内容提要：此文为该连载系列的“下部分”，在上部分中我们已经具体介绍了新方法是如何形成以及是如何根据ISO26262应用STPAFT的。那么，在专题的下部分中，我们将具体结合STPAFT在燃料油位估计和显示系统 (FLEDS) 案例研究中的应用，以展示STPAFT是如何支持ISO26262的概念阶段。

“STPA与FMEA的功能安全HARA新方法”专题连载共分为“上、下”两个部分。此文为该连载系列的“下部分”，在上部分中我们已经具体介绍了新方法是如何形成以及是如何根据ISO26262应用STPAFT的。那么，在专题的下部分中，我们将具体结合STPAFT在燃料油位估计和显示系统 (FLEDS) 案例研究中的应用，以展示STPAFT是如何支持ISO26262的概念阶段。

5.案例研究

在本节中，我们将使用斯堪尼亚卡车中的FLEDS作为案例研究，展示STPAFT如何执行分析以及如何生成/支持ISO26262概念阶段所需/推荐的所有工作产品。FLEDS是斯堪尼亚卡车中安全关键的E/E系统之一。此类系统的功能失效行为可能导致危害，例如发动机停止和助力转向失效。

5.1.The FLEDS

在本节中，我们将展示FLEDS的工作原理以及它由哪些组件组成。FLEDS有两个主要功能：FC1：低油位警告和FC2：油位估计和显示。FC1负责警告驾驶员燃油油位低于油箱容量的可测量极限，即使驾驶员不经常检查燃油表也是如此。FC2是在仪表组中测量并显示油位，以满足驾驶员了解当前油箱油位的需要。估计的燃油油位和警告都显示在组合仪表中。

三个电子控制单元(ECU)系统构成了FLEDS，即发动机管理系统、仪表盘和协调器。每个ECU系统包含若干分配元素(AEs)，它们是负责实现用户功能的代码片段。在协调器ECU系统(COO)中分配了两个AE，用于估计和显示油位：AE01和AE02。FLEDS的其他部分包括放置在油箱中以估计和检查燃油液位的燃油液位传感器(FLS)、提供加油检测所需的驻车制动器状态的驻车制动开关(PBS)以及一个为ECU系统供电的电池。我们在图5中展示了FLEDS的组件和功能结构。

图5.油位估计与显示系统（FLEDS）的电子控制单元（ECU）系统组成的功能结构图

•发动机管理系统ECU(EMS)负责所有与发动机相关的功能。

•组合仪表ECU系统(ICL)的功能是向驾驶员显示指示，例如警告灯。

•协调器ECU系统(COO)是FLEDS的核心ECU，负责与燃油油位计算相关的所有功能。COO需要三个输入。它们是：

-来自EMS的燃油率信号

-来自驻车制动器开关（PBS）的驻车制动器状态

AE01是负责燃料水平估计的分配元素。FLS测得的油位先转换为电压值，再换算为总容量的百分比。结果与EMS计算的油耗率作为卡尔曼滤波算法的输入，最终获得当前燃油液位。这个结果将被发送到ICL以显示当前的燃料水平。然后AE02将AE01的计算结果与油箱容量进行比较，以确定是否激活低油位警告。

5.2.应用STPAFT

图6显示了STPAFT过程的结果，它可以支持ISO26262概念阶段所需的工作产品的生成，用我们的分析结果之一进行描述。方框之间的蓝色箭头，例如S1、S2到I5，S2到I2、I3、I4和SF1到I6、SF2到I7，表示ISO26262的工作成果可以直接从STPAFT的结果中得到。方框之间的灰色箭头，如S3、S5到I8、S4到I1，表明ISO26262要求的产品可以从STPAFT的分析结果中导出。从SF1到SF3的橙色块是通过整合FMEA获得的结果。SF1和SF2呈现危害事件分类和ASIL判定结果。SF3是识别的致病因素和相应SC的示例。STPAFT通过集成FMEA技术实现危害事件的分类和ASILs的确定。整合FMEA的另一个原因是FMEA可以通过关注最低级别的组件来帮助STPA识别因果因素。有关应用STPAFT的整个过程的更多详细信息将在以下部分中介绍。

5.2.1.系统工程基础建设

如“此专题上部分的第4节”所述，第一步是确定车辆级事故、相关危害、相应的系统级SC，并绘制安全控制结构。与FLEDS相关的车辆级事故的示例可以定义为AC1：车辆发生追尾事故。可能导致AC1的系统级危害之一被确定为H1（示例）：车辆在湿滑的高速公路上行驶时，由于无法从油箱中收集更多的燃料，导致车辆意外减速或停止。H1的安全约束是SC-1：车辆必须始终有足够的燃料以避免在湿滑路面上行驶时意外减速或停车。在STPAFT中，系统级SC作为顶级安全要求用于减轻危害，这类似于ISO26262中SG的作用。因此，STPAFT中的系统级SC可以对应于ISO26262中的SG。

ISO26262的车辆级危险VH1可推导为：车辆意外减速或停止，因为油箱中无法收集更多燃料。这里特指的最坏环境条件是“在湿滑高速公路上行驶”，如图6中S2所示。因此，工况和运行场景可以确定为O1：在湿路高速公路上行驶。更多可能的运行场景在第5.2.3节中描述。然后结合VH1和O1可以确定相应的危险事件HE1：车辆在湿滑路面上行驶时，由于油箱中没有更多的燃油而发生意外减速或停止，危害事件的后果也可能是派生为CHE1：本车在湿滑路面行驶时，与高速行驶的后车发生追尾事故。

STPAFT的下一步是建立安全控制结构，以识别可能违反SC并导致H1的潜在危害控制行为。来自安全控制结构的信息可以用来进行相关项定义。因此，STPAFT中的S4映射到图6中ISO26262中的I1。图7显示了FLEDS在架构设计级别的控制结构图。在此结构中，FLEDS被视为控制器，油箱是受控过程，驾驶员被视为执行器，根据FLEDS的命令为油箱加油。

图6. STPAFT的分析过程及分析结果与ISO26262第3部分: 概念阶段所要求的工作产品的对应关系

图7. 用于识别不安全控制行为的STPA高级控制结构

5.2.2.UCA识别

如上所述，FLEDS有两个主要功能：FC1和FC2。对于FC1，控制动作是CA1：当燃油液位低时，向驾驶员发出警告。对于FC2，控制动作是CA2：向驾驶员提供当前的燃油水平。因此，根据四种UCA类型中的三种（我们研究中的控制行为不存在持续时间问题），可以识别CA1的不安全控制行为UCA1，CA2的不安全控制行为UCA2-1和UCA2-2，如表3所示。为了进一步探索起因和确定HE1的ASIL，此处确定的控制行为和UCA将对应于以下FMEA分析中的功能和失效模式。

表3.可能导致H1的不安全控制操作

我们通过添加“应该”和“必须”等引导词，将不安全控制行为的描述转化为相应的安全约束，如表4所示。

表4. UCA的安全限制

5.2.3.危害事件分级及ASIL等级判定

根据ISO26262，FMEA现在可以用于HE1的分类。将执行以下步骤：

•将CA1、CA2、UCA1、VH1、AC1和可能的运行场景填入表5中FMEA的相应栏目。

•确定每个识别出的危害事件的ASIL等级，以HE1为例。如上所述，已识别的HE1可分为两个因素（S和E）。各危害事件的可控性可由运行场景结合识别出的UCA来确定。危害事件HE1为高速公路湿滑追尾事故，可能造成人员伤亡，故严重程度定为S3。

•暴露概率可以是E3，中等概率。根据工况和工况O1：在湿滑路面行驶，不安全控制动作 UCA1：低油位时FLEDS不报警；情况难以控制或不可控，因此可控性定为C3。因此，危害事件HE1的ASIL可以确定为ASIL C。表5表示了VH1在不同运行场景下的ASIL。

•根据各个对应的ASIL制定SGs，仍以HE1为例。HE1的SG可以根据SC-1制定为SG.1：车辆必须始终提供有关油箱中当前燃油油位的正确信息，以避免在湿滑路面上行驶时意外减速或停车。

5.2.4.因果因素识别和FSR创建

•为了确定如何使用FMES进行每个UCA，FLEDS的详细结构如图8所示。我们使用图8和图9中因果因素的引导词来识别导致UCA的可能因果因素。FMEA将重点放在最底层的组件上，可以更系统地识别起因，从而推导出更详细的安全约束，有利于FSR的细化。

•我们使用层次结构来描述表6中每个UCA已识别的原因，其中“1O”代表最高级别，“5O”代表最低级别。这种层次结构展示了不安全的交互、错误和失效如何在系统中传播并导致UCA。最重要的是，因果因素的层次结构对于将FSR分配给系统架构设计有很大的好处。

•接下来，生成因果因素的SC，此步骤的结果将用于构建功能安全概念并确定FSR。本节介绍从SC派生的所有SG和FSR的主要目的，是说明如何从STPAFT分析结果中派生出一套全面的要求。

根据表6中确定的因果因素，可以确定相关的SC：

•SC.CF.1：估计总油位的输入信号应为良好状态（即信号在范围内且正确）。

•SC.CF.1-1：FLS应始终保持正常运行，准确测量油位数据。

•SC.CF.1-2：EMS应始终正确计算燃料消耗率。

•SC.CF.2：用于估计总燃料水平的输入参数应处于良好状态；应考虑并保留重置值。

•SC.CF.2-1：应设置正确的FLS参数。

•SC.CF.2-2：应设置正确的油箱参数。

•SC.CF.3：对测得的油位信号进行滤波，避免在某些情况下油位变化过快，例如在长弯道、山坡和斜坡上行驶。

•SC.CF.4：应适当设计总燃料液位估计算法，并应设置反馈，以避免在存在错误或不可用的输入信号或参数时出现大于或小于允许误差的偏差。

•SC.CF.4-1：电压到容量的映射应该是正确的。

•SC.CF.5：当估计的油位达到油箱中可测量体积的极限时，应提供一次低油位警告。

•SC.CF.6：ICL应始终正常工作，包括仪表和灯。

•SC.CF.7：控制器局域网（CAN）总线和通信电缆的稳定性和可靠性应通过一定的方式来保证，例如CAN总线和通信线缆的冗余。

•SC.CF.8：电池应有足够的容量，保证供电的持续可靠。电池与ECU之间的电气连接应稳定。

然后，根据ISO26262第3部分中FSR应规定故障避免、故障检测和控制故障或故障行为的结果等策略的要求，可以从这些SC中导出相应的FSR。

•FSR1：估计总油位的输入信号应为良好状态（即信号在范围内且正确）。考虑的输入信号是：燃油液位、燃油率和应用的驻车制动器。如果输入信号状态不佳，应考虑更换值。

•FSR2：用于估计总燃料液位的输入参数应处于良好状态；应考虑并保留替换值。考虑的输入参数是传感器参数和罐参数。

•FSR3：测量的燃油液位信号应进行过滤，以避免在某些情况下燃油液位快速变化，例如在长弯道、丘陵和斜坡上行驶。

•FSR4：应适当设计总燃料液位估算算法，并使用反馈获取信息，当存在错误或不可用的输入信号时，应以不会导致偏差大于或小于允许误差的方式调整信息或参数。

•FSR5：CAN总线和通信电缆的稳定性和可靠性需要通过一定的方式来保证，例如CAN总线和通信电缆的冗余。

•FSR6：当估计燃油液位达到预定限值以下时，低燃油液位警告应警告一次。

•FSR7：FLEDS中的灯、仪表、电池等硬件应有故障检测策略，出现问题时应主动报警。如果FLEDS失去其功能，驾驶员应有一定的途径获取油位值。

表5.使用FMEA进行危害事件分类和ASIL判定

图8.带有ECU系统和分配元素(AE)的FLEDS的详细功能结构

图9.在安全控制结构的每个部分中要考虑的UCA的起因

表6.FLED不安全控制行为的原因分析

表6.续

6.讨论

虽然ISO26262第3部分在其适用范围中已经说明，本文件所涉及的危害是指由物品的故障行为及其相互作用引起的危害，但HARA过程只关注故障行为引起的危害，如果车辆中的每个其他系统都足够独立，则假设它们正常运行。但是，得出HARA仅针对由相关项失效引起的危害的结论有点武断，因为故障行为是指与设计相关的故障或意外行为意图，但ISO26262没有具体说明“意外行为”到底包括什么。而对于STPA，事故是由于组件失效控制不充分、组件功能失调、外部干扰等造成的。此外，STPA不处理风险评估，只关注导致事故的安全约束控制或执行不充分的原因。为了在概念阶段满足ISO26262的所有要求，我们将STPA和FMEA结合起来，形成了一种新的分析方法STPAFT。STPA和FMEA可以相互补充，所以STPAFT不仅具有STPA在危害分析方面的优势，而且可以进行风险评估。通过FMEA对低级组件的关注，STPAFT可以获得更详细的致因，这对于ISO26262概念阶段的功能安全需求推导非常有帮助。还有一点值得注意的是，ISO26262似乎并没有对一个相关项的定义做出系统性的要求。因此，我们可以利用STPA关于安全控制结构的信息，从系统功能和系统边界的角度来清晰地描述一个相关项。在高速发展的汽车领域，汽车先进功能和智能化程度的不断提高，大大提高了汽车的自动化程度。为了确保功能安全，必须考虑除组件失效之外的其他导致危害的因素。因此，将STPA纳入功能安全标准或将成为一种趋势。

7.结论和未来工作

对于可以被描述为安全关键系统的汽车系统，它们必须完全满足安全要求和功能要求。安全要求描述了系统为保持安全而必须具备的特性，以及必须确保的关键属性，以减轻或避免潜在的不可接受的危害。违反安全要求将使系统面临各种可能的风险。因此，必须考虑安全要求，以降低汽车系统设计和开发过程中的风险。如今，软件的密集使用和功能需求的增加显著增加了汽车系统的复杂性。因此，基于可靠性理论的传统安全分析技术在现代复杂安全关键系统的安全分析中会有一定的局限性，不适合单独使用。

在本文中，我们将STPA和FMEA结合起来，得到一种新方法，称为STPAFT，它兼有STPA和FMEA的优点。它不仅扩大了危害源的范围，而且可以评估风险。我们以FLEDS系统为案例，详细描述了STPAFT的分析过程以及分析结果与ISO26262概念阶段所需工作成果的对应关系。发现STPAF的分析结果完全可以满足ISO26262的要求。此外，通过分析过程，用于建立安全控制结构的信息可以弥补ISO26262中某项系统要求的缺失。然后，通过FMEA对相关组件层面的关注，我们创建了更有针对性的安全约束，有利于安全目标和功能安全需求的推导。

因此，STPAFT的使用将有助于为汽车系统的早期开发和设计过程提供建议。在我们未来的工作中，我们计划探索STPAFT在软件比例更高的全自动车辆安全分析中的作用，并进一步了解使用STPA支持ISO26262概念阶段的优势和局限性。此外，我们计划将基于模型的安全分析技术引入到STPAF的实施过程中，力求将STPAFT抽象成一个标准的架构，以利于其自动化实施，提高分析效率、正确性、一致性和可追溯性。

关注牛喀网，学习更多汽车科技。有兴趣的朋友，可以添加牛小喀微信：NewCarRen，加入专家社群参与讨论。

详询“牛小喀”微信：NewCarRen

作者：牛喀网专栏作者
牛喀网文章，未经授权不得转载！