原创 聊聊系统安全

功能安全的概念，目前已经在做汽车电子的、做新能源汽车的高端企业里面蔚然成风了，不过由于我们一向在系统工程的设计前端的欠缺，所以这块还是努力要抛砖引玉的。

系统安全，其实是系统工程里面非常重要的一部分，这也是我在车厂学到最珍贵的一部分。有三篇文章/材料，介绍的比较细。

1. 2014 03 Application of STPA to a Shift by Wire System (GM-MIT Research Project)

2. 2013 04 Compatibility of STPA with GM System Safety Engineering Process Padma Sundaram Dave Hartfelder

3. 2011 04 Application of System Safety Engineering Processes to Advanced Battery Safety Galen Ressler

从更广义的材料来看这个系统安全的概念，有以下的一些材料

1. What System Safety Engineering Can Learn from the Columbia Accident

2. White Paper on Approaches to Safety Engineering N Leveson

3. Concepts in Risk Management P.L. Clemens and R.R. Mohr

4. System Safety Engineering An Overview for Engineers and Managers

5. Chapter 3:Principles of System Safety

6. NASA Systems Engineering Handbook

7. Preliminary Hazard Analysis Marvin Rausand

8. Preliminary Hazard Analysis (PHA) Packet

9. ENGINEERING SYSTEMS MONOGRAPH

10. SOFTWARE AND SYSTEM SAFETY

其核心的观点，其实就是运用系统思维或者说系统分析的过程来消除可能存在的风险，这门学问在车辆、飞机、航天等系统性很明显的制造业上，有点异曲同工之妙的意思。以欧洲人牵头搞出来的功能安全更像是其中的一个子集，对电子控制系统的一种判定，光有子系统一级，没有产品一级或者说是系统一级的能力，有点本末倒置的。

1)概念阶段
    在概念设计阶段，所有系统能够识别出来的风险被整理成一个个安全概念或者策略。使用的办法是使用初步危害分析(PHA) 的方法，用这样一个电子表格的方法来识别潜在危害。这里需要列举所有系统潜在危害，找出其可能起因和相应的最坏情况场景的描述，通过分析来确认消除条件。可使用ISO26262里面的风险分类方法，引入ASIL ，确定S、C、E。这个就阶段的成果是用安全概念文档来衡量，这个阶段做完以后，需要做系统安全和电池系统还有整车专家来进行阶段性评审。

对车辆的风险评估：

1. Unintended Longitudinal Vehicle Acceleration

2. Loss/Reduced Longitudinal Vehicle Acceleration

3. Unintended Travel in the Opposite Direction

4. Unintended Propulsion Engage (or Power flow)

5. Loss of Propulsion (or Power flow)

6. Unintended Longitudinal Vehicle Motion (Rollaway)

7. Loss of Longitudinal Vehicle Motion

8. Unintended Vehicle Deceleration

9. Loss/Reduced Vehicle Deceleration

10. Unintended Lateral Vehicle Motion

11. Loss of Lateral Vehicle Motion

12. Unintended Vehicle Yaw

13. Unintended Vehicle Vertical Motion/Roll

分析问题所在：

对比部件一级的问题：

2)需求阶段
    这里就需要对所有的系统进行安全要求的归档和整理，将相关的输入信息，包括PHA、安全目标、客户期望、危害认定、国家安全法规整合到系统规范里面去，要确保这些安全要求分解至子系统，这里包括软件控制的功能要求比如继电器控制和高压管理，也包括部件要求。
3)设计阶段
    这个阶段，最主要是的是对所有系统和部件，进行FTA和FMEA方面的细致工作。
4) 验证阶段
    验证阶段主要是对系统的安全性需要进行独立的安全性试验，以确认子系统验证结果证实设计的技术要求满足安全需求；在系统一级完成以后，在车辆测试保证整个系统情况的。最后一个阶段，文件评审和追踪也是在台面上需要完成的，主要包括PHA&安全概念、系统安全要求、功能子系统要求和物理子系统要求。

小结：

1）新能源汽车里头，我认为最难的是整车控制器，因为牵涉的内容就是保证整车安全，保证系统工作

2）部件是可以买的，整个系统整合和保证系统安全的能力，去哪里买？

3）跨公司，跨行业进行交流，是大家系统能力成长的很好的路径，忽略行业之间的开发时间，使用环境等差异之后，可以交流一些背后的东西，将暗默知识提升到形式知识，其实是我们很欠缺的

4）对于系统安全，抛砖引玉，从部件开发往系统级开发这么一提升，对人的要求（认知、协调和分析）提升了数个档次