EMB系统功能安全分析(2)

以下文章来源于汽车电子研究院，作者ZZ先生志

一、EMB系统功能安全

功能安全概念（functional safety concept，FSC）是以安全目标为最上层需求，进而制定安全机制，实现功能安全需求（functional safety requirement，FSR）的逐层分配。

（1）功能安全架构

通过系统功能安全分析，可知 EMB 系统为 ASILD 等级。为实现系统安全要求，同时降低系统成本，本文结合传统硬件冗余方案，添加软件层的校验以及通过人机界面进行故障警告显示，建立三路并行的安全机制，可实现系统在硬件层、软件层的故障探测和驾驶员对车辆信息的实时获取，保障车辆安全。具体安全措施包括硬件方面的传感器冗余、加设状态检测传感器、电源完全冗余及 CAN 线冗余的硬件冗余和硬件监测方式；软件层面对数据进行二次校验及合理性判断；系统发生故障后通过人机界面显示错误和警告信息实现人机交互，系统功能安全架构如图所示。

（2）EMB 系统设计

根据 EMB 系统基本组成以及上文建立的三路并行的功能安全架构，结合目前应用的制动系统电子电器架构，可以设计出面向应用的 EMB 系统基本电子电气架构（electrical/electronic architecture，EEA）。系统相关项定义中已确定了系统基本组成单元，考虑系统的安全机制以及功能安全需求，可对每个功能模块进行优化和调整。EMB 系统具体电子电气架构如图所示。

（3）功能安全需求（FSR）分析

根据系统电子电气架构及安全目标，可通过安全分析技术分析出系统功能安全需求（FSR），并计算其ASIL 等级。此外，考虑实际应用中，较高安全等级的系统零部件制造难度及成本较高，本文按照标准中规定的汽车安全完整性等级分解规则，针对系统较高级别的 ASIL 等级需求进行分解，ASIL D 的常用分解规则如下式所示。

根据 ISO 26262 标准，安全方法有故障树分析（faulttree analysis， FTA）和潜在失效模式与后果分析（failuremode and effects analysis， FMEA），由于 FTA 方法对于单点失效和多点失效都适用，而 FMEA 只适用于单点失效，所以本文采用 FTA 方法进行安全验证。这里仅以表中的 SG06 功能安全目标为例，建立 SG06 的故障树模型如图。硬件冗余、信号校验机制和错误警告的三路并行的安全机制增加了系统可靠性和鲁棒性，通过故障树分析得出 EMB 系统的功能安全需求，以 SG01 为例，通过 ASIL 分解将系统对某些硬件的高要求转换为较低的要求或将对硬件的高要求转换成对软件和算法的要求，可大幅降低系统成本及制造难度，在应用的可行性及系统成本方面具有显著优势。

（4）系统技术安全需求（TSR）分析

根据以上 FSR 分析结果及系统 EE 架构，通过安全分析方法将系统的功能安全需求进一步提炼，得出SG01 的技术安全需求。基于以上安全分析结果，可知该功能安全架构设计在保障系统可靠性的同时，有效降低了 EMB 系统对硬件的安全需求，减少了 EMB 系统的制造难度和成本。