如何定义功能安全接受准则

谈思实验室 2024-12-02 17:52

TI MCU方案：电动汽车实时控制 如何增强能源基础设施的实时控制？

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

为什么需要定义功能安全接受准则

汽车功能安全旨在避免因汽车电子电气系统（E/E系统）故障导致的不合理风险，确保随机硬件失效和系统性失效不会引发安全系统的错误功能，从而防止人员伤亡。ISO 26262标准全面覆盖了汽车电子电气系统开发的生命周期，包括管理、开发、生产、运营、服务和报废等阶段。功能安全等级（ASIL）分为QM（质量管理）、A、B、C、D五级，等级越高，功能安全要求越严格，所需安全措施越严密，E/E失效导致危害事件的概率越低。”

尽管ISO 26262在硬件开发阶段提供了针对随机硬件失效的FMEDA指标作为硬件开发的接受准则，但缺乏功能安全整体的接受准则。这导致功能安全开发过程中难以准确把握开发程度，可能因要求过严而增加不必要的开发成本，或因要求过松而无法有效规避风险。因此，引入功能安全整体接受准则指标具有重要意义。

如何定义功能安全接受准则

ISO 26262标准并未明确功能安全接受准则的定义。为了制定这一准则，可以从功能安全的定义出发，即“不存在E/E失效导致的不合理伤害”。这可以理解为需要将E/E失效导致的危害降低至社会可接受的水平。考虑到功能安全与SOTIF（预期功能安全）均要求不存在不合理伤害，且SOTIF直接引用了ISO 26262中不合理风险的定义，因此可以尝试借鉴SOTIF的接受准则定义方式。

以ISO 21448附录C.2.1为例，提到了自动紧急制动（AEB）的SOTIF接受准则AH=10-8/h。尽管这个数值非常小，但车辆数量足够多、运行时间足够长时，危害事件仍可能发生。例如，某车型生命周期内销量预计为100万辆，每辆车使用时间为6000小时（每年400小时，生命周期15年），则由于AEB导致的严重伤害次数为60次（10-8 /h * 6000h/辆*106辆）。对于AEB等辅助驾驶系统，社会容忍度稍高，但如果是E/E失效引起的，接受程度可能会大幅降低。因此，直接参考SOTIF的值对功能安全而言并非最佳选择，需进行适当调整。

为消除运行时间的影响，引入总运行时间Ttotal参数，将功能安全接受准则定义为：RAC=Ttotal* AH = Ttotal*RHB* PE|HB * PC|E *PS|C，即车辆整个生命周期内由于E/E失效导致的严重伤害事件总次数。假设当前社会接受程度较低，RAC可定义为小于1的值，例如 RAC<1。

功能安全接受准则的用途

确定功能安全设计目标

有了功能安全接受准则后，可推导出需要满足的危害行为指标要求RHB，用于设计合理的监控和诊断要求，避免过度设计或残余风险过大。例如，根据功能安全接受准则、车辆预计销量和使用时间、HARA分析中的S、E、C评级，可得到RHB接受准则。进而根据失效模型，进一步分解针对不同失效模式的失效率要求和安全机制覆盖度要求。