摘要
硬件系统日益提升的复杂性与自主性,使得对整个系统及单个组件功能安全性的验证成为一项极具挑战性的工作,这也凸显了故障树分析(FTA)、失效模式与影响分析(FMEA)以及失效模式、影响及诊断分析(FMEDA)三者间协同理念的必要性。本文提出了一种基于模型的风险分析方法,该方法符合 ISO 26262 标准。研究目标是借助 APIS IQ-RM 工具,对车辆中现有系统展开分析。通过运用本文所提出的统一安全分析模型,实践证明,在汽车行业已开发系统中,识别潜在失效的流程得到了改进。
1、引言
自 18 世纪第一台蒸汽机发明以来,直至 21 世纪,汽车行业始终处于持续发展的进程中。
20 世纪 70 年代起,首批汽车开始配备电子控制单元(ECU),当时它被视作发动机的 “计算机”,能够确保发动机以最佳状态运行。如今,汽车已配备数十个电子控制单元。工业自动化是机械工程与电气工程交叉融合的领域,其最终目标是探索无需人工参与即可实现机器自动化运行的方法。
正如Prostean等人所指出的,当今汽车系统工程的复杂度不断攀升,汽车系统已演变为由多个电子控制单元通过特定汽车通信通道相互连接构成的集合体。众所周知,功能安全领域是所有工业领域都需重点关注的核心问题,无论是核电站、航空业、医疗器械制造业,还是汽车行业。鉴于上述情况,显而易见的是,汽车的复杂程度已达到极高水平,因此,对功能安全的需求已成为必然。此外,对汽车产品审核专业人才的需求也随之增加,在与功能安全相关的项目中,质量问题是必须重点关注的内容。
遵循 ISO 26262 标准,能够实现与功能安全相关项目的高质量交付。为简化该标准的应用,众多研究者针对汽车行业当前的特定需求,如自动驾驶系统或电动汽车,提出了多种适配的方法。
汽车系统开发过程中至关重要的环节,在于需求定义流程以及运用汽车安全完整性等级(ASIL)属性对功能安全进行分级。Gharib等人提出了一种基于模型的方法,该方法在汽车安全完整性等级(ASIL)需求的建模与分析过程中,同时兼顾了技术层面与社会层面的因素。这使得需求工程师能够 “明确界定与驾驶员行为及其与项目(即产品)其他组件间的交互和依赖关系相关的设计规范”。在这些组件的设计阶段,通常会采用用于安全规范的统一建模语言(UML)概要文件。
Lu与Chen提出了一种基于模型的安全关键系统分析框架,该框架包含以下三个阶段,最终输出失效模式、影响及诊断分析(FMEDA)报告:
· 安全关键薄弱点分析;
· 面向安全的系统硬件架构探索;
· 安全机制有效性评估。
无论系统性质如何,其架构均由系统本身、子系统和组件构成。基于这一前提,可将系统从三个层级进行分解。采用自下而上的分析方法,为每个组件分配一项或多项需求。
要使系统精准运行,就必须满足为其分配的所有功能需求。然而,大多数情况下,系统安全工程师很难对此进行验证,因为系统往往极为复杂,工程师们常常难以全面掌控系统整体情况。ISO 26262 标准支持在道路车辆安全相关嵌入式系统的整个生命周期内,采用正式的方法开展各类验证工作,以实现最高水平的安全完整性。随着车辆系统愈发复杂,系统安全工程面临着更多新的挑战。这一观点在日常生活中也能得到印证 —— 我们时刻处于电气和 / 或电子(E/E)系统的包围之中,而这些系统一旦发生失效,可能会引发灾难性的安全后果。
如今,众所周知的元器件短缺问题依然尚未得到解决。部分半导体制造厂宣布停产的消息,已在多个行业引发了各类混乱,汽车行业也未能幸免。这对硬件(HW)工程师而言是一大难题,他们必须构思重新设计方案,甚至更换元器件。而这一情况也可能对整个系统的安全运行产生影响。为证明更换元器件不会对系统安全造成影响,系统安全工程师必须对这一变更进行影响分析。首先,他们需要明确新旧两个元器件之间的差异,随后评估新元器件的有效性。要完成上述两项验证工作,就必须开展失效模式与影响分析(FMEA)、故障树分析(FTA),甚至失效模式、影响及诊断分析(FMEDA)。
本文旨在阐明,有必要构建一个同时结合定量分析与定性分析的模型;此外,还需将该模型与需求相关联,以形成完整的分析视角。
2、ISO 26262标准与安全生命周期
ISO 26262 标准适用于配备一个或多个电气和 / 或电子(E/E)系统,且最大总质量不超过 3.50 吨的量产乘用车中的安全相关系统。在汽车行业,所有相关方都必须遵循 ISO 26262 标准,该标准是为自动驾驶车辆电子系统安全规范而制定的。“ISO 26262 标准用于衡量具备自动驾驶功能车辆中电子元器件的安全系统性能及失效概率”。
ISO 26262 标准于 2011 年首次发布,其目的是清晰识别硬件(HW)或软件(SW)可能存在的故障,并推行一套确保汽车电气和 / 或电子(E/E)系统功能安全的标准。该标准源自 IEC 61508 标准,而 IEC 61508 标准负责规范 “电气 / 电子 / 可编程电子安全相关系统的功能安全”。ISO 26262 标准的第一版包含 10 个部分,2018 年发布的第二版新增了两个章节,分别是 “ISO 26262 标准在半导体领域的应用指南” 和 “ISO 26262 标准针对摩托车的适配规范”。
安全生命周期(见图 1)展示了在概念阶段、产品开发、生产、运行、服务以及退役等阶段的核心安全活动。根据 ISO 26262 标准,关键的安全管理工作包括对与功能安全相关的活动进行规划、协调和跟踪。上述工作是每个项目启动时首要开展的环节,但这并不意味着完成这些工作后就无需进一步改进。建议在产品开发的各个阶段,根据需要对相关内容进行重新定义,直至项目最终获得批准并投入生产。
图1: ISO 26262 安全生命周期
图 2: 严重程度、暴露度和可控性评级
对于每个安全系统,需根据危害分析与风险评估(HARA)为其分配至少一个安全目标,危害分析与风险评估是概念阶段的重要组成部分。根据 ISO 26262 标准,危害分析与风险评估(HARA)是一种 “用于识别和分类项目危害事件,并确定与预防或缓解相关危害以规避不合理风险相关的安全目标和汽车安全完整性等级(ASIL)的方法”。
换言之,危害分析与风险评估(HARA)的目的在于识别并评估可能导致电气和 / 或电子(E/E)系统发生危害的故障相关风险。
表 1: ISO 26262 标准下的 ASIL 等级确定
要正确开展危害分析与风险评估(HARA),需遵循以下两个步骤:
步骤 1:评估与项目相关的危害事件的暴露概率、可控性及严重程度。图 2 展示了各指标的评级标准。
确定上述三个特性后,依据评估结果,按照表 1 所示确定汽车安全完整性等级(ASIL)。
ISO 26262 标准定义了四个汽车安全完整性等级(ASIL),分别为 ASIL A、ASIL B、ASIL C 和 ASIL D,其中 ASIL A 的安全完整性等级最低,ASIL D 的安全完整性等级最高。除这四个等级外,质量管理(QM)等级表示无需遵循 ISO 26262 标准的相关要求。
步骤 2:危害分析与风险评估(HARA)的输出结果为确定项目的安全目标。
安全目标处于安全需求的最高层级,即车辆层面。之后,安全目标将获得在危害分析与风险评估(HARA)中确定的汽车安全完整性等级(ASIL)。
3、危害事件
在汽车行业的重大灾难性事件史上,有一起事件对功能安全产生的影响尤为显著。2009 年 8 月 28 日,警察Mark Saylor驾驶一辆雷克萨斯 ES350 轿车,携家人在高速公路上行驶。行驶过程中,车辆突然失控,时速超过 160 公里,且刹车完全失灵。最终,车辆在十字路口发生碰撞,车内四人当场身亡。经过多年的法庭诉讼,最终调查结果公布:其中一段源代码存在缺陷,这一缺陷可能导致安全目标无法实现。
美国国家公路交通安全管理局(NHTSA)对该事件展开了调查,并指出脚垫位置不当导致油门踏板被卡住,进而使发动机转速达到最大值,这是引发事故的原因。然而,这一推测很快被推翻。由于丰田汽车接收到多起关于车辆意外加速的投诉,2007 年丰田公司启动了一项召回行动,要求所有投诉者及其他相关车主将车辆送至维修厂更换脚垫。而Mark Saylor在事发时,车内安装的是另一款脚垫,这款脚垫为驾驶员腿部提供了更大空间。
当时,丰田公司与美国国家公路交通安全管理局(NHTSA)的观点存在明显分歧。2009 年 9 月 29 日,丰田公司再次召回包括雷克萨斯 ES 在内的八款车型的车主,要求更换脚垫。美国国家公路交通安全管理局(NHTSA)称,此次召回是因为多种因素共同作用导致车辆意外加速。2010 年 5 月 25 日,一则新闻报道称 “丰田‘意外加速’事件已致 89 人死亡”,且相关投诉已达 6200 起,事态极为严重,美国国家公路交通安全管理局(NHTSA)遂请求美国国家航空航天局(NASA)协助调查。此次调查持续了约 10 个月,调查结果显示:“通过所开展的硬件和软件测试,未能找到证据证明电子节气门控制系统智能版(ETCS-i)会导致如提交的车辆意见问卷(VOQs)中所描述的节气门大开度意外加速(UAs)情况。虽然未能找到证据证明电子节气门控制系统智能版(ETCS-i)是导致所报告意外加速(UAs)事件的原因,但这并不意味着此类情况不会发生。不过,本报告中所描述的测试与分析并未发现丰田汽车公司(TMC)的电子节气门控制系统智能版(ETCS-i)电子设备是导致车辆意见问卷(VOQs)中所描述的节气门大开度情况的可能原因”。
美国国家航空航天局(NASA)的研究重点集中在电子节气门控制系统(ETCS)上,该系统包含电子控制模块(ECM),电子控制模块依据公式(1)的原理对节气门进行控制。
当驾驶员踩下油门踏板时,电子控制模块(ECM)会接收到相应的电压输入信号。如今,汽车的自动化程度越来越高,踩下油门踏板仅代表驾驶员对车辆行驶状态的期望。
2013 年,多起致命事故中的一起被提交至法庭审理,原告方声称车辆意外加速问题是由软件故障引发的。在那段时期,此类案件曾多次开庭审理,但均未证实这一假设。这一证词基于电子节气门控制(ETC)系统,尤其是其源代码。从 2009 年的事故发生到 2013 年,丰田公司始终声称车辆意外加速的原因是脚垫松动、踏板卡滞或驾驶员操作失误。而在 2013 年的庭审中,出庭律师在辩论结束时指出,车辆意外加速并非由上述原因导致,真正的原因是电子节气门控制(ETC)系统存在问题。
法庭传唤了多位综合系统专家出庭作证。Michael Barr及其他专家对电子节气门控制(ETC)系统的源代码进行了检查,检查后他们证实,即使是单个比特位的翻转,也可能导致车辆失控。此次调查得出结论:丰田汽车电子节气门控制(ETC)系统的源代码存在缺陷,部分漏洞可能引发车辆意外加速。
鉴于美国国家航空航天局(NASA)的报告已在网上公开,本文以报告中展示的电子节气门控制(ETC)系统框图为基础,构建了一个分层模型。该模型从系统层面逐步细化至组件层面,涵盖了系统的功能与失效,并通过定量与定性分析,最终探究车辆意外加速的真正原因及其对系统产生的影响程度。
当发生如上述案例中的事故时,工程师们显然能够意识到系统中存在失效(无论是软件失效还是硬件失效),且该故障已导致系统的某一安全目标无法实现。为避免此类情况发生,ISO 26262 安全标准强调,开展安全分析是必不可少的工作。下一部分将阐述安全分析的重要性。
4、安全分析
本章将详细介绍有助于识别和评估故障的安全分析技术。要开发一个安全的系统,需明确系统中的安全关键故障,并能够对这些故障进行控制。安全分析技术种类繁多,在汽车行业中,最常用的三种技术如下,本文也将对这三种技术进行探讨并加以实践应用:失效模式与影响分析(FMEA)、失效模式、影响及诊断分析(FMEDA)以及故障树分析(FTA)。
安全分析技术可从两个维度进行分类:定量分析与定性分析,或归纳分析与演绎分析。表 2 依据上述分类方式,对各类安全分析技术进行了描述。
表 2: 定性分析与定量分析
此外,ISO 26262 标准建议,从汽车安全完整性等级(ASIL)B 级开始,应开展演绎分析;而无论汽车安全完整性等级(ASIL)处于何种级别,都建议开展归纳分析。
定量分析用于确定失效发生率与概率;而定性分析仅通过定性标准来评估与失效模式相关的风险。
4.1 失效模式与影响分析(FMEA)
失效模式与影响分析(FMEA)是一种归纳式失效分析方法,用于识别和评估潜在失效及其影响,制定措施以消除或降低失效发生的可能性,并对整个分析过程进行记录。
该分析方法的目标如下:
· 提升所分析项目的质量、安全性与可靠性;
· 降低额外实施成本或不符合项成本的风险;
· 助力开发稳健的设计方案;
· 确定任务优先级;
· 提高客户满意度。
4.2 失效模式、影响及诊断分析(FMEDA)
失效模式、影响及诊断分析(FMEDA)是一种基于表格的硬件分析方法。该方法用于识别硬件组件的失效模式、失效发生率以及诊断能力。失效模式、影响及诊断分析(FMEDA)的特点如下:
· 失效模式、影响及诊断分析(FMEDA)的分析结果为硬件架构指标,这些指标用于评估安全架构的有效性;
· 在开展失效模式、影响及诊断分析(FMEDA)的过程中,需对安全机制的存在性及其有效性做出假设;
· 故障注入方法可用于辅助开展失效模式、影响及诊断分析(FMEDA)。
4.3 故障树分析(FTA)
故障树分析(FTA)是一种自上而下的演绎式失效分析方法,该方法以不期望发生的危害事件为分析起点,运用布尔逻辑对一系列低层级事件进行分析。该分析方法的主要目标如下:
· 理解故障树结构背后的逻辑关系;
· 确定风险优先级;
· 监控并控制系统的安全性能;
· 优化资源配置。
若本文旨在对系统中发生的变更(无论变更性质如何)进行影响分析,则需重点关注定性分析,明确组件功能与其缺陷之间的关联,最终找出可能对安全目标产生直接影响的缺陷。
通过建立这样的整体视角,也能充分体现汽车行业开展此类分析的必要性。
5、模型构建与分析过程
图 3 展示了电子节气门控制系统智能版(ETCS-i)的框图。框图左侧为电子控制模块(ECM)的输入部分,右侧为输出部分,分别对应燃油系统、点火系统和节气门体组件。电子控制模块(ECM)包含四个主要部分:电源控制与监控模块、专用集成电路(ASIC)监控 - 中央处理器(CPU)、专用集成电路(ASIC)主 - 中央处理器(CPU)软件功能模块以及专用集成电路(ASIC)H 桥模块。电源控制与监控模块位于框图顶部,负责为电子控制模块(ECM)供电。主中央处理器(Main CPU)位于框图底部中央,负责控制各类电气设备(继电器、电机、电磁阀和指示灯)的运行。主中央处理器(Main CPU)所需的模拟信号,可通过其内部的模数(A/D)转换端口获取。根据美国国家航空航天局(NASA)关于意外加速(UA)的报告,主中央处理器(Main CPU)的软件功能包括踏板指令功能、怠速控制功能、定速巡航控制功能、变速箱换挡控制功能、车辆稳定控制(VSC)功能以及节气门控制功能。借助这一复杂且描述详尽的系统框图,下一步需在 APIS IQ-RM 工具界面中构建如图 4 所示的框图,以开展后续分析。
图 3:系统整体功能框图
图 4:系统框图的总体结构树
APIS IQ 软件是一款集成失效模式与影响分析(FMEA)、风险分析、功能安全及需求管理功能的软件],这一特性使其非常适合用于构建本文所提出的模型。该软件针对 Windows 系统进行了优化适配,是集成到工作流程与文档管理系统中的前瞻性基础工具。
本文构建的模型采用树形结构。模型的第一层为发动机部分,第二层为执行器(喷射系统、燃油系统和节气门体)。进一步细化可看到电子控制模块(ECM)子系统以及输入输出接口(与电子控制模块(ECM)相连)。再下一层为四个主要模块:电源模块、微控制器(主中央处理器(Main CPU))、监控中央处理器(Monitor CPU)和 H 桥模块。模型的最后一层为每个模块包含的具体组件。除上述四个电子控制模块外,模型中还设有一个 “安全机制” 模块,该模块作为防范各类故障的保护机制;同时,模型中还包含一个串行端口接口(SPI),用于实现微控制器(Microcontroller)与监控中央处理器(Monitor CPU)之间的通信。
车辆系统由软件和硬件组件构成。硬件组件存在失效模式,可能导致安全目标无法实现。为避免此类情况,汽车工程师引入了安全机制,旨在检测组件故障并防止故障向更高层级扩散。
若要使某个系统、子系统或组件纳入上述模型,必须为其分配相应的功能;否则,该组件不应被纳入模型结构中。图 5 展示了主中央处理器(Main CPU)的功能与失效模式示例。
图 5:主中央处理器(Main CPU)的功能 / 失效示例
在为每个组件设定类似的功能与失效模式集合后,下一步需将所有组件的功能与失效模式关联起来,构建所谓的 “功能 / 失效网络”。通过这种方式,即可开展失效模式与影响分析(FMEA)。借助该分析,工程师能够清晰地看到从顶层系统到最底层组件(组件级)的所有子系统和元素之间的关联。
故障树分析(FTA)通过 “失效网络” 界面开展,该分析仅针对那些可能对安全目标产生直接影响的缺陷。分析过程运用逻辑门构建故障树,关联方式如下:若某个模块中的单个组件发生失效障,同时覆盖该模块所有组件的安全机制也失效,则会导致安全目标无法实现。该分析过程采用了Ross提出的数学理论。
在确定可能对安全目标产生直接影响的失效后,下一步需为每个安全机制分配诊断覆盖率。通过设定诊断覆盖率,可计算出相应的架构指标,而这些指标的计算结果将反映系统的可靠性。
6、讨论
显然,汽车企业的工程师所面对的系统,比本文所呈现的系统更为复杂、细节更为丰富。因此,建立这样的系统整体视角具有极大的价值,尤其是 APIS IQ-RM 工具能够将上述三种分析(FMEA、FMEDA、FTA)整合到同一个视图中,从而实现了三者的协同分析。
在本研究之初,我们就阐述了将安全分析方法整合统一所能带来的部分优势,其中之一便是应对当前硬件设计变更的需求。当系统中的某个组件发生故障或已停产时,就必须用其他组件对其进行替换。
借助前一章所构建的系统视图,工程师能够轻松开展系统影响分析,评估变更可能对系统安全产生的影响。在这类分析中,需验证待更换组件是否存在与安全相关的输入或输出,以及其失效是否会直接影响安全目标。
仅开展定性分析是不够的,原因在于定性分析基于非量化信息对系统进行分析,依赖主观判断;而定量分析则基于数学、统计模型和测量数据。鉴于涉及危及人类生命安全的风险评估,分析过程必须同时包含定量分析与定性分析。
7、结论、拓展与未来展望模型构建与分析过程
本文的研究目的是通过强调定量分析与定性分析相结合的必要性,进一步完善汽车功能安全的研究范畴。
当前众所周知的元器件短缺问题,更凸显了在每个汽车项目中建立系统整体视角的重要性。若系统中的某个组件已停止生产,就必须寻找替代组件。在做出最终决策之前,需开展系统影响分析。借助系统整体视角,汽车安全工程师能够更轻松地评估变更影响,进而判断新组件是否能够满足旧组件的特性与功能需求。
基于上述种种原因,在汽车行业中,拥有一款符合 ISO 26262 标准认证的工具(如 APIS IQ-RM)已成为开展工作的必要条件,这类工具能够实现定性分析与定量分析的统一整合。
本文以通用电子控制单元(ECU)为例进行分析,但在汽车领域,实际系统的复杂程度远超本文所呈现的内容。因此,可对现有模型的结构、功能及失效模式进行优化升级,为后续研究提供延续性。此外,另一项可行的研究方向是将客户需求与组件相关联,并建立从需求到验证需求所需测试集的可追溯性。
未来的研究工作应更加注重有意识地开展定量分析与定性分析。为此,可对当前的 APIS 模型进行改进,使其能够融入定性与定量分析的特征,以支持此类分析工作的开展;同时,也可考虑开发用于该目的的新型工具。
本文由豆包软件翻译,如有不当之处请参照原文
下载请扫二维码:
