楊帆

（安全技術(shù)專家組，雅析安全系統(tǒng)上海有限公司，上海 200000）

主題詞：ISO 26262PMHF ASIL分解 ASIL 硬件隨機(jī)失效 分配

1 簡介

ISO 26262道路車輛-功能安全是IEC 61508基于汽車領(lǐng)域的衍生標(biāo)準(zhǔn)。它提出涵蓋功能安全相關(guān)開發(fā)的各個(gè)過程（包括規(guī)劃、設(shè)計(jì)、執(zhí)行、驗(yàn)證和確認(rèn)）的要求，通過避免和控制系統(tǒng)性失效和硬件隨機(jī)失效，從而讓產(chǎn)品來自于電子電氣系統(tǒng)的風(fēng)險(xiǎn)降低到可以接受的合理范圍。ISO 26262是目前汽車領(lǐng)域最先進(jìn)的工程開發(fā)方法。

ASIL分解是ISO 26262道路車輛功能安全的一個(gè)非常重要的安全活動(dòng)。ASIL分解是一種可以在概念、系統(tǒng)和軟硬件開發(fā)階段實(shí)施的ASIL裁剪方法。這種方法是將冗余的安全要求分配給具有足夠獨(dú)立性的要素，以達(dá)到相同的安全要求，減少分配給相應(yīng)要素的冗余的安全要求的ASIL[1]。

在車用領(lǐng)域的分布式開發(fā)中，整車企業(yè)通常會(huì)進(jìn)行較高層級(jí)的開發(fā)集成行為，各個(gè)供應(yīng)商承擔(dān)系統(tǒng)產(chǎn)品或者零部件的開發(fā)。因此根據(jù)分布式開發(fā)的特點(diǎn)，整車企業(yè)會(huì)對(duì)供應(yīng)商輸出對(duì)應(yīng)的系統(tǒng)和零部件需求，要求供應(yīng)商在產(chǎn)品的開發(fā)過程滿足其提出的要求。如果在整車企業(yè)執(zhí)行了分解的行為，那么在對(duì)供應(yīng)商提出的需求中必須含有分解之后的相關(guān)指標(biāo)的具體要求，否則很容易出現(xiàn)無法滿足需求的情況。例如，如果在某個(gè)系統(tǒng)的開發(fā)中，整車廠要求對(duì)于系統(tǒng)總的指標(biāo)-系統(tǒng)總質(zhì)量不允許超過100 kg.如果系統(tǒng)由A，B，C三家共同開發(fā)，后由整車企業(yè)進(jìn)行產(chǎn)品集成。如果沒有針對(duì)A或B或C的單獨(dú)細(xì)化的要求，供應(yīng)商如果各自按照小于100 kg為限值，那最終集成產(chǎn)品很可能超過總成的總質(zhì)量要求。因此，在進(jìn)行了ASIL分解之后，如果承擔(dān)分解之后需求的隸屬于不同的開發(fā)組織，有必要對(duì)各自提出細(xì)化的分解之后的要求。

ISO 26262在第9章ASIL分解部分的需求和推薦中明確指出，對(duì)于硬件架構(gòu)指標(biāo)和違反安全目標(biāo)的硬件隨機(jī)度量指標(biāo)，不允許進(jìn)行分解[1-3]。本文要進(jìn)行分析的就是違反安全目標(biāo)的硬件隨機(jī)失效度量指標(biāo)（Probabilistic Metric for random Hardware Failures以后簡寫為PMHF）對(duì)分解后系統(tǒng)的分配問題。

上文中所謂的不允許在ASIL分解過程中對(duì)PMHF進(jìn)行分解的含義通過示例說明如下：原有需求的屬性是ASILD，分解之后的兩個(gè)需求的屬性均為：ASILB(D)和ASILB(D)。從而根據(jù)分解后得到的ASILB(D)的需求，根據(jù)下表1中的ASIL級(jí)別及對(duì)應(yīng)的PMHF目標(biāo)值，作為其分解之后所需要達(dá)到的目標(biāo)值。以上描述的這種根據(jù)分解之后的ASIL來定義其PMHF目標(biāo)值的行為是被ISO 26262所禁止的。在此，ISO 26262中并沒有定義ASILA和QM的PMHF目標(biāo)，出于經(jīng)驗(yàn)，針對(duì)ASILA和QM（區(qū)別于ASIL，表達(dá)常規(guī)質(zhì)量管理的含義）都對(duì)其PMHF定義為比ASILB的目標(biāo)值低一個(gè)量級(jí).ISO 26262對(duì)于ASILB的需求的PMHF目標(biāo)僅為一般推薦并非強(qiáng)制推薦，因此可以按照一般推薦值來做為其目標(biāo)值。

表1 不同ASIL和QM對(duì)應(yīng)的PMHF目標(biāo)值[1]

但是如果我們在需求分解的過程中進(jìn)行了PMHF的分解，結(jié)果會(huì)違反初始或分解之前的PMHF指標(biāo)嗎？

本文將依據(jù)以下思路來展開分析：

a)ASIL分解根據(jù)分解對(duì)象的性質(zhì)，可以分成如下兩種：功能和功能的分解或功能和對(duì)應(yīng)安全機(jī)制的分解。本文只討論功能和功能的分解而不討論功能和安全機(jī)制的分解。

b)根據(jù)分解對(duì)象ASIL不同，分解的結(jié)果也會(huì)不同。由于PMHF在ISO 26262中僅僅對(duì)ASILC和ASILD強(qiáng)制要求，因此在以下章節(jié)，會(huì)僅針對(duì)分解前需求屬性為ASILC和ASILD的情況對(duì)應(yīng)分析。因此下文中針對(duì)不同的分解方式進(jìn)行分析，ASILC和ASILD的所有分解方式如表2所述5種情況。

c)根據(jù)被分解需求,對(duì)于安全目標(biāo)覆蓋的范圍不同，會(huì)呈現(xiàn)不同的分解結(jié)果。比如需求的分解既可以是針對(duì)整條安全目標(biāo)所需功能的分解，也可以是其中一部分。舉例說明如下，如果整個(gè)安全目標(biāo)是當(dāng)電池出現(xiàn)過壓的時(shí)候，高壓電路必須斷開。那么針對(duì)整個(gè)安全目標(biāo)的安全功能-過壓斷開可以分解成足夠獨(dú)立的兩條功能：一個(gè)功能路徑持續(xù)檢測電壓，判斷是否過壓，一旦過壓進(jìn)行切斷處理。另外一條與之獨(dú)立的功能路徑也持續(xù)檢測電壓，判斷是否過壓，一旦過壓進(jìn)行切斷處理。此外，需求分解也可以是檢測電壓和判斷過壓都依照原有的ASIL開發(fā)，而切斷部分通過兩個(gè)路徑的冗余需求進(jìn)行需求分解。此處，第二種分解方式就是部分分解--只針對(duì)輸出部位進(jìn)行分解，或者說對(duì)于整個(gè)安全目標(biāo)實(shí)現(xiàn)進(jìn)行局部需求分解。

表2 ASILD和ASILC的分解方式[1]

因此，在下面的分析過程中會(huì)對(duì)這兩種（全部和部分）覆蓋范圍進(jìn)行區(qū)分分析。

以下的分析過程會(huì)做如下分析假定：

1）假定分解之后的冗余路徑的獨(dú)立性可以被保證，即分解之后的兩個(gè)部分不存在共因失效和級(jí)聯(lián)失效。

2）假定分解之前的系統(tǒng)和分解之后的子系統(tǒng)系統(tǒng)工作的所有工時(shí)均為8 000 h。

3）假定失效概率的計(jì)算中所有的λ×T〈〈1，那么就可以直接使用失效概率P=λ×T。

此處λ是失效率，T是系統(tǒng)工作的總時(shí)間。分解之前的最大失效可能性根據(jù)以上公式計(jì)算得到。分解之后的冗余路徑的最大失效可能性根據(jù)概率布爾運(yùn)算法則得到。

2 完整安全功能的需求分解

首先，針對(duì)完整安全功能的需求分解情況。因?yàn)榉纸馐轻槍?duì)的是整個(gè)安全目標(biāo)，因此分解前最大的失效率（即PMHF）為完全引用自表1.

表3 完成安全功能的分解分析

在表3中，第3列為根據(jù)分解前需求的ASIL級(jí)別定義出的PMHF得目標(biāo)值。第5列為根據(jù)PMHF目標(biāo)值和時(shí)間計(jì)算得到的失效概率（P=λ×T）。第6列為分解之后根據(jù)ASIL級(jí)別定義出的PMHF目標(biāo)值。第8列為分解之后各自路徑的失效概率值。第9列為基于兩個(gè)獨(dú)立路徑的失效概率值計(jì)算得到的基于布爾運(yùn)算的總體失效概率值。這樣，只要保證分解之后計(jì)算得到的總體失效概率值（第9列）小于等于分解之前的失效概率值（第5列），即可滿足原PMHF要求。

從以上結(jié)果可以看出，分解之后的最大失效可能性小于分解之前的PMHF計(jì)算出的最大失效可能性。因此在這種情況下即使在ASIL分解過程中執(zhí)行PMHF分解，依然可以達(dá)到分解之前對(duì)于PMHF要求的結(jié)果。

3 局部安全功能的需求分解

其次，針對(duì)不完整安全功能的需求分解情況。因?yàn)榉纸馐轻槍?duì)的部分的安全功能，因此分解前最大的失效率為原來的失效率可能性的1/3。此處1/3并沒有特殊含義，只是考慮如果不能全部繼承來與安全目標(biāo)的PMHF的目標(biāo)值而得到的一個(gè)小于原目標(biāo)值的某一個(gè)值。

從上表4結(jié)果可以看出，分解之后的最大失效可能性小于分解之前的PMHF計(jì)算出的最大失效可能性。因此即使以上情況下的ASIL分解過程中執(zhí)行PMHF分解，依然可以達(dá)到分解之前對(duì)于PMHF要求的結(jié)果。

但是并不是所有情況都可以得到以上結(jié)論。下表中調(diào)整原有的最大失效率為安全目標(biāo)PMHF目標(biāo)值得1/130的分析計(jì)算結(jié)果。

從上表5結(jié)果可以看出，分解之后的最大失效可能性大于分解之前的PMHF計(jì)算出的最大失效可能性。因此在這樣針對(duì)一部分安全功能需求分解過程中執(zhí)行PMHF分解，并不能一定可以達(dá)到分解之前對(duì)于PMHF要求的結(jié)果。

表4 不完整安全功能的分解分析

分解之前的最大PMHF目標(biāo)值在原有基礎(chǔ)上縮小130倍，那如果針對(duì)后面的PMHF目標(biāo)也同樣縮小130倍，結(jié)果如何？表6針對(duì)這種情況進(jìn)行了分析計(jì)算。

表5 分解前PMHF目標(biāo)值縮小為1/130之后的分解分析

表6 分解前后PMHF目標(biāo)值均縮小為1/130之后的分解分析

從表6結(jié)果可以看出，在這樣針對(duì)一部分安全功能ASIL分解過程中執(zhí)行PMHF分解，如果分解后的PMHF目標(biāo)即使縮小到一定程度，如果對(duì)應(yīng)的分解之后的PMHF對(duì)應(yīng)縮小同樣的倍數(shù)，仍然可以達(dá)到分解之前對(duì)于PMHF要求的結(jié)果。

對(duì)于以上兩種情況，當(dāng)分解后路徑的工作時(shí)間偏大時(shí)，也可以導(dǎo)致分解之后的總體最大失效可能性值大于分解之前的最大失效可能性值，從而不滿足PMHF的目標(biāo)要求。但是這種情況在常規(guī)車用控制器開發(fā)中并不普遍，因?yàn)閷?duì)于冗余路徑的時(shí)間要求并沒有那么大。

因此，表3、表4、表5和表6的計(jì)算分析結(jié)果表明，在保證足夠獨(dú)立的分解情況下，不論進(jìn)行整個(gè)安全目標(biāo)的PMHF的分解，還是部分PMHF目標(biāo)值得分解，只要保證分解之后的失效概率值小于等于分解之前的失效概率，進(jìn)行PMHF分解并不會(huì)違反原有的要求。

此處，雖然本文轉(zhuǎn)中多次使用PMHF的分解的字樣，實(shí)際上所表達(dá)的含義是在進(jìn)行了ASIL分解之后對(duì)于子系統(tǒng)的PMHF值的定義或者分配。從以上計(jì)算可以看出，我們進(jìn)行比較的一直是失效概率值（P，P=λ×T），而非失效率值（PMHF/λ）。

4 結(jié)束語

ASIL分解是工程人員對(duì)于需求分解的通俗稱呼，其分解過程的關(guān)注重點(diǎn)并不分解硬件隨機(jī)失效的應(yīng)對(duì)舉措。而硬件隨機(jī)失效在需求分解中所做的是根據(jù)分解關(guān)系把分解前總體失效概率指標(biāo)分配給分解后的功能元素。

基于上述表格的計(jì)算分析，那么不進(jìn)行分解的理由至少可以認(rèn)為含有如下兩項(xiàng)。

（1）上表結(jié)果表明，依據(jù)同樣的倍率進(jìn)行PMHF分解后，得到的失效的可能性更低，這樣就很可能造成過設(shè)計(jì)。從這點(diǎn)可以認(rèn)為ISO 26262在避免過設(shè)計(jì)，以規(guī)避沒必要的成本增加。此處，所謂的過設(shè)計(jì)是指如果在可以滿足系統(tǒng)的安全或者性能指標(biāo)的基礎(chǔ)上，額外所做的設(shè)計(jì)內(nèi)容。如果按照上文的（更嚴(yán)格的）PMHF指標(biāo)要求分配給供應(yīng)商，實(shí)際上分解之后的PMHF即使再大一些也可以滿足上層的需求，而在底層軟硬件設(shè)計(jì)中會(huì)加大額外的不必要的開發(fā)成本。

（2）避免進(jìn)行分配之后（倍率縮小后）較小的PMHF在分解過程中發(fā)生系統(tǒng)性失效，沒有有效的倍率調(diào)整，造成最終能無法到達(dá)分解前PMHF的結(jié)果。