学习笔记8--智能驾驶的功能安全设计之功能安全与ISO 26262标准

本系列博客包括6个专栏，分别为：《自动驾驶技术概览》、《自动驾驶汽车平台技术基础》、《自动驾驶汽车定位技术》、《自动驾驶汽车环境感知》、《自动驾驶汽车决策与控制》、《自动驾驶系统设计及应用》。
此专栏是关于《自动驾驶系统设计及应用》书籍的笔记.

---

---

2.智能驾驶的功能安全设计

为保证智能驾驶设计的安全可靠性，我们需要系统地分析所有可能的风险，并设计相应的应对措施以使风险降到可接受的范围内；为保证系统开发的安全可靠性，我们需要加强对安全系统开发过程的管理，且需要提供足够的证据，以证明所开发的系统能够满足所有合理的系统安全目标；

2.1 功能安全与ISO 26262标准

汽车功能安全概念：如果一个系统不存在由于电子电力系统(E/E系统)失灵而引发的不合理的风险，则称此系统是功能安全的；

功能安全中的几个概念：

• 系统：至少涉及一个传感器，控制器和制动器的一组元件；
• 元件：系统或系统的一部分，包括：组件、硬件、软件、硬件部件和软件单元；
• 项目(相关项)：ISO 26262所适用的实现车级功能的系统或系统阵列；
• 伤害：人身伤害或人身健康受损；
• 危害：由于系统故障行为导致的可能带来伤害的情况；
• 严重程度：潜在危害对一个或多个人的伤害程度；
• 暴露率：在失灵导致的危害发生时，人员暴露在危害场景中的可能性；
• 可控性：通过相关人员的及时反应，并在可能外部措施的支持下，避免特定伤害或损害的能力；
• 风险：伤害发生概览与伤害严重程度的组合；
• 失效：元件无法继续其所需执行的功能；
• 失效模式：元件或项目失效的方式；
• 系统失效：与某种确定的原因相关，只能通过改变设计或制造过程，操作程序，文件或其他相关因素来消除；
• 随机硬件失效：在硬件单元的生命周期内可能发生的不可预测的失灵，遵循概率分布；
• 安全目标：危害分析和风险评估的最高安全要求；
• 容错时间间隔(FTTI)：单起或多起事故与危害事件之间的时间间隔；
• 安全状态：项目没有不合理风险的操作模式；
• 故障、故障检测、安全状态、危险事件、故障容错时间间隔及故障响应时间关系如下图所示：
  

功能安全概述：

• 功能安全的目的：全面识别系统失灵和随机硬件失灵这些风险，并且采取相应的措施将风险消除或控制在可接受范围内；

• ISO 26262建议使用危害分析和风险评估(Hazard Analysis and Risk Assessment)的方法来识别这些风险，指定减轻危害的安全目标，并基于系统工程(System Engineering)方法严格控制系统生命周期的每一步以确保产品能达到安全目标的要求；

• 系统工程开发流程$V$模型：
  
  $V$模型最早发源于软件工程，由左侧与右侧两个分支过程组成，左侧描述了将产品需求分解为组件的设计与开发过程，右侧描述了从组件到整个产品的测试与验证过程；

• ISO 26262章节分布结构如下图所示：
  
  2018英文版结构如下图：
  

• ISO 26262汽车功能安全生命周期：
  

• ISO 26262安全生命周期的各个阶段

  阶段/子阶段	描述
  项目定义	根据功能、接口、环境条件、法律要求、已知危害等制定项目描述
  启动安全生命周期	根据项目定义，通过区分新开发或现有项目的修改来启动安全生命周期
  危害分析和风险评估	首先评估暴露率，危险事件的可控性和严重性；这些参数共同确定危险事件的汽车安全完整性等级(ASIL)；之后确定项目的安全目标；危险事件的ASIL被分配到相应的安全目标；
  功能安全概念	基于安全目标以及初步的项目架构假设构建功能安全概念，功能安全概念由分配给项目元素的功能安全需求构成；功能安全概念还可以包括具有外部措施的其他技术或接口，只要其预期行为可以被验证
  系统级的产品开发	构建功能安全概念后，项目从系统级别启动开发活动，系统开发过程基于V模型的概念，包括技术安全需求规范、系统架构、V模型左分支的系统设计和实现及右分支的集成、验证和功能安全评估
  硬件级的产品开发	基于系统设计规范，项目从硬件级别开展开发活动，硬件开发过程基于V模型的概念，其中包括硬件需求的规范及左分支的硬件设计和实现及右分支的硬件集成和测试
  软件级的产品开发	基于系统设计规范，项目从软件层面开展开发活动，软件开发过程基于V模型的概念，包括软件需求的规范及左侧分支的软件架构设计和实现，及软件集成和测试，及右分支的软件需求的验证
  安全检验	提供产品符合安全目标的证据，及功能安全概念适用于项目的功能安全性的证据；提供证据证明安全目标在车辆级别的正确性，完整性，且产品完全实现安全目标
  功能安全评估	评估该项目实现的功能安全性，评估活动由功能安全责任一方发起
  生产发布	确认该产品已准备好进行批量生产作业
  生产	开发和维护旨在安装在道路车辆中的安全相关元件或项目的生产过程，并在生产过程中由相关制造商或负责该过程的个人或组织实现功能安全
  生产计划和运营计划	在系统级的产品开发的阶段启动生产和操作的规划及相关要求的规范工作
  生产经营，服务和停用	该阶段涉及与项目的功能安全目标相关的生产过程，即与安全相关的特殊特性，及项目维护，修理和停用的指导说明的创建和管理，以确保项目生产发布后的功能安全性
  可控性	在危害分析和风险评估中，需考虑驾驶员或其他受风险影响的人控制危险情况的能力，关于危害分析和风险评估的可控性及功能和技术安全概念所提出的假设需要在安全验证期间得到验证
  外部措施	指项目定义中规定的项目之外的措施，可以减少或减轻项目产生的风险，外部措施不仅包括其他车载设备，还包括车辆外部的设备，在安全验证过程中验证项目定义中的外部措施，危害分析和风险评估及功能和技术安全概念的假设，可以在危害分析和风险评估中考虑外部措施，但如果在危害分析和风险评估中从外部措施中获取信用，则该外部措施不能被视为功能安全概念的风险降低
  其他技术	在安全需求分配阶段，可以在功能安全概念的规范中考虑这些技术