1  簡介

ASIL分解是ISO26262道路車輛功能安全的一個非常重要的安全活動。這種方法是將冗余的安全要求分配給具有足夠獨(dú)立性的要素，以達(dá)到相同的安全要求，減少分配給相應(yīng)要素的冗余的安全要求的ASIL。

在車用領(lǐng)域的分布式開發(fā)中，整車企業(yè)通常會進(jìn)行較高層級的開發(fā)集成行為，各個供應(yīng)商承擔(dān)系統(tǒng)產(chǎn)品或者零部件的開發(fā)。因此根據(jù)分布式開發(fā)的特點(diǎn)，整車企業(yè)會對供應(yīng)商輸出對應(yīng)的系統(tǒng)和零部件需求， 要求供應(yīng)商在產(chǎn)品的開發(fā)過程滿足其提出的要求。如果在整車企業(yè)執(zhí)行了分解的行為，那么在對供應(yīng)商 提出的需求中必須含有分解之后的相關(guān)指標(biāo)的具體要求，否則很容易出現(xiàn)無法滿足需求的情況。

例如， 如果在某個系統(tǒng)的開發(fā)中，整車廠要求對于系統(tǒng)總的 指標(biāo)-系統(tǒng)總質(zhì)量不允許超過100kg.如果系統(tǒng)由A， B， C三家共同開發(fā)，后由整車企業(yè)進(jìn)行產(chǎn)品集成。如果沒有針對A或B或C的單獨(dú)細(xì)化的要求，供應(yīng)商如果各自按照小于100kg為限值，那最終集成產(chǎn)品很可 能超過總成的總質(zhì)量要求。因此，在進(jìn)行了ASIL分解之后，如果承擔(dān)分解之后需求的隸屬于不同的開發(fā)組織，有必要對各自提出細(xì)化的分解之后的要求。

ISO26262在第9章ASIL分解部分的需求和推薦 中明確指出，對于硬件架構(gòu)指標(biāo)和違反安全目標(biāo)的硬件隨機(jī)度量指標(biāo)，不允許進(jìn)行分解。本文要進(jìn)行分析的就是違反安全目標(biāo)的硬件隨機(jī)失效度量指標(biāo)（ProbabilisticMetricforrandomHardwareFailures以后 簡寫為PMHF）對分解后系統(tǒng)的分配問題。

上文中所謂的不允許在ASIL分解過程中對PM? HF進(jìn)行分解的含義通過示例說明如下：原有需求的屬性是ASILD，分解之后的兩個需求的屬性均為：ASILB(D)和ASILB(D)。

從而根據(jù)分解后得到的ASILB (D)的需求，根據(jù)下表1中的ASIL級別及對應(yīng)的PMHF 目標(biāo)值，作為其分解之后所需要達(dá)到的目標(biāo)值。



以上描述的這種根據(jù)分解之后的ASIL來定義其PMHF目標(biāo)值的行為是被ISO26262所禁止的。在此，ISO 26262中并沒有定義ASILA和QM的PMHF目標(biāo)，出于經(jīng)驗，針對ASILA和QM（區(qū)別于ASIL，表達(dá)常規(guī)質(zhì)量管理的含義）都對其PMHF定義為比ASILB的目標(biāo)值低一個量級.ISO26262對于ASILB的需求的PMHF目標(biāo)僅為一般推薦并非強(qiáng)制推薦，因此可以按照一般推薦值來做為其目標(biāo)值。

但是如果我們在需求分解的過程中進(jìn)行了 PMHF的分解，結(jié)果會違反初始或分解之前的PMHF 指標(biāo)嗎？

本文將依據(jù)以下思路來展開分析：

a)ASIL分解根據(jù)分解對象的性質(zhì)，可以分成如下 兩種：功能和功能的分解或功能和對應(yīng)安全機(jī)制的分解。本文只討論功能和功能的分解而不討論功能和安全機(jī)制的分解。

b)根據(jù)分解對象ASIL不同，分解的結(jié)果也會不同。由于PMHF在ISO26262中僅僅對ASILC和 ASILD強(qiáng)制要求，因此在以下章節(jié)，會僅針對分解前 需求屬性為ASILC和ASILD的情況對應(yīng)分析。因此下文中針對不同的分解方式進(jìn)行分析，ASILC和 ASILD的所有分解方式如表2所述5種情況。



c)根據(jù)被分解需求,對于安全目標(biāo)覆蓋的范圍不同，會呈現(xiàn)不同的分解結(jié)果。比如需求的分解既可以是針對整條安全目標(biāo)所需功能的分解，也可以是其中一部分。舉例說明如下，如果整個安全目標(biāo)是當(dāng)電池出現(xiàn)過壓的時候，高壓電路必須斷開。那么針對整個安全目標(biāo)的安全功能-過壓斷開可以分解成足夠獨(dú)立的兩條功能：一個功能路徑持續(xù)檢測電壓，判斷是否過壓，一旦過壓進(jìn)行切斷處理。另外一條與之獨(dú)立的功能路徑也持續(xù)檢測電壓，判斷是否過壓，一旦過壓進(jìn)行切斷處理。此外，需求分解也可以是檢測電壓和判斷過壓都依照原有的ASIL開發(fā)，而切斷部分通過兩個路徑的冗余需求進(jìn)行需求分解。此處，第二種分解方式就是部分分解--只針對輸出部位進(jìn)行分解，或者說對于整個安全目標(biāo)實現(xiàn)進(jìn)行局部需求分解。

因此，在下面的分析過程中會對這兩種（全部和部分）覆蓋范圍進(jìn)行區(qū)分分析。以下的分析過程會做如下分析假定：

1）假定分解之后的冗余路徑的獨(dú)立性可以被保證，即分解之后的兩個部分不存在共因失效和級聯(lián)失效。

2）假定分解之前的系統(tǒng)和分解之后的子系統(tǒng)系 統(tǒng)工作的所有工時均為8000h。

3）假定失效概率的計算中所有的λ×T<<1，那么就可以直接使用失效概率P=λ×T。

此處λ是失效率， T是系統(tǒng)工作的總時間。分解之前的最大失效可能性根據(jù)以上公式計算得到。分解之后的冗余路徑的最大失效可能性根據(jù)概率布爾運(yùn) 算法則得到。

2 完整安全功能的需求分解

首先，針對完整安全功能的需求分解情況。因為分解是針對的是整個安全目標(biāo)，因此分解前最大的失效率（即PMHF）為完全引用自表1.



在表3中，第3列為根據(jù)分解前需求的ASIL級別 定義出的PMHF的目標(biāo)值。第5列為根據(jù)PMHF目標(biāo)值和時間計算得到的失效概率（P=λ×T）。第6列為分 解之后根據(jù)ASIL級別定義出的PMHF目標(biāo)值。第8列為分解之后各自路徑的失效概率值。第9列為基于 兩個獨(dú)立路徑的失效概率值計算得到的基于布爾運(yùn)算的總體失效概率值。這樣，只要保證分解之后計算得到的總體失效概率值（第9列）小于等于分解之前的 失效概率值（第5列），即可滿足原PMHF要求。

從以上結(jié)果可以看出，分解之后的最大失效可能性小于分解之前的PMHF計算出的最大失效可能性。因此在這種情況下即使在ASIL分解過程中執(zhí)行PMHF分解，依然可以達(dá)到分解之前對于PMHF要求的結(jié)果。

3 局部安全功能的需求分解

其次，針對不完整安全功能的需求分解情況。因為分解是針對的部分的安全功能，因此分解前最大的失效率為原來的失效率可能性的1/3。此處1/3并沒 有特殊含義，只是考慮如果不能全部繼承來與安全目標(biāo)的PMHF的目標(biāo)值而得到的一個小于原目標(biāo)值的某一個值。



從上表4結(jié)果可以看出，分解之后的最大失效可能性小于分解之前的PMHF計算出的最大失效可能性。因此即使以上情況下的ASIL分解過程中執(zhí)行 PMHF分解，依然可以達(dá)到分解之前對于PMHF要求的結(jié)果。
但是并不是所有情況都可以得到以上結(jié)論。下表中調(diào)整原有的最大失效率為安全目標(biāo)PMHF目標(biāo) 值得1/130的分析計算結(jié)果。



從上表5結(jié)果可以看出，分解之后的最大失效可能性大于分解之前的PMHF計算出的最大失效可能性。因此在這樣針對一部分安全功能需求分解過程中執(zhí)行PMHF分解，并不能一定可以達(dá)到分解之前對于PMHF要求的結(jié)果。

分解之前的最大PMHF目標(biāo)值在原有基礎(chǔ)上縮小130倍，那如果針對后面的PMHF目標(biāo)也同樣縮小130倍，結(jié)果如何？表6針對這種情況進(jìn)行了分析計算。

從表6結(jié)果可以看出，在這樣針對一部分安全功能ASIL分解過程中執(zhí)行PMHF分解，如果分解后的PMHF目標(biāo)即使縮小到一定程度，如果對應(yīng)的分解之后的PMHF對應(yīng)縮小同樣的倍數(shù)，仍然可以達(dá)到分解之前對于PMHF要求的結(jié)果。

對于以上兩種情況，當(dāng)分解后路徑的工作時間偏大時，也可以導(dǎo)致分解之后的總體最大失效可能性值大于分解之前的最大失效可能性值，從而不滿足PM? HF的目標(biāo)要求。但是這種情況在常規(guī)車用控制器開發(fā)中并不普遍，因為對于冗余路徑的時間要求并沒有那么大。

因此，表3、表4、表5和表6的計算分析結(jié)果表明，在保證足夠獨(dú)立的分解情況下，不論進(jìn)行整個安全目標(biāo)的PMHF的分解，還是部分PMHF目標(biāo)值得分解，只要保證分解之后的失效概率值小于等于分解之前的失效概率，進(jìn)行PMH分解并不會違反原有的要求。此處，雖然本文撰中多次使用PMHF的分解字樣，實際上所表達(dá)的含義是在進(jìn)行了ASIL分解之 后對于子系統(tǒng)的PMHF值的定義或者分配。從以上計算可以看出，我們進(jìn)行比較的一直是失效概率值（P，P=λ×T），而非失效率值（PMHF/λ）。

4 結(jié)束語

ASIL分解是工程人員對于需求分解的通俗稱呼， 其分解過程的關(guān)注重點(diǎn)并不分解硬件隨機(jī)失效的應(yīng)對舉措。而硬件隨機(jī)失效在需求分解中所做的是根據(jù)分解關(guān)系把分解前總體失效概率指標(biāo)分配給分解后的功能元素。
基于上述表格的計算分析，那么不進(jìn)行分解的理由至少可以認(rèn)為含有如下兩項。

（1）上表結(jié)果表明，依據(jù)同樣的倍率進(jìn)行PMHF 分解后，得到的失效的可能性更低，這樣就很可能造成過設(shè)計。從這點(diǎn)可以認(rèn)為ISO26262在避免過設(shè)計，以規(guī)避沒必要的成本增加。此處，所謂的過設(shè)計是指如果在可以滿足系統(tǒng)的安全或者性能指標(biāo)的基礎(chǔ)上，額外所做的設(shè)計內(nèi)容。如果按照上文的（更嚴(yán)格的）PMHF指標(biāo)要求分配給供應(yīng)商，實際上分解之后的PMHF即使再大一些也可以滿足上層的需求，而在底層軟硬件設(shè)計中會加大額外的不必要的開發(fā)成本。

（2）避免進(jìn)行分配之后（倍率縮小后）較小的PM?HF在分解過程中發(fā)生系統(tǒng)性失效，沒有有效的倍率調(diào)整，造成最終能無法到達(dá)分解前PMHF的結(jié)果。