10.16638/ki.1671-7988.2019.15.033
功能安全的危害分析和风险评估方法
楼志江
（比亚迪汽车工业有限公司，广东深圳518118）
摘要：在功能安全开发过程中，关键指标ASIL存在定义过于抽象、评估指标过于主观的问题，因此，很多功能安全工程师无法得出有效的ASIL评级结果。

文章通过数学分析，为功能安全工程师了解释了ASIL的物理意义，同时针对ASIL的定级问题提出了九条建议措施。

工作成果对ASIL的评估工作就有一定的指导意义，功能安全工程师们在实际开发过程中可以酌情参考采纳。

关键词：功能安全；ASIL
中图分类号：U461.91 文献标识码：B 文章编号：1671-7988(2019)15-90-02
Hazard Analysis and Risk Assessment of Function Safety Development
Lou Zhijiang
（BYD Automobile Industry CO., Ltd., Guangdong Shenzhen 518118）
Abstract: As the key index in function safety development, ASIL has an obscure definition and its classification rules are too subjective for engineers. Therefore, most functional safety engineers are unable to obtain effective ASIL classification result. Through mathematical analysis, this paper explains the physical meaning of ASIL for functional safety engineers, and then puts forward nine reference rules for ASIL classification. This paper has certain guiding significance for ASIL classification, and hence functional safety engineers can refer to these rules as appropriate.
Keywords: Functional safety; ASIL
CLC NO.: U461.91 Document Code: B Article ID: 1671-7988(2019)15-90-02
引言
所谓功能安全，即是通过分析和设计，将系统电子元器件失效引起的安全风险降低到社会接受的水平。

关于汽车功能安全的研究由来已久，早在上世纪80年代，欧洲已经针对发动机系统电子元器件失效的问题提出了EGAS三层架构[1]。

之后，工程师们将功能安全的开发思想和流程逐渐整理完善，并于2011 年11 月，发布了第一版汽车电子电气系统功能安全的国际标准ISO 26262[2]，之后第二版也于2018年正式发布[3]。

ASIL，全称汽车安全完整性等级（Automotive Safety Integrity Level），用于描述失效风险水平以及系统功能可靠性的大小，是贯穿整个功能安全开发过程的一个重要概念。

因此，ASIL评估的正确与否，对功能安全的开发起着至关重要的作用。

然而，在实际开发过程中，由于ISO 26262对于ASIL 的定义过于抽象，很多工程师难以理解ASIL的物理意义，加上ISO 26262中关于ASIL的评估准则主观性太强，导致很多工程师难以得出客观有效的ASIL评估结果。

为此，美国机动车工程师学会先后发布了SAE J2980的第一版和第二版用于指导ASIL定级[4]，但是该标准在很多问题上还是过于主观，在实际应用中还存在很多问题。

因此，本文通过数学推导介绍了ASIL的物理意义，同时结合实际的工程应用问题，提出了九点建议准则，作为为ASIL评估的参考意见。

作者简介：楼志江（1989.6-），男，博士，工程师，就职于比亚迪汽车工业有限公司，主要研究方向为汽车电子技术，功能安全等。

90
楼志江：功能安全的危害分析和风险评估方法
91
1 ASIL 物理意义及评估参考准则
所谓功能安全，就是功能失效引起的后果降低到社会能够接受的水平。

换就话说，就是希望导致事故严重度（S ）越高的失效，引起事故发生的概率（f ）越低，即：
（1）
其中λ为一个定值，代表社会的接受水平。

其中事故发生的概率f 需要从三个方面进行综合考虑：首先，它和电子元器件发生失效的概率f 0相关；其次，即便电子元器件发生失效，其造成的事故的严重度（S ）也是和事故发生的场景息息相关的，例如对刹车失效而言，该故障发生在雨雪天造成的后果比在晴天发生造成的后果要严重，因此，f 也和场景发生的概率相关，即暴露率（E ）；最后，即便发生了故障，有的问题驾驶员和行人具有处理能力，能防止事故的发生，因此，f 也和驾驶员和行人的故障处理能力相关，即可控性（C ）。

因此，公式（1）可以写成如下：
（2）
公式中f 0是和电子元器件系统的设计水平直接挂钩的，f 0越小，代表系统的失效率非常低。

因此，功能安全取
，
利用严重度（S ）、暴露率（E ）、可控性（C ）三者来计算ASIL 等级，ASIL 等级越高表明事故的后果越严重，我们需要失效率更低的电子元器件系统才能控制住该失效引起的风险。

因此，ASIL 既能用于描述失效风险的大小，也能用于描述系统的安全等级。

表1 ASIL 评级表
如表1所述，ASIL 基于严重度（S ）、暴露率（E ）、可控性（C ）三者等级而确定。

SAE J2980和ISO 26262均给出了严重度（S ）、暴露率（E ）、可控性（C ）的评估标准，但是这些准则主观性太大，不适合实际功能安全开发。

结合SAE J2980、ISO 26262以及实际开发经验，本文就ASIL 的评估问题，提出以下的一些参考准则：
准则1：评估的重点始终为整车层面单个功能的影响，而且暂且不考虑已经或者将要实施的安全机制（故障检测、报警、处理等安全措施）。

准则2：驾驶员的过失操作不在考虑范围内。

准则3：场景不可分割太细，否则暴露率会过低，造成整体ASIL 等级过低的后果。

倘若场景的分割操作不会对严重度和可控性造成影响，仅仅只能降低暴露率，那这样的场景分割操作就是没必要的。

准则4：凡是和机械刹车失效、转向失效、电池燃烧、电控爆炸相关的故障，通常情况下严重度均取最高等级S3。

类似效果的故障也取S3，例如驾驶过程中误触发电子驻车制动系统（EPB ），因为其效果和意外刹车一样，因此，严重度等级也取S3。

准则5：对同一个失效，在转弯或者超车的场景下的严重度比直线行驶场景下的严重度要高一个到两个等级。

准则6：暴露率评估可以采取按环境条件约束数量逐级递减的方法。

例如高速超车的情况，暴露率可以按照如下方法逐级分解为：高速公路暴露率等级为4，同时考虑超车的情况，暴露率等级降低一级为3，因此高速超车的暴露率等级为3。

准则7：和场景无关的危害的暴露率等级均取4 倘若一个失效在任何场景下都会发生严重的事故，则其暴露率可以直接评定为4.
准则8：可控性评估需要考虑驾驶员的应对能力，倘若驾驶员有充足的时间进行反应和处理，则可以适当降级。

因此，车速和前后车距是可控性评估的重要考虑因素。

准则9：有的故障在引起事故前已经做出报警，或者驾驶员可明显感知到异常，则可以适当降低可控性等级。

2 总结
本文从数学层面分析了ASIL 的物理意义，同时，针对实际功能安全开发过程中ASIL 评估主观性强的问题，提出了九点建议准则。

本文的工作成果对ASIL 的评估工作就有一定的指导意义，功能安全工程师们在实际开发过程中可以酌情参考采纳。

参考文献
[1] Standardized E-Gas Monitoring Concept for Gasoline and Diesel
Engine Control Units, Version 6.0, EGAS Workgroup, 2015-07-13. [2] ISO 26262: 2011 Road vehicles-Functional safety. [3] ISO 26262: 2018 Road vehicles-Functional safety.
[4] SAE J2980: Considerations for ISO 26262 ASIL Hazard Classifica
-tion, SAE(2015) 8.。