什么是功能安全目標(biāo)？

汽車功能安全目標(biāo)是指在汽車產(chǎn)品開發(fā)過(guò)程中，為確保車輛在各種運(yùn)行條件和環(huán)境下，其相關(guān)功能能夠可靠且安全地執(zhí)行，從而避免對(duì)人員、車輛及周圍環(huán)境造成不可接受的風(fēng)險(xiǎn)而設(shè)定的明確、可衡量的目標(biāo)。

在項(xiàng)目層面，汽車功能安全目標(biāo)作為高層次的安全要求，為汽車項(xiàng)目的具體開發(fā)工作提供了明確的方向和準(zhǔn)則，有助于確保最終產(chǎn)品的安全性和可靠性。

從整體上定義項(xiàng)目在安全方面要達(dá)到的主要成果和期望。

為項(xiàng)目的安全策略和規(guī)劃提供指導(dǎo)方向。

考慮車輛的多個(gè)系統(tǒng)和組件之間的協(xié)同安全效果。

一般要從幾個(gè)方面來(lái)衡量，比如系統(tǒng)可靠性，故障容錯(cuò)能力，風(fēng)險(xiǎn)評(píng)估與管理，安全驗(yàn)證與確認(rèn)，人員及環(huán)境安全等。

項(xiàng)目中需要注意哪些方面？

還有需要注意的是，首先，安全目標(biāo)能夠引導(dǎo)出具體的功能安全要求。這意味著它為后續(xù)制定詳細(xì)的安全規(guī)范和標(biāo)準(zhǔn)奠定了基礎(chǔ)，指明了方向。

關(guān)于避免每一個(gè)危險(xiǎn)事件的不合理風(fēng)險(xiǎn)，這體現(xiàn)了安全目標(biāo)的核心任務(wù)。它要求對(duì)可能出現(xiàn)的各種危險(xiǎn)情況進(jìn)行全面的考量和評(píng)估，以確定什么樣的風(fēng)險(xiǎn)水平是不可接受的，需要通過(guò)安全措施來(lái)加以防范。

例如，車輛在高速行駛時(shí)突然失去動(dòng)力就是一種危險(xiǎn)事件，其不合理的風(fēng)險(xiǎn)可能導(dǎo)致嚴(yán)重的交通事故。安全目標(biāo)就需要明確如何避免這種情況的發(fā)生。

第二，強(qiáng)調(diào)安全目標(biāo)不在技術(shù)解決方案方面，而是在功能性方面，這突出了其關(guān)注的是車輛所應(yīng)具備的安全功能和性能。

例如，不是直接規(guī)定使用某種特定的技術(shù)來(lái)實(shí)現(xiàn)制動(dòng)系統(tǒng)的安全，而是確定制動(dòng)系統(tǒng)在各種條件下應(yīng)達(dá)到的制動(dòng)效果和可靠性等功能性目標(biāo)。

再如，對(duì)于車輛的防撞功能，安全目標(biāo)可能是在一定速度和距離范圍內(nèi)能夠有效地避免碰撞，而不是具體指定使用哪種類型的傳感器或算法來(lái)實(shí)現(xiàn)這一目標(biāo)。

第三，在不同情景下具有相同危害的安全目標(biāo)可以合并成一個(gè)最高 ASIL的安全目標(biāo)。

例如，在車輛行駛過(guò)程中，“由于制動(dòng)系統(tǒng)故障導(dǎo)致車輛無(wú)法及時(shí)制動(dòng)”和“在濕滑路面上制動(dòng)系統(tǒng)失效導(dǎo)致車輛無(wú)法減速”這兩個(gè)安全目標(biāo)，雖然情景有所不同，但危害都是車輛無(wú)法有效制動(dòng)，可能引發(fā)碰撞事故。因此，可以將它們合并為一個(gè)關(guān)于制動(dòng)系統(tǒng)可靠性的最高 ASIL 安全目標(biāo)。

通過(guò)這種合并，可以更集中地對(duì)具有相同本質(zhì)危害的情況進(jìn)行重點(diǎn)關(guān)注和資源投入，提高安全管理的效率和效果，確保在最關(guān)鍵的方面達(dá)到最高的安全標(biāo)準(zhǔn)。但在合并時(shí)，需要謹(jǐn)慎評(píng)估和確認(rèn)不同情景下的危害程度確實(shí)具有足夠的相似性和嚴(yán)重性，以保證合并后的安全目標(biāo)能夠全面、有效地涵蓋相關(guān)風(fēng)險(xiǎn)。

第四，在安全分析中，相關(guān)的故障成為故障樹的頂級(jí)節(jié)點(diǎn)，這有助于從根源上對(duì)可能導(dǎo)致安全問(wèn)題的因素進(jìn)行系統(tǒng)性的梳理和分析。

例如，對(duì)于車輛的電子穩(wěn)定控制系統(tǒng)，“傳感器數(shù)據(jù)嚴(yán)重錯(cuò)誤”可以作為故障樹的頂級(jí)節(jié)點(diǎn)，進(jìn)而深入探究是傳感器本身?yè)p壞、線路干擾還是軟件算法錯(cuò)誤等因素導(dǎo)致了數(shù)據(jù)錯(cuò)誤。

通過(guò)將相關(guān)故障設(shè)定為故障樹的頂級(jí)節(jié)點(diǎn)，可以清晰地展示故障的傳播路徑和因果關(guān)系，有助于識(shí)別關(guān)鍵的故障模式，為制定有效的預(yù)防和應(yīng)對(duì)措施提供依據(jù)。

舉個(gè)例子說(shuō)明下？

以EPB為例，舉4個(gè)環(huán)境因素下的安全目標(biāo)來(lái)進(jìn)行分析學(xué)習(xí)：

安全目標(biāo) 1：防止高速行駛時(shí)意外 EPB 激活導(dǎo)致車輛失控

在高速行駛時(shí)，意外激活電子駐車系統(tǒng)（EPB）可能導(dǎo)致極其危險(xiǎn)的情況，如車輛突然制動(dòng)、失控甚至翻車，對(duì)駕乘人員的生命安全構(gòu)成嚴(yán)重威脅。

ASIL 等級(jí)為 D，表示這是一個(gè)高風(fēng)險(xiǎn)的情況，需要采取最嚴(yán)格的安全措施。

安全要求：

設(shè)計(jì)高速行駛監(jiān)測(cè)機(jī)制，當(dāng)車速超過(guò)一定閾值（例如 80km/h）時(shí)，完全鎖止 EPB 激活功能。這意味著系統(tǒng)會(huì)持續(xù)監(jiān)測(cè)車速，一旦超過(guò)設(shè)定的閾值，就會(huì)從硬件或軟件層面阻止 EPB 被激活的任何可能，確保在高速下 EPB 不會(huì)誤動(dòng)作。

建立冗余的速度傳感器系統(tǒng)，確保速度數(shù)據(jù)的準(zhǔn)確性和可靠性。使用多個(gè)獨(dú)立的速度傳感器，并通過(guò)相互校驗(yàn)和備份，來(lái)提高速度數(shù)據(jù)的準(zhǔn)確性。即使一個(gè)傳感器出現(xiàn)故障或提供錯(cuò)誤數(shù)據(jù)，其他傳感器仍能保證系統(tǒng)獲得正確的車速信息，避免因速度誤判而導(dǎo)致 EPB 意外激活。

實(shí)施嚴(yán)格的軟件驗(yàn)證和測(cè)試，確保在高速行駛場(chǎng)景下 EPB 激活邏輯的正確性。通過(guò)大量的模擬測(cè)試、實(shí)車路試等手段，對(duì) EPB 控制軟件在高速行駛情況下的各種可能情況進(jìn)行全面驗(yàn)證，及時(shí)發(fā)現(xiàn)并修復(fù)可能導(dǎo)致意外激活的軟件漏洞或邏輯錯(cuò)誤。

安全目標(biāo) 2：避免轉(zhuǎn)彎時(shí)意外 EPB 激活影響車輛操控

在轉(zhuǎn)彎過(guò)程中，車輛的平衡和操控性較為復(fù)雜，此時(shí)意外激活 EPB 會(huì)破壞車輛的正常行駛軌跡，影響轉(zhuǎn)向的準(zhǔn)確性和穩(wěn)定性，增加發(fā)生碰撞的風(fēng)險(xiǎn)。

ASIL 等級(jí)為 C，風(fēng)險(xiǎn)程度較高，需要采取較為嚴(yán)格的安全措施。

安全要求：

集成車輛轉(zhuǎn)向角度傳感器，當(dāng)轉(zhuǎn)向角度超過(guò)一定值時(shí)禁止 EPB 激活。通過(guò)實(shí)時(shí)監(jiān)測(cè)轉(zhuǎn)向角度，一旦車輛處于明顯的轉(zhuǎn)彎狀態(tài)，系統(tǒng)就會(huì)禁止 EPB 的激活操作，防止對(duì)車輛操控產(chǎn)生不利影響。

優(yōu)化 EPB 控制軟件，考慮轉(zhuǎn)彎時(shí)的車輛動(dòng)態(tài)特性，降低誤激活風(fēng)險(xiǎn)。軟件在設(shè)計(jì)時(shí)充分考慮轉(zhuǎn)彎時(shí)的各種力學(xué)和動(dòng)力學(xué)因素，對(duì) EPB 的激活條件和邏輯進(jìn)行精細(xì)調(diào)整，使其適應(yīng)轉(zhuǎn)彎工況，減少誤判和誤激活的可能性。

進(jìn)行模擬轉(zhuǎn)彎測(cè)試，驗(yàn)證 EPB 系統(tǒng)在不同轉(zhuǎn)彎工況下的性能。在實(shí)驗(yàn)室或測(cè)試場(chǎng)地中，設(shè)置各種不同的轉(zhuǎn)彎場(chǎng)景，包括不同的轉(zhuǎn)彎半徑、速度、路面條件等，對(duì) EPB 系統(tǒng)進(jìn)行全面測(cè)試，確保其在各種轉(zhuǎn)彎情況下都不會(huì)意外激活，并且能夠保持車輛的穩(wěn)定操控。

安全目標(biāo) 3：阻止持續(xù)低速時(shí)意外 EPB 激活造成駕駛不舒適

在持續(xù)低速行駛時(shí)，意外激活 EPB 可能會(huì)導(dǎo)致車輛突然停頓，給駕乘人員帶來(lái)不舒適的感受，影響駕駛體驗(yàn)。

ASIL 等級(jí)為 B，風(fēng)險(xiǎn)相對(duì)較低，但仍需要加以關(guān)注和控制。

安全要求：

設(shè)定低速行駛時(shí) EPB 激活的更嚴(yán)格條件，例如車輛完全停止一定時(shí)間后才可激活。這樣可以避免在車輛還在緩慢移動(dòng)時(shí)就誤激活 EPB，減少不必要的制動(dòng)干擾。

增強(qiáng) EPB 系統(tǒng)與其他車輛控制系統(tǒng)（如發(fā)動(dòng)機(jī)管理系統(tǒng)）的通信，確保在低速時(shí)協(xié)調(diào)工作。通過(guò)更好的系統(tǒng)間通信，使 EPB 能夠根據(jù)車輛的整體運(yùn)行狀態(tài)來(lái)決定是否激活，避免與其他系統(tǒng)的操作沖突，提高系統(tǒng)的協(xié)調(diào)性和穩(wěn)定性。

開展用戶體驗(yàn)測(cè)試，評(píng)估低速時(shí) EPB 意外激活對(duì)駕駛舒適性的影響。邀請(qǐng)真實(shí)用戶在各種低速場(chǎng)景下進(jìn)行駕駛測(cè)試，收集他們的反饋和感受，以便對(duì)系統(tǒng)進(jìn)行進(jìn)一步的優(yōu)化和改進(jìn)，最大程度地減少對(duì)駕駛舒適性的負(fù)面影響。

安全目標(biāo) 4：杜絕持續(xù)中低速和高速時(shí)意外 EPB 激活引發(fā)安全事故

在中低速和高速的各種持續(xù)行駛情況下，意外激活 EPB 都可能引發(fā)不同程度的安全事故，因此需要全面杜絕這種情況的發(fā)生。

ASIL 等級(jí)為 D，屬于高風(fēng)險(xiǎn)情況，需要采取最嚴(yán)格的安全保障措施。

安全要求：

開發(fā)獨(dú)立的故障診斷和監(jiān)控模塊，實(shí)時(shí)監(jiān)測(cè) EPB 系統(tǒng)的工作狀態(tài)，及時(shí)發(fā)現(xiàn)并阻止異常激活。這個(gè)模塊能夠獨(dú)立運(yùn)行，不受其他系統(tǒng)故障的影響，對(duì) EPB 系統(tǒng)的關(guān)鍵部件和信號(hào)進(jìn)行實(shí)時(shí)監(jiān)測(cè)和診斷，一旦發(fā)現(xiàn)異常跡象，立即采取措施阻止 EPB 的激活。

采用加密和權(quán)限管理技術(shù)，防止外部惡意干擾導(dǎo)致 EPB 意外激活。通過(guò)對(duì)系統(tǒng)的通信和控制信號(hào)進(jìn)行加密，以及設(shè)置嚴(yán)格的權(quán)限管理，防止黑客攻擊或其他外部惡意行為對(duì) EPB 系統(tǒng)進(jìn)行非法操控，確保系統(tǒng)的安全性和可靠性。

制定緊急應(yīng)對(duì)策略，當(dāng)意外激活發(fā)生時(shí)，能夠迅速解除 EPB 制動(dòng)并恢復(fù)車輛正常行駛功能。預(yù)先制定詳細(xì)的應(yīng)急處理流程和技術(shù)方案，確保在意外激活發(fā)生時(shí)，能夠迅速采取有效的措施解除 EPB 制動(dòng)，恢復(fù)車輛的正常行駛，最大程度地降低事故損失。

還有更多的情況大家可以一一分析下，考慮下以下情況ASIL如何確定，安全目標(biāo)如何確定等，這樣做法可以更全面的展開想象空間，還是蠻有意思的，以后在工作中碰到具體項(xiàng)目中可以舉一反三。

 1：防止電子駐車系統(tǒng)在惡劣天氣條件下誤操作

 2：避免電子駐車系統(tǒng)因電源故障而異常工作

 3：降低電子駐車系統(tǒng)在頻繁使用后的性能衰退風(fēng)險(xiǎn)

 4：確保電子駐車系統(tǒng)與車輛其他制動(dòng)系統(tǒng)的協(xié)調(diào)工作

 5：防止電子駐車系統(tǒng)被未經(jīng)授權(quán)的人員非法修改或操作

 6：避免電子駐車系統(tǒng)在車輛受到碰撞后誤啟動(dòng)或失效

...

過(guò)程中有哪些難點(diǎn)？

實(shí)際項(xiàng)目過(guò)程中，不是理想化的，需要全面，并根據(jù)實(shí)際項(xiàng)目和OEM的要求等進(jìn)行綜合考慮及評(píng)估，比如會(huì)碰到下面這些問(wèn)題：

復(fù)雜的系統(tǒng)集成：眾多復(fù)雜且相互關(guān)聯(lián)的系統(tǒng)，如動(dòng)力系統(tǒng)、制動(dòng)系統(tǒng)、電子系統(tǒng)、自動(dòng)駕駛系統(tǒng)等。要全面理解這些系統(tǒng)之間的交互作用，并確定它們?cè)诟鞣N工況下的安全目標(biāo)，具有很大的挑戰(zhàn)性。例如，自動(dòng)駕駛系統(tǒng)需要與傳感器、算法、執(zhí)行器以及車輛的機(jī)械部件緊密配合，任何一個(gè)環(huán)節(jié)的故障都可能影響整體的安全性。

不確定性和變化的環(huán)境：汽車運(yùn)行環(huán)境多變，包括不同的路況、天氣條件、交通狀況等。預(yù)測(cè)和涵蓋所有可能的場(chǎng)景，并為其制定相應(yīng)的安全目標(biāo)是困難的。比如，在極端惡劣的天氣下，某些傳感器的性能可能會(huì)受到影響，從而增加了系統(tǒng)故障的風(fēng)險(xiǎn)。

成本和性能的平衡：制定過(guò)高的安全目標(biāo)可能會(huì)導(dǎo)致成本大幅增加，而過(guò)于寬松的目標(biāo)又無(wú)法保障足夠的安全性。在成本、性能和安全性之間找到恰當(dāng)?shù)钠胶馐且粋€(gè)難點(diǎn)。比如，為了提高制動(dòng)系統(tǒng)的可靠性，采用更昂貴的材料和復(fù)雜的設(shè)計(jì)，可能會(huì)顯著增加車輛的生產(chǎn)成本。

驗(yàn)證和確認(rèn)的復(fù)雜性：確定了安全目標(biāo)后，需要通過(guò)大量的測(cè)試、模擬和實(shí)際驗(yàn)證來(lái)證明這些目標(biāo)已經(jīng)實(shí)現(xiàn)。但由于汽車系統(tǒng)的復(fù)雜性和不確定性，驗(yàn)證工作往往非常復(fù)雜且耗時(shí)。要全面驗(yàn)證自動(dòng)駕駛系統(tǒng)在各種復(fù)雜交通場(chǎng)景下的安全性，需要進(jìn)行海量的道路測(cè)試和模擬仿真。

缺乏足夠的歷史數(shù)據(jù)和經(jīng)驗(yàn)：對(duì)于一些新的技術(shù)和功能，由于缺乏足夠的歷史故障數(shù)據(jù)和使用經(jīng)驗(yàn)，難以準(zhǔn)確評(píng)估風(fēng)險(xiǎn)和制定合理的安全目標(biāo)。比如，在剛剛推出某項(xiàng)全新的智能駕駛輔助功能時(shí)，由于沒(méi)有大量的實(shí)際使用數(shù)據(jù)，很難確定其可能出現(xiàn)的故障模式和風(fēng)險(xiǎn)水平。