EPB功能安全笔记(1)：危害分析与风险评估(理论篇)

本文要点

功能安全（Functional Safety）的定义为：

不存在由电子电气系统的功能异常表现引起的危害而导致不合理的风险。

要想避免“不合理的风险”，第一步是要正确地识别风险。在ISO 26262的第3部分对危害分析与风险评估（Hazard Analysis and Risk Assessment）的方法论做了细致的阐述，同时也定义了很多功能安全的关键概念。但是，这些概念的定义虽然精炼却又抽象拗口，且由于缺乏足够的案例作为理解辅助，让人很难快速理解其中的要点。基于此，本文结合实例来梳理危害分析与风险评估的方法及其中的关键点，希望能为正在学习功能安全的朋友提供一些有价值的参考。

研究对象选择——EPB

从功能安全开发流程上讲，相关项定义(Item Definition)是功能安全开发的第一步，其主要目的是明确研究对象的功能、接口以及边界。为了方便后续对危害分析与风险评估的相关概念进行说明，本文选取EPB系统（电子驻车系统，Electric Parking Brake）作为研究对象。

EPB，电子驻车系统

EPB系统的工作原理与机械式手刹相同, 均是通过制动卡钳与刹车片产生的摩擦力来实现车辆驻车, 只不过控制方式从之前的机械式手刹拉杆变成了电子控制。

EPB系统最基本的功能就是实现临时性和长时间驻车。另外，在配备了EPB系统的车辆中，由于传统的手刹杆或脚刹杆被电子按钮代替，根据法规要求：车辆制动系统必须能够提供除行车制动系统外第二套装置，通过操作该装置能够使车辆达到至少1.5m/s2的减速度。对于传统车辆，手刹或脚刹可以实现这个功能，而在配备EPB系统的车辆上，可以通过电控液压制动单元主动建压来实现该减速度。

出于安全考虑，EPB系统的人机交互即电子按钮必须设计成上拉激活而不是按压激活，因为在实际使用过程中按钮可能会错误地被按压，比如把女士把包放在按钮上面而造成EPB系统错误激活。

EPB系统基础部件示意图

危害分析与风险评估的要点

危害分析和风险评估基于相关项定义的功能和接口来展开，通过识别出相关项的功能失效可能导致的危害和风险，并对风险进行ASIL等级评估从而得到相关项的安全目标。有了安全目标后，才能按照V模型对相关项进行功能安全开发。因此，危害分析与风险评估是进行功能安全开发的关键一步。

接下来摘选ISO 26262中对危害分析与风险评估过程中的关键点展开说明。

1. GB T-34590 part3, 7.4.2.2.2：

应以能在整车层面观察到的条件或行为来定义危害。

这一定义非常重要。既然是以整车层面观察到的行为来定义危害，那么，首先需要了解车辆所有可能的运动行为。从整车动力学的角度，汽车所有的运动行为可以被下图中的运动坐标系准确描述。

车辆运动坐标系

以EPB系统为例，前面提到，EPB系统的主要功能是在静止时为车辆提供驻车力，但是，如果因为故障导致车辆在高速运行过程中EPB意外激活，卡钳加紧制动盘从而产生非预期的制动力，即这种危害与车辆纵向运动有关。在严重的情况下，如果只有一个轮的卡钳意外加紧而另一个卡钳正常，会导致车辆产生非预期的横摆，即这种危害与车辆的横摆运动有关。

2. GB T-34590 part3, 7.4.1.2：

在危害分析和风险评估过程中，应对不含内部安全机制的相关项进行评估，即在危害分析和风险评估过程中不应考虑将要实施或已经在前代相关项中实施的安全机制。

3. GB T-34590 part3, 7.4.2.2.2注1：

通常,每一个危害有多种与相关项的功能实现相关的潜在原因，但在危害分析和风险评估中，对于危害的条件或行为进行定义时，不需要考虑这些原因,这些原因是从相关项的功能行为得出的。

怎么理解这两点？通过上面的分析，我们其实已经识别出了EPB系统的部分危害。在识别危害的过程中，我们没有去细究危害是EPB系统的哪种故障导致的，比如软件bug还是传感器故障；更没有考虑因为EPB系统内部已经有相应的故障监控模块可以及时避免危害的产生。换句话说，我们是先站在整车层面去识别车辆制动（纵向行为）可能出现的危害，然后因为EPB系统有车辆制动控制的接口，所以让EPB系统继承了车辆制动对应的危害。这里不能颠倒了顺序，先考虑EPB系统的已有的安全设计，再对系统失效可能造成的整车危害进行筛选。

4. GB T-34590 part3, 6.4.1.2注1：在对相关项进行评估过程中, 可用的且充分独立的外部措施是有益的。

5. GB T-34590 part3, 6.4.2.3注2：仅考虑与相关项自身相关的危害, 假设其他充分独立的系统 (外部措施) 均正确工作。

虽然在危害分析与风险评估中不能考虑研究对象的内部安全措施，但是，外部措施（external measures）是可以被考虑的。这里用ISO 26262中提到的例子来说明：对于装备了ESC（Electronic Stability System, 车身稳定控制系统）的车辆，如果某个系统A有产生非预期的液压制动力的可能，那么危害有两个：

1.非预期的液压制动导致非预期刹车

2.非预期的液压制动导致车辆失稳

在ESC系统有效且充分独立的前提下，当系统A在考虑第二个危害时，可以认为该危害被外部措施ESC系统保证，因而系统A无需对该危害进行分析和功能安全开发。

所有危害功能安全都要考虑吗？

功能安全的定义中指出，功能安全关注的是不合理的风险（unreasonable risk），即不可接受的风险。而风险是否可被接受，需要结合危害和场危害发生时刻车辆运行的场景来分析，这一活动被称为“危害事件分类（Classification of hazardous events）”。

拿EPB系统来说，前面已经识别出EPB系统的一个危害：功能异常导致车辆产生非预期的制动。但是，如果这个危害发生在高速公路上时，很可能造成人员伤亡；但是当危害发生在停车场，则不会有人员伤亡的风险。也就是说，功能安全并不需要考虑功能异常所对应的所有危害，而是需要结合危害和危害发生时刻车辆运行的场景来分析危害所导致的风险是否在可接受的范围内。

车辆的运行场景，可以理解为是下图各个因素的排列组合。简单来说，运行场景 = 道路场景 + 驾驶场景，比如“高速公路+直行加速”或者“高速公路+直线制动”等。

车辆运行场景

当列出了相关项的所有场景与危害的组合后，接下来就是对其进行分类和筛选，确定哪些风险是可接受的，哪些是不可接受的。ISO 26262给出了危害事件分类的定性的方法，筛选指标分为三个维度：

1. S（severity 严重度）：危害发生对驾驶员或乘客或路人或周边车辆中人员会造成的伤害等级。评分表如下：

S值评级及说明

2. E（Exposure 曝光度）：运行场景在日常驾驶过程中发生的概率。评分表如下：

E值评级及说明

3. C（controllability 可控度）：驾驶员或其他涉险人员控制危害以避免伤害的概率。评分表如下：

C值评级及说明

基于这三个维度的评分，即可确定ASIL等级即汽车安全完整性等级（ automotive safety integrity level）。ASIL一共分为四个等级，D代表最高严格等级，即风险最高，A 代表最低严格等级，即风险最低。

如果相关项对应的危害事件的评级在ASIL A及ASIL A以上，则功能安全开发需要予以考虑；对于QM（质量管理，quality management），只要按照企业流程开发就认为可以满足ISO 26262要求，无需额外进行功能安全开发。

ISO 26262在ASIL评级指导上的遗憾与弥补

ISO 26262对ASIL等级评定方法和指标的描述比较简单，虽然在ISO 26262 part3的附录中对S/E/C的评分做了一些补充说明和示例，但实际操作起来还是很困难。举例来说，ISO 26262中对于S值评分的说明，充满着“低速”、“非常低的速度”这种模糊宽泛的词，让开发人员摸不着头脑。

S值评分补充，截图来自GB/T 34590

这对开发人员来说实在是一个不友好的遗憾。

可以理解，ISO 26262也有它的难处。作为一个全球性的标准，考虑到各个国家的的车辆法规和道路环境都不尽相同，如果ISO 26262的定义想涵盖这些不同点，那么必然也会因为要同时涵盖太多的因素而导致评定结果保守严苛，使得结果失真，反而适得其反，无法展开合理的功能安全开发。

也正是业内广泛地意识到了ISO 26262的这一不足，很多标准协会推出了相关标准作为对ISO 26262的补充。其中，SAE J2980因为对企业极具参考价值而得到广泛应用。比如，对S值来说，SAE J2980的推荐对车速范围进行了明确的定义，如下图所示，可参考性相对ISO 26262要大很多。

截图来自SAE J2980

借着这篇文章，将SAE J2980偏重实用性的标准作为补充材料推荐给正在学习功能安全的朋友。此外，德国汽车工业协会（German Association of the Automotive Industry ，VDA）也推出了VDA 702,目的是对E值的评定形成一个行业统一的指导标准。不过这份标准的使用远没有SAE J2980广泛，所以只有德文版。感兴趣的朋友也可以找来参考。

除了参考这些标准外，车企也会基于已有的事故数据，结合整车仿真模拟和实车测试来细化自己的评判标准。

下篇预告

本文以EPB系统为例，介绍了功能安全开发的危害分析与风险评估过程中的要点。同时，本文也是《EPB功能安全笔记》系列文章的第一篇。在下一篇中，将以本文为理论基础，通过对理论的实际运用对EPB系统的危害分析与风险评估进行详细的梳理和总结。

本文转载自：焉知智能汽车