2. 功能安全基础概念:危害、风险、安全目标、功能安全概念、技术安全概念

各位同学,咱们今天聊点实在的。功能安全这行,说白了就是一套「怎么把危险扼杀在摇篮里」的方法论。我刚开始接触这领域时,也被一堆术语搞得晕头转向——危害、风险、安全目标……它们到底啥关系?

别急,咱们一个一个捋清楚。

2.1 危害:那个可能伤人的「坏东西」

先说说「危害」。这个词儿听着吓人,其实定义很简单:危害是可能造成人身伤害的潜在根源。注意,是「潜在」——它还没发生,但存在这种可能性。

举个例子。你开车时,方向盘突然失灵了。嗯,这就是一个危害。它本身不是事故,但一旦发生,后果可能很严重。

危害的三个要素:

  • 危害源:比如刹车系统、转向系统、电池包
  • 触发条件:比如软件跑飞、传感器失效、通信中断
  • 潜在后果:比如车辆失控、人员受伤

我在做ADAS项目时,遇到过一种情况:摄像头被泥巴糊住了。这算不算危害?算。因为摄像头失效后,车道保持功能可能误判,导致车辆偏离车道。你看,危害往往藏在你想不到的地方。

2.2 风险:危害发生的「概率×严重度」

危害是客观存在的,但风险不一样。风险是「危害发生的可能性」和「后果严重程度」的组合。用公式表示:

风险 = 危害发生的概率 × 危害后果的严重度

你想想看,同样是刹车失灵:

  • 在高速公路上,风险极高(概率低但后果极严重)
  • 在停车场里,风险相对低(概率低且后果可控)

所以,功能安全不是要消灭所有危害——那不可能。而是要把风险降到可接受的水平

我个人习惯:做风险分析时,先别急着算数字。先问自己三个问题:

  1. 这个危害最坏能造成什么后果?
  2. 它发生的频率有多高?
  3. 驾驶员/用户有没有机会避免?

这三个问题想清楚了,ASIL等级(汽车安全完整性等级)的评定就顺理成章了。

2.3 安全目标:给系统定个「安全底线」

好,现在我们知道危害和风险了。下一步是定「安全目标」。安全目标说白了就是:针对某个危害,系统必须做到什么程度才算安全

举个例子:

  • 危害:刹车踏板信号丢失
  • 安全目标:当刹车踏板信号丢失时,系统必须在100ms内进入安全状态(比如自动减速并报警)

安全目标有几个特点:

  • 它是顶层要求,不涉及具体实现
  • 它必须可验证——你说「系统要安全」,这不行。得说「系统在故障后X秒内进入安全状态」
  • 它通常对应一个ASIL等级(QM、ASIL A/B/C/D)

我曾经踩过的坑:写安全目标时写得太笼统。比如「系统应避免意外加速」。后来评审时被问:什么叫「意外」?什么条件下算「避免」?

从那以后,我写安全目标都遵循SMART原则——具体、可测量、可达成、相关、有时限。

2.4 功能安全概念:把安全目标「翻译」成功能

安全目标定好了,接下来是「功能安全概念」。这一步是把安全目标分解到系统的功能层面

说白了,就是回答一个问题:系统需要具备哪些安全机制,才能满足安全目标?

比如安全目标是「防止刹车信号丢失导致失控」,功能安全概念可能包括:

  • 主刹车信号路径 + 冗余备份路径
  • 信号完整性检查(CRC校验)
  • 故障检测后降级到备用模式
  • 驾驶员报警(仪表盘提示)

这里要注意:功能安全概念还是偏功能层面的,不涉及具体用哪个芯片、跑什么协议。它更像一个「安全架构蓝图」。

2.5 技术安全概念:把功能「落地」到技术实现

最后一步是「技术安全概念」。这一步最接地气——它把功能安全概念中的每个安全机制,落实到具体的技术实现方案

举个例子:

功能安全概念 技术安全概念
冗余刹车信号路径 使用两路独立的ADC采样,一路走SPI,一路走I2C
信号完整性检查 每帧数据附加16位CRC,接收端校验,错误则丢弃并触发重传
故障检测后降级 检测到故障后,在10ms内切换至备份控制器,同时置位故障标志位
驾驶员报警 通过CAN总线发送报警信号,仪表盘显示红色警告图标并蜂鸣

你看,技术安全概念里开始出现具体的技术细节了:SPI、I2C、CRC、CAN总线……这些都是嵌入式工程师每天打交道的东西。

我的经验:写技术安全概念时,一定要和硬件工程师、系统工程师多沟通。有一次我写「使用看门狗监控主芯片运行状态」,结果硬件说那个看门狗芯片的喂狗窗口只有50ms,而我的软件任务周期是100ms——嗯,差点出大问题。

2.6 知识体系总览

说了这么多,咱们用一张图把整个逻辑串起来:

功能安全概念体系 危害 潜在伤害根源 风险 概率 × 严重度 安全目标 系统必须达到的安全底线 功能安全概念 安全机制的功能层面描述 技术安全概念 具体技术实现方案(SPI、CRC、CAN...) 识别 评估 定义 分解 实现 HARA分析 ASIL等级 安全要求 功能架构 技术设计

这张图把整个逻辑链条串起来了。从危害出发,经过风险评估,定义安全目标,再分解为功能安全概念,最后落地到技术安全概念。每一步都环环相扣,缺一不可。

2.7 小结

好了,咱们今天聊了五个核心概念:

  • 危害:那个可能伤人的潜在根源
  • 风险:危害发生的概率 × 后果严重度
  • 安全目标:系统必须达到的安全底线
  • 功能安全概念:安全机制的功能层面描述
  • 技术安全概念:具体的技术实现方案

这五个概念,是功能安全开发的「骨架」。后面的所有内容——HARA分析、ASIL等级、安全确认、测试验证——都是围绕它们展开的。

嗯,今天就到这儿。下次咱们聊聊HARA分析怎么做,那才是真正考验功力的地方。


专注资料整理