EPB功能安全笔记 (2)：危害分析与风险评估 (实操篇)

本文要点

在上文​​EPB功能安全笔记 (1)——危害分析与风险评估（理论篇）​​中，我们系统得梳理了功能安全开发中危害分析与风险评估的步骤和要点，其主要流程可归纳如下。

危害分析与风险评估的流程

不过，理论总是难免晦涩。另一方面，德国汽车工业协会（German Association of the Automotive Industry ，VDA）发布的标准VDA305-100《Recommendation for Integrating Actuator Control of Electric Parking Brakes into ESC Control Units》对EPB系统的功能、系统架构和接口给出了明确的定义和说明，得到了行业的普遍认可和运用。其中，功能安全的相关章节总结了EPB系统可能存在的危害和风险，并对每种风险推荐了ASIL等级。但美中不足的是，VDA 305并没有给出ASIL等级背后的分析过程，对于参考人员来说难免有些“知其然而不知其所以然”。

基于以上两点背景，本文试图以VDA 305对EPB系统危害分析与风险评估的结论为基础，沿着上图展示的危害分析与风险评估的流程，逆向补充VDA 305中ASIL等级背后的S/E/C值评级。在VDA305标准的指导下，以实操的形式进一步阐述危害分析与风险评估的要点；同时也在VDA305的约束下尽可能保证分析结果的相对合理性。希望本文能给读者提供一些有用的参考。

（说明：本文仅选取VDA305中列举的典型危害进行分析，借此抛砖引玉，感兴趣的读者可以结合VDA305补充本文未提及的危害的分析。）

功能失效分析

对于功能安全失效分析，ISO 26262中推荐了一种系统性地分析相关项的危害的方法——HAZOP(危害和可操作性分析，Hazard and Operability Analysis)。HAZOP给开发人员提供了一种可借鉴的思维方式，可操作性强，因此被车企广泛地运用到了功能安全开发中。

简单来说，HAZOP从以下几个方面来全面地考虑功能的可能失效模式，从而识别出功能所有可能产生的危害（为避免翻译出现偏差，这里保留HAZOP的英文解释）：

1. Loss of Function - function not provided when intended

2. Function provided incorrectly when intended

• Incorrect Function-More than intended
• Incorrect Function-Less than intended
• Incorrect Function-Wrong direction

3. Unintended Activation of Function - Function provided when not intended

4. Output Stuck at a Value - Failure of the function to update as intended

注意：对于一个具体的功能来说，并不是上面提到的所有点都有对应的失效模式。比如对于制动功能来说，就不存在“wrong direction”的功能失效。换句话说，具体功能需要具体分析。

EPB系统主要提供以下4个功能：

1. 通过电子卡钳实现临时性和长时间驻车。→ 卡钳驻车

2. 释放电子卡钳。→ 驻车释放

3. 作为第二套行车制动系统，通过拉起EPB开关触发电控液压制动单元主动建压以实现最低1.5m/s2的减速度，以满足法规要求。→ 液压制动

4. 当液压制动单元故障时，通过拉起EPB开关触发卡钳制动以实现最低1.5m/s2的减速度，以满足法规要求。→ 卡钳制动

将HAZOP运用到对EPB系统的功能失效分析上，并建立EPB系统的功能失效与整车危害的对应关系，结果汇总如下。

1.1. 卡钳驻车功能

1.2. 驻车释放功能

1.3. 液压制动功能

1.4. 卡钳制动功能

基于上述分析可以看到，虽然EPB系统的不同功能对应的功能失效模式不同，但是引起的整车危害是有重叠的。基于此，将EPB系统可能造成的整车危害汇总为以下表格。

危害事件分类

识别出整车危害后，需要结合场景对危害事件进行分类，以识别出功能安全开发需要考虑的不合理的风险。

危害事件分类主要是通过三个维度对风险进行评级：

1. S（severity 严重度）：危害发生对驾驶员或乘客或路人或周边车辆中人员会造成的伤害等级。

2. E（Exposure 曝光度）：运行场景在日常驾驶过程中发生的概率。

3. C（controllability 可控度）：驾驶员或其他涉险人员控制危害以避免伤害的概率。

基于上一节的分析结果，危害事件分类将从车辆运动和车辆静止两个方面进行总结。

1.5. 车辆运动时

1.6. 车辆禁止时

​下篇预告

功能安全开发和功能开发一样，本质上是基于明确的需求展开的。而ASIL等级只是功能安全需求的属性之一，所以仅仅识别出风险并定义ASIL等级还无法展开功能安全开发。那么，一条完整的功能安全需求需要具备哪些属性？如何定义功能安全需求的属性？下篇将展开说明。

本文转载自：焉知智能汽车