内容提要：功能安全分析包括FTA（故障树分析）、FMEA（故障模式和影响分析）和HAZOP（危害和可操作性）。这些分析在处理由复杂的相互关系引起的故障或错误方面存在局限性，因为它假设影响风险的故障或错误是由特定组件引起的。为了克服这个限制，有必要应用STPA（系统理论过程分析）技术。

摘要

目前，电控系统在汽车中的应用越来越多。这极大地增加了车辆设计的复杂性，并导致系统的故障增加，由于故障引起的安全问题正在成为一个新的挑战。基于与电气/电子/可编程电子产品的功能安全相关的IEC 61508标准，针对汽车行业的ISO 26262标准2011年首次制定，并于2018年发布了修订版。ISO 26262覆盖了系统故障引起的失效，ISO 21448被提议用于处理因周围环境变化等导致的意外故障。ISO 26262规定了整个生命周期的安全相关要求。功能安全分析包括FTA（故障树分析）、FMEA（故障模式和影响分析）和HAZOP（危害和可操作性）。这些分析在处理由复杂的相互关系引起的故障或错误方面存在局限性，因为它假设影响风险的故障或错误是由特定组件引起的。为了克服这个限制，有必要应用STPA（系统理论过程分析）技术。

1.简介

最近，电气/电子控制系统的使用不仅在汽车行业而且在各种行业中都在增加。这种电气/电子控制系统的使用增加，极大地增加了系统设计的复杂性，这导致系统故障增加，并且由于这种故障引起的社会安全问题正在成为一个课题。

1.1背景和必要性

1985年发生的辐射医疗器械Therac-25事故，就是故障导致事故的一个例子，汽车行业也不例外。就像2009年日本丰田事故一样，控制系统的软件出现问题，导致事故发生。在汽车行业，汽车功能安全国际标准“ISO 26262–道路车辆功能安全”是在IEC 61508国际标准的基础上于2011年制定的，后于2018年修订补充发行第2版。ISO 26262的目的是防止系统和组件故障引起的风险，并提高功能安全性和可靠性。然而，即使系统或组件没有缺陷，也可能会发生危险情况。例如，图像传感器没有故障，但可能会因照度的突然变化而失去识别功能。因此，可能会发生故障，也可能存在意想不到的风险。为了解决这个问题，提出了一个名为“ISO/PAS 21448–SOTIF–预期功能安全”的新功能安全标准。

ISO 26262提出了贯穿整个生命周期的安全相关要求。具有代表性的风险分析技术包括FTA（故障树分析）、FMEA（故障模式与影响分析）和HAZOP（危害与可操作性）。这种分析方法是一个事件链模型，它是一种由于组件的连续错误而发生事故的理论。这些分析技术将特定组件的故障视为风险。然而，随着近年来系统变得越来越复杂，由于组件故障以及复杂的相互关系或外部环境因素，处理故障或错误的能力越来越有限。为了处理现代复杂系统之间相互作用引起的错误，Leveson在STAMP（系统理论事故模型和过程）模型的基础上提出了STPA（系统理论过程分析）方法。STPA技术通过系统组件的交互识别UCA（不安全控制操作）来识别风险。

1.2问题定义

有人通过结合STPA和FMEA获得了一种新方法。然而，将这两种分析方法结合起来会使程序复杂化并消耗大量分析时间。人们在ISO 26262中提出STPA做为风险分析方法，证实了STPA是推导安全约束的有效且高效的方法。也有人评估了这种方法在初始系统设计阶段的可行性和实用性。但是该方法在如何建模和分析系统方面仍然需要改进。

对于本文的范围和目标，如图1所示，在风险分析方法中选择了STPA。我们分析了确保STPA可靠性的可行性，并结合AEB（自动紧急制动）系统的应用示例，验证STPA的效率，并确认其可行性。

图1.本文的范围和目标

按照图2的顺序，我们首先描述ISO 26262和ISO/PAS 21448 (SOTIF)。然后，说明了FTA、FMEA、HAZOP等风险分析的局限性和STPA的必要性。并将STPA应用于自动紧急制动(AEB)系统，确认了可行性。

图2.本文的过程

1.3本文的构成

本文的构成如下：第2节描述了理论背景。通过FTA、FMEA和HAZOP等比较风险分析，提出局限性并讨论STPA的必要性。第3节探讨了STPA在AEB系统中的应用。最后，第4节描述了本研究和未来工作的结论和局限性。

2.基于ISO 26262和STPA的可靠性设计分析

2.1 ISO 26262与ISO/PAS 21448的比较

ISO 26262是ISO制定的功能安全国际标准，旨在防止汽车领域电气电子系统中因功系统错误引起的事故。ISO 26262提出了从开发到生产和报废的整个生命周期中的安全相关要求。ISO 26262的目标是达到安全目标，这个安全目标带有ASIL（汽车安全完整性等级），分为QM、A、B、C、D。设定安全目标后，FMEA、FTA、HAZOP等用于安全分析。

SOTIF处理非故障情况。SOTIF分为四个主要区域。1)已知安全场景(area1)，2)已知不安全场景(area2)，3)未知安全场景(area4)，以及4)未知不安全场景(area3)。图3显示了SOTIF四个区域的可视化。SOTIF的目的是减少未知或不安全的情况。

图3.已知/未知和安全/不安全场景的可视化

2.2风险分析方法FTA、FMEA、HAZOP的比较

FTA是使用逻辑门的组合来查找故障原因。故障和故障原因由树组成，故障位于树的顶部，故障的最终原因位于底部（根）。所有的原因都可以用各种逻辑组合来表示，并且可以计算出故障发生的概率作为最终组合。图4显示了FTA的实施过程。

图4.FTA过程

FMEA是一种定性和归纳性故障分析技术，是可靠性方法学领域中使用最多、最著名的技术。FMEA是一种用于在初始开发过程中识别系统组件的潜在故障模式和原因的技术。FMEA测量严重性、发生频率和探测概率，以计算已识别故障模式的结果。图5显示了执行FMEA的过程。

图5.FMEA过程

HAZOP是一种导出系统或过程的所有偏差并分析风险的技术，是一种定性风险分析技术，用于识别偏差是否发生或由于偏离设计意图而发生。HAZOP使用引导词分析可能的风险。图6显示了HAZOP的过程。

图6.HAZOP过程

表1.风险分析方法比较

2.2执行STPA的程序

FTA是现有的一种风险分析方法，需要统计、概率等专业知识，其局限性在于分析系统规模越大，耗费大量成本和时间。FMEA的局限性在于难以考虑复杂的相互作用，并且反映了作者的主观意见。另外，由于HAZOP仅使用引导词进行分析，因此依赖于专家的经验，存在耗费时间和金钱的局限性。这些风险分析侧重于组件故障。

随着近年来电气和电子控制系统的增加，软件的比例增加，系统变得更加复杂，使得难以使用现有的风险分析方法进行分析。为了克服这一点，Leveson提出了基于系统理论的系统理论事故模型和过程(STAMP)模型。STPA（系统理论过程分析）是一种基于STAMP的风险分析方法，从控制的角度分析系统，识别出可能导致风险的不当控制。除了SW和HW之外，STPA的优势在于通过将与系统开发和运行相关的所有因素表达为模型，例如人和环境等因素来分析风险。图7显示了STPA程序，这是一种基于STAMP的风险分析方法。

图7.STPA过程

第1阶段定义事故和危险。定义被细分为几步，例如定义思想、定义系统级风险和推导系统级安全约束。事故定义阶段定义事故的范围，并给出一个ID，方便事故的追踪。在系统级风险定义中，选择目标系统，定义范围，定义风险。系统级安全约束推导出一种状态或动作，以防止先前定义的风险的发生。

在第2阶段，绘制控制结构示意图，示意图由主体、客体、控制和响应组成。

在第3阶段UCA（不安全控制措施）推导中，我们通过将可能导致系统风险的不稳定控制识别为四种类型来分析风险，如表2所示。

表2.可能导致危险的不安全控制结构

在第4阶段原因场景推导中，分析了上述推导的4种UCA的原因。它可以大致分为两种类型，第一种是推导出不安全控制输出的原因。二是分析控制不当或未控制的原因。最后，基于这些原因，创建一个原因场景。

3.将STPA应用于AEB系统

AEB系统是一种自动紧急制动系统，可识别移动车辆前方的障碍物，预测碰撞，并自动操作制动器以防止碰撞。AEB系统的操作顺序如下。1）它通过传感器信息接收目标信息，并通过融合来自ECU（电子控制单元）的信息来检测前方障碍物。2)基于自我车辆，通过计算与前方车辆的相对速度和距离来计算TTC（碰撞时间）。3）根据计算出的TTC值控制运动，使车辆不发生碰撞。

定义第1阶段事故和危险会导致以下结果：当乘员在驾驶过程中受伤或死亡并且车辆损坏时，就会发生事故。风险是当乘客在驾驶时处于危险境地或未与前车保持最小安全距离。

表3.事故的定义

表4.风险定义

第2阶段的控制结构示意图如图8所示。从传感器获得的信息计算速度和距离并传输信息，并据此向车辆发出指令。

图8.AEB系统的控制结构

表4显示了阶段3不安全控制操作。有一种情况是在行驶中请求制动命令，但制动命令没有被执行，或者制动命令请求时间太晚。

表5.风险定义

第4阶段原因场景如下。UCA1在行驶中不执行制动命令的原因，可能是车辆当前位置值的提供不正确或传感器测量值不正确。或者，可能存在未接收到制动命令本身的原因。UCA2的可能原因是提供了不正确的汽车当前位置值或不正确的传感器数据。

表6.推导UCA的因果场景

4.结论

过去，FTA、FMEA、HAZOP等都是针对事故原因的特定部件来使用的。然而，随着近来软件的使用增加，系统变得更加复杂。因此，发生意外事故（例如外部环境而不是系统或组件错误）的风险增加了。此外，不仅由组件引起的故障，而且由于组件或系统之间的交互而导致的故障也有所增加。因此，建立了ISO/PAS 21448标准以防止意外事故的风险，并开发了STPA技术来处理由组件交互引起的故障或错误。

在本文中，描述了ISO/PAS 201448国际标准和STPA分析方法的必要性。STPA分析提供结构化场景分析。此外，在汽车的众多系统中，STPA被应用到紧急自动控制系统AEB系统中，分析风险并得出原因场景。我们确认STPA可有效识别危害或风险。未来将通过使用STPA为各种系统推导场景来确保客观性。

作者：牛喀网专栏作者
牛喀网文章，未经授权不得转载！