn)的第二版。

到目前為止，除功能安全的基礎(chǔ)標(biāo)準(zhǔn)IEC61508之外，其他相關(guān)領(lǐng)域的功能安全系列標(biāo)準(zhǔn)也已經(jīng)頒布并得到大量的應(yīng)用。如專(zhuān)門(mén)針對(duì)過(guò)程控制行業(yè)的IEC61511標(biāo)準(zhǔn)，專(zhuān)門(mén)針對(duì)工廠自動(dòng)化領(lǐng)域的IEC62061和ISO13849-1標(biāo)準(zhǔn)，專(zhuān)門(mén)針對(duì)鐵路信號(hào)控制領(lǐng)域的EN5012X系列標(biāo)準(zhǔn)，專(zhuān)門(mén)針對(duì)核電領(lǐng)域的IEC61513標(biāo)準(zhǔn)…當(dāng)然，這其中也包含針對(duì)道路車(chē)輛功能安全領(lǐng)域的專(zhuān)用標(biāo)準(zhǔn)ISO26262。

ISO26262是從電子、電氣及可編程器件功能安全基本標(biāo)準(zhǔn)IEC61508派生出來(lái)的，ISO26262標(biāo)準(zhǔn)主要定位在汽車(chē)行業(yè)中特定的電氣器件、電子設(shè)備、可編程電子器件等專(zhuān)門(mén)用于汽車(chē)控制領(lǐng)域的部件和系統(tǒng)，它旨在提高汽車(chē)電子、電氣產(chǎn)品功能安全性能。另外此前路人皆知的“踏板門(mén)”、“剎車(chē)門(mén)”等事件，其實(shí)和功能安全都有很大的關(guān)聯(lián)度。

ISO26226標(biāo)準(zhǔn)的核心價(jià)值在于，它可以通過(guò)系統(tǒng)的功能安全研發(fā)管理流程，以及針對(duì)汽車(chē)電子控制系統(tǒng)硬件和軟件的系統(tǒng)化驗(yàn)證和確認(rèn)方法，保證電子系統(tǒng)的安全功能在面對(duì)各種嚴(yán)酷條件時(shí)不失效，從而保證駕乘人員以及路人的安全。對(duì)于汽車(chē)廠商而言，貫徹執(zhí)行ISO26262標(biāo)準(zhǔn)不僅可以提高安全性能，提升產(chǎn)品內(nèi)在價(jià)值，也可以最大程度的控制因?yàn)殡娮硬考煽啃詥?wèn)題導(dǎo)致的整車(chē)召回風(fēng)險(xiǎn)，避免品牌形象受損，避免蒙受較大的經(jīng)濟(jì)損失。

ISO26262標(biāo)準(zhǔn)在今年剛剛正式頒布，雖然世界范圍內(nèi)，暫時(shí)沒(méi)有出現(xiàn)官方層面的強(qiáng)制執(zhí)行要求，但該標(biāo)準(zhǔn)的執(zhí)行，將減少因?yàn)殡娮悠骷г斐傻慕煌ㄊ鹿屎徒档蜐撛谡倩仫L(fēng)險(xiǎn)，所以目前國(guó)際大型車(chē)企非常重視ISO26262標(biāo)準(zhǔn)的應(yīng)用和推廣。

二、ISO26262對(duì)中國(guó)汽車(chē)行業(yè)和企業(yè)而言，提出了什么新要求?

ISO26262標(biāo)準(zhǔn)主要強(qiáng)調(diào)汽車(chē)電子電氣部件的可靠性和功能安全要求，同時(shí)也給國(guó)內(nèi)企業(yè)提出了新的挑戰(zhàn)，主要集中在專(zhuān)業(yè)研發(fā)團(tuán)隊(duì)建設(shè)和系統(tǒng)化的功能安全設(shè)計(jì)方法。

人員方面，因?yàn)镮SO26262標(biāo)準(zhǔn)對(duì)相關(guān)的硬件、軟件、質(zhì)量管理人員等工作提出了新的系統(tǒng)化、規(guī)范化的設(shè)計(jì)要求，不同的技術(shù)團(tuán)隊(duì)需要協(xié)調(diào)一致才能保證整體系統(tǒng)的可靠性。所以我們認(rèn)為經(jīng)過(guò)系統(tǒng)培訓(xùn)的研發(fā)團(tuán)隊(duì)，才能保證標(biāo)準(zhǔn)符合度。在此基礎(chǔ)之上，通過(guò)系統(tǒng)化的功能安全管理方法，才能保證滿足標(biāo)準(zhǔn)的全部要求。

三、什么是功能安全

按照比較老的ISO8402的定義，功能安全就是：

“A state in which the risk of harm (to persons) or damage is limited to an acceptable level.”

而根據(jù)ISO26262, 功能安全被定義為：

“Absence of unreasonable risk due to hazards caused by malfunctioning behavior of E/E systems.”

所以綜合一下、按通俗的理解而言，功能安全就是指汽車(chē)即便出現(xiàn)了故障，這個(gè)故障也是可控的，不會(huì)出現(xiàn)“玩脫了”的情況。實(shí)現(xiàn)功能安全是汽車(chē)設(shè)計(jì)的主要目標(biāo)，也是評(píng)價(jià)汽車(chē)設(shè)計(jì)的重要標(biāo)準(zhǔn)。

四. 什么是ISO26262

ISO26262: Road Vehicles – Functional Safety 是一個(gè)適用于汽車(chē)電子/電氣系統(tǒng)的國(guó)際標(biāo)準(zhǔn)。這個(gè)標(biāo)準(zhǔn)對(duì)汽車(chē)的研發(fā)、生產(chǎn)、測(cè)試、售后等整個(gè)生命周期，在文檔管理、流程規(guī)劃、功能設(shè)計(jì)和任務(wù)執(zhí)行等方面進(jìn)行了具體的指導(dǎo)，并提出了一系列要求，最終使產(chǎn)品達(dá)到功能安全的目標(biāo)。

可以說(shuō)，“功能安全”好比一位童顏巨乳、溫婉善良、人人都想追的妹子，而“ISO26262”則是一本針對(duì)這個(gè)妹子的詳細(xì)把妹教程。而且ISO26262比把妹教程更牛逼：沒(méi)有哪本教程可以保證你把妹成功，但只要企業(yè)詳細(xì)遵循了ISO26262標(biāo)準(zhǔn)，其設(shè)計(jì)出的產(chǎn)品就一定能滿足功能安全的目標(biāo)。只要了解了ISO26262，可以說(shuō)就了解了功能安全的絕大部分內(nèi)容。

ISO26262內(nèi)容非常豐富，但對(duì)于非安全工程師而言，我認(rèn)為了解到ISO26262中最重要的三部分內(nèi)容就可以了，它們是：1. “V”型開(kāi)發(fā)流程 2. ASIL概念 3. 功能安全設(shè)計(jì)開(kāi)發(fā)流程

1.“V”模型開(kāi)發(fā)流程

2. ASIL

2.1 ASIL 的定義

ASIL(Automotive Safety Integrity Level)是用來(lái)描述一項(xiàng)需求(Requirement)的安全嚴(yán)格等級(jí)的概念。它由低到高分為A、B、C、D四個(gè)級(jí)別，除此之外還有一個(gè)非安全需求的QM(Quality Management)級(jí)。粗略而言，ASIL D級(jí)別的需求，一旦發(fā)生故障則具有相當(dāng)高的安全風(fēng)險(xiǎn)，會(huì)導(dǎo)致嚴(yán)重的安全后果，往往危及人員生命安全;而對(duì)于ASIL A級(jí)別的需求，安全風(fēng)險(xiǎn)就很小了，就算出了故障也無(wú)所謂。

比如需求“順/逆時(shí)針轉(zhuǎn)動(dòng)方向盤(pán)時(shí)，電子助力的力矩須與其保持同方向”是ASIL D級(jí)，因?yàn)槿绻{駛員向左打方向盤(pán)而助力向右，汽車(chē)很快就會(huì)失控并撞向道路一側(cè)，這是要出人命的;而“車(chē)窗可通過(guò)按鈕控制上行/下行”就是ASIL A級(jí)——你的車(chē)窗就算壞了，除了淋點(diǎn)雨，并不會(huì)發(fā)生什么了不起的事情。

于是，當(dāng)汽車(chē)研發(fā)人員拿到一份需求文檔，首先要做的就是對(duì)其中每一項(xiàng)需求進(jìn)行ASIL評(píng)級(jí)。

2.2 ASIL 的評(píng)級(jí)

那么一項(xiàng)需求的ASIL具體是怎么確定的呢?為了詳細(xì)說(shuō)明，還要引入幾個(gè)ISO26262中定義的概念。

第一個(gè)概念：Exposure(E)。Exposures是指故障發(fā)生的時(shí)長(zhǎng)占平均運(yùn)行時(shí)長(zhǎng)的比例，用來(lái)表征故障發(fā)生的概率大小。E值越大則故障發(fā)生的概率越大。

第二個(gè)概念：Controllability(C)。Controllability是指故障發(fā)生以后，駕駛員是否可以人為對(duì)故障狀態(tài)加以控制。C值越大則越難以控制。比如前面的例子中，如果反向的轉(zhuǎn)向助力非常大，以至于駕駛員靠手臂的力量無(wú)法控制方向盤(pán)，則C值也就很大。

第三個(gè)概念：Severity(S)。這個(gè)比較好理解了，就是故障的嚴(yán)重程度。S值越大則故障越嚴(yán)重。轉(zhuǎn)向助力失靈是很?chē)?yán)重的故障，而車(chē)窗失靈就不嚴(yán)重。S值分由輕微到嚴(yán)重為S0至S3共四級(jí)。

聰明的你一定已經(jīng)意識(shí)到了，一項(xiàng)需求發(fā)生故障以后的安全風(fēng)險(xiǎn)，可以用公式

Risk = E * C * S

來(lái)表示。

第四個(gè)概念：Tolerable Risk。前面我們已經(jīng)得到了安全風(fēng)險(xiǎn)的量化公式，那么進(jìn)行評(píng)級(jí)還需要一個(gè)對(duì)比標(biāo)準(zhǔn)，這個(gè)標(biāo)準(zhǔn)就是Tolerable Risk。

為了吹噓我家的汽車(chē)安全，我可能會(huì)說(shuō):“我們生產(chǎn)的軟件狗牌轉(zhuǎn)向機(jī)的故障的風(fēng)險(xiǎn)，比空難的風(fēng)險(xiǎn)還低!”這里就選擇了空難作為對(duì)比標(biāo)準(zhǔn)。事實(shí)上，安全工程師在制定Tolerable Risk的時(shí)候，確實(shí)類(lèi)比了諸如空難、七級(jí)以上大地震、嚴(yán)重車(chē)禍等等事件的量化風(fēng)險(xiǎn)做標(biāo)準(zhǔn)——如果我做出來(lái)的汽車(chē)部件的安全風(fēng)險(xiǎn)，比大地震的風(fēng)險(xiǎn)還低，你作為消費(fèi)者，是不是已經(jīng)可以安心使用了呢?

把以上四個(gè)概念繪制在一個(gè)圖表中，以S為橫軸，E*C 為縱軸，就可以得到以下一張ASIL評(píng)級(jí)圖：

從圖中我們可以看出，左下角的安全風(fēng)險(xiǎn)最低，而右上角部分的安全風(fēng)險(xiǎn)最高，并且有Tolerable Risk線把圖分為了兩部分。Tolerable Risk 線以下的部分，就好比“比地震風(fēng)險(xiǎn)還低”的部分，不需要給予特別關(guān)注，可以直接評(píng)為非安全需求的QM級(jí);而線以上的部分，就具有顯著的安全風(fēng)險(xiǎn)，需要進(jìn)行ASIL評(píng)級(jí)，最右上角評(píng)為D級(jí)，向左下依次評(píng)為C、B、A級(jí)。

在實(shí)際評(píng)級(jí)中，安全工程師會(huì)制定詳細(xì)的E、C、S值量化評(píng)分表，于是對(duì)于任意一項(xiàng)需求，都可以對(duì)照評(píng)分表得出其E、C、S的值。其中，確定E值的過(guò)程叫做Risk Assessment，而確定C值和S值的過(guò)程叫做 Hazard Analysis。有了E、C、S值，再對(duì)照ASIL評(píng)級(jí)圖，就可以得出這項(xiàng)需求的ASIL 評(píng)級(jí)了。

注意: ASIL 評(píng)級(jí)過(guò)程和DFMEA中PRN值的計(jì)算以及PRN值的降低過(guò)程有些相似，卻又有本質(zhì)上的不同。

3. ISO26262如何保證功能安全?

前面說(shuō)了那么多各種概念，現(xiàn)在來(lái)談一下為什么說(shuō)執(zhí)行ISO26262后一定能保證功能安全。

根據(jù)ISO26262，對(duì)于任何一項(xiàng)需求，其功能安全大致可以通過(guò)以下幾個(gè)步驟來(lái)保證：

1)進(jìn)行Hazard Analysis 和 Risk Assessment。前文已敘，這個(gè)步驟是為了獲得需求的E、C、S值。

2)評(píng)出此需求的ASIL評(píng)級(jí)并建立Safety Goal。Safety Goal 是一個(gè)具體的、定性的安全目標(biāo)，比如轉(zhuǎn)向助力那個(gè)例子中，“助力方向一致”這個(gè)需求一定是ASIL D級(jí)，故障后會(huì)有相當(dāng)大的安全風(fēng)險(xiǎn)。其Safety Goal就是把故障風(fēng)險(xiǎn)降低至可容忍風(fēng)險(xiǎn)以下。Safety Goal繼承對(duì)應(yīng)需求的ASIL評(píng)級(jí)。

3) 將Safety Goal 進(jìn)一步分解為 Functional Safety Concept 和 Technical Safety Concept。還舉前例，要怎樣降低“助力方向一致”故障的風(fēng)險(xiǎn)呢?一個(gè)可行的辦法是進(jìn)行冗余計(jì)算：用兩套不同的算法計(jì)算助力方向，保證結(jié)果的正確性?；蛘?，把助力電機(jī)的力矩限制在一個(gè)較小的值也是個(gè)好辦法，因?yàn)檫@樣一來(lái)即便助力方向錯(cuò)誤，由于助力有限，駕駛員還是可以控制汽車(chē)。

這些解決方法就是Functional Safety Concept。把Functional Safety Concept進(jìn)一步在技術(shù)上具體化，就是Technical Safety Concept。它們將繼承步驟2)評(píng)出的ASIL等級(jí)。不同的ASIL等級(jí)對(duì)Functional Safety Concept 和 Technical Safety Concept有不同的要求。

4)由Technical Safety Concept 形成Software Safety Requirements 和 Hardware Safety Requirements。這些就是非常具體的安全需求了，可以直接作為軟/硬件設(shè)計(jì)的依據(jù)。這些需求也繼承了相同的ASIL等級(jí)。

5)根據(jù)4)步得到的安全需求，結(jié)合其ASIL 等級(jí)制定測(cè)試與驗(yàn)證方案。對(duì)于不同等級(jí)的安全需求，ISO26262對(duì)測(cè)試方案有著硬性的要求。比如ASIL D級(jí)需求除了進(jìn)行MISRA、PolySpace等測(cè)試外，還要進(jìn)行完備的功能測(cè)試和覆蓋率100%的MCDC測(cè)試，并對(duì)Traceability (可溯性?)也有相應(yīng)要求。

功能安全設(shè)計(jì)開(kāi)發(fā)流程

在進(jìn)行這套流程的同時(shí)，還需配合FMEA 和 DRBFM 對(duì)系統(tǒng)設(shè)計(jì)進(jìn)行分析和評(píng)價(jià)?？梢哉f(shuō)，全套流程結(jié)束以后，功能安全能夠得到有效的保障。