什么是功能安全目標(biāo)？

汽車功能安全目標(biāo)是指在汽車產(chǎn)品開發(fā)過程中，為確保車輛在各種運行條件和環(huán)境下，其相關(guān)功能能夠可靠且安全地執(zhí)行，從而避免對人員、車輛及周圍環(huán)境造成不可接受的風(fēng)險而設(shè)定的明確、可衡量的目標(biāo)。

在項目層面，汽車功能安全目標(biāo)作為高層次的安全要求，為汽車項目的具體開發(fā)工作提供了明確的方向和準(zhǔn)則，有助于確保最終產(chǎn)品的安全性和可靠性。

從整體上定義項目在安全方面要達到的主要成果和期望。

為項目的安全策略和規(guī)劃提供指導(dǎo)方向。

考慮車輛的多個系統(tǒng)和組件之間的協(xié)同安全效果。

一般要從幾個方面來衡量，比如系統(tǒng)可靠性，故障容錯能力，風(fēng)險評估與管理，安全驗證與確認(rèn)，人員及環(huán)境安全等。

項目中需要注意哪些方面？

還有需要注意的是，首先，安全目標(biāo)能夠引導(dǎo)出具體的功能安全要求。這意味著它為后續(xù)制定詳細(xì)的安全規(guī)范和標(biāo)準(zhǔn)奠定了基礎(chǔ)，指明了方向。

關(guān)于避免每一個危險事件的不合理風(fēng)險，這體現(xiàn)了安全目標(biāo)的核心任務(wù)。它要求對可能出現(xiàn)的各種危險情況進行全面的考量和評估，以確定什么樣的風(fēng)險水平是不可接受的，需要通過安全措施來加以防范。

例如，車輛在高速行駛時突然失去動力就是一種危險事件，其不合理的風(fēng)險可能導(dǎo)致嚴(yán)重的交通事故。安全目標(biāo)就需要明確如何避免這種情況的發(fā)生。

第二，強調(diào)安全目標(biāo)不在技術(shù)解決方案方面，而是在功能性方面，這突出了其關(guān)注的是車輛所應(yīng)具備的安全功能和性能。

例如，不是直接規(guī)定使用某種特定的技術(shù)來實現(xiàn)制動系統(tǒng)的安全，而是確定制動系統(tǒng)在各種條件下應(yīng)達到的制動效果和可靠性等功能性目標(biāo)。

再如，對于車輛的防撞功能，安全目標(biāo)可能是在一定速度和距離范圍內(nèi)能夠有效地避免碰撞，而不是具體指定使用哪種類型的傳感器或算法來實現(xiàn)這一目標(biāo)。

第三，在不同情景下具有相同危害的安全目標(biāo)可以合并成一個最高 ASIL的安全目標(biāo)。

例如，在車輛行駛過程中，“由于制動系統(tǒng)故障導(dǎo)致車輛無法及時制動”和“在濕滑路面上制動系統(tǒng)失效導(dǎo)致車輛無法減速”這兩個安全目標(biāo)，雖然情景有所不同，但危害都是車輛無法有效制動，可能引發(fā)碰撞事故。因此，可以將它們合并為一個關(guān)于制動系統(tǒng)可靠性的最高 ASIL 安全目標(biāo)。

通過這種合并，可以更集中地對具有相同本質(zhì)危害的情況進行重點關(guān)注和資源投入，提高安全管理的效率和效果，確保在最關(guān)鍵的方面達到最高的安全標(biāo)準(zhǔn)。但在合并時，需要謹(jǐn)慎評估和確認(rèn)不同情景下的危害程度確實具有足夠的相似性和嚴(yán)重性，以保證合并后的安全目標(biāo)能夠全面、有效地涵蓋相關(guān)風(fēng)險。

第四，在安全分析中，相關(guān)的故障成為故障樹的頂級節(jié)點，這有助于從根源上對可能導(dǎo)致安全問題的因素進行系統(tǒng)性的梳理和分析。

例如，對于車輛的電子穩(wěn)定控制系統(tǒng)，“傳感器數(shù)據(jù)嚴(yán)重錯誤”可以作為故障樹的頂級節(jié)點，進而深入探究是傳感器本身損壞、線路干擾還是軟件算法錯誤等因素導(dǎo)致了數(shù)據(jù)錯誤。

通過將相關(guān)故障設(shè)定為故障樹的頂級節(jié)點，可以清晰地展示故障的傳播路徑和因果關(guān)系，有助于識別關(guān)鍵的故障模式，為制定有效的預(yù)防和應(yīng)對措施提供依據(jù)。

舉個例子說明下？

以EPB為例，舉4個環(huán)境因素下的安全目標(biāo)來進行分析學(xué)習(xí)：

安全目標(biāo) 1：防止高速行駛時意外 EPB 激活導(dǎo)致車輛失控

在高速行駛時，意外激活電子駐車系統(tǒng)（EPB）可能導(dǎo)致極其危險的情況，如車輛突然制動、失控甚至翻車，對駕乘人員的生命安全構(gòu)成嚴(yán)重威脅。

ASIL 等級為 D，表示這是一個高風(fēng)險的情況，需要采取最嚴(yán)格的安全措施。

安全要求：

設(shè)計高速行駛監(jiān)測機制，當(dāng)車速超過一定閾值（例如 80km/h）時，完全鎖止 EPB 激活功能。這意味著系統(tǒng)會持續(xù)監(jiān)測車速，一旦超過設(shè)定的閾值，就會從硬件或軟件層面阻止 EPB 被激活的任何可能，確保在高速下 EPB 不會誤動作。

建立冗余的速度傳感器系統(tǒng)，確保速度數(shù)據(jù)的準(zhǔn)確性和可靠性。使用多個獨立的速度傳感器，并通過相互校驗和備份，來提高速度數(shù)據(jù)的準(zhǔn)確性。即使一個傳感器出現(xiàn)故障或提供錯誤數(shù)據(jù)，其他傳感器仍能保證系統(tǒng)獲得正確的車速信息，避免因速度誤判而導(dǎo)致 EPB 意外激活。

實施嚴(yán)格的軟件驗證和測試，確保在高速行駛場景下 EPB 激活邏輯的正確性。通過大量的模擬測試、實車路試等手段，對 EPB 控制軟件在高速行駛情況下的各種可能情況進行全面驗證，及時發(fā)現(xiàn)并修復(fù)可能導(dǎo)致意外激活的軟件漏洞或邏輯錯誤。

安全目標(biāo) 2：避免轉(zhuǎn)彎時意外 EPB 激活影響車輛操控

在轉(zhuǎn)彎過程中，車輛的平衡和操控性較為復(fù)雜，此時意外激活 EPB 會破壞車輛的正常行駛軌跡，影響轉(zhuǎn)向的準(zhǔn)確性和穩(wěn)定性，增加發(fā)生碰撞的風(fēng)險。

ASIL 等級為 C，風(fēng)險程度較高，需要采取較為嚴(yán)格的安全措施。

安全要求：

集成車輛轉(zhuǎn)向角度傳感器，當(dāng)轉(zhuǎn)向角度超過一定值時禁止 EPB 激活。通過實時監(jiān)測轉(zhuǎn)向角度，一旦車輛處于明顯的轉(zhuǎn)彎狀態(tài)，系統(tǒng)就會禁止 EPB 的激活操作，防止對車輛操控產(chǎn)生不利影響。

優(yōu)化 EPB 控制軟件，考慮轉(zhuǎn)彎時的車輛動態(tài)特性，降低誤激活風(fēng)險。軟件在設(shè)計時充分考慮轉(zhuǎn)彎時的各種力學(xué)和動力學(xué)因素，對 EPB 的激活條件和邏輯進行精細(xì)調(diào)整，使其適應(yīng)轉(zhuǎn)彎工況，減少誤判和誤激活的可能性。

進行模擬轉(zhuǎn)彎測試，驗證 EPB 系統(tǒng)在不同轉(zhuǎn)彎工況下的性能。在實驗室或測試場地中，設(shè)置各種不同的轉(zhuǎn)彎場景，包括不同的轉(zhuǎn)彎半徑、速度、路面條件等，對 EPB 系統(tǒng)進行全面測試，確保其在各種轉(zhuǎn)彎情況下都不會意外激活，并且能夠保持車輛的穩(wěn)定操控。

安全目標(biāo) 3：阻止持續(xù)低速時意外 EPB 激活造成駕駛不舒適

在持續(xù)低速行駛時，意外激活 EPB 可能會導(dǎo)致車輛突然停頓，給駕乘人員帶來不舒適的感受，影響駕駛體驗。

ASIL 等級為 B，風(fēng)險相對較低，但仍需要加以關(guān)注和控制。

安全要求：

設(shè)定低速行駛時 EPB 激活的更嚴(yán)格條件，例如車輛完全停止一定時間后才可激活。這樣可以避免在車輛還在緩慢移動時就誤激活 EPB，減少不必要的制動干擾。

增強 EPB 系統(tǒng)與其他車輛控制系統(tǒng)（如發(fā)動機管理系統(tǒng)）的通信，確保在低速時協(xié)調(diào)工作。通過更好的系統(tǒng)間通信，使 EPB 能夠根據(jù)車輛的整體運行狀態(tài)來決定是否激活，避免與其他系統(tǒng)的操作沖突，提高系統(tǒng)的協(xié)調(diào)性和穩(wěn)定性。

開展用戶體驗測試，評估低速時 EPB 意外激活對駕駛舒適性的影響。邀請真實用戶在各種低速場景下進行駕駛測試，收集他們的反饋和感受，以便對系統(tǒng)進行進一步的優(yōu)化和改進，最大程度地減少對駕駛舒適性的負(fù)面影響。

安全目標(biāo) 4：杜絕持續(xù)中低速和高速時意外 EPB 激活引發(fā)安全事故

在中低速和高速的各種持續(xù)行駛情況下，意外激活 EPB 都可能引發(fā)不同程度的安全事故，因此需要全面杜絕這種情況的發(fā)生。

ASIL 等級為 D，屬于高風(fēng)險情況，需要采取最嚴(yán)格的安全保障措施。

安全要求：

開發(fā)獨立的故障診斷和監(jiān)控模塊，實時監(jiān)測 EPB 系統(tǒng)的工作狀態(tài)，及時發(fā)現(xiàn)并阻止異常激活。這個模塊能夠獨立運行，不受其他系統(tǒng)故障的影響，對 EPB 系統(tǒng)的關(guān)鍵部件和信號進行實時監(jiān)測和診斷，一旦發(fā)現(xiàn)異常跡象，立即采取措施阻止 EPB 的激活。

采用加密和權(quán)限管理技術(shù)，防止外部惡意干擾導(dǎo)致 EPB 意外激活。通過對系統(tǒng)的通信和控制信號進行加密，以及設(shè)置嚴(yán)格的權(quán)限管理，防止黑客攻擊或其他外部惡意行為對 EPB 系統(tǒng)進行非法操控，確保系統(tǒng)的安全性和可靠性。

制定緊急應(yīng)對策略，當(dāng)意外激活發(fā)生時，能夠迅速解除 EPB 制動并恢復(fù)車輛正常行駛功能。預(yù)先制定詳細(xì)的應(yīng)急處理流程和技術(shù)方案，確保在意外激活發(fā)生時，能夠迅速采取有效的措施解除 EPB 制動，恢復(fù)車輛的正常行駛，最大程度地降低事故損失。

還有更多的情況大家可以一一分析下，考慮下以下情況ASIL如何確定，安全目標(biāo)如何確定等，這樣做法可以更全面的展開想象空間，還是蠻有意思的，以后在工作中碰到具體項目中可以舉一反三。

 1：防止電子駐車系統(tǒng)在惡劣天氣條件下誤操作

 2：避免電子駐車系統(tǒng)因電源故障而異常工作

 3：降低電子駐車系統(tǒng)在頻繁使用后的性能衰退風(fēng)險

 4：確保電子駐車系統(tǒng)與車輛其他制動系統(tǒng)的協(xié)調(diào)工作

 5：防止電子駐車系統(tǒng)被未經(jīng)授權(quán)的人員非法修改或操作

 6：避免電子駐車系統(tǒng)在車輛受到碰撞后誤啟動或失效

...

過程中有哪些難點？

實際項目過程中，不是理想化的，需要全面，并根據(jù)實際項目和OEM的要求等進行綜合考慮及評估，比如會碰到下面這些問題：

復(fù)雜的系統(tǒng)集成：眾多復(fù)雜且相互關(guān)聯(lián)的系統(tǒng)，如動力系統(tǒng)、制動系統(tǒng)、電子系統(tǒng)、自動駕駛系統(tǒng)等。要全面理解這些系統(tǒng)之間的交互作用，并確定它們在各種工況下的安全目標(biāo)，具有很大的挑戰(zhàn)性。例如，自動駕駛系統(tǒng)需要與傳感器、算法、執(zhí)行器以及車輛的機械部件緊密配合，任何一個環(huán)節(jié)的故障都可能影響整體的安全性。

不確定性和變化的環(huán)境：汽車運行環(huán)境多變，包括不同的路況、天氣條件、交通狀況等。預(yù)測和涵蓋所有可能的場景，并為其制定相應(yīng)的安全目標(biāo)是困難的。比如，在極端惡劣的天氣下，某些傳感器的性能可能會受到影響，從而增加了系統(tǒng)故障的風(fēng)險。

成本和性能的平衡：制定過高的安全目標(biāo)可能會導(dǎo)致成本大幅增加，而過于寬松的目標(biāo)又無法保障足夠的安全性。在成本、性能和安全性之間找到恰當(dāng)?shù)钠胶馐且粋€難點。比如，為了提高制動系統(tǒng)的可靠性，采用更昂貴的材料和復(fù)雜的設(shè)計，可能會顯著增加車輛的生產(chǎn)成本。

驗證和確認(rèn)的復(fù)雜性：確定了安全目標(biāo)后，需要通過大量的測試、模擬和實際驗證來證明這些目標(biāo)已經(jīng)實現(xiàn)。但由于汽車系統(tǒng)的復(fù)雜性和不確定性，驗證工作往往非常復(fù)雜且耗時。要全面驗證自動駕駛系統(tǒng)在各種復(fù)雜交通場景下的安全性，需要進行海量的道路測試和模擬仿真。

缺乏足夠的歷史數(shù)據(jù)和經(jīng)驗：對于一些新的技術(shù)和功能，由于缺乏足夠的歷史故障數(shù)據(jù)和使用經(jīng)驗，難以準(zhǔn)確評估風(fēng)險和制定合理的安全目標(biāo)。比如，在剛剛推出某項全新的智能駕駛輔助功能時，由于沒有大量的實際使用數(shù)據(jù)，很難確定其可能出現(xiàn)的故障模式和風(fēng)險水平。