【赛宝智驾】功能安全ISO26262标准之功能安全概念

功能安全概念（FSC）的目的是从安全目标（SG）中得出功能安全要求（FSR）,并将其分配给相关项的初步架构要素或外部措施。

在安全生命周期中，安全需求通过分层结构进行定义和细化，下图展示了安全需求逐层细化分解的过程。结合功能安全目标以及相关项层级的初始系统架构导出功能安全需求。

具体可以采用故障树分析的方法，将功能安全目标作为顶事件，依据初始系统架构，逐级向下分析，挖掘到相关项层级系统架构底层要素素的底事件。考虑如何规避、降低底事件发生或消除、减弱底事件发生的影响等安全措施确定功能安全需求。

功能安全需求按适用情况，一般可包含以下几点：

a) 运行模式；

b) 故障容忍时间间隔（FTTI）；

c) 安全状态：

d) 紧急运行时间间隔；

e) 功能冗余(例如故障容错)；

如下是EPS系统导出控制模块功能安全需求的一个例子，请参考。

需要把功能安全需求分配给相关项初步架构中的要素并且继承安全目标的ASIL等级。（参见下图）

另外需要注意两点：

a) 如果功能安全概念依赖架构要素的其它技术实现（非E/E技术），需要明确描述并分配给相关要素去实现，此时没有ASIL等级属性。其执行可通过相关定义的措施保证，不在ISO26262标准范畴内定义。

b) 如果功能安全概念依赖外部措施的实现，则需要明确描述并与相关方进行沟通确认。相关的外部接口需要定义，如果外部措施是由E/E系统实现，也需要遵从ISO26262标准。

基于安全目标和功能安全需求，定义相关项在整车层面做安全确认的验收标准。具体定义可参考以下描述：

应在整车层面确认相关项的安全目标,通过评估:

a) 可控性;

注1:使用运行场景确认可控性,包括预期用途和可预见的误用。

注2:确认安全状态下有足够的可控性。

b) 用于控制随机失效和系统性失效的安全措施的有效性;

c) 外部措施的有效性;及

d) 其他技术要素的有效性。

e) 影响危险分析和风险评估ASIL的假设，只能在最终车辆中检查。

示例:如果假定机械部件是为了防止或减轻可能由E/E系统故障引起的特定危险，则在整车层面验证该部件防止或减轻该危险的有效性。

功能安全概念需要被验证，以表明：

a) 其与安全目标的一致性和符合性；

b) 减轻或避免危害事件的能力。

通过评审以确保以上的一致性和符合性。减轻或者避免危害事件的能力则可通过测试、试运行、专家判定来评估，或结合原型、研究、专项测试、仿真等方法。

赛宝认证中心自1998年获得三大汽车公司授权开展QS9000认证开始，在汽车行业已经拥有20多年的经验，为汽车企业研发管理提供全生命周期的培训、评估、认证以及有关技术服务等。赛宝认证还为企业提供多种流程整合等定制化服务，通过赛宝的流程整合确保了企业流程实施的一致性和可操作性。