以下文章來(lái)源于汽車電子研究院，作者ZZ先生志

一、EMB系統(tǒng)功能安全

功能安全概念（functional safety concept，F(xiàn)SC）是以安全目標(biāo)為最上層需求，進(jìn)而制定安全機(jī)制，實(shí)現(xiàn)功能安全需求（functional safety requirement，F(xiàn)SR）的逐層分配。

（1）功能安全架構(gòu)

通過(guò)系統(tǒng)功能安全分析，可知 EMB 系統(tǒng)為 ASILD 等級(jí)。為實(shí)現(xiàn)系統(tǒng)安全要求，同時(shí)降低系統(tǒng)成本，本文結(jié)合傳統(tǒng)硬件冗余方案，添加軟件層的校驗(yàn)以及通過(guò)人機(jī)界面進(jìn)行故障警告顯示，建立三路并行的安全機(jī)制，可實(shí)現(xiàn)系統(tǒng)在硬件層、軟件層的故障探測(cè)和駕駛員對(duì)車輛信息的實(shí)時(shí)獲取，保障車輛安全。具體安全措施包括硬件方面的傳感器冗余、加設(shè)狀態(tài)檢測(cè)傳感器、電源完全冗余及 CAN 線冗余的硬件冗余和硬件監(jiān)測(cè)方式；軟件層面對(duì)數(shù)據(jù)進(jìn)行二次校驗(yàn)及合理性判斷；系統(tǒng)發(fā)生故障后通過(guò)人機(jī)界面顯示錯(cuò)誤和警告信息實(shí)現(xiàn)人機(jī)交互，系統(tǒng)功能安全架構(gòu)如圖所示。

（2）EMB 系統(tǒng)設(shè)計(jì)

根據(jù) EMB 系統(tǒng)基本組成以及上文建立的三路并行的功能安全架構(gòu)，結(jié)合目前應(yīng)用的制動(dòng)系統(tǒng)電子電器架構(gòu)，可以設(shè)計(jì)出面向應(yīng)用的 EMB 系統(tǒng)基本電子電氣架構(gòu)（electrical/electronic architecture，EEA）。系統(tǒng)相關(guān)項(xiàng)定義中已確定了系統(tǒng)基本組成單元，考慮系統(tǒng)的安全機(jī)制以及功能安全需求，可對(duì)每個(gè)功能模塊進(jìn)行優(yōu)化和調(diào)整。EMB 系統(tǒng)具體電子電氣架構(gòu)如圖所示。

（3）功能安全需求（FSR）分析

根據(jù)系統(tǒng)電子電氣架構(gòu)及安全目標(biāo)，可通過(guò)安全分析技術(shù)分析出系統(tǒng)功能安全需求（FSR），并計(jì)算其ASIL 等級(jí)。此外，考慮實(shí)際應(yīng)用中，較高安全等級(jí)的系統(tǒng)零部件制造難度及成本較高，本文按照標(biāo)準(zhǔn)中規(guī)定的汽車安全完整性等級(jí)分解規(guī)則，針對(duì)系統(tǒng)較高級(jí)別的 ASIL 等級(jí)需求進(jìn)行分解，ASIL D 的常用分解規(guī)則如下式所示。

根據(jù) ISO 26262 標(biāo)準(zhǔn)，安全方法有故障樹(shù)分析（faulttree analysis， FTA）和潛在失效模式與后果分析（failuremode and effects analysis， FMEA），由于 FTA 方法對(duì)于單點(diǎn)失效和多點(diǎn)失效都適用，而 FMEA 只適用于單點(diǎn)失效，所以本文采用 FTA 方法進(jìn)行安全驗(yàn)證。這里僅以表中的 SG06 功能安全目標(biāo)為例，建立 SG06 的故障樹(shù)模型如圖。硬件冗余、信號(hào)校驗(yàn)機(jī)制和錯(cuò)誤警告的三路并行的安全機(jī)制增加了系統(tǒng)可靠性和魯棒性，通過(guò)故障樹(shù)分析得出 EMB 系統(tǒng)的功能安全需求，以 SG01 為例，通過(guò) ASIL 分解將系統(tǒng)對(duì)某些硬件的高要求轉(zhuǎn)換為較低的要求或?qū)?duì)硬件的高要求轉(zhuǎn)換成對(duì)軟件和算法的要求，可大幅降低系統(tǒng)成本及制造難度，在應(yīng)用的可行性及系統(tǒng)成本方面具有顯著優(yōu)勢(shì)。

（4）系統(tǒng)技術(shù)安全需求（TSR）分析

根據(jù)以上 FSR 分析結(jié)果及系統(tǒng) EE 架構(gòu)，通過(guò)安全分析方法將系統(tǒng)的功能安全需求進(jìn)一步提煉，得出SG01 的技術(shù)安全需求。基于以上安全分析結(jié)果，可知該功能安全架構(gòu)設(shè)計(jì)在保障系統(tǒng)可靠性的同時(shí)，有效降低了 EMB 系統(tǒng)對(duì)硬件的安全需求，減少了 EMB 系統(tǒng)的制造難度和成本。