在上回講完功能安全的定義以后，"是什么" 和 "為什么" 的問題，我們已經(jīng)搞懂了。接下來就要看看重點(diǎn)，"怎么樣" 的問題。

主機(jī)廠在研發(fā)一款汽車平臺(tái)的初期，會(huì)基于以往大量的工程和實(shí)際經(jīng)驗(yàn)，把整車的功能細(xì)分到不同的子系統(tǒng)里，比如車載娛樂系統(tǒng)，底盤和驅(qū)動(dòng)系統(tǒng)，輔助駕駛和車身照明系統(tǒng)等等。

以下以被動(dòng)安全輔助系統(tǒng)來舉例。

被動(dòng)安全輔助系統(tǒng)，比如安全帶和安全氣囊就屬于被動(dòng)安全系統(tǒng)的一部分。假如汽車在發(fā)生碰撞以后，安全帶會(huì)收緊，并且相應(yīng)的安全氣囊會(huì)彈出。

當(dāng)主機(jī)廠劃分子系統(tǒng)到安全氣囊控制器的時(shí)候，當(dāng)然要描述一下，這個(gè)控制器的功能，是否是一個(gè)電子設(shè)備，這個(gè)控制器與其他控制子系統(tǒng)的接口，還有例如法律法規(guī)的要求，比如被動(dòng)安全系統(tǒng)是法律要求。這是在引入功能安全以前已經(jīng)現(xiàn)成有的東西。

當(dāng)現(xiàn)在加上功能安全，我們考慮安全氣囊控制器的時(shí)候，主機(jī)廠會(huì)基于以往的經(jīng)驗(yàn)，比如這個(gè)控制器在以往出現(xiàn)過什么問題，具體的原因是什么？例如曾經(jīng)最大的安全氣囊生產(chǎn)商高田就因?yàn)?strong>設(shè)計(jì)原因不得不召回而在日本申請(qǐng)破產(chǎn)。

基于這些對(duì)基礎(chǔ)功能的描述和以往故障的分析，主機(jī)廠通過對(duì)安全氣囊開發(fā)的范圍做出劃分和描述，這就是所謂的 ISO 在第三章 item 定義的要求。當(dāng)然了，具體還有很多詳細(xì)的內(nèi)容，此處不一一展開。

當(dāng)有了這些item的功能要求和故障信息，主機(jī)廠會(huì)在內(nèi)部進(jìn)行評(píng)定審核，主要的任務(wù)是，去判斷當(dāng)之前定義的item在不同工況出現(xiàn)不同故障的情況下，駕駛員和乘客是否受有威脅到人身安全的風(fēng)險(xiǎn)，以及去評(píng)定風(fēng)險(xiǎn)的等級(jí)。這就是頂頂有名的HARA (Harzard Analysis and Risk Assesment)

還是以安全氣囊舉例說明：

首先構(gòu)想不同的使用情景：

汽車狀態(tài)：

停車

駐車

行駛 0-30km/h

行駛 >30km/h

路況信息：

濕滑

干燥

市區(qū)

高速

道路信息：

彎道

直行

以下舉例說明：

當(dāng)安全氣囊控制器的指示功能出現(xiàn)故障的時(shí)候：

- 汽車以20km/h的速度行駛在干燥路面的市區(qū)時(shí)

- 汽車以100km/h的速度行駛在濕滑的高速公路時(shí)

當(dāng)安全氣囊控制器的檢測功能出現(xiàn)故障的時(shí)候：

- 汽車以20km/h的速度行駛在干燥路面的市區(qū)時(shí)

- 汽車以100km/h的速度行駛在濕滑的高速公路時(shí)

當(dāng)安全氣囊控制器出現(xiàn)故障自動(dòng)彈出的時(shí)候：

- 汽車以20km/h的速度行駛在干燥路面的市區(qū)時(shí)

- 汽車以100km/h的速度行駛在濕滑的高速公路時(shí)

等等...(此處有成百上千行)

分別對(duì)下面三個(gè)因素進(jìn)行量化分析：

- 對(duì)應(yīng)故障發(fā)生事故的人員傷亡嚴(yán)重程度  --> S 代表severity

- 對(duì)應(yīng)故障出現(xiàn)的頻率 --> E 代表Exposure

- 駕駛員是否能控制汽車  --> C 代表Controllablity

并按照下圖, 對(duì)號(hào)入座：1-3 代表不同的程度。進(jìn)而得到相應(yīng)風(fēng)險(xiǎn) 的ASIL 等級(jí)

最后取在不同情況下最高的ASIL等級(jí)為該產(chǎn)品研發(fā)時(shí)的功能安全要求等級(jí)。這個(gè)ASIL將伴隨安全氣囊供應(yīng)商的整個(gè)研發(fā)以及售后流程，根據(jù)這個(gè)級(jí)別，將定義和劃分對(duì)應(yīng)軟件，硬件等功能安全相關(guān)的工作。此處劃重點(diǎn)，以后慢慢講具體在供應(yīng)商開發(fā)軟件時(shí)如何根據(jù)ASIL來做相應(yīng)的工作。

根據(jù)不同的風(fēng)險(xiǎn)，與之對(duì)應(yīng)的是新加的功能安全需求。也就是安全目標(biāo) (safety goal).

例如：

SG1：如果安全氣囊系統(tǒng)的檢測傳感器出現(xiàn)故障，駕駛員應(yīng)該在汽車駕駛的過程中得到故障提醒。

SG2：在汽車行駛過程中，氣囊不能在無碰撞的情況下彈出

等...

可能你會(huì)發(fā)現(xiàn)，有的功能安全需求跟功能需求大相徑庭，這兩個(gè)需求有部分重疊的情況，但是功能安全側(cè)重于當(dāng)出現(xiàn)故障，設(shè)備系統(tǒng)如何處理故障進(jìn)而規(guī)避和降低對(duì)人造成的風(fēng)險(xiǎn)。而功能需求側(cè)重于如何實(shí)現(xiàn)具體的功能。實(shí)現(xiàn)功能是功能安全的基礎(chǔ)。所以往往在研發(fā)過程中，功能安全研發(fā)工作會(huì)比功能開發(fā)工作晚開始，比較繞口，請(qǐng)見諒?？梢院唵卫斫鉃?，第一步實(shí)現(xiàn)所有的功能，當(dāng)部分功能與功能安全需求相關(guān)時(shí)，需要做額外的工作來保證此功能安全。

我們知道，汽車領(lǐng)域的需求，設(shè)計(jì)都要對(duì)應(yīng)相應(yīng)的測試結(jié)果。安全目標(biāo)(safety goal) 對(duì)應(yīng)的就是將來非常麻煩的并且需要獨(dú)立第三方評(píng)測的 safety case,這個(gè)我們以后文章會(huì)提到。

寫到這里，意猶未盡，下回再見吧。