功能安全學習筆記（二）

本文由 @騎行超人，首發於公眾號 汽車ECU設計 ，感謝超人的大力支持！

功能安全的定義

1.本質安全與功能安全

為了了解功能安全的概念，先得熟悉下 和「本質安全」和「功能安全」的概念。假如以鐵道的路口為例，比較一下基於兩種安全概念的避免路口事故的方法。這裡避免路口事故就是安全目標，為了實現這個目標，可進行如下操作：

首先，如果把鐵道路口撤掉，直接改造成立交橋的形式，讓火車和汽車都走各自的路，這樣就不會發生人或者車輛橫穿鐵道口的事故了。像這樣，根據系統的特性把危險源直接除掉的方法是「本質安全」。

其次，假如我們在鐵道路口設置信號燈和道口自動欄杆，當火車來臨時前閃紅燈，同時將欄杆放下，避免行人或者車輛通過。像這樣通過欄杆的攔截功能及預警燈來抑制事故風險的技術叫做「功能安全」。在這裡信號燈和自動欄杆一種安全機制（Safety Mechanism）。理想的情況是不管什麼場合都採用「本質安全」，但事實上，在很多場合里，由於系統自身的原因，不可能把危險源除掉。特別是像車載電控系統這樣非常複雜的電子化系統，以上所述的本質安全很難被實現和應用。因此我們只能採用功能安全，它的目的就是在本質安全無法達到時，儘可能的通過增加安全機制去提高安全等級，實現安全目標。

2.電子控制器的功能安全

對於汽車而言，可將汽車看成一個「機器人」，駕駛員給這個「機器人」發送信號，比如踩踏板加油，汽車收到命令然後執行：電噴系統增加噴油，發動機輸出扭矩增加，實現車輛加速。

對於傳統汽車而言，它的結構簡單，且大多數命令都是通過機械方式來實現的，如老式汽車的機械式節氣門等，其失效的可預見性大；而現在汽車，其電子電氣化增強，駕駛員的指令會先轉換成相關信號，然後這些信號傳遞給控制器的處理晶元，然後最終驅動相關的執行器來執行，其失效的可預見性大大降低。

正因為現代汽車隨著電子電氣化的程度越來越高，其整車的安全性很大程度就取決於電子控制器的安全性，比如發動機控制器ECU，變速箱控制器TCU，車輛穩定性控制器ESP等等。而且電子控制器失效的可預見性非常低，比如晶元／電路受外界干擾等，這很難預料什麼情況會出問題，因此必須考慮電子控制器失效了會怎麼辦的問題。

3.功能安全考慮的角度

針對電子控制器失效了怎麼辦這個問題，首先得確定一個角度。比如極端高溫情況下的ECU自燃，爆炸等這種系統本身帶來的風險，這種風險不在功能安全的考慮範圍內。

從產品安全的角度來說，可將其安全分為傳統安全以及由電子/電氣功能安全，傳統安全包括：與觸電、火災、煙霧、熱、輻射、毒性、易燃性、反應性、腐蝕性、能量釋放等相關的危害和類似的危害，除非危害是直接由電子電氣安全相關係統的故障行為而引起的。傳統安全不在功能安全的考慮範圍之內。

根據國際上知名的安全協會的定義，比如英國汽車工業軟體可靠性協會MISARA（The

Motor Industry Software Reliability Association），比如德國的德國VDA協會（Verband

der Automobilindutrie）德國汽車工業協會）他們是從車輛可控性的角度對功能安全提出要求。而IEC-61508強調從人身安全（還可以考慮設備安全）角度提出需求。因此從車輛可控性和人身安全兩個層面上考慮功能安全就有了著陸點。

4.ISO26262中對功能安全定義

ISO26262是專門用作提升汽車電子電氣產品功能安全的國際標準，它派生於電子、電氣及可編程器件功能安全基本標準IEC61508。26262中是這樣定義功能安全的：

Absence of unreasonable risk due to hazards caused by malfunctioning behavior

of E/E systems；即沒有由電子、電氣系統故障行為導致的危險所引起的不合理風險我們來分解下這段話：

A.沒有風險：absence of risk

B.沒有不合理風險 unreasonable

C.沒有由電子、電氣系統故障行為導致的危險所引起的不合理風險

其中的關鍵詞是不合理風險，什麼是不合理風險呢，比如車輛行駛時安全氣囊蹦出來了，這是不合理風險，這是功能安全需避免的問題。

總體來說，功能安全是指避免由系統功能性故障導致的不可接受的風險。它關注的是系統發生故障之後的行為，而不是系統的原有功能或性能。因此功能安全的目的就是當系統發生故障後，將系統進入安全的可控模式，避免對人身、財產造成傷害。

推薦閱讀：