01.

前言

電腦已經(jīng)是大家日常生活中不可或缺重要工具，我們使用電腦來(lái)瀏覽網(wǎng)站、收發(fā)郵件、編輯照片和視頻、瀏覽社交媒體以及在線會(huì)議。在使用電腦的過程中或多或少會(huì)遇到系統(tǒng)崩潰，卡頓，軟件不響應(yīng)等等問題。那為何手機(jī)經(jīng)?？D/司機(jī)？可能是因?yàn)椴考匣蜻^熱，又或是電腦芯片的一個(gè)關(guān)鍵組件失效或者內(nèi)部接插件接觸不良，又或者是軟件的BUG從而導(dǎo)致整個(gè)系統(tǒng)隨機(jī)重啟。

多虧這是安裝在電腦中的處理器，最糟糕的結(jié)果也只是因?yàn)閿?shù)據(jù)的丟失而片刻的沮喪。如果這款處理器安裝在您汽車的某個(gè)控制系統(tǒng)中，例如轉(zhuǎn)向/制動(dòng)/智能駕駛，那么后果可能會(huì)更嚴(yán)重。

所有電子元件都會(huì)在某個(gè)時(shí)間點(diǎn)失效，這是無(wú)法更改的事實(shí)。而如今，我們發(fā)現(xiàn)在我們汽車上越來(lái)越多的執(zhí)行關(guān)鍵功能的電子元件越來(lái)越多，涉及轉(zhuǎn)向、制動(dòng)、智能輔助駕駛等方面。既然電子元件必然會(huì)隨著時(shí)間的流逝出現(xiàn)各種問題，并且我們的電子電氣工程師無(wú)法阻止時(shí)間的流逝，我們?cè)撊绾螏椭褂梦覀冊(cè)南到y(tǒng)設(shè)計(jì)人員來(lái)避免此類隨機(jī)事件危及車輛駕乘人員以及其他交通參與者的生命安全？

答案就是：功能安全。

02.

什么是功能安全

“功能安全”是指避免由系統(tǒng)功能性故障導(dǎo)致的不可接受的風(fēng)險(xiǎn)。功能安全關(guān)注系統(tǒng)故障后的行為，而不是系統(tǒng)的原有功能或性能。

在現(xiàn)代工業(yè)控制領(lǐng)域中，可編程電子硬件、軟件系統(tǒng)的大量使用，大大提升了自動(dòng)化程度。但由于設(shè)備設(shè)計(jì)中的缺失，以及開發(fā)制造中風(fēng)險(xiǎn)管理意識(shí)的不足，這些存在設(shè)計(jì)缺陷的產(chǎn)品大量流入相關(guān)行業(yè)的安全控制系統(tǒng)中，已經(jīng)造成了大量的人身安全、財(cái)產(chǎn)損失和環(huán)境危害事故。為此，世界各國(guó)歷來(lái)對(duì)石化過程安全控制系統(tǒng)、電廠安全控制系統(tǒng)、核電安全控制系全領(lǐng)域的產(chǎn)品安全性設(shè)計(jì)技術(shù)非常重視，并且將電子、電氣及可編程電子安全控制系統(tǒng)相關(guān)的技術(shù)發(fā)展為一套成熟的產(chǎn)品安全設(shè)計(jì)技術(shù)，即“功能安全”技術(shù)。

歐美已經(jīng)頒布了成套的功能安全相關(guān)產(chǎn)品指令和設(shè)計(jì)標(biāo)準(zhǔn)，并深入到各個(gè)領(lǐng)域，如：汽車（ISO26262）軌道控制（EN 5012X）、核電(EN 61513)、工業(yè)裝備及機(jī)器控制（EN 62601, EN ISO13849-1/2）、過程控制(EN 61511)等，國(guó)際上，IEC形成的 IEC 61508，IEC 61511 等系列標(biāo)準(zhǔn)已經(jīng)逐步成為各國(guó)家、行業(yè)廣泛認(rèn)可的基本功能安全標(biāo)準(zhǔn)，中國(guó)也仿效并形成了的相應(yīng)國(guó)家標(biāo)準(zhǔn)，其他行業(yè)性功能安全標(biāo)準(zhǔn)也在參照并將逐步形成為國(guó)家行業(yè)性標(biāo)準(zhǔn)。

ISO26262是從電子、電氣及可編程器件功能安全基本標(biāo)準(zhǔn)IEC61508派生出來(lái)的，主要定位在汽車行業(yè)中特定的電氣器件、電子設(shè)備、可編程電子器件等專門用于汽車領(lǐng)域的部件，旨在提高汽車電子、電氣產(chǎn)品功能安全的國(guó)際標(biāo)準(zhǔn)，國(guó)內(nèi)對(duì)應(yīng)的標(biāo)準(zhǔn)即為GB/T 34590。

隨著系統(tǒng)復(fù)雜性的提高，軟件和機(jī)電設(shè)備的應(yīng)用，來(lái)自系統(tǒng)失效和隨機(jī)硬件失效的風(fēng)險(xiǎn)也日益增加，制定ISO 26262標(biāo)準(zhǔn)的目的是使得人們對(duì)安全相關(guān)功能有一個(gè)更好的理解，并盡可能明確地對(duì)它們進(jìn)行解釋，同時(shí)為避免這些風(fēng)險(xiǎn)提供了可行性的要求和流程。

ISO 26262為汽車安全提供了一個(gè)生命周期（管理、開發(fā)、生產(chǎn)、經(jīng)營(yíng)、服務(wù)、報(bào)廢）理念，并在這些生命周期階段中提供必要的支持。該標(biāo)準(zhǔn)涵蓋功能性安全方面的整體開發(fā)過程（包括需求規(guī)劃、設(shè)計(jì)、實(shí)施、集成、驗(yàn)證、確認(rèn)和配置）。

ISO 26262標(biāo)準(zhǔn)根據(jù)安全風(fēng)險(xiǎn)程度對(duì)系統(tǒng)或系統(tǒng)某組成部分確定劃分由A到D的安全需求等級(jí)（Automotive Safety Integrity Level 汽車安全完整性等級(jí)ASIL），其中D級(jí)為最高等級(jí)，需要最苛刻的安全需求。伴隨著ASIL等級(jí)的增加，針對(duì)系統(tǒng)硬件和軟件開發(fā)流程的要求也隨之增強(qiáng)。對(duì)系統(tǒng)供應(yīng)商而言，除了需要滿足現(xiàn)有的質(zhì)量要求外還必須滿足這些因?yàn)楣δ馨踩燃?jí)增加而提出的更高的要求。

整車主要模塊/功能的功能安全等級(jí)

03.

故障-錯(cuò)誤-失效

故障

功能安全中定義的故障是指可引起要素或相關(guān)項(xiàng)失效的異常情況。

故障可以分為永久故障和非永久故障，其分類如下圖所示。

永久性故障是指發(fā)生并持續(xù)，直到被移除或修復(fù)的故障。也就是說永久性故障發(fā)生了必須采取相應(yīng)的措施才能夠使其恢復(fù)其正常運(yùn)行。其中系統(tǒng)性故障一般表現(xiàn)為永久性故障。

非永久性故障可以分為間歇性故障和瞬態(tài)故障。間歇性故障是指故障一再的發(fā)生，然后消失。當(dāng)一個(gè)組件處于損壞的邊緣時(shí)，或者例如由于開關(guān)的電涌(電壓的瞬態(tài)激烈變化)，間歇性故障可能會(huì)發(fā)生。某些系統(tǒng)性故障(例如時(shí)序混亂)也可能導(dǎo)致間歇性故障。

瞬態(tài)故障是指發(fā)生一次且隨后消失的故障。瞬態(tài)故障可由電磁干擾引起，其可導(dǎo)致位翻轉(zhuǎn)。比如由于單粒子翻轉(zhuǎn)效應(yīng)(SEU)和單粒子瞬態(tài)脈沖(SET)發(fā)生的軟錯(cuò)誤，均為瞬態(tài)故障。(單粒子翻轉(zhuǎn)是宇宙中單個(gè)高能粒子射入半導(dǎo)體器件靈敏區(qū)，使器件邏輯狀態(tài)翻轉(zhuǎn)的現(xiàn)象。)

錯(cuò)誤

ISO 26262中定義的錯(cuò)誤是指計(jì)算的、觀測(cè)的、測(cè)量的值或條件與真實(shí)的、規(guī)定的、理論上正確的值或條件之間的差異。錯(cuò)誤可由未預(yù)見的工作條件引起或由所考慮的系統(tǒng)、子系統(tǒng)或組件的內(nèi)部故障引起。故障可表現(xiàn)為所考慮要素內(nèi)的錯(cuò)誤，該錯(cuò)誤可最終導(dǎo)致失效。

比如由于宇宙中單個(gè)高能粒子射入半導(dǎo)體器件靈敏區(qū)，使存儲(chǔ)器邏輯狀態(tài)翻轉(zhuǎn)的單粒子翻轉(zhuǎn)效應(yīng)SEU，使得軟件中某個(gè)bit位從0到1或者從1變成0是屬于一個(gè)軟錯(cuò)誤(硬件沒有損害)。

從上可以看出故障，錯(cuò)誤和失效的大概關(guān)系是故障可引起錯(cuò)誤，錯(cuò)誤再導(dǎo)致失效。下文會(huì)再做詳細(xì)說明。

失效

失效，按照ISO26262的定義是要素按要求執(zhí)行功能的能力的終止。(英文：terminationof the ability of an elementto perform a function as required)

注：不正確的規(guī)范是失效的來(lái)源之一。

在這里失效針對(duì)的是功能的喪失或者終止。比如對(duì)于電機(jī)控制器來(lái)說，其主要的功能之一是根據(jù)整車控制器VCU的扭矩請(qǐng)求，對(duì)電機(jī)進(jìn)行轉(zhuǎn)矩和轉(zhuǎn)速的控制，因此無(wú)論輸出的扭矩非預(yù)期的偏大或者偏小都是一種失效。

1.系統(tǒng)性失效和隨機(jī)硬件失效

在功能安全中依據(jù)失效的原因可以將失效分為兩種：系統(tǒng)性失效和隨機(jī)硬件失效。而功能安全的主要目的就是盡可能的將由于這兩類失效導(dǎo)致的整車層面安全風(fēng)險(xiǎn)降低到一個(gè)可以接受的水平。

(1)系統(tǒng)性失效(systematicfailure)

以確定的方式與某個(gè)原因相關(guān)的失效，只有對(duì)設(shè)計(jì)或生產(chǎn)流程、操作規(guī)程、文檔或其它相關(guān)因素進(jìn)行變更后才可能排除這種失效。

系統(tǒng)性失效存在三個(gè)特征：

A- 僅僅進(jìn)行正確維護(hù)而不加修改的情況下，無(wú)法消除故障。

B-通過模擬失效原因可以使其重復(fù)出現(xiàn)。

C-是人為錯(cuò)誤引起，失效原因比如：安全要求規(guī)范的錯(cuò)誤；硬件的設(shè)計(jì)，制造，安裝，操作的錯(cuò)誤；軟件的設(shè)計(jì)和實(shí)現(xiàn)的錯(cuò)誤等。

軟件故障和部分的硬件故障是屬于系統(tǒng)性故障。比如coding的時(shí)候沒有考慮使用數(shù)據(jù)類型的錯(cuò)誤，某變量(比如精度為1，offset為0)本應(yīng)該使用U16的，結(jié)果用成了U8，使得計(jì)算的最大數(shù)值只能到255。這里的軟件bug是屬于系統(tǒng)性失效。

(2)隨機(jī)硬件失效(random hardwarefailure)

按照ISO 26262的定義，隨機(jī)硬件失效是在硬件要素的生命周期中，非預(yù)期發(fā)生并服從概率分布的失效。并且可在合理的精度范圍內(nèi)進(jìn)行預(yù)測(cè)。

非預(yù)期發(fā)生的含義是盡管硬件的設(shè)計(jì)是正確的，比如電子元器件的選型，電阻值，電容值，電路設(shè)計(jì)等都是正確的，且器件是符合質(zhì)量標(biāo)準(zhǔn)的。但是卻無(wú)法預(yù)知在哪里發(fā)生，以怎樣的形式發(fā)生的失效。

服從概率分布的含義是失效可以在合理的精度范圍內(nèi)進(jìn)行預(yù)測(cè)。比如通過可靠性或者分析得到失效率。

隨機(jī)硬件失效的起因是由于物理過程，比如疲勞、物理退化或環(huán)境應(yīng)力等。比如上面提到的位翻轉(zhuǎn)，比如電阻的開路，短路，阻值漂移等等。

2．相關(guān)失效和非相關(guān)失效

此外功能安全中還定義了相關(guān)失效和非相關(guān)失效。

相關(guān)失效是指失效同時(shí)或相繼發(fā)生的概率不能表示為每個(gè)失效無(wú)條件發(fā)生概率的簡(jiǎn)單乘積。比如當(dāng)失效A和失效B同時(shí)發(fā)生的概率不等于兩個(gè)失效概率的乘機(jī)，用數(shù)學(xué)關(guān)系式表示為Pab =Pa*Pb，失效A和B可被定義為相關(guān)失效。反之非相關(guān)失效可以表示為每個(gè)失效無(wú)條件發(fā)生概率的簡(jiǎn)單乘積。

相關(guān)失效可以分為共因失效和級(jí)聯(lián)失效。

共因失效是指在相關(guān)項(xiàng)中，有一個(gè)單一特定事件或根源引起的兩個(gè)或多個(gè)要素的失效。如下圖所示。我們無(wú)法避免隨機(jī)故障的發(fā)生，因此，功能安全在系統(tǒng)中構(gòu)建安全監(jiān)控和緩解機(jī)制，從而解決隨機(jī)故障。功能安全機(jī)制可持續(xù)監(jiān)控汽車中的制動(dòng)信號(hào)，從而檢查它是否偏離預(yù)期范圍。如果確實(shí)偏離了預(yù)期范圍，安全機(jī)制會(huì)標(biāo)記出可能出現(xiàn)的問題并需要對(duì)其進(jìn)行檢查。

級(jí)聯(lián)失效

公因失效

故障，錯(cuò)誤和失效之間的關(guān)系

故障，錯(cuò)誤和失效之間的關(guān)系如下圖所示。圖中從三個(gè)不同類型的原因(系統(tǒng)性軟件問題、隨機(jī)硬件問題和系統(tǒng)性硬件問題)描述了故障到錯(cuò)誤并從錯(cuò)誤到失效的發(fā)展過程。

系統(tǒng)性故障起因于設(shè)計(jì)和規(guī)范的問題；軟件故障和部分硬件故障是系統(tǒng)性的。

隨機(jī)硬件故障起因于物理過程，比如疲勞、物理退化或環(huán)境應(yīng)力。

在組件層面，每個(gè)不同類型的故障會(huì)導(dǎo)致不同的失效。然而，組件層面的失效是相關(guān)項(xiàng)層面的故障。

04.

為一切可能性做好準(zhǔn)備

功能安全中描述的問題其實(shí)也會(huì)經(jīng)常出現(xiàn)在我們?nèi)粘５募彝ズ凸ぷ鲌?chǎng)所。如果您曾經(jīng)注意到，你的手機(jī)因?yàn)殚L(zhǎng)時(shí)間放在陽(yáng)光下而自動(dòng)關(guān)機(jī)，這是因?yàn)槭謾C(jī)實(shí)時(shí)的在監(jiān)控手機(jī)的溫度，一點(diǎn)溫度上升到危險(xiǎn)閾值，手機(jī)就會(huì)自動(dòng)關(guān)機(jī)防止電池過溫起火，這就是一個(gè)典型的功能安全機(jī)制在起作用。

功能安全無(wú)法避免隨機(jī)硬件故障的發(fā)生，但是功能安全可以在系統(tǒng)中構(gòu)建安全監(jiān)控以及對(duì)應(yīng)的安全機(jī)制，更好的應(yīng)對(duì)隨機(jī)故障，降低安全風(fēng)險(xiǎn)。例如，功能安全機(jī)制可持續(xù)監(jiān)控汽車中的某個(gè)傳感器的信號(hào)，從而檢查它是否偏離預(yù)期范圍。一旦發(fā)現(xiàn)偏離了預(yù)期范圍，安全機(jī)制就會(huì)被觸發(fā)，將系統(tǒng)帶入到預(yù)先定義好的一種工作狀態(tài)當(dāng)中，這這種預(yù)定義的狀態(tài)下，對(duì)應(yīng)功能不會(huì)產(chǎn)生安全風(fēng)險(xiǎn)。

為了預(yù)測(cè)這些潛在的危險(xiǎn)，系統(tǒng)層面的功能安全工程師必須了解這些電路層面危險(xiǎn)故障的所有可能原因、發(fā)生的可能性以及如何設(shè)計(jì)對(duì)應(yīng)的軟硬件實(shí)現(xiàn)對(duì)故障的及時(shí)&準(zhǔn)確的診斷。實(shí)現(xiàn)了功能安全的集成電路可以將風(fēng)險(xiǎn)降低到可接受的水平，并在失效模式、影響和診斷分析 (FMEDA) 中具體說明其診斷覆蓋范圍。

然而，要確保產(chǎn)品滿足功能安全要求，為應(yīng)對(duì)隨機(jī)硬件失效做好充足準(zhǔn)備只是其中之一。另一個(gè)風(fēng)險(xiǎn)來(lái)源是開發(fā)過程本身的系統(tǒng)失效。因?yàn)闊o(wú)論診斷覆蓋率多高，打造功能安全應(yīng)用的時(shí)候都必須遵循合適的流程才能有效避免人為因素引入的失效（系統(tǒng)性失效）——這也是標(biāo)準(zhǔn)體系最大的益處。無(wú)論功能安全措施設(shè)計(jì)得如何完善，嚴(yán)格的質(zhì)量管理流程都是實(shí)現(xiàn)功能安全的前提條件之一。

開展功能安全活動(dòng)的時(shí)候，“循規(guī)蹈矩”非常重要。這個(gè)過程必須從一開始就將安全納入考慮，而且還必須營(yíng)造支持安全的文化。完整的開發(fā)流程必須包含以下幾個(gè)重要方面：

安全管理：包括團(tuán)隊(duì)組織架構(gòu)，具體內(nèi)容如：明確不同職位的定義和職責(zé)、打造安全文化、定義安全生命周期，定義功能安全支持級(jí)別。安全生命周期的設(shè)定包括制定一份成功計(jì)劃，選擇合適的開發(fā)工具，確保團(tuán)隊(duì)接受充分的培訓(xùn)。

需求管理和故障檢測(cè)及控制措施（功能安全需求）的可追溯性。為精確實(shí)現(xiàn)需求追溯，需求本身定義必須要明確，精準(zhǔn)，且具備唯一性。追溯等級(jí)取決于完整性的要求，文件可以高等級(jí)；產(chǎn)品則需要從故障檢測(cè)到驗(yàn)證等各個(gè)環(huán)節(jié)面面俱到——計(jì)劃過程不得空穴來(lái)風(fēng)，必須經(jīng)過詳細(xì)驗(yàn)證。

文檔管理和問題管理?？闭`表必須得到妥善管理和使用。為實(shí)現(xiàn)文檔的精確管控，文檔本身版本信息和識(shí)別ID必須要明確，精準(zhǔn)，且具備唯一性，文檔變更的記錄也需要保證完整性。產(chǎn)品在開發(fā)過程中對(duì)于設(shè)計(jì)和驗(yàn)證階段所出現(xiàn)的所有功能安全相關(guān)的問題，從問題出現(xiàn)->關(guān)閉的整個(gè)過程必須經(jīng)過詳細(xì)記錄和驗(yàn)證。

05.

總結(jié)

最后，我們?cè)賮?lái)強(qiáng)調(diào)一下功能安全標(biāo)準(zhǔn)中對(duì)功能安全的定義“避免由系統(tǒng)功能性故障導(dǎo)致的不可接受的風(fēng)險(xiǎn)”。

標(biāo)準(zhǔn)的描述從來(lái)都是嚴(yán)謹(jǐn)而晦澀，簡(jiǎn)單來(lái)說，就是一個(gè)功能在它的使用過程中如果出現(xiàn)故障了會(huì)帶來(lái)傷害，這個(gè)功能就是功能安全相關(guān)的。因此Functional Safety翻譯為“功能的安全”更為貼切。舉個(gè)略顯不恰當(dāng)?shù)睦樱喝缫话岩巫樱ú皇褂脴?biāo)準(zhǔn)里說的E/ E，是因?yàn)檫@些產(chǎn)品和系統(tǒng)比較復(fù)雜，功能比較多不如椅子這種描述的直觀）。椅子之所以成為椅子，其中核心的一點(diǎn)就是其設(shè)計(jì)、生產(chǎn)和使用的目的是讓人坐在上面?！白屓俗笔且话岩巫拥暮诵墓δ?。一把不能坐的椅子不能稱其為椅子。明晰了椅子“功能”后，我們可以將椅子的“功能安全”描述為：一把椅子在人坐的時(shí)候應(yīng)該是沒有危險(xiǎn)的，不會(huì)倒、不會(huì)扎到人等，即人坐到椅子上的時(shí)候不會(huì)產(chǎn)生傷害。

安全，按一般的概念是沒有危險(xiǎn)，不受威脅，不出事故。按照這樣的概念，安全是不可控制的。因?yàn)檫@是一個(gè)絕對(duì)安全的概念，而絕對(duì)安全是不存在的。但是在ISO 26262中將安全定義為“不存在不可接受的風(fēng)險(xiǎn)”，這樣就將絕對(duì)化的安全轉(zhuǎn)化為相對(duì)化的風(fēng)險(xiǎn)控制，使得可以通過控制風(fēng)險(xiǎn)的手段來(lái)解決安全問題，為安全的實(shí)現(xiàn)提供了可供遵循的路徑—“功能的安全的本質(zhì)就是控制風(fēng)險(xiǎn)”。

功能安全是一個(gè)復(fù)雜而龐大的體系，涉及的內(nèi)容多而繁雜，而要更好地理解功能安全的端到端、全系統(tǒng)和全生命周期的科學(xué)理論與方法，了解和掌握就是功能安全的基本概念非常必要的且重要的。

審核編輯：劉清