当前位置：首页 > news >正文

道路车辆功能安全标准（FuSa）基础(七)

news 2025/10/16 5:50:29

随着汽车上电子/电气系统（E/E）数量不断的增加，一些高端豪华轿车上有多达70多个ECU（Electronic Control Unit电子控制单元），其中安全气囊系统、制动系统、底盘控制系统、发动机控制系统以及线控系统等都是安全相关系统。当系统出现故障的时候，系统必须转入安全状态或者转换到降级模式，避免系统功能失效而导致人员伤亡。失效可能是由于规范错误(比如安全需求不完整)、人为原因的错误(比如：软件bug)、环境的影响( 比如：电磁干扰)等等原因引起的。为了实现汽车上电子/电气系统的功能安全设计，道路车辆功能安全标准 ISO 26262于2011年正式发布，为开发汽车安全相关系统提供了指南，该标准的基础是适用于任何行业的电子/电气/可编程电子系统的功能安全标准IEC 61508。

ISO 26262标准中对系统做功能安全设计时，前期重要的一个步骤是对系统进行危害分析和风险评估，识别出系统的危害并且对危害的风险等级——ASIL等级（Automotive Safety Integration Level，汽车安全完整性等级）进行评估。

ASIL等级ASIL等级的定义是为了对失效后带来的风险进行评估和量化以达到安全目标，其全称是Automotive Safety Integration Level--汽车安全完整性等级。这个概念来源于IEC61508，其通过失效概率的方式定义了安全完整性等级（SIL）。但是在汽车界只有硬件随机失效可以通过统计数字评估失效概率，软件失效却难以量化，因此ISO26262根据汽车的特点定义了ASIL。

ISO 26262采行所谓车辆安全完整性等级(ASIL)的指标来评估汽车电子系统符合的功能安全程度，使得研发专案清楚定义功能安全相关系统、硬件与软件所应遵循之共同目标，明确标示ASIL可作为产品开发之安全目标。ASIL（Automotive Safety Integrity Level）是用来描述一项需求 (Requirement)的安全严格等级的概念。ASIL由严重度(Severity)、暴露机率 (Probability of Exposure) 与可控度(Controllability)决定，等级分为一个非安全需求的QM (Quality Management)与ASIL A至D五种，QM等级无须适用ISO 26262，比照一般车辆产业品质管理系统ISO/TS16949要求即可，而ASIL等级愈高，系统功能安全要求愈多，故ASILD设计开发的安全考量最严密。粗略而言，ASIL D级别的需求，一旦发生故障则具有相当高的安全风险，会导致严重的安全后果，往往危及人员生命安全；而对于ASIL A级别的需求，安全风险就很小了，就算出了故障也无所谓。

如上所述ASIL的评定，一般是在产品概念设计阶段对系统进行危害分析和风险评估，识别出系统的危害，如果系统的安全风险越大，对应的安全要求级别就越高，其具有的ASIL的等级也越高。ASIL D是最高的汽车安全完整性等级，对功能安全的要求最高。

依据ISO26262标准进行功能安全设计时，首先识别系统的功能，并分析其所有可能的功能故障（Malfunction），可采用的分析方法有HAZOP，FMEA、头脑风暴等。如果在系统开发的各个阶段发现在本阶段没有识别出来的故障，都要回到这个阶段，进行更新。功能故障在特定的驾驶场景下，才会造成伤亡事件。

比如对于以下需求：“顺/逆时针转动方向盘时，电子助力的力矩须与其保持同方向”，这个就一定是是ASIL D级的，因为如果驾驶员向左打方向盘时，助力反而向右，汽车很快就会失控并撞向道路一侧，这是要出人命的。而下面的需求：“车窗可通过按钮控制上行/下行”，就是ASILA级的，因为即使你的车窗控制出现问题，就算坏了，控制不了开关车窗，车窗关不上的话，除了淋点雨，并不会发生什么了不起的事情。

再比如近光灯系统，其中一个功能故障就是灯的非预期熄灭，如果在漆黑的夜晚行驶在山路上，驾驶员看不清道路状况，可能会掉入悬崖，造成车毁人亡；如果此功能故障发生在白天就不会产生任何的影响。所以进行功能故障分析后，要进行情景分析，识别与此故障相关的驾驶情景，比如：高速公路超车、车库停车等。分析驾驶情景建议从公路类型：比如国道、城市道路、乡村道路等；路面情况：比如湿滑路面、冰雪路面、干燥路面；车辆状态：比如转向、超车、制动、加速等；环境条件：比如：风雪交加、夜晚、隧道灯；交通状况：拥堵、顺畅、红绿灯等；人员情况：不如乘客、路人等几个方面去考虑。功能故障和驾驶场景的组合叫做危害事件（hazard event），危害事件确定后，根据三个因子——严重度（Severity）、暴露率（Exposure）和可控性（Controllability）评估危害事件的风险级别——ASIL等级。其中严重度是指对驾驶员、乘员、或者行人等涉险人员的伤害程度；暴露率是指人员暴露在系统的失效能够造成危害的场景中的概率；可控性是指驾驶员或其他涉险人员能够避免事故或伤害的可能性。

所以，当汽车研发人员拿到一份需求文档，首先要做的就是对其中每一项需求进行ASIL评级。下面就介绍一下ASIL汽车安全完整性等级。危险事件的确定对电子控制器ECU来说，引起失效主要是两个方面：软件和硬件。

1. 软件失效：比如没有考虑分母可能为0；变量公式定义错误，导致精度丢失；

2. 硬件失效：可以分为传感器失效；ECU硬件失效（比如CPU或者RAM/ROM失效）；执行器失效；

依据ISO26262标准进行功能安全设计时，首先识别系统的功能，并分析其所有可能的功能故障（Malfunction）或失效，可采用的分析方法有HAZOP，FMEA、头脑风暴等。功能故障在特定的驾驶场景下才会造成伤亡事件，比如近光灯系统，其中一个功能故障就是灯的非预期熄灭，如果在漆黑的夜晚行驶在山路上，驾驶员看不清道路状况，可能会掉入悬崖，造成车毁人亡；如果此功能故障发生在白天就不会产生任何的影响。所以进行功能故障分析后，要进行情景分析，识别与此故障相关的驾驶情景，比如：高速公路超车、车库停车等。分析驾驶情景建议从公路类型（国道，高速），路面情况，（湿滑、冰雪）；车辆状态（转向、超车、制动、加速等），环境条件（风雪雨尘、夜晚、隧道灯），人员情况（乘客、路人）等几个方面去考虑。

功能故障和驾驶场景的组合叫做危害事件（hazard event）。危害事件确定后，根据下面三个因子——严重度（Severity）、暴露率（Exposure）和可控性（Controllability）评估整个危害事件的风险级别，这也就是说ASIL等级就是由这几个因素综合得到的。下面简单介绍一下这几个概念。

第一个概念：Exposure（E）暴露率。描述风险出现时，人员暴露在系统失效能够造成危害的场景中的概率，或者理解为危险事件可能发生的驾驶工况的可能性(probability of exposure, 简称E) 。Exposures是指故障发生的时长占平均运行时长的比例，用来表征故障发生的概率大小。E值越大则故障发生的概率越大。基于目标危险事件的情景，根据道路环境、天气、车辆周围的情况、事件等等来判断该指标。比如底盘出现异响比乘员座椅故障暴露率低。

暴露率，用EX表示， X取值从0至4，共5个等级。E0是几乎不肯能暴露于危险中，E4是可能性极高。

第二个概念：Controllability（C）可控性。危险所涉及的驾驶员和其它交通人员通过及时的反应避免特定伤害或损失的能力(controllability, 简称C) 。Controllability是指故障发生以后，驾驶员是否可以人为对故障状态加以控制。C值越大则越难以控制。比如前面的例子中，如果反向的转向助力非常大，以至于驾驶员靠手臂的力量无法控制方向盘，则C值也就很大。

可控性，用CX表示，最低C0可控，最高C3几乎不可控，共4个级别

第三个概念：Severity（S）严重度。危险事件所导致伤害或损失的潜在严重性 (Severity of failure, S) 。这个比较好理解了，就是故障的严重程度，是指一旦风险成为现实，对驾驶员、乘员、或者行人等涉险人员的伤害程度。比如电子锁故障就比刹车故障的严重程度低。

S值越大则故障越严重。转向助力失灵是很严重的故障，而车窗失灵就不严重。S值分由轻微到严重共四级，一般严重性用SX表示，X取值可以是0/1/2/3，级别从低到高，级别越高，伤害越严重。S0无伤害；S1轻微或有限伤害；S2严重或危及生命的伤害（可生还）；S3危及生命的伤害（有死亡可能）或致命伤害；

聪明的你一定已经意识到了，一项需求发生故障以后的安全风险，可以用公式

Risk = E * C * S 来表示。

第四个概念：Tolerable Risk。前面我们已经得到了安全风险的量化公式，那么进行评级还需要一个对比标准，这个标准就是Tolerable Risk。

为了吹嘘我家的汽车安全，我可能会说:“我们生产的软件狗牌转向机的故障的风险，比空难的风险还低!” 这里就选择了空难作为对比标准。事实上，安全工程师在制定TolerableRisk的时候，确实类比了诸如空难、七级以上大地震、严重车祸等等事件的量化风险做标准——如果我做出来的汽车部件的安全风险，比大地震的风险还低，你作为消费者，是不是已经可以安心使用了呢？

ASIL等级的确定基于S、E、C这三个影响因子，通过以上三个参数，即可确定风险分析中每个风险相应的ASIL等级（汽车安全完整性等级）。

表中给出了ASIL的确定方法，其中D代表最高等级， A代表最低等级，QM表示质量管理（Quality Management），表示按照质量管理体系开发系统或功能就足够了，不用考虑任何安全相关的设计。确定了危害的ASIL等级后，为每个危害确定至少一个安全目标，作为功能和技术安全需求的基础。分别将严重性S、可能性E和可控性C分成4个等级，如上表所示得到5个ASIL等级（QM，A，B，C，D），原则是：

A. 基本可控C0的组合不考虑；

B. 无伤害S0的组合不考虑；

C. 其余组合相加等于7分为ASIL A，等于8分为ASILB，等于9分为ASIL C，等于10分为最高等级ASIL D；