ADAS/AD开发05 - 功能安全

功能安全本是一个更宽泛的话题，但是在汽车电子领域的功能安全，几乎等同于产品开发过程中对ISO26262标准的贯彻。

一、ISO26262：Road vehicles — Functional safety 标准

该标准只针对汽车电子电器系统。会牵涉到与安全相关的电气、电子和软件等相关组件。相比较于其他消费类电子产品，汽车产品的开发过程中，安全始终是一个关键性问题。对于汽车一些重要的子系统，如驾驶辅助系统、动力系统、车辆动态控制系统、主被动安全系统等，都涉及安全工程领域。随着汽车电子产品的技术复杂度提高及软件、机电一体化的大量应用，系统失效和随机的硬件失效的风险大大提升。ISO26262可以：

a. 提供车辆安全生命周期的支持（管理、开发、生产、操作、服务、拆解）；

b. 提供车辆专用的风险评估方法（ASIL，Automotive Safety Integrity Levels，汽车安全完整性等级）；

c. 使用ASIL评级提出可实施的功能安全需求，来避免不合理的剩余风险；

d. 向供应商提供功能安全需求。

功能安全受到开发流程（需求、设计、实现、集成、验证、确认和配置）、生产和服务流程、管理流程的影响。

1. Vocabulary 一些词汇在功能安全范畴内的含义

a. 什么叫架构（Architecture）？表征一些Building Blocks（如项目item/功能function/系统system/元素element）的结构，以及这些Building Blocks之间的边界和相互之间的接口，以及功能在硬件和软件元素中的分配关系。

b. 什么叫评估（Assessment）？表征对一些项目（item）和元素（element）的特性进行的考核。

c. 什么叫审查（audit）？表征对实施过程的检查。

d. 什么叫标定数据（calibration data）？表征开发过程中，软件构建完成后，需要匹配的数据；注意只是数据，那些可执行、可编译的代码一定不是标定数据。例如，标定参数（Parameters，车辆怠速的引擎转速、发动机特性图）、车辆特性参数（自适应值，例如节流阀限位器）、配置参数（例如国家代码、左舵右舵等）。

e. 什么叫级联故障（cascading failure）? 表征某个item的element故障后导致其他元素或者该item的其他元素故障。

f. 什么叫共因失效（common cause failure）？ 表征两个或两个以上的元素或项目的故障由同一个原因导致。

g. 什么叫关联故障（dependent failures）？ 表征无法简单按照概率的方式来估计的故障。例如，假如A和B发生的故障为各位Pa和Pb，那么A和B同时发生故障的概率Pab不等于Pa乘以Pb的概率。级联故障和共因失效都是关联故障的一种。

h. 什么叫剩余故障/剩余风险（residual fault/residual risk）？ 表征一部分违反了safety goal、安全机制却无法覆盖的硬件故障。例如，某个失效模式中，有60%的故障可以被安全机制覆盖，那么另外40%的无法被覆盖的错误就叫做剩余故障。这个40%，就叫做剩余风险。

i. 什么叫组件（component）？ 表征经过逻辑化拆分的、技术向的、分解后的、非系统级别的、包含不止一个硬件或软件单元的元素。

j. 什么叫配置数据（configuration data）？ 表征在软件构建过程中，那些能够控制软件构建过程的数据（一般以参数形式存在），例如软件构建脚本、XML配置文件等。

k. 什么叫确认测量/评审（confirmation measure/review）？ 确认测量：对功能安全开发过程的确认评审、审查或评估等行为。确认评审：确认产品满足ISO26262标准响应的ASIL等级。

l. 什么叫降级（degradation）？ 在失效发生后的一系列安全策略设计，包括功能的减少、性能的减少，或两者皆有。

m. 什么叫可控性（controllability）? 表征相关人员通过外部测量工具的支持，及时避免系统的特定失效或损害的能力。在危害分析与风险评估（Hazard Analysis and Risk Assessment）中，参数C即表征潜在的可控性。

n. 什么叫检测故障（detected fault）? 表征那种可以通过一种安全机制、在规定时间内被检测出的故障。一种常用的专用安全机制实现方式是：检测出错误后、通过仪表盘上的报警装置提醒驾驶员。

o. 什么叫剩余故障

p. 什么叫嵌入式软件（embedded software）？ 表征在处理元素中执行的全集成软件。常见的处理元素包括：MCU、FPGA、ASIC, 甚至更加复杂的组件或子系统。

q. 什么叫失效（failure）？ 表征元素不再具备执行功能能力的情况。

r. 什么叫故障（fault）？ 导致元素失效（failure）的异常状态，叫做故障（fault）。

s. 什么叫冗余（redundancy）？ 为了达到安全目标（safety goal）或特定安全需求，而采取的类似于重复功能组件（Duplicated functional components）的方案，来增加系统的有效性和良好的故障检测性。

t. 什么叫鲁棒设计（robust design）？ 在有无效输入或其他恶劣环境下运行的系统能够正常运行的设计，叫做鲁棒设计。对于软件的鲁棒性，是指软件能够在各种无效的输入和无效的条件干扰的情况下，正常运行。对于硬件的鲁棒性，是指硬件能够免疫来自环境压力、拥有稳定的使用寿命的能力。

u. 什么叫双点失效/故障（dual-point failure/fault）？ 两个相互独立的都出现故障，才导致的不满足safety goal的失效，叫做双点失效。这种失效引起的异常状态叫做双点故障。

v. 什么叫应急操作/应急操作间隔（emergency operation/ emergency operation interval）？ 所谓应急操作，是定义在报警与降级概念（warning and degradation concept）阶段的一种降级功能（degraded functionality），指能将系统从故障状态稳定到安全状态的功能。应急操作间隔就是应急操作起作用的指定时间跨度。

w. 什么叫故障响应时间（fault reaction time）？ 指系统从检测出故障到达到安全状态的时间跨度。

x. 什么叫容错时间间隔（fault tolerant time interval）？ 指一个系统在发生故障后、有一定时间恢复、保证不发生重大破坏的时间间隔。

 

（TBD）先占坑