以下文章來源于汽車電子研究院，作者ZZ先生志

一、EMB系統功能安全

功能安全概念（functional safety concept，FSC）是以安全目標為最上層需求，進而制定安全機制，實現功能安全需求（functional safety requirement，FSR）的逐層分配。

（1）功能安全架構

通過系統功能安全分析，可知 EMB 系統為 ASILD 等級。為實現系統安全要求，同時降低系統成本，本文結合傳統硬件冗余方案，添加軟件層的校驗以及通過人機界面進行故障警告顯示，建立三路并行的安全機制，可實現系統在硬件層、軟件層的故障探測和駕駛員對車輛信息的實時獲取，保障車輛安全。具體安全措施包括硬件方面的傳感器冗余、加設狀態檢測傳感器、電源完全冗余及 CAN 線冗余的硬件冗余和硬件監測方式；軟件層面對數據進行二次校驗及合理性判斷；系統發生故障后通過人機界面顯示錯誤和警告信息實現人機交互，系統功能安全架構如圖所示。

（2）EMB 系統設計

根據 EMB 系統基本組成以及上文建立的三路并行的功能安全架構，結合目前應用的制動系統電子電器架構，可以設計出面向應用的 EMB 系統基本電子電氣架構（electrical/electronic architecture，EEA）。系統相關項定義中已確定了系統基本組成單元，考慮系統的安全機制以及功能安全需求，可對每個功能模塊進行優化和調整。EMB 系統具體電子電氣架構如圖所示。

（3）功能安全需求（FSR）分析

根據系統電子電氣架構及安全目標，可通過安全分析技術分析出系統功能安全需求（FSR），并計算其ASIL 等級。此外，考慮實際應用中，較高安全等級的系統零部件制造難度及成本較高，本文按照標準中規定的汽車安全完整性等級分解規則，針對系統較高級別的 ASIL 等級需求進行分解，ASIL D 的常用分解規則如下式所示。

根據 ISO 26262 標準，安全方法有故障樹分析（faulttree analysis， FTA）和潛在失效模式與后果分析（failuremode and effects analysis， FMEA），由于 FTA 方法對于單點失效和多點失效都適用，而 FMEA 只適用于單點失效，所以本文采用 FTA 方法進行安全驗證。這里僅以表中的 SG06 功能安全目標為例，建立 SG06 的故障樹模型如圖。硬件冗余、信號校驗機制和錯誤警告的三路并行的安全機制增加了系統可靠性和魯棒性，通過故障樹分析得出 EMB 系統的功能安全需求，以 SG01 為例，通過 ASIL 分解將系統對某些硬件的高要求轉換為較低的要求或將對硬件的高要求轉換成對軟件和算法的要求，可大幅降低系統成本及制造難度，在應用的可行性及系統成本方面具有顯著優勢。

（4）系統技術安全需求（TSR）分析

根據以上 FSR 分析結果及系統 EE 架構，通過安全分析方法將系統的功能安全需求進一步提煉，得出SG01 的技術安全需求。基于以上安全分析結果，可知該功能安全架構設計在保障系統可靠性的同時，有效降低了 EMB 系統對硬件的安全需求，減少了 EMB 系統的制造難度和成本。