汽车功能安全安全目标案列分析

什么是功能安全目标？

汽车功能安全目标是指在汽车产品开发过程中，为确保车辆在各种运行条件和环境下，其相关功能能够可靠且安全地执行，从而避免对人员、车辆及周围环境造成不可接受的风险而设定的明确、可衡量的目标。

在项目层面，汽车功能安全目标作为高层次的安全要求，为汽车项目的具体开发工作提供了明确的方向和准则，有助于确保最终产品的安全性和可靠性。

从整体上定义项目在安全方面要达到的主要成果和期望。

为项目的安全策略和规划提供指导方向。

考虑车辆的多个系统和组件之间的协同安全效果。

一般要从几个方面来衡量，比如系统可靠性，故障容错能力，风险评估与管理，安全验证与确认，人员及环境安全等。

项目中需要注意哪些方面？

还有需要注意的是，首先，安全目标能够引导出具体的功能安全要求。这意味着它为后续制定详细的安全规范和标准奠定了基础，指明了方向。

关于避免每一个危险事件的不合理风险，这体现了安全目标的核心任务。它要求对可能出现的各种危险情况进行全面的考量和评估，以确定什么样的风险水平是不可接受的，需要通过安全措施来加以防范。

例如，车辆在高速行驶时突然失去动力就是一种危险事件，其不合理的风险可能导致严重的交通事故。安全目标就需要明确如何避免这种情况的发生。

第二，强调安全目标不在技术解决方案方面，而是在功能性方面，这突出了其关注的是车辆所应具备的安全功能和性能。

例如，不是直接规定使用某种特定的技术来实现制动系统的安全，而是确定制动系统在各种条件下应达到的制动效果和可靠性等功能性目标。

再如，对于车辆的防撞功能，安全目标可能是在一定速度和距离范围内能够有效地避免碰撞，而不是具体指定使用哪种类型的传感器或算法来实现这一目标。

第三，在不同情景下具有相同危害的安全目标可以合并成一个最高 ASIL的安全目标。

例如，在车辆行驶过程中，“由于制动系统故障导致车辆无法及时制动”和“在湿滑路面上制动系统失效导致车辆无法减速”这两个安全目标，虽然情景有所不同，但危害都是车辆无法有效制动，可能引发碰撞事故。因此，可以将它们合并为一个关于制动系统可靠性的最高 ASIL 安全目标。

通过这种合并，可以更集中地对具有相同本质危害的情况进行重点关注和资源投入，提高安全管理的效率和效果，确保在最关键的方面达到最高的安全标准。但在合并时，需要谨慎评估和确认不同情景下的危害程度确实具有足够的相似性和严重性，以保证合并后的安全目标能够全面、有效地涵盖相关风险。

第四，在安全分析中，相关的故障成为故障树的顶级节点，这有助于从根源上对可能导致安全问题的因素进行系统性的梳理和分析。

例如，对于车辆的电子稳定控制系统，“传感器数据严重错误”可以作为故障树的顶级节点，进而深入探究是传感器本身损坏、线路干扰还是软件算法错误等因素导致了数据错误。

通过将相关故障设定为故障树的顶级节点，可以清晰地展示故障的传播路径和因果关系，有助于识别关键的故障模式，为制定有效的预防和应对措施提供依据。

举个例子说明下？

以EPB为例，举4个环境因素下的安全目标来进行分析学习：

安全目标 1：防止高速行驶时意外 EPB 激活导致车辆失控

在高速行驶时，意外激活电子驻车系统（EPB）可能导致极其危险的情况，如车辆突然制动、失控甚至翻车，对驾乘人员的生命安全构成严重威胁。

ASIL 等级为 D，表示这是一个高风险的情况，需要采取最严格的安全措施。

安全要求：

设计高速行驶监测机制，当车速超过一定阈值（例如 80km/h）时，完全锁止 EPB 激活功能。这意味着系统会持续监测车速，一旦超过设定的阈值，就会从硬件或软件层面阻止 EPB 被激活的任何可能，确保在高速下 EPB 不会误动作。

建立冗余的速度传感器系统，确保速度数据的准确性和可靠性。使用多个独立的速度传感器，并通过相互校验和备份，来提高速度数据的准确性。即使一个传感器出现故障或提供错误数据，其他传感器仍能保证系统获得正确的车速信息，避免因速度误判而导致 EPB 意外激活。

实施严格的软件验证和测试，确保在高速行驶场景下 EPB 激活逻辑的正确性。通过大量的模拟测试、实车路试等手段，对 EPB 控制软件在高速行驶情况下的各种可能情况进行全面验证，及时发现并修复可能导致意外激活的软件漏洞或逻辑错误。

安全目标 2：避免转弯时意外 EPB 激活影响车辆操控

在转弯过程中，车辆的平衡和操控性较为复杂，此时意外激活 EPB 会破坏车辆的正常行驶轨迹，影响转向的准确性和稳定性，增加发生碰撞的风险。

ASIL 等级为 C，风险程度较高，需要采取较为严格的安全措施。

安全要求：

集成车辆转向角度传感器，当转向角度超过一定值时禁止 EPB 激活。通过实时监测转向角度，一旦车辆处于明显的转弯状态，系统就会禁止 EPB 的激活操作，防止对车辆操控产生不利影响。

优化 EPB 控制软件，考虑转弯时的车辆动态特性，降低误激活风险。软件在设计时充分考虑转弯时的各种力学和动力学因素，对 EPB 的激活条件和逻辑进行精细调整，使其适应转弯工况，减少误判和误激活的可能性。

进行模拟转弯测试，验证 EPB 系统在不同转弯工况下的性能。在实验室或测试场地中，设置各种不同的转弯场景，包括不同的转弯半径、速度、路面条件等，对 EPB 系统进行全面测试，确保其在各种转弯情况下都不会意外激活，并且能够保持车辆的稳定操控。

安全目标 3：阻止持续低速时意外 EPB 激活造成驾驶不舒适

在持续低速行驶时，意外激活 EPB 可能会导致车辆突然停顿，给驾乘人员带来不舒适的感受，影响驾驶体验。

ASIL 等级为 B，风险相对较低，但仍需要加以关注和控制。

安全要求：

设定低速行驶时 EPB 激活的更严格条件，例如车辆完全停止一定时间后才可激活。这样可以避免在车辆还在缓慢移动时就误激活 EPB，减少不必要的制动干扰。

增强 EPB 系统与其他车辆控制系统（如发动机管理系统）的通信，确保在低速时协调工作。通过更好的系统间通信，使 EPB 能够根据车辆的整体运行状态来决定是否激活，避免与其他系统的操作冲突，提高系统的协调性和稳定性。

开展用户体验测试，评估低速时 EPB 意外激活对驾驶舒适性的影响。邀请真实用户在各种低速场景下进行驾驶测试，收集他们的反馈和感受，以便对系统进行进一步的优化和改进，最大程度地减少对驾驶舒适性的负面影响。

安全目标 4：杜绝持续中低速和高速时意外 EPB 激活引发安全事故

在中低速和高速的各种持续行驶情况下，意外激活 EPB 都可能引发不同程度的安全事故，因此需要全面杜绝这种情况的发生。

ASIL 等级为 D，属于高风险情况，需要采取最严格的安全保障措施。

安全要求：

开发独立的故障诊断和监控模块，实时监测 EPB 系统的工作状态，及时发现并阻止异常激活。这个模块能够独立运行，不受其他系统故障的影响，对 EPB 系统的关键部件和信号进行实时监测和诊断，一旦发现异常迹象，立即采取措施阻止 EPB 的激活。

采用加密和权限管理技术，防止外部恶意干扰导致 EPB 意外激活。通过对系统的通信和控制信号进行加密，以及设置严格的权限管理，防止黑客攻击或其他外部恶意行为对 EPB 系统进行非法操控，确保系统的安全性和可靠性。

制定紧急应对策略，当意外激活发生时，能够迅速解除 EPB 制动并恢复车辆正常行驶功能。预先制定详细的应急处理流程和技术方案，确保在意外激活发生时，能够迅速采取有效的措施解除 EPB 制动，恢复车辆的正常行驶，最大程度地降低事故损失。

还有更多的情况大家可以一一分析下，考虑下以下情况ASIL如何确定，安全目标如何确定等，这样做法可以更全面的展开想象空间，还是蛮有意思的，以后在工作中碰到具体项目中可以举一反三。

 1：防止电子驻车系统在恶劣天气条件下误操作

 2：避免电子驻车系统因电源故障而异常工作

 3：降低电子驻车系统在频繁使用后的性能衰退风险

 4：确保电子驻车系统与车辆其他制动系统的协调工作

 5：防止电子驻车系统被未经授权的人员非法修改或操作

 6：避免电子驻车系统在车辆受到碰撞后误启动或失效

...

过程中有哪些难点？

实际项目过程中，不是理想化的，需要全面，并根据实际项目和OEM的要求等进行综合考虑及评估，比如会碰到下面这些问题：

复杂的系统集成：众多复杂且相互关联的系统，如动力系统、制动系统、电子系统、自动驾驶系统等。要全面理解这些系统之间的交互作用，并确定它们在各种工况下的安全目标，具有很大的挑战性。例如，自动驾驶系统需要与传感器、算法、执行器以及车辆的机械部件紧密配合，任何一个环节的故障都可能影响整体的安全性。

不确定性和变化的环境：汽车运行环境多变，包括不同的路况、天气条件、交通状况等。预测和涵盖所有可能的场景，并为其制定相应的安全目标是困难的。比如，在极端恶劣的天气下，某些传感器的性能可能会受到影响，从而增加了系统故障的风险。

成本和性能的平衡：制定过高的安全目标可能会导致成本大幅增加，而过于宽松的目标又无法保障足够的安全性。在成本、性能和安全性之间找到恰当的平衡是一个难点。比如，为了提高制动系统的可靠性，采用更昂贵的材料和复杂的设计，可能会显著增加车辆的生产成本。

验证和确认的复杂性：确定了安全目标后，需要通过大量的测试、模拟和实际验证来证明这些目标已经实现。但由于汽车系统的复杂性和不确定性，验证工作往往非常复杂且耗时。要全面验证自动驾驶系统在各种复杂交通场景下的安全性，需要进行海量的道路测试和模拟仿真。

缺乏足够的历史数据和经验：对于一些新的技术和功能，由于缺乏足够的历史故障数据和使用经验，难以准确评估风险和制定合理的安全目标。比如，在刚刚推出某项全新的智能驾驶辅助功能时，由于没有大量的实际使用数据，很难确定其可能出现的故障模式和风险水平。