EEA——功能安全

一、功能安全相关概念

**安全功能失效:**电子／电气／可编程控制器产品自身安全功能的不完善。

功能安全：不存在由电子电气系统的功能异常而引起的危害而导致不合理的风险。

**Fault(故障):**可引起要素或相关项失效的异常情况。

**Errors (错误):**计算的、观测的、测量的值或条件与真实的、规定的、理论上正确的值或条件之间的差异。

**Failure(失效):**要素按要求执行功能的能力的终止。

**危害（Hazard）:**是指由于产品功能的失效，作为潜在的原因，会导致发生人身伤害。

危害事件（Hazardous Event）:功能故障和驾驶场景的组合。

相关项定义（Item Definition）:依赖关系，与驾驶员、周围环境以及其它整车级相关项的交互关系。（一个相关项（Item）可以分解为1个或多个系统（System），并向外提供1个或多个功能（Function）；系统可以由多个子系统（Sub-system）构成，也可以分解为多个组件（Component））

安全目标（Safety Goal）:安全目标在功能安全产品开发中，处于最上层的需求。

功能安全概念（Functional Safety Concept，FSC）:描述必要的功能安全需求，并分配这些安全需求到系统的功能要素。

功能安全需求（Functional Safety Requirement）

追溯性相关技术（Techniques for Traceability）

二、ISO 26262

ISO 26262（汽车功能安全标准），继承自 IEC 61508（通用电子电气功能安全标准），定义了针对汽车工业的安全（Safety）相关组件的国际标准。

ISO 26262中需求可以分为4个等级:功能安全目标；功能安全需求；技术安全需求及硬件/软件安全需求。

ISO 26262 各章节

Part 1: 词汇（Vocabulary）
Part 2: 功能安全管理（Management of functional safety）
Part 3: 概念阶段（Concept phase）
Part 4: 系统级的产品开发（Product development at system level）
Part 5: 硬件级的产品开发（Product development at hardware level）
Part 6: 软件级的产品开发（Product development at software level）
Part 7: 生产，运营，维护及报废（Production, operation, service and decommissioning）
Part 8: 支持过程（Supporting processes）
Part 9: 面向ASIL及面向安全的分析（Automotive Safety Integrity Level (ASIL)-oriented and safety-oriented analyes）
Part 10: ISO 26262指南（Guidelines on ISO 26262）

Part 11: 半导体厂商应用ISO 26262的指南（Guidelines on application of ISO 26262 to semiconductors）
Part 12: 适用于摩托车的ISO 26262（Adaptation of ISO 26262 for motorcycles）

三、安全分析方法

依据ISO 26262标准进行功能安全设计时，首先识别系统的功能，并分析其所有可能的功能故障（Malfunction）或失效，可采用的分析方法有HAZOP，FMEA、头脑风暴。

安全分析方法对比

方法

场景

HARA分析

概念阶段

ASIL等级确定

FMEA分析

系统阶段

自下而上的归纳分析方法

FTA分析

系统阶段

故障树分析

定性分析

FMEDA 分析

硬件设计阶段

定量分析

SWFMEA分析

软件阶段

定性分析

DFA分析

系统、硬件、软件分析

相关性分析

（1）HARA——危害分析与风险识别（Hazard Analysis & Risk Assessment）

HARA（危害分析与风险评估）目的是识别项目的功能故障引起的危害，对危害事件进行分类，然后定义与之对应的安全目标，以避免不可接受的风险。

危险事件：功能故障和驾驶场景的组合叫做危害事件（hazard event）

对电子控制器ECU来说，引起失效主要是两个方面：软件和硬件。

软件失效：比如没有考虑分母可能为0；变量公式定义错误，导致精度丢失；

硬件失效：传感器失效；ECU硬件失效（比如CPU或者RAM/ROM失效）；执行器失效；

场景分析（驾驶情景）

危害事件的分级主要考虑以下3个方面：

严重度（Severity of failure, S）：危险事件所导致伤害或损失的潜在严重性。

暴露度（probability of exposure, E）：指人员暴露在系统失效能够造成危害的场景中的概率OR理解为危险事件可能发生的驾驶工况的可能性。

可控度（Controllability, C）：危险所涉及的驾驶员和其它交通人员通过及时的反应避免特定伤害或损失的能力。

ASIL等级（Automotive Safety Integration Level，汽车安全完整性等级）的定义是为了对失效后带来的风险进行评估和量化以达到安全目标。

根据严重度（Severity）、暴露率（Exposure）和可控性（Controllability）评估危害事件的风险级别——即ASIL等级。

ASIL分为QM，A、B、C、D五个等级，ASIL D是最高的汽车安全完整性等级，对功能安全的要求最高。

组合相加等于7分为ASIL A，等于8分为ASIL B，等于9分为ASIL C，等于10分为最高等级ASIL D。

QM：代表与安全无关的功能（Non Safety Relevant Function）。

S、E、C等级划分
严重度暴露度可控性S0无伤害E1非常低的概率C0完全可控S1轻度和中度伤害E2低概率C1简单可控S2严重伤害E3中等概率C2一般可控S3致命伤害E4高概率C3很难控制或不可控
ASIL等级
严重度暴露度可控性C1C2C3S1E1QMQMQME2QMQMQME3QMQMAE4QMABS2E1QMQMQME2QMQMAE3QMABE4ABCS3E1QMQMAE2QMABE3ABCE4BCD
（2）FMEA

FMEA（Potential failure mode and effect criticality analysis）是一种自下而上的归纳分析方法，用于识别系统失效(failure)，找出失效原因(Fault)，以及分析失效影响(Effect) 。

分析步骤：

A.功能分析：
IDLC需求ID功能需求需求描述001XXX001XXXXXX
B.失效分析、风险分析
需求描述失效模式后果IDFSR描述ASILXXXXXXXXX001XXXA/B/C/D
C.优化
IDFSR描述ASILIDTSR描述ASILAllocation001XXXA/B/C/D001XXXA/B/C/DXXX
D.ASIL分解
ASIL分解前ASIL分解后
ASIL D

ASIL D(D) + QM

ASIL C(D) + ASIL A(D)

ASIL B(D) + ASIL B(D)

**E.相关失效分析 **

（3）FTA

故障树分析(Fault Tree Analysis，简称FTA)又称事故树分析，是安全系统工程中最重要的分析方法。FTA是一种自上而下的演绎分析方法，用于识别失效原因及失效间的关系。（定性分析）

步骤：

确定顶事件，一般为在整车角度描述的影响到安全目标的事件，如针对EPS，顶事件可定义为非驾驶员意图的转向，针对MCU，顶事件可定义为非预期的加速等。

分解中间事件，针对顶事件，根据系统组成或特点，进行分解，系统外界以及系统内部一般都需要考虑在内。

3.基本事件，中间事件继续向下分析，得到无法再分解的事件，他们是组成系统顶事件失效的根本原因。