前言

随着工业和汽车领域自动化的出现，人们对功能安全的需求有增无减。所有的工业应用都有功能安全要求，尤其是在工厂自动化和控制系统中。
在汽车行业，尽管安全气囊和制动系统在多年前就具备了功能安全性，但随着电气化水平的提高和自动驾驶功能的出现，系统需要控制电池管理、传感器融合和车辆操作，进而增加了对功能安全设计的需求。
无论是设计工厂机器人系统、家用电器还是汽车，人们对设计工程师提出了更高的要求，即交付的项目应符合应用相关的功能安全标准。
在不要求遵循标准的应用中，设计更安全的系统是在同类竞争产品中脱颖而出的关键因素。

什么是功能安全？

在汽车电子行业，功能安全国际标准 ISO26262 和国标 GB/T34590 将功能安全定义为：避免因电子电气系统故障而导致不合理的风险。即随机和系统性失效不会导致安全系统的错误功能，从而导致人的伤害死亡，或环境污染，或设备财产损失。

功能安全范围

您是否参与汽车电子设备、控制单元、电子系统或用于汽车安全关键功能的组件的开发？ 如果您是，您的工作必须符合 ISO 26262 的要求，该标准是专门为车辆的功能安全而制定的。 开发软件、嵌入式电子系统和其他形式的技术变得越来越复杂，因此必须满足 ISO 26262 的要求。

功能安全标准

功能安全标准认为危险总是存在的，因此，所有系统都有一个固有故障率。
功能安全标准对如何开发系统作出了规定，从而将故障率降低到可容忍水平。
包含功能安全的系统设计必须能降低由操作不当引发故障的风险，还能检测故障并充分降低故障造成的影响。
为实现功能安全合规性，工程师必须：
• 预测并定义危险状况。
• 确定能应对危险状况的安全功能。
• 评估安全功能的风险降低等级。
• 确保安全功能符合设计初衷。
各类安全标准都规定了风险降低等级和安全完整性等级 (SIL)。例如，IEC 61508 标准将 SIL 划分为 SIL 1 至 SIL 4 四个等级，其中 SIL 4 的要求最高。
SIL 1 要求安全可用性为 90% 至 99%，平均要求失效率 (PFDavg) 为 0.1 至 0.01。
SIL 4 要求安全可用性 > 99.99%，PFDavg 为 0.0001 至 0.00001。

功能安全流程

在功能安全开发流程中，通常需要先确定各种危险情况和功能安全目标。然后，工程师开始检查系统架构、模块和 IC。之后，将 IC 作为符合功能安全标准系统的主要构建块进行开发。
为预测系统可能出现的行为，工程师必须量化和预测模块的运行情况。为此，工程师必须在开发流程中对系统进行结构化安全定性分析，从而找出各种失效模式、失效原因及其影响。

功能安全之雨刮器开关案例

车辆在下雨环境下行驶，雨刮器起着非常重要的作用，一旦雨刮器发生故障停止工作，短时间内事故率直线飙升。
让你设计雨刮器的开关控制逻辑，你会怎样设计呢？

常规设计思路是：

• 雨刮器拨杆开关拨至 ON 档，雨刮器电源接通，雨刮器开始刮雨动作。
• 雨刮器拨杆开关拨至 OFF 档，雨刮器电源断开，雨刮器在刮完最后一次后停止动作。

但是这样有个问题，拨杆、拨杆到雨刮器连线、雨刮器这三者只要有一者出现故障，雨刮器就无法工作了。如果在大雨环境下出现故障，则会发生严重后果。

功能安全的设计思路是：

• 雨刮器电源始终保持接通状态。
• 雨刮器拨杆开关拨至 ON 档，周期（如 0.5s）向雨刮器发送“动作抑制”信号，雨刮器收到后，刮雨动作被抑制，停止动作。
• 雨刮器拨杆开关拨至 OFF 档，不向雨刮器发送“动作抑制”信号，雨刮器在一定时间内（如 1s）没有收到“动作抑制”信号，则开始刮雨动作。

这样设计，即使拨杆开关坏了、拨杆开关到雨刮器之间的链路出问题了，最坏的结果也是大晴天雨刮器不停的摆动，对行车安全不会造成影响。（PS：这也是为什么，车辆在发生车祸后，雨刮器会一直刮个不停，并不是手忙脚乱拨动了雨刮器，而是由于撞击导致拨杆开关到雨刮器之间的链路发生了故障，或者控制器被撞坏了，无法向雨刮器发送“动作抑制”信号，导致雨刮器被释放，一直刮个不停）

总结就是，刮比不刮更安全，那就设计成出故障也让它刮。