01.

前言

電腦已經(jīng)是大家日常生活中不可或缺重要工具，我們使用電腦來瀏覽網(wǎng)站,、收發(fā)郵件,、編輯照片和視頻、瀏覽社交媒體以及在線會(huì)議,。在使用電腦的過程中或多或少會(huì)遇到系統(tǒng)崩潰,，卡頓，軟件不響應(yīng)等等問題,。那為何手機(jī)經(jīng)?？D/司機(jī)？可能是因?yàn)椴考匣蜻^熱,，又或是電腦芯片的一個(gè)關(guān)鍵組件失效或者內(nèi)部接插件接觸不良,，又或者是軟件的BUG從而導(dǎo)致整個(gè)系統(tǒng)隨機(jī)重啟。

多虧這是安裝在電腦中的處理器,，最糟糕的結(jié)果也只是因?yàn)閿?shù)據(jù)的丟失而片刻的沮喪,。如果這款處理器安裝在您汽車的某個(gè)控制系統(tǒng)中,，例如轉(zhuǎn)向/制動(dòng)/智能駕駛，那么后果可能會(huì)更嚴(yán)重,。

所有電子元件都會(huì)在某個(gè)時(shí)間點(diǎn)失效，這是無法更改的事實(shí),。而如今,，我們發(fā)現(xiàn)在我們汽車上越來越多的執(zhí)行關(guān)鍵功能的電子元件越來越多，涉及轉(zhuǎn)向,、制動(dòng),、智能輔助駕駛等方面。既然電子元件必然會(huì)隨著時(shí)間的流逝出現(xiàn)各種問題,， 并且我們的電子電氣工程師無法阻止時(shí)間的流逝,，我們該如何幫助使用我們元件的系統(tǒng)設(shè)計(jì)人員來避免此類隨機(jī)事件危及車輛駕乘人員以及其他交通參與者的生命安全？

答案就是：功能安全,。

02.

什么是功能安全

“功能安全”是指避免由系統(tǒng)功能性故障導(dǎo)致的不可接受的風(fēng)險(xiǎn),。功能安全關(guān)注系統(tǒng)故障后的行為，而不是系統(tǒng)的原有功能或性能,。

在現(xiàn)代工業(yè)控制領(lǐng)域中,，可編程電子硬件、軟件系統(tǒng)的大量使用,，大大提升了自動(dòng)化程度,。但由于設(shè)備設(shè)計(jì)中的缺失，以及開發(fā)制造中風(fēng)險(xiǎn)管理意識的不足,，這些存在設(shè)計(jì)缺陷的產(chǎn)品大量流入相關(guān)行業(yè)的安全控制系統(tǒng)中,，已經(jīng)造成了大量的人身安全、財(cái)產(chǎn)損失和環(huán)境危害事故,。為此,，世界各國歷來對石化過程安全控制系統(tǒng)、電廠安全控制系統(tǒng),、核電安全控制系全領(lǐng)域的產(chǎn)品安全性設(shè)計(jì)技術(shù)非常重視,，并且將電子、電氣及可編程電子安全控制系統(tǒng)相關(guān)的技術(shù)發(fā)展為一套成熟的產(chǎn)品安全設(shè)計(jì)技術(shù),，即“功能安全”技術(shù),。

歐美已經(jīng)頒布了成套的功能安全相關(guān)產(chǎn)品指令和設(shè)計(jì)標(biāo)準(zhǔn)，并深入到各個(gè)領(lǐng)域,，如：汽車（ISO26262）軌道控制（EN 5012X）,、核電(EN 61513)、工業(yè)裝備及機(jī)器控制（EN 62601, EN ISO 13849-1/2）,、過程控制(EN 61511)等,，國際上,，IEC形成的 IEC 61508，IEC 61511 等系列標(biāo)準(zhǔn)已經(jīng)逐步成為各國家,、行業(yè)廣泛認(rèn)可的基本功能安全標(biāo)準(zhǔn),，中國也仿效并形成了的相應(yīng)國家標(biāo)準(zhǔn)，其他行業(yè)性功能安全標(biāo)準(zhǔn)也在參照并將逐步形成為國家行業(yè)性標(biāo)準(zhǔn),。

ISO26262是從電子,、電氣及可編程器件功能安全基本標(biāo)準(zhǔn)IEC61508派生出來的，主要定位在汽車行業(yè)中特定的電氣器件,、電子設(shè)備,、可編程電子器件等專門用于汽車領(lǐng)域的部件，旨在提高汽車電子,、電氣產(chǎn)品功能安全的國際標(biāo)準(zhǔn),，國內(nèi)對應(yīng)的標(biāo)準(zhǔn)即為GB/T 34590。

隨著系統(tǒng)復(fù)雜性的提高,，軟件和機(jī)電設(shè)備的應(yīng)用,，來自系統(tǒng)失效和隨機(jī)硬件失效的風(fēng)險(xiǎn)也日益增加，制定ISO 26262標(biāo)準(zhǔn)的目的是使得人們對安全相關(guān)功能有一個(gè)更好的理解,，并盡可能明確地對它們進(jìn)行解釋,，同時(shí)為避免這些風(fēng)險(xiǎn)提供了可行性的要求和流程。

ISO 26262為汽車安全提供了一個(gè)生命周期（管理,、開發(fā),、生產(chǎn)、經(jīng)營,、服務(wù),、報(bào)廢）理念，并在這些生命周期階段中提供必要的支持,。該標(biāo)準(zhǔn)涵蓋功能性安全方面的整體開發(fā)過程（包括需求規(guī)劃,、設(shè)計(jì)、實(shí)施,、集成,、驗(yàn)證、確認(rèn)和配置）,。

ISO 26262標(biāo)準(zhǔn)根據(jù)安全風(fēng)險(xiǎn)程度對系統(tǒng)或系統(tǒng)某組成部分確定劃分由A到D的安全需求等級（Automotive Safety Integrity Level 汽車安全完整性等級ASIL）,，其中D級為最高等級，需要最苛刻的安全需求,。伴隨著ASIL等級的增加,，針對系統(tǒng)硬件和軟件開發(fā)流程的要求也隨之增強(qiáng)。對系統(tǒng)供應(yīng)商而言,，除了需要滿足現(xiàn)有的質(zhì)量要求外還必須滿足這些因?yàn)楣δ馨踩燃壴黾佣岢龅母叩囊蟆?/span>

整車主要模塊/功能的功能安全等級

03.

故障-錯(cuò)誤-失效

• 故障

功能安全中定義的故障是指可引起要素或相關(guān)項(xiàng)失效的異常情況,。

故障可以分為永久故障和非永久故障,，其分類如下圖所示。

永久性故障是指發(fā)生并持續(xù),，直到被移除或修復(fù)的故障,。也就是說永久性故障發(fā)生了必須采取相應(yīng)的措施才能夠使其恢復(fù)其正常運(yùn)行。其中系統(tǒng)性故障一般表現(xiàn)為永久性故障,。

非永久性故障可以分為間歇性故障和瞬態(tài)故障,。間歇性故障是指故障一再的發(fā)生，然后消失,。當(dāng)一個(gè)組件處于損壞的邊緣時(shí),，或者例如由于開關(guān)的電涌(電壓的瞬態(tài)激烈變化),，間歇性故障可能會(huì)發(fā)生,。某些系統(tǒng)性故障(例如時(shí)序混亂)也可能導(dǎo)致間歇性故障。

瞬態(tài)故障是指發(fā)生一次且隨后消失的故障,。瞬態(tài)故障可由電磁干擾引起,，其可導(dǎo)致位翻轉(zhuǎn)。比如由于單粒子翻轉(zhuǎn)效應(yīng)(SEU)和單粒子瞬態(tài)脈沖(SET)發(fā)生的軟錯(cuò)誤,，均為瞬態(tài)故障,。(單粒子翻轉(zhuǎn)是宇宙中單個(gè)高能粒子射入半導(dǎo)體器件靈敏區(qū)，使器件邏輯狀態(tài)翻轉(zhuǎn)的現(xiàn)象,。)

• 錯(cuò)誤

ISO 26262中定義的錯(cuò)誤是指計(jì)算的,、觀測的、測量的值或條件與真實(shí)的,、規(guī)定的,、理論上正確的值或條件之間的差異。錯(cuò)誤可由未預(yù)見的工作條件引起或由所考慮的系統(tǒng),、子系統(tǒng)或組件的內(nèi)部故障引起,。故障可表現(xiàn)為所考慮要素內(nèi)的錯(cuò)誤，該錯(cuò)誤可最終導(dǎo)致失效,。

比如由于宇宙中單個(gè)高能粒子射入半導(dǎo)體器件靈敏區(qū),，使存儲(chǔ)器邏輯狀態(tài)翻轉(zhuǎn)的單粒子翻轉(zhuǎn)效應(yīng)SEU，使得軟件中某個(gè)bit位從0到1或者從1變成0是屬于一個(gè)軟錯(cuò)誤(硬件沒有損害),。

從上可以看出故障,，錯(cuò)誤和失效的大概關(guān)系是故障可引起錯(cuò)誤，錯(cuò)誤再導(dǎo)致失效,。下文會(huì)再做詳細(xì)說明,。

• 失效

失效，按照ISO26262的定義是要素按要求執(zhí)行功能的能力的終止,。(英文：terminationof the ability of an element to perform a function as required)

注：不正確的規(guī)范是失效的來源之一,。

在這里失效針對的是功能的喪失或者終止,。比如對于電機(jī)控制器來說，其主要的功能之一是根據(jù)整車控制器VCU的扭矩請求,，對電機(jī)進(jìn)行轉(zhuǎn)矩和轉(zhuǎn)速的控制,，因此無論輸出的扭矩非預(yù)期的偏大或者偏小都是一種失效。

1.系統(tǒng)性失效和隨機(jī)硬件失效

在功能安全中依據(jù)失效的原因可以將失效分為兩種：系統(tǒng)性失效和隨機(jī)硬件失效,。而功能安全的主要目的就是盡可能的將由于這兩類失效導(dǎo)致的整車層面安全風(fēng)險(xiǎn)降低到一個(gè)可以接受的水平,。

(1)系統(tǒng)性失效(systematic failure)

以確定的方式與某個(gè)原因相關(guān)的失效，只有對設(shè)計(jì)或生產(chǎn)流程,、操作規(guī)程,、文檔或其它相關(guān)因素進(jìn)行變更后才可能排除這種失效。

系統(tǒng)性失效存在三個(gè)特征：

A- 僅僅進(jìn)行正確維護(hù)而不加修改的情況下,，無法消除故障,。

B-通過模擬失效原因可以使其重復(fù)出現(xiàn)。

C-是人為錯(cuò)誤引起,，失效原因比如：安全要求規(guī)范的錯(cuò)誤,；硬件的設(shè)計(jì)，制造,，安裝,，操作的錯(cuò)誤；軟件的設(shè)計(jì)和實(shí)現(xiàn)的錯(cuò)誤等,。

軟件故障和部分的硬件故障是屬于系統(tǒng)性故障,。比如coding的時(shí)候沒有考慮使用數(shù)據(jù)類型的錯(cuò)誤，某變量(比如精度為1,，offset為0)本應(yīng)該使用U16的,，結(jié)果用成了U8，使得計(jì)算的最大數(shù)值只能到255,。這里的軟件bug是屬于系統(tǒng)性失效,。

(2)隨機(jī)硬件失效(random hardware failure)

按照ISO 26262的定義，隨機(jī)硬件失效是在硬件要素的生命周期中,，非預(yù)期發(fā)生并服從概率分布的失效,。并且可在合理的精度范圍內(nèi)進(jìn)行預(yù)測。

非預(yù)期發(fā)生的含義是盡管硬件的設(shè)計(jì)是正確的,，比如電子元器件的選型,，電阻值，電容值,，電路設(shè)計(jì)等都是正確的,，且器件是符合質(zhì)量標(biāo)準(zhǔn)的。但是卻無法預(yù)知在哪里發(fā)生，以怎樣的形式發(fā)生的失效,。

服從概率分布的含義是失效可以在合理的精度范圍內(nèi)進(jìn)行預(yù)測,。比如通過可靠性或者分析得到失效率。

隨機(jī)硬件失效的起因是由于物理過程,，比如疲勞,、物理退化或環(huán)境應(yīng)力等。比如上面提到的位翻轉(zhuǎn),，比如電阻的開路,，短路，阻值漂移等等,。

2．相關(guān)失效和非相關(guān)失效

此外功能安全中還定義了相關(guān)失效和非相關(guān)失效,。

相關(guān)失效是指失效同時(shí)或相繼發(fā)生的概率不能表示為每個(gè)失效無條件發(fā)生概率的簡單乘積。比如當(dāng)失效A和失效B同時(shí)發(fā)生的概率不等于兩個(gè)失效概率的乘機(jī),，用數(shù)學(xué)關(guān)系式表示為Pab =Pa*Pb,，失效A和B可被定義為相關(guān)失效。反之非相關(guān)失效可以表示為每個(gè)失效無條件發(fā)生概率的簡單乘積,。

相關(guān)失效可以分為共因失效和級聯(lián)失效,。

共因失效是指在相關(guān)項(xiàng)中,，有一個(gè)單一特定事件或根源引起的兩個(gè)或多個(gè)要素的失效,。如下圖所示。我們無法避免隨機(jī)故障的發(fā)生,，因此,，功能安全在系統(tǒng)中構(gòu)建安全監(jiān)控和緩解機(jī)制，從而解決隨機(jī)故障,。功能安全機(jī)制可持續(xù)監(jiān)控汽車中的制動(dòng)信號,，從而檢查它是否偏離預(yù)期范圍。如果確實(shí)偏離了預(yù)期范圍,，安全機(jī)制會(huì)標(biāo)記出可能出現(xiàn)的問題并需要對其進(jìn)行檢查,。

級聯(lián)失效

公因失效

• 故障，錯(cuò)誤和失效之間的關(guān)系

故障,，錯(cuò)誤和失效之間的關(guān)系如下圖所示,。圖中從三個(gè)不同類型的原因(系統(tǒng)性軟件問題、隨機(jī)硬件問題和系統(tǒng)性硬件問題)描述了故障到錯(cuò)誤并從錯(cuò)誤到失效的發(fā)展過程,。

系統(tǒng)性故障起因于設(shè)計(jì)和規(guī)范的問題,；軟件故障和部分硬件故障是系統(tǒng)性的。

隨機(jī)硬件故障起因于物理過程,，比如疲勞,、物理退化或環(huán)境應(yīng)力。

在組件層面,，每個(gè)不同類型的故障會(huì)導(dǎo)致不同的失效,。然而,，組件層面的失效是相關(guān)項(xiàng)層面的故障,。

04.

為一切可能性做好準(zhǔn)備

功能安全中描述的問題其實(shí)也會(huì)經(jīng)常出現(xiàn)在我們?nèi)粘５募彝ズ凸ぷ鲌鏊Ｈ绻?jīng)注意到,，你的手機(jī)因?yàn)殚L時(shí)間放在陽光下而自動(dòng)關(guān)機(jī),，這是因?yàn)槭謾C(jī)實(shí)時(shí)的在監(jiān)控手機(jī)的溫度，一點(diǎn)溫度上升到危險(xiǎn)閾值,，手機(jī)就會(huì)自動(dòng)關(guān)機(jī)防止電池過溫起火,，這就是一個(gè)典型的功能安全機(jī)制在起作用。

功能安全無法避免隨機(jī)硬件故障的發(fā)生,，但是功能安全可以在系統(tǒng)中構(gòu)建安全監(jiān)控以及對應(yīng)的安全機(jī)制,，更好的應(yīng)對隨機(jī)故障，降低安全風(fēng)險(xiǎn),。例如,，功能安全機(jī)制可持續(xù)監(jiān)控汽車中的某個(gè)傳感器的信號，從而檢查它是否偏離預(yù)期范圍,。一旦發(fā)現(xiàn)偏離了預(yù)期范圍,，安全機(jī)制就會(huì)被觸發(fā)，將系統(tǒng)帶入到預(yù)先定義好的一種工作狀態(tài)當(dāng)中,，這這種預(yù)定義的狀態(tài)下,，對應(yīng)功能不會(huì)產(chǎn)生安全風(fēng)險(xiǎn)。

為了預(yù)測這些潛在的危險(xiǎn),，系統(tǒng)層面的功能安全工程師必須了解這些電路層面危險(xiǎn)故障的所有可能原因,、發(fā)生的可能性以及如何設(shè)計(jì)對應(yīng)的軟硬件實(shí)現(xiàn)對故障的及時(shí)&準(zhǔn)確的診斷。實(shí)現(xiàn)了功能安全的集成電路可以將風(fēng)險(xiǎn)降低到可接受的水平,，并在失效模式,、影響和診斷分析 (FMEDA) 中具體說明其診斷覆蓋范圍。

然而,，要確保產(chǎn)品滿足功能安全要求,，為應(yīng)對隨機(jī)硬件失效做好充足準(zhǔn)備只是其中之一。另一個(gè)風(fēng)險(xiǎn)來源是開發(fā)過程本身的系統(tǒng)失效,。因?yàn)闊o論診斷覆蓋率多高,，打造功能安全應(yīng)用的時(shí)候都必須遵循合適的流程才能有效避免人為因素引入的失效（系統(tǒng)性失效）——這也是標(biāo)準(zhǔn)體系最大的益處。無論功能安全措施設(shè)計(jì)得如何完善,，嚴(yán)格的質(zhì)量管理流程都是實(shí)現(xiàn)功能安全的前提條件之一,。

開展功能安全活動(dòng)的時(shí)候，“循規(guī)蹈矩”非常重要。這個(gè)過程必須從一開始就將安全納入考慮,，而且還必須營造支持安全的文化,。完整的開發(fā)流程必須包含以下幾個(gè)重要方面：

• 安全管理：包括團(tuán)隊(duì)組織架構(gòu)，具體內(nèi)容如：明確不同職位的定義和職責(zé),、打造安全文化,、定義安全生命周期，定義功能安全支持級別,。安全生命周期的設(shè)定包括制定一份成功計(jì)劃,，選擇合適的開發(fā)工具，確保團(tuán)隊(duì)接受充分的培訓(xùn),。

• 需求管理和故障檢測及控制措施（功能安全需求）的可追溯性,。為精確實(shí)現(xiàn)需求追溯，需求本身定義必須要明確,，精準(zhǔn),，且具備唯一性。追溯等級取決于完整性的要求,，文件可以高等級,；產(chǎn)品則需要從故障檢測到驗(yàn)證等各個(gè)環(huán)節(jié)面面俱到——計(jì)劃過程不得空穴來風(fēng)，必須經(jīng)過詳細(xì)驗(yàn)證,。

• 文檔管理和問題管理,。勘誤表必須得到妥善管理和使用,。為實(shí)現(xiàn)文檔的精確管控,，文檔本身版本信息和識別ID必須要明確,，精準(zhǔn),，且具備唯一性，文檔變更的記錄也需要保證完整性,。產(chǎn)品在開發(fā)過程中對于設(shè)計(jì)和驗(yàn)證階段所出現(xiàn)的所有功能安全相關(guān)的問題,，從問題出現(xiàn)->關(guān)閉的整個(gè)過程必須經(jīng)過詳細(xì)記錄和驗(yàn)證。

05.

總結(jié)

最后,，我們再來強(qiáng)調(diào)一下功能安全標(biāo)準(zhǔn)中對功能安全的定義“避免由系統(tǒng)功能性故障導(dǎo)致的不可接受的風(fēng)險(xiǎn)”,。

標(biāo)準(zhǔn)的描述從來都是嚴(yán)謹(jǐn)而晦澀，簡單來說,，就是一個(gè)功能在它的使用過程中如果出現(xiàn)故障了會(huì)帶來傷害,，這個(gè)功能就是功能安全相關(guān)的。因此Functional Safety翻譯為“功能的安全”更為貼切,。舉個(gè)略顯不恰當(dāng)?shù)睦樱喝缫话岩巫樱ú皇褂脴?biāo)準(zhǔn)里說的E/ E，是因?yàn)檫@些產(chǎn)品和系統(tǒng)比較復(fù)雜，功能比較多不如椅子這種描述的直觀）,。椅子之所以成為椅子，其中核心的一點(diǎn)就是其設(shè)計(jì),、生產(chǎn)和使用的目的是讓人坐在上面,。“讓人坐”是一把椅子的核心功能,。一把不能坐的椅子不能稱其為椅子。明晰了椅子“功能”后,，我們可以將椅子的“功能安全”描述為：一把椅子在人坐的時(shí)候應(yīng)該是沒有危險(xiǎn)的,，不會(huì)倒、不會(huì)扎到人等,，即人坐到椅子上的時(shí)候不會(huì)產(chǎn)生傷害,。

安全，按一般的概念是沒有危險(xiǎn),，不受威脅,，不出事故。按照這樣的概念,，安全是不可控制的,。因?yàn)檫@是一個(gè)絕對安全的概念，而絕對安全是不存在的,。但是在ISO 26262中將安全定義為“不存在不可接受的風(fēng)險(xiǎn)”,，這樣就將絕對化的安全轉(zhuǎn)化為相對化的風(fēng)險(xiǎn)控制，使得可以通過控制風(fēng)險(xiǎn)的手段來解決安全問題,，為安全的實(shí)現(xiàn)提供了可供遵循的路徑—“功能的安全的本質(zhì)就是控制風(fēng)險(xiǎn)”,。

功能安全是一個(gè)復(fù)雜而龐大的體系，涉及的內(nèi)容多而繁雜,，而要更好地理解功能安全的端到端,、全系統(tǒng)和全生命周期的科學(xué)理論與方法，了解和掌握就是功能安全的基本概念非常必要的且重要的,。