01.

前言

電腦已經(jīng)是大家日常生活中不可或缺重要工具，我們使用電腦來瀏覽網(wǎng)站、收發(fā)郵件、編輯照片和視頻、瀏覽社交媒體以及在線會議。在使用電腦的過程中或多或少會遇到系統(tǒng)崩潰，卡頓，軟件不響應(yīng)等等問題。那為何手機經(jīng)常卡頓/司機？可能是因為部件老化或過熱，又或是電腦芯片的一個關(guān)鍵組件失效或者內(nèi)部接插件接觸不良，又或者是軟件的BUG從而導(dǎo)致整個系統(tǒng)隨機重啟。

多虧這是安裝在電腦中的處理器，最糟糕的結(jié)果也只是因為數(shù)據(jù)的丟失而片刻的沮喪。如果這款處理器安裝在您汽車的某個控制系統(tǒng)中，例如轉(zhuǎn)向/制動/智能駕駛，那么后果可能會更嚴(yán)重。

所有電子元件都會在某個時間點失效，這是無法更改的事實。而如今，我們發(fā)現(xiàn)在我們汽車上越來越多的執(zhí)行關(guān)鍵功能的電子元件越來越多，涉及轉(zhuǎn)向、制動、智能輔助駕駛等方面。既然電子元件必然會隨著時間的流逝出現(xiàn)各種問題，并且我們的電子電氣工程師無法阻止時間的流逝，我們該如何幫助使用我們元件的系統(tǒng)設(shè)計人員來避免此類隨機事件危及車輛駕乘人員以及其他交通參與者的生命安全？

答案就是：功能安全。

02.

什么是功能安全

“功能安全”是指避免由系統(tǒng)功能性故障導(dǎo)致的不可接受的風(fēng)險。功能安全關(guān)注系統(tǒng)故障后的行為，而不是系統(tǒng)的原有功能或性能。

在現(xiàn)代工業(yè)控制領(lǐng)域中，可編程電子硬件、軟件系統(tǒng)的大量使用，大大提升了自動化程度。但由于設(shè)備設(shè)計中的缺失，以及開發(fā)制造中風(fēng)險管理意識的不足，這些存在設(shè)計缺陷的產(chǎn)品大量流入相關(guān)行業(yè)的安全控制系統(tǒng)中，已經(jīng)造成了大量的人身安全、財產(chǎn)損失和環(huán)境危害事故。為此，世界各國歷來對石化過程安全控制系統(tǒng)、電廠安全控制系統(tǒng)、核電安全控制系全領(lǐng)域的產(chǎn)品安全性設(shè)計技術(shù)非常重視，并且將電子、電氣及可編程電子安全控制系統(tǒng)相關(guān)的技術(shù)發(fā)展為一套成熟的產(chǎn)品安全設(shè)計技術(shù)，即“功能安全”技術(shù)。

歐美已經(jīng)頒布了成套的功能安全相關(guān)產(chǎn)品指令和設(shè)計標(biāo)準(zhǔn)，并深入到各個領(lǐng)域，如：汽車（ISO26262）軌道控制（EN 5012X）、核電(EN 61513)、工業(yè)裝備及機器控制（EN 62601, EN ISO13849-1/2）、過程控制(EN 61511)等，國際上，IEC形成的 IEC 61508，IEC 61511 等系列標(biāo)準(zhǔn)已經(jīng)逐步成為各國家、行業(yè)廣泛認可的基本功能安全標(biāo)準(zhǔn)，中國也仿效并形成了的相應(yīng)國家標(biāo)準(zhǔn)，其他行業(yè)性功能安全標(biāo)準(zhǔn)也在參照并將逐步形成為國家行業(yè)性標(biāo)準(zhǔn)。

ISO26262是從電子、電氣及可編程器件功能安全基本標(biāo)準(zhǔn)IEC61508派生出來的，主要定位在汽車行業(yè)中特定的電氣器件、電子設(shè)備、可編程電子器件等專門用于汽車領(lǐng)域的部件，旨在提高汽車電子、電氣產(chǎn)品功能安全的國際標(biāo)準(zhǔn)，國內(nèi)對應(yīng)的標(biāo)準(zhǔn)即為GB/T 34590。

隨著系統(tǒng)復(fù)雜性的提高，軟件和機電設(shè)備的應(yīng)用，來自系統(tǒng)失效和隨機硬件失效的風(fēng)險也日益增加，制定ISO 26262標(biāo)準(zhǔn)的目的是使得人們對安全相關(guān)功能有一個更好的理解，并盡可能明確地對它們進行解釋，同時為避免這些風(fēng)險提供了可行性的要求和流程。

ISO 26262為汽車安全提供了一個生命周期（管理、開發(fā)、生產(chǎn)、經(jīng)營、服務(wù)、報廢）理念，并在這些生命周期階段中提供必要的支持。該標(biāo)準(zhǔn)涵蓋功能性安全方面的整體開發(fā)過程（包括需求規(guī)劃、設(shè)計、實施、集成、驗證、確認和配置）。

ISO 26262標(biāo)準(zhǔn)根據(jù)安全風(fēng)險程度對系統(tǒng)或系統(tǒng)某組成部分確定劃分由A到D的安全需求等級（Automotive Safety Integrity Level 汽車安全完整性等級ASIL），其中D級為最高等級，需要最苛刻的安全需求。伴隨著ASIL等級的增加，針對系統(tǒng)硬件和軟件開發(fā)流程的要求也隨之增強。對系統(tǒng)供應(yīng)商而言，除了需要滿足現(xiàn)有的質(zhì)量要求外還必須滿足這些因為功能安全等級增加而提出的更高的要求。

整車主要模塊/功能的功能安全等級

03.

故障-錯誤-失效

故障

功能安全中定義的故障是指可引起要素或相關(guān)項失效的異常情況。

故障可以分為永久故障和非永久故障，其分類如下圖所示。

永久性故障是指發(fā)生并持續(xù)，直到被移除或修復(fù)的故障。也就是說永久性故障發(fā)生了必須采取相應(yīng)的措施才能夠使其恢復(fù)其正常運行。其中系統(tǒng)性故障一般表現(xiàn)為永久性故障。

非永久性故障可以分為間歇性故障和瞬態(tài)故障。間歇性故障是指故障一再的發(fā)生，然后消失。當(dāng)一個組件處于損壞的邊緣時，或者例如由于開關(guān)的電涌(電壓的瞬態(tài)激烈變化)，間歇性故障可能會發(fā)生。某些系統(tǒng)性故障(例如時序混亂)也可能導(dǎo)致間歇性故障。

瞬態(tài)故障是指發(fā)生一次且隨后消失的故障。瞬態(tài)故障可由電磁干擾引起，其可導(dǎo)致位翻轉(zhuǎn)。比如由于單粒子翻轉(zhuǎn)效應(yīng)(SEU)和單粒子瞬態(tài)脈沖(SET)發(fā)生的軟錯誤，均為瞬態(tài)故障。(單粒子翻轉(zhuǎn)是宇宙中單個高能粒子射入半導(dǎo)體器件靈敏區(qū)，使器件邏輯狀態(tài)翻轉(zhuǎn)的現(xiàn)象。)

錯誤

ISO 26262中定義的錯誤是指計算的、觀測的、測量的值或條件與真實的、規(guī)定的、理論上正確的值或條件之間的差異。錯誤可由未預(yù)見的工作條件引起或由所考慮的系統(tǒng)、子系統(tǒng)或組件的內(nèi)部故障引起。故障可表現(xiàn)為所考慮要素內(nèi)的錯誤，該錯誤可最終導(dǎo)致失效。

比如由于宇宙中單個高能粒子射入半導(dǎo)體器件靈敏區(qū)，使存儲器邏輯狀態(tài)翻轉(zhuǎn)的單粒子翻轉(zhuǎn)效應(yīng)SEU，使得軟件中某個bit位從0到1或者從1變成0是屬于一個軟錯誤(硬件沒有損害)。

從上可以看出故障，錯誤和失效的大概關(guān)系是故障可引起錯誤，錯誤再導(dǎo)致失效。下文會再做詳細說明。

失效

失效，按照ISO26262的定義是要素按要求執(zhí)行功能的能力的終止。(英文：terminationof the ability of an elementto perform a function as required)

注：不正確的規(guī)范是失效的來源之一。

在這里失效針對的是功能的喪失或者終止。比如對于電機控制器來說，其主要的功能之一是根據(jù)整車控制器VCU的扭矩請求，對電機進行轉(zhuǎn)矩和轉(zhuǎn)速的控制，因此無論輸出的扭矩非預(yù)期的偏大或者偏小都是一種失效。

1.系統(tǒng)性失效和隨機硬件失效

在功能安全中依據(jù)失效的原因可以將失效分為兩種：系統(tǒng)性失效和隨機硬件失效。而功能安全的主要目的就是盡可能的將由于這兩類失效導(dǎo)致的整車層面安全風(fēng)險降低到一個可以接受的水平。

(1)系統(tǒng)性失效(systematicfailure)

以確定的方式與某個原因相關(guān)的失效，只有對設(shè)計或生產(chǎn)流程、操作規(guī)程、文檔或其它相關(guān)因素進行變更后才可能排除這種失效。

系統(tǒng)性失效存在三個特征：

A- 僅僅進行正確維護而不加修改的情況下，無法消除故障。

B-通過模擬失效原因可以使其重復(fù)出現(xiàn)。

C-是人為錯誤引起，失效原因比如：安全要求規(guī)范的錯誤；硬件的設(shè)計，制造，安裝，操作的錯誤；軟件的設(shè)計和實現(xiàn)的錯誤等。

軟件故障和部分的硬件故障是屬于系統(tǒng)性故障。比如coding的時候沒有考慮使用數(shù)據(jù)類型的錯誤，某變量(比如精度為1，offset為0)本應(yīng)該使用U16的，結(jié)果用成了U8，使得計算的最大數(shù)值只能到255。這里的軟件bug是屬于系統(tǒng)性失效。

(2)隨機硬件失效(random hardwarefailure)

按照ISO 26262的定義，隨機硬件失效是在硬件要素的生命周期中，非預(yù)期發(fā)生并服從概率分布的失效。并且可在合理的精度范圍內(nèi)進行預(yù)測。

非預(yù)期發(fā)生的含義是盡管硬件的設(shè)計是正確的，比如電子元器件的選型，電阻值，電容值，電路設(shè)計等都是正確的，且器件是符合質(zhì)量標(biāo)準(zhǔn)的。但是卻無法預(yù)知在哪里發(fā)生，以怎樣的形式發(fā)生的失效。

服從概率分布的含義是失效可以在合理的精度范圍內(nèi)進行預(yù)測。比如通過可靠性或者分析得到失效率。

隨機硬件失效的起因是由于物理過程，比如疲勞、物理退化或環(huán)境應(yīng)力等。比如上面提到的位翻轉(zhuǎn)，比如電阻的開路，短路，阻值漂移等等。

2．相關(guān)失效和非相關(guān)失效

此外功能安全中還定義了相關(guān)失效和非相關(guān)失效。

相關(guān)失效是指失效同時或相繼發(fā)生的概率不能表示為每個失效無條件發(fā)生概率的簡單乘積。比如當(dāng)失效A和失效B同時發(fā)生的概率不等于兩個失效概率的乘機，用數(shù)學(xué)關(guān)系式表示為Pab =Pa*Pb，失效A和B可被定義為相關(guān)失效。反之非相關(guān)失效可以表示為每個失效無條件發(fā)生概率的簡單乘積。

相關(guān)失效可以分為共因失效和級聯(lián)失效。

共因失效是指在相關(guān)項中，有一個單一特定事件或根源引起的兩個或多個要素的失效。如下圖所示。我們無法避免隨機故障的發(fā)生，因此，功能安全在系統(tǒng)中構(gòu)建安全監(jiān)控和緩解機制，從而解決隨機故障。功能安全機制可持續(xù)監(jiān)控汽車中的制動信號，從而檢查它是否偏離預(yù)期范圍。如果確實偏離了預(yù)期范圍，安全機制會標(biāo)記出可能出現(xiàn)的問題并需要對其進行檢查。

級聯(lián)失效

公因失效

故障，錯誤和失效之間的關(guān)系

故障，錯誤和失效之間的關(guān)系如下圖所示。圖中從三個不同類型的原因(系統(tǒng)性軟件問題、隨機硬件問題和系統(tǒng)性硬件問題)描述了故障到錯誤并從錯誤到失效的發(fā)展過程。

系統(tǒng)性故障起因于設(shè)計和規(guī)范的問題；軟件故障和部分硬件故障是系統(tǒng)性的。

隨機硬件故障起因于物理過程，比如疲勞、物理退化或環(huán)境應(yīng)力。

在組件層面，每個不同類型的故障會導(dǎo)致不同的失效。然而，組件層面的失效是相關(guān)項層面的故障。

04.

為一切可能性做好準(zhǔn)備

功能安全中描述的問題其實也會經(jīng)常出現(xiàn)在我們?nèi)粘５募彝ズ凸ぷ鲌鏊Ｈ绻?jīng)注意到，你的手機因為長時間放在陽光下而自動關(guān)機，這是因為手機實時的在監(jiān)控手機的溫度，一點溫度上升到危險閾值，手機就會自動關(guān)機防止電池過溫起火，這就是一個典型的功能安全機制在起作用。

功能安全無法避免隨機硬件故障的發(fā)生，但是功能安全可以在系統(tǒng)中構(gòu)建安全監(jiān)控以及對應(yīng)的安全機制，更好的應(yīng)對隨機故障，降低安全風(fēng)險。例如，功能安全機制可持續(xù)監(jiān)控汽車中的某個傳感器的信號，從而檢查它是否偏離預(yù)期范圍。一旦發(fā)現(xiàn)偏離了預(yù)期范圍，安全機制就會被觸發(fā)，將系統(tǒng)帶入到預(yù)先定義好的一種工作狀態(tài)當(dāng)中，這這種預(yù)定義的狀態(tài)下，對應(yīng)功能不會產(chǎn)生安全風(fēng)險。

為了預(yù)測這些潛在的危險，系統(tǒng)層面的功能安全工程師必須了解這些電路層面危險故障的所有可能原因、發(fā)生的可能性以及如何設(shè)計對應(yīng)的軟硬件實現(xiàn)對故障的及時&準(zhǔn)確的診斷。實現(xiàn)了功能安全的集成電路可以將風(fēng)險降低到可接受的水平，并在失效模式、影響和診斷分析 (FMEDA) 中具體說明其診斷覆蓋范圍。

然而，要確保產(chǎn)品滿足功能安全要求，為應(yīng)對隨機硬件失效做好充足準(zhǔn)備只是其中之一。另一個風(fēng)險來源是開發(fā)過程本身的系統(tǒng)失效。因為無論診斷覆蓋率多高，打造功能安全應(yīng)用的時候都必須遵循合適的流程才能有效避免人為因素引入的失效（系統(tǒng)性失效）——這也是標(biāo)準(zhǔn)體系最大的益處。無論功能安全措施設(shè)計得如何完善，嚴(yán)格的質(zhì)量管理流程都是實現(xiàn)功能安全的前提條件之一。

開展功能安全活動的時候，“循規(guī)蹈矩”非常重要。這個過程必須從一開始就將安全納入考慮，而且還必須營造支持安全的文化。完整的開發(fā)流程必須包含以下幾個重要方面：

安全管理：包括團隊組織架構(gòu)，具體內(nèi)容如：明確不同職位的定義和職責(zé)、打造安全文化、定義安全生命周期，定義功能安全支持級別。安全生命周期的設(shè)定包括制定一份成功計劃，選擇合適的開發(fā)工具，確保團隊接受充分的培訓(xùn)。

需求管理和故障檢測及控制措施（功能安全需求）的可追溯性。為精確實現(xiàn)需求追溯，需求本身定義必須要明確，精準(zhǔn)，且具備唯一性。追溯等級取決于完整性的要求，文件可以高等級；產(chǎn)品則需要從故障檢測到驗證等各個環(huán)節(jié)面面俱到——計劃過程不得空穴來風(fēng)，必須經(jīng)過詳細驗證。

文檔管理和問題管理?？闭`表必須得到妥善管理和使用。為實現(xiàn)文檔的精確管控，文檔本身版本信息和識別ID必須要明確，精準(zhǔn)，且具備唯一性，文檔變更的記錄也需要保證完整性。產(chǎn)品在開發(fā)過程中對于設(shè)計和驗證階段所出現(xiàn)的所有功能安全相關(guān)的問題，從問題出現(xiàn)->關(guān)閉的整個過程必須經(jīng)過詳細記錄和驗證。

05.

總結(jié)

最后，我們再來強調(diào)一下功能安全標(biāo)準(zhǔn)中對功能安全的定義“避免由系統(tǒng)功能性故障導(dǎo)致的不可接受的風(fēng)險”。

標(biāo)準(zhǔn)的描述從來都是嚴(yán)謹而晦澀，簡單來說，就是一個功能在它的使用過程中如果出現(xiàn)故障了會帶來傷害，這個功能就是功能安全相關(guān)的。因此Functional Safety翻譯為“功能的安全”更為貼切。舉個略顯不恰當(dāng)?shù)睦樱喝缫话岩巫樱ú皇褂脴?biāo)準(zhǔn)里說的E/ E，是因為這些產(chǎn)品和系統(tǒng)比較復(fù)雜，功能比較多不如椅子這種描述的直觀）。椅子之所以成為椅子，其中核心的一點就是其設(shè)計、生產(chǎn)和使用的目的是讓人坐在上面?！白屓俗笔且话岩巫拥暮诵墓δ?。一把不能坐的椅子不能稱其為椅子。明晰了椅子“功能”后，我們可以將椅子的“功能安全”描述為：一把椅子在人坐的時候應(yīng)該是沒有危險的，不會倒、不會扎到人等，即人坐到椅子上的時候不會產(chǎn)生傷害。

安全，按一般的概念是沒有危險，不受威脅，不出事故。按照這樣的概念，安全是不可控制的。因為這是一個絕對安全的概念，而絕對安全是不存在的。但是在ISO 26262中將安全定義為“不存在不可接受的風(fēng)險”，這樣就將絕對化的安全轉(zhuǎn)化為相對化的風(fēng)險控制，使得可以通過控制風(fēng)險的手段來解決安全問題，為安全的實現(xiàn)提供了可供遵循的路徑—“功能的安全的本質(zhì)就是控制風(fēng)險”。

功能安全是一個復(fù)雜而龐大的體系，涉及的內(nèi)容多而繁雜，而要更好地理解功能安全的端到端、全系統(tǒng)和全生命周期的科學(xué)理論與方法，了解和掌握就是功能安全的基本概念非常必要的且重要的。

審核編輯：劉清