谈谈我对功能安全概念阶段的一些理解。
概念阶段中,引入了安全等级的概念(Automotive Safety Integration Level,汽车安全完整性等级),谈谈我对于安全等级或安全目标的理解,什么是ASIL A/B/C/D?常说的XXX达到ASIL D是什么意思?
我理解是车辆有一个危害场景,根据ISO26262从危害度、暴露度、可控度三方面评估,得到该危害场景应该达到ASIL A/B/C/D功能安全等级,以此要求去设计车辆相关系统、硬件、软件,最终达到该功能安全等级要求。
所谓XXX达到ASIL D,是指XXX满足了某危害场景对于XXX的ASIL D要求。
某些厂商时常宣传XXX车辆或系统达到ASIL D,其实有对于公众有误导嫌疑,因为脱离危害场景谈安全等级是没有意义的,也会公众疑惑为什么有些是ASIL D而有些是ASIL C。某一部件所需要满足的ASIL等级,是由危害场景识别评估而定义出来,并不存在平白无故的某部件满足ASIL D。
某些部件可能只需满足ASIL B就能达到整车对于其要求。从成本等综合考虑,安全等级也不是越高越好。
对于一个团队而言,其需要具备研发ASIL D产品的能力,但是其研发的产品并不一定必须达到ASIL D,只需满足整车对于其的要求即可,安全等级过高就过设计。
危险分析和风险评估Hazard analysis and risk assessment
HARA分析可以用下面这种表格概括。
下面为EPB的分析实例,结果均为ASIL D。
1. 焉知自动驾驶:EPB功能安全笔记 (2):危害分析与风险评估 (实操篇)
对于功能安全失效分析,ISO 26262中推荐了一种系统性地分析相关项的危害的方法——HAZOP(危害和可操作性分析,Hazard and Operability Analysis)。HAZOP给开发人员提供了一种可借鉴的思维方式,可操作性强,因此被车企广泛地运用到了功能安全开发中。
简单来说,HAZOP从以下几个方面来全面地考虑功能的可能失效模式,从而识别出功能所有可能产生的危害(为避免翻译出现偏差,这里保留HAZOP的英文解释):
- Loss of Function - function not provided when intended
- Function provided incorrectly when intended
Incorrect Function-More than intended
Incorrect Function-Less than intended
Incorrect Function-Wrong direction- Unintended Activation of Function - Function provided when not intended
- Output Stuck at a Value - Failure of the function to update as intended
注意:对于一个具体的功能来说,并不是上面提到的所有点都有对应的失效模式。比如对于制动功能来说,就不存在“wrong direction”的功能失效。换句话说,具体功能需要具体分析。
车辆运动时
车辆禁止时
2. 经纬恒润:ISO 26262中的ASIL等级确定与分解
该文章提到了EPB危害分析和风险评估,确定ASIL等级为D。虽然最终的结果一样,但是分析和评估过程却不一样。
各系统的安全目标,行业内部基本都有讨论并形成共识,但是我们也要明白整个分析过程是怎么样的。
