*本文翻譯自Juan R.Pimental所著Safety of the Intended Functionality (SOTIF) Book 3 - Automated Vehicle Safety Series，中文版權(quán)歸軒轅實驗室所有

2.3 故障模型和影響分析方法
失效模式和影響分析(FEMA)方法最初是為了分析軍事系統(tǒng)的故障而開發(fā)的，它使用結(jié)構(gòu)化的、系統(tǒng)的電子表格來記錄設(shè)計、制造或裝配過程、產(chǎn)品或服務(wù)中所有可能的故障、風(fēng)險評估和管理策略。
典型的FMEA電子表格捕獲所有系統(tǒng)/組件信息，包括項目、功能需求、故障模式和故障原因。每個可能的失敗原因都有相關(guān)的風(fēng)險，這些風(fēng)險來自于它的發(fā)生和嚴重程度。在此之后，第一個重點是設(shè)計行動，即通過失敗的原因?qū)⑦@些風(fēng)險降低到盡可能低的水平。在考慮了設(shè)計動作之后，部件應(yīng)該準備好通過物理測試或基本原理進行驗證，以證明其健壯性和滿足安全性能要求的能力。在驗證、設(shè)計評審、客戶評審/測試過程中可能會出現(xiàn)問題。這些問題或故障需要反饋到FMEA中，以確保額外的風(fēng)險被添加到關(guān)注的部分，以證明我們已經(jīng)減輕了這些故障并適合繼續(xù)驗證過程。下面給出了FMEA方法的實例電子表格，F(xiàn)MEA方法具有直觀清晰、可行性高的優(yōu)點，得到了航空航天和汽車行業(yè)的進一步發(fā)展和采用。

2.4 目標結(jié)構(gòu)表示法
目標結(jié)構(gòu)表示法(GSN)是T. P. Kelly在Toulmin的論證模型的啟發(fā)下提出的一種表示論證的圖形表示法。GSN方法采用了一種簡單的論證結(jié)構(gòu)表示法，該方法已被證明能夠有效地提供客觀的安全證據(jù)，因此被廣泛地用于開發(fā)用于工業(yè)用途和研究目的的安全案例。最近，GSN方法已被納入ISO26262，以滿足關(guān)鍵的安全保證汽車系統(tǒng)，如啟動/停止系統(tǒng)、EPS系統(tǒng)。
通常,GSN的方法由一群象征符號與方向箭頭代表單個元素顯式(安全目標、解決方案、上下文和策略)的觀點和這些元素之間的關(guān)系,例如矩形框的安全目標,橢圓框的假設(shè)或理由,圓形框的解決方案,平行四邊形框的參數(shù),圓方框的上下文(附加信息)。下面給出一個使用GSN構(gòu)造的安全參數(shù)示例。
如圖6所示，目標系統(tǒng)的安全目標需要通過識別可能存在的危害，并通過充分和適當?shù)淖C明來減輕危害并實現(xiàn)。由于系統(tǒng)的復(fù)雜性，頂層安全目標通常需要分解為子層目標，這種分解可能會一直持續(xù)到子層的聲明和證據(jù)被確定為止。
FMEA和GSN都被廣泛應(yīng)用于汽車行業(yè)的風(fēng)險評估，并被證明是有效和可行的方法。
以下章節(jié)詳細描述了采用FMEA和GSN方法結(jié)合ISO26262道路車輛功能安全標準構(gòu)建的INISHGT自動駕駛汽車的安全案例。此外，這些方法的績效評估為一個有效的、可防御的安全案例提供了指導(dǎo)。

圖6 一個使用GSN表示的安全參數(shù)示例

2.5 安全案例的發(fā)展
在目前的工作中，安全案例調(diào)查和記錄了所有與自動駕駛車輛相關(guān)的危險和風(fēng)險，包括機械系統(tǒng)、電氣硬件、應(yīng)用和嵌入式軟件、通信、乘客的健康和安全、道路使用者、行人、風(fēng)險評估、工作安全系統(tǒng)、保險和責(zé)任。
自動駕駛車輛的有效安全個案包括四個互相依存的主要部分，即:
•為確保車輛安全必須解決的安全目標。
•從車輛系統(tǒng)的研究、分析和測試中獲得的安全目標證據(jù)。
•說明基本原理如何指示符合安全目標的論證。
•上下文確定論點的基礎(chǔ)。
考慮到INSIGHT車輛的原型性質(zhì)，生成了一組車輛調(diào)試測試的安全目標，目標是實現(xiàn)可接受的安全。根據(jù)安全工作的目標，選擇安全過程原理論證的原則為:
1. 危險的一代。識別車輛的操作情況和與安全目標相關(guān)的可能的危險事件。
2. 風(fēng)險評估。根據(jù)危害發(fā)生的頻率、危害的嚴重程度和危害的可控性對危害進行分類，并根據(jù)SAE J2980標準確定系統(tǒng)的安全完整性等級(ASIL)。
3. 風(fēng)險管理。根據(jù)ASIL要求，通過適當?shù)南到y(tǒng)設(shè)計組合來滿足安全要求。
ASIL應(yīng)根據(jù)其嚴重級別(S1-S3)、暴露概率(E1-E4)和可控性級別(C1-C3)確定（如圖7所示）。數(shù)字1代表最低水平，4代表最高水平。嚴重性、暴露和可控性的分類載于SAEJ2980。

圖7 依據(jù)ISO 26262：2011確定ASIL
可以看到，有四個ASIL被去除:ASILA, ASIL B, ASIL C和ASIL D，其中A代表最不嚴格的等級，D代表最嚴格的等級。質(zhì)量管理表明質(zhì)量管理體系能夠很好地開發(fā)元素，以實現(xiàn)分配給預(yù)期功能的安全需求?；蛘咚梢灾С诸A(yù)期功能和安全機制之間的獨立性的基本原理。
當系統(tǒng)具有較高的ASIL且受到約束時，可以通過多個冗余子系統(tǒng)協(xié)同工作來分解系統(tǒng)的安全需求，每個子系統(tǒng)具有較低的ASIL。這個過程就是所謂的ASIL分解，它能使最佳的安全策略得到有效的開發(fā)。

2.6 案例研究
INSIGHT自動駕駛汽車有兩個鋰離子電池單元安裝在后面的電池托盤上。蓄電池和充電系統(tǒng)是車載電源的重要組成部分。這些電池集成了車載電池管理系統(tǒng)(BMS)。BMS具有測量電池電壓和溫度、執(zhí)行電池平衡功能和監(jiān)測電池故障狀態(tài)等功能，通過CAN將這些信息提供給外部系統(tǒng)。由于鋰離子電池含有可吸收的電解質(zhì)，當電池過熱或短路時可能會引起火災(zāi)/爆炸和其他危險。然后，安全案例必須包括對電池和充電系統(tǒng)的風(fēng)險評估。本節(jié)以電池與充電系統(tǒng)為案例研究，檢驗基于產(chǎn)品的安全合理性論證。
已查明與電池和充電系統(tǒng)有關(guān)的潛在故障行為和潛在危險。然后分別對車輛危害的嚴重程度、可控性、暴露概率和ASIL等級進行分類。電池和充電系統(tǒng)的故障顯然是不可取的。然而，系統(tǒng)設(shè)計特性將與此類故障相關(guān)的風(fēng)險降低到可接受的水平。這個有效的論點(策略)是由符合ISO 26262的證據(jù)支持的。
可以清楚地看到，F(xiàn)MEA更適合記錄證據(jù)和上下文。但它似乎很難有效地傳達所有必要的信息。而GSN更適合于表示一個決策過程，特別是對一個涉及多個風(fēng)險的復(fù)雜系統(tǒng)進行安全目標分解。然而，對于一個復(fù)雜的系統(tǒng)，GSN必須包含許多子目標，這些子目標可能會導(dǎo)致GSN結(jié)構(gòu)復(fù)雜，難以遵循。

3 總結(jié)

在開發(fā)INSIGHT自動駕駛汽車的過程中，安全性一直是首要考慮的問題。目前的工作已經(jīng)開發(fā)了一個安全案例以提供保證，任何合理的剩余風(fēng)險已經(jīng)避免了在車輛調(diào)試測試。本安全案例符合ISO26262:2011道路車輛功能安全標準。安全評估的原則結(jié)論是，INSIGHT的設(shè)計理念和操作理念沒有任何特征表明INSIGHT系統(tǒng)的安全水平是不可接受的。因此，INSIGHT車輛可以接受地安全開始操作。

對系統(tǒng)安全性的評估采用了多種方法，包括針對FMEA、GSN和SAE指南的評估，以及量化的風(fēng)險評估。與所有已確定的危害相關(guān)的風(fēng)險被認為是可容忍或可接受的風(fēng)險類別。以INSIGHT汽車電池與充電系統(tǒng)為例，論證了安全目標合理性論證的典型結(jié)構(gòu)。分析結(jié)果表明，所采用的方法是合理的。

通過對FMEA和GSN方法的效果考察，發(fā)現(xiàn)FMEA更適合對證據(jù)和上下文進行記錄。但它似乎很難有效地傳達所有必要的信息。而GSN更適合于表示一個決策過程，特別是對一個涉及多個風(fēng)險的復(fù)雜系統(tǒng)進行安全目標分解。因此，提出了一種FMEA與GSN相結(jié)合的方法，以高效、有效地構(gòu)建一個有效的、可防御的安全案例。

在未來的工作中，我們希望繼續(xù)我們的安全案例，探索上述方法，以解決CAVs的獨特難點，如導(dǎo)航系統(tǒng)和決策系統(tǒng)，這些還沒有得到充分的討論。