摘要

硬件系統(tǒng)日益提升的復(fù)雜性與自主性，使得對整個系統(tǒng)及單個組件功能安全性的驗證成為一項極具挑戰(zhàn)性的工作，這也凸顯了故障樹分析（FTA）、失效模式與影響分析（FMEA）以及失效模式、影響及診斷分析（FMEDA）三者間協(xié)同理念的必要性。本文提出了一種基于模型的風(fēng)險分析方法，該方法符合 ISO 26262 標準。研究目標是借助 APIS IQ-RM 工具，對車輛中現(xiàn)有系統(tǒng)展開分析。通過運用本文所提出的統(tǒng)一安全分析模型，實踐證明，在汽車行業(yè)已開發(fā)系統(tǒng)中，識別潛在失效的流程得到了改進。

1、引言

自 18 世紀第一臺蒸汽機發(fā)明以來，直至 21 世紀，汽車行業(yè)始終處于持續(xù)發(fā)展的進程中。

20 世紀 70 年代起，首批汽車開始配備電子控制單元（ECU），當(dāng)時它被視作發(fā)動機的 “計算機”，能夠確保發(fā)動機以最佳狀態(tài)運行。如今，汽車已配備數(shù)十個電子控制單元。工業(yè)自動化是機械工程與電氣工程交叉融合的領(lǐng)域，其最終目標是探索無需人工參與即可實現(xiàn)機器自動化運行的方法。

正如Prostean等人所指出的，當(dāng)今汽車系統(tǒng)工程的復(fù)雜度不斷攀升，汽車系統(tǒng)已演變?yōu)橛啥鄠€電子控制單元通過特定汽車通信通道相互連接構(gòu)成的集合體。眾所周知，功能安全領(lǐng)域是所有工業(yè)領(lǐng)域都需重點關(guān)注的核心問題，無論是核電站、航空業(yè)、醫(yī)療器械制造業(yè)，還是汽車行業(yè)。鑒于上述情況，顯而易見的是，汽車的復(fù)雜程度已達到極高水平，因此，對功能安全的需求已成為必然。此外，對汽車產(chǎn)品審核專業(yè)人才的需求也隨之增加，在與功能安全相關(guān)的項目中，質(zhì)量問題是必須重點關(guān)注的內(nèi)容。

遵循 ISO 26262 標準，能夠?qū)崿F(xiàn)與功能安全相關(guān)項目的高質(zhì)量交付。為簡化該標準的應(yīng)用，眾多研究者針對汽車行業(yè)當(dāng)前的特定需求，如自動駕駛系統(tǒng)或電動汽車，提出了多種適配的方法。

汽車系統(tǒng)開發(fā)過程中至關(guān)重要的環(huán)節(jié)，在于需求定義流程以及運用汽車安全完整性等級（ASIL）屬性對功能安全進行分級。Gharib等人提出了一種基于模型的方法，該方法在汽車安全完整性等級（ASIL）需求的建模與分析過程中，同時兼顧了技術(shù)層面與社會層面的因素。這使得需求工程師能夠 “明確界定與駕駛員行為及其與項目（即產(chǎn)品）其他組件間的交互和依賴關(guān)系相關(guān)的設(shè)計規(guī)范”。在這些組件的設(shè)計階段，通常會采用用于安全規(guī)范的統(tǒng)一建模語言（UML）概要文件。

Lu與Chen提出了一種基于模型的安全關(guān)鍵系統(tǒng)分析框架，該框架包含以下三個階段，最終輸出失效模式、影響及診斷分析（FMEDA）報告：

· 安全關(guān)鍵薄弱點分析；

· 面向安全的系統(tǒng)硬件架構(gòu)探索；

· 安全機制有效性評估。

無論系統(tǒng)性質(zhì)如何，其架構(gòu)均由系統(tǒng)本身、子系統(tǒng)和組件構(gòu)成。基于這一前提，可將系統(tǒng)從三個層級進行分解。采用自下而上的分析方法，為每個組件分配一項或多項需求。

要使系統(tǒng)精準運行，就必須滿足為其分配的所有功能需求。然而，大多數(shù)情況下，系統(tǒng)安全工程師很難對此進行驗證，因為系統(tǒng)往往極為復(fù)雜，工程師們常常難以全面掌控系統(tǒng)整體情況。ISO 26262 標準支持在道路車輛安全相關(guān)嵌入式系統(tǒng)的整個生命周期內(nèi)，采用正式的方法開展各類驗證工作，以實現(xiàn)最高水平的安全完整性。隨著車輛系統(tǒng)愈發(fā)復(fù)雜，系統(tǒng)安全工程面臨著更多新的挑戰(zhàn)。這一觀點在日常生活中也能得到印證 —— 我們時刻處于電氣和 / 或電子（E/E）系統(tǒng)的包圍之中，而這些系統(tǒng)一旦發(fā)生失效，可能會引發(fā)災(zāi)難性的安全后果。

如今，眾所周知的元器件短缺問題依然尚未得到解決。部分半導(dǎo)體制造廠宣布停產(chǎn)的消息，已在多個行業(yè)引發(fā)了各類混亂，汽車行業(yè)也未能幸免。這對硬件（HW）工程師而言是一大難題，他們必須構(gòu)思重新設(shè)計方案，甚至更換元器件。而這一情況也可能對整個系統(tǒng)的安全運行產(chǎn)生影響。為證明更換元器件不會對系統(tǒng)安全造成影響，系統(tǒng)安全工程師必須對這一變更進行影響分析。首先，他們需要明確新舊兩個元器件之間的差異，隨后評估新元器件的有效性。要完成上述兩項驗證工作，就必須開展失效模式與影響分析（FMEA）、故障樹分析（FTA），甚至失效模式、影響及診斷分析（FMEDA）。

本文旨在闡明，有必要構(gòu)建一個同時結(jié)合定量分析與定性分析的模型；此外，還需將該模型與需求相關(guān)聯(lián)，以形成完整的分析視角。

2、ISO 26262標準與安全生命周期

ISO 26262 標準適用于配備一個或多個電氣和 / 或電子（E/E）系統(tǒng)，且最大總質(zhì)量不超過 3.50 噸的量產(chǎn)乘用車中的安全相關(guān)系統(tǒng)。在汽車行業(yè)，所有相關(guān)方都必須遵循 ISO 26262 標準，該標準是為自動駕駛車輛電子系統(tǒng)安全規(guī)范而制定的。“ISO 26262 標準用于衡量具備自動駕駛功能車輛中電子元器件的安全系統(tǒng)性能及失效概率”。

ISO 26262 標準于 2011 年首次發(fā)布，其目的是清晰識別硬件（HW）或軟件（SW）可能存在的故障，并推行一套確保汽車電氣和 / 或電子（E/E）系統(tǒng)功能安全的標準。該標準源自 IEC 61508 標準，而 IEC 61508 標準負責(zé)規(guī)范 “電氣 / 電子 / 可編程電子安全相關(guān)系統(tǒng)的功能安全”。ISO 26262 標準的第一版包含 10 個部分，2018 年發(fā)布的第二版新增了兩個章節(jié)，分別是 “ISO 26262 標準在半導(dǎo)體領(lǐng)域的應(yīng)用指南” 和 “ISO 26262 標準針對摩托車的適配規(guī)范”。

安全生命周期（見圖 1）展示了在概念階段、產(chǎn)品開發(fā)、生產(chǎn)、運行、服務(wù)以及退役等階段的核心安全活動。根據(jù) ISO 26262 標準，關(guān)鍵的安全管理工作包括對與功能安全相關(guān)的活動進行規(guī)劃、協(xié)調(diào)和跟蹤。上述工作是每個項目啟動時首要開展的環(huán)節(jié)，但這并不意味著完成這些工作后就無需進一步改進。建議在產(chǎn)品開發(fā)的各個階段，根據(jù)需要對相關(guān)內(nèi)容進行重新定義，直至項目最終獲得批準并投入生產(chǎn)。

圖1： ISO 26262 安全生命周期

圖 2: 嚴重程度、暴露度和可控性評級

對于每個安全系統(tǒng)，需根據(jù)危害分析與風(fēng)險評估（HARA）為其分配至少一個安全目標，危害分析與風(fēng)險評估是概念階段的重要組成部分。根據(jù) ISO 26262 標準，危害分析與風(fēng)險評估（HARA）是一種 “用于識別和分類項目危害事件，并確定與預(yù)防或緩解相關(guān)危害以規(guī)避不合理風(fēng)險相關(guān)的安全目標和汽車安全完整性等級（ASIL）的方法”。

換言之，危害分析與風(fēng)險評估（HARA）的目的在于識別并評估可能導(dǎo)致電氣和 / 或電子（E/E）系統(tǒng)發(fā)生危害的故障相關(guān)風(fēng)險。

表 1： ISO 26262 標準下的 ASIL 等級確定

要正確開展危害分析與風(fēng)險評估（HARA），需遵循以下兩個步驟：

步驟 1：評估與項目相關(guān)的危害事件的暴露概率、可控性及嚴重程度。圖 2 展示了各指標的評級標準。

確定上述三個特性后，依據(jù)評估結(jié)果，按照表 1 所示確定汽車安全完整性等級（ASIL）。

ISO 26262 標準定義了四個汽車安全完整性等級（ASIL），分別為 ASIL A、ASIL B、ASIL C 和 ASIL D，其中 ASIL A 的安全完整性等級最低，ASIL D 的安全完整性等級最高。除這四個等級外，質(zhì)量管理（QM）等級表示無需遵循 ISO 26262 標準的相關(guān)要求。

步驟 2：危害分析與風(fēng)險評估（HARA）的輸出結(jié)果為確定項目的安全目標。

安全目標處于安全需求的最高層級，即車輛層面。之后，安全目標將獲得在危害分析與風(fēng)險評估（HARA）中確定的汽車安全完整性等級（ASIL）。

3、危害事件

在汽車行業(yè)的重大災(zāi)難性事件史上，有一起事件對功能安全產(chǎn)生的影響尤為顯著。2009 年 8 月 28 日，警察Mark Saylor駕駛一輛雷克薩斯 ES350 轎車，攜家人在高速公路上行駛。行駛過程中，車輛突然失控，時速超過 160 公里，且剎車完全失靈。最終，車輛在十字路口發(fā)生碰撞，車內(nèi)四人當(dāng)場身亡。經(jīng)過多年的法庭訴訟，最終調(diào)查結(jié)果公布：其中一段源代碼存在缺陷，這一缺陷可能導(dǎo)致安全目標無法實現(xiàn)。

美國國家公路交通安全管理局（NHTSA）對該事件展開了調(diào)查，并指出腳墊位置不當(dāng)導(dǎo)致油門踏板被卡住，進而使發(fā)動機轉(zhuǎn)速達到最大值，這是引發(fā)事故的原因。然而，這一推測很快被推翻。由于豐田汽車接收到多起關(guān)于車輛意外加速的投訴，2007 年豐田公司啟動了一項召回行動，要求所有投訴者及其他相關(guān)車主將車輛送至維修廠更換腳墊。而Mark Saylor在事發(fā)時，車內(nèi)安裝的是另一款腳墊，這款腳墊為駕駛員腿部提供了更大空間。

當(dāng)時，豐田公司與美國國家公路交通安全管理局（NHTSA）的觀點存在明顯分歧。2009 年 9 月 29 日，豐田公司再次召回包括雷克薩斯 ES 在內(nèi)的八款車型的車主，要求更換腳墊。美國國家公路交通安全管理局（NHTSA）稱，此次召回是因為多種因素共同作用導(dǎo)致車輛意外加速。2010 年 5 月 25 日，一則新聞報道稱 “豐田‘意外加速’事件已致 89 人死亡”，且相關(guān)投訴已達 6200 起，事態(tài)極為嚴重，美國國家公路交通安全管理局（NHTSA）遂請求美國國家航空航天局（NASA）協(xié)助調(diào)查。此次調(diào)查持續(xù)了約 10 個月，調(diào)查結(jié)果顯示：“通過所開展的硬件和軟件測試，未能找到證據(jù)證明電子節(jié)氣門控制系統(tǒng)智能版（ETCS-i）會導(dǎo)致如提交的車輛意見問卷（VOQs）中所描述的節(jié)氣門大開度意外加速（UAs）情況。雖然未能找到證據(jù)證明電子節(jié)氣門控制系統(tǒng)智能版（ETCS-i）是導(dǎo)致所報告意外加速（UAs）事件的原因，但這并不意味著此類情況不會發(fā)生。不過，本報告中所描述的測試與分析并未發(fā)現(xiàn)豐田汽車公司（TMC）的電子節(jié)氣門控制系統(tǒng)智能版（ETCS-i）電子設(shè)備是導(dǎo)致車輛意見問卷（VOQs）中所描述的節(jié)氣門大開度情況的可能原因”。

美國國家航空航天局（NASA）的研究重點集中在電子節(jié)氣門控制系統(tǒng)（ETCS）上，該系統(tǒng)包含電子控制模塊（ECM），電子控制模塊依據(jù)公式（1）的原理對節(jié)氣門進行控制。

當(dāng)駕駛員踩下油門踏板時，電子控制模塊（ECM）會接收到相應(yīng)的電壓輸入信號。如今，汽車的自動化程度越來越高，踩下油門踏板僅代表駕駛員對車輛行駛狀態(tài)的期望。

2013 年，多起致命事故中的一起被提交至法庭審理，原告方聲稱車輛意外加速問題是由軟件故障引發(fā)的。在那段時期，此類案件曾多次開庭審理，但均未證實這一假設(shè)。這一證詞基于電子節(jié)氣門控制（ETC）系統(tǒng)，尤其是其源代碼。從 2009 年的事故發(fā)生到 2013 年，豐田公司始終聲稱車輛意外加速的原因是腳墊松動、踏板卡滯或駕駛員操作失誤。而在 2013 年的庭審中，出庭律師在辯論結(jié)束時指出，車輛意外加速并非由上述原因?qū)е拢嬲脑蚴请娮庸?jié)氣門控制（ETC）系統(tǒng)存在問題。

法庭傳喚了多位綜合系統(tǒng)專家出庭作證。Michael Barr及其他專家對電子節(jié)氣門控制（ETC）系統(tǒng)的源代碼進行了檢查，檢查后他們證實，即使是單個比特位的翻轉(zhuǎn)，也可能導(dǎo)致車輛失控。此次調(diào)查得出結(jié)論：豐田汽車電子節(jié)氣門控制（ETC）系統(tǒng)的源代碼存在缺陷，部分漏洞可能引發(fā)車輛意外加速。

鑒于美國國家航空航天局（NASA）的報告已在網(wǎng)上公開，本文以報告中展示的電子節(jié)氣門控制（ETC）系統(tǒng)框圖為基礎(chǔ)，構(gòu)建了一個分層模型。該模型從系統(tǒng)層面逐步細化至組件層面，涵蓋了系統(tǒng)的功能與失效，并通過定量與定性分析，最終探究車輛意外加速的真正原因及其對系統(tǒng)產(chǎn)生的影響程度。

當(dāng)發(fā)生如上述案例中的事故時，工程師們顯然能夠意識到系統(tǒng)中存在失效（無論是軟件失效還是硬件失效），且該故障已導(dǎo)致系統(tǒng)的某一安全目標無法實現(xiàn)。為避免此類情況發(fā)生，ISO 26262 安全標準強調(diào)，開展安全分析是必不可少的工作。下一部分將闡述安全分析的重要性。

4、安全分析

本章將詳細介紹有助于識別和評估故障的安全分析技術(shù)。要開發(fā)一個安全的系統(tǒng)，需明確系統(tǒng)中的安全關(guān)鍵故障，并能夠?qū)@些故障進行控制。安全分析技術(shù)種類繁多，在汽車行業(yè)中，最常用的三種技術(shù)如下，本文也將對這三種技術(shù)進行探討并加以實踐應(yīng)用：失效模式與影響分析（FMEA）、失效模式、影響及診斷分析（FMEDA）以及故障樹分析（FTA）。

安全分析技術(shù)可從兩個維度進行分類：定量分析與定性分析，或歸納分析與演繹分析。表 2 依據(jù)上述分類方式，對各類安全分析技術(shù)進行了描述。

表 2： 定性分析與定量分析

此外，ISO 26262 標準建議，從汽車安全完整性等級（ASIL）B 級開始，應(yīng)開展演繹分析；而無論汽車安全完整性等級（ASIL）處于何種級別，都建議開展歸納分析。

定量分析用于確定失效發(fā)生率與概率；而定性分析僅通過定性標準來評估與失效模式相關(guān)的風(fēng)險。

4.1 失效模式與影響分析（FMEA）

失效模式與影響分析（FMEA）是一種歸納式失效分析方法，用于識別和評估潛在失效及其影響，制定措施以消除或降低失效發(fā)生的可能性，并對整個分析過程進行記錄。

該分析方法的目標如下：

· 提升所分析項目的質(zhì)量、安全性與可靠性；

· 降低額外實施成本或不符合項成本的風(fēng)險；

· 助力開發(fā)穩(wěn)健的設(shè)計方案；

· 確定任務(wù)優(yōu)先級；

· 提高客戶滿意度。

4.2 失效模式、影響及診斷分析（FMEDA）

失效模式、影響及診斷分析（FMEDA）是一種基于表格的硬件分析方法。該方法用于識別硬件組件的失效模式、失效發(fā)生率以及診斷能力。失效模式、影響及診斷分析（FMEDA）的特點如下：

· 失效模式、影響及診斷分析（FMEDA）的分析結(jié)果為硬件架構(gòu)指標，這些指標用于評估安全架構(gòu)的有效性；

· 在開展失效模式、影響及診斷分析（FMEDA）的過程中，需對安全機制的存在性及其有效性做出假設(shè)；

· 故障注入方法可用于輔助開展失效模式、影響及診斷分析（FMEDA）。

4.3 故障樹分析（FTA）

故障樹分析（FTA）是一種自上而下的演繹式失效分析方法，該方法以不期望發(fā)生的危害事件為分析起點，運用布爾邏輯對一系列低層級事件進行分析。該分析方法的主要目標如下：

· 理解故障樹結(jié)構(gòu)背后的邏輯關(guān)系；

· 確定風(fēng)險優(yōu)先級；

· 監(jiān)控并控制系統(tǒng)的安全性能；

· 優(yōu)化資源配置。

若本文旨在對系統(tǒng)中發(fā)生的變更（無論變更性質(zhì)如何）進行影響分析，則需重點關(guān)注定性分析，明確組件功能與其缺陷之間的關(guān)聯(lián)，最終找出可能對安全目標產(chǎn)生直接影響的缺陷。

通過建立這樣的整體視角，也能充分體現(xiàn)汽車行業(yè)開展此類分析的必要性。

5、模型構(gòu)建與分析過程

圖 3 展示了電子節(jié)氣門控制系統(tǒng)智能版（ETCS-i）的框圖。框圖左側(cè)為電子控制模塊（ECM）的輸入部分，右側(cè)為輸出部分，分別對應(yīng)燃油系統(tǒng)、點火系統(tǒng)和節(jié)氣門體組件。電子控制模塊（ECM）包含四個主要部分：電源控制與監(jiān)控模塊、專用集成電路（ASIC）監(jiān)控 - 中央處理器（CPU）、專用集成電路（ASIC）主 - 中央處理器（CPU）軟件功能模塊以及專用集成電路（ASIC）H 橋模塊。電源控制與監(jiān)控模塊位于框圖頂部，負責(zé)為電子控制模塊（ECM）供電。主中央處理器（Main CPU）位于框圖底部中央，負責(zé)控制各類電氣設(shè)備（繼電器、電機、電磁閥和指示燈）的運行。主中央處理器（Main CPU）所需的模擬信號，可通過其內(nèi)部的模數(shù)（A/D）轉(zhuǎn)換端口獲取。根據(jù)美國國家航空航天局（NASA）關(guān)于意外加速（UA）的報告，主中央處理器（Main CPU）的軟件功能包括踏板指令功能、怠速控制功能、定速巡航控制功能、變速箱換擋控制功能、車輛穩(wěn)定控制（VSC）功能以及節(jié)氣門控制功能。借助這一復(fù)雜且描述詳盡的系統(tǒng)框圖，下一步需在 APIS IQ-RM 工具界面中構(gòu)建如圖 4 所示的框圖，以開展后續(xù)分析。

圖 3:系統(tǒng)整體功能框圖

圖 4：系統(tǒng)框圖的總體結(jié)構(gòu)樹

APIS IQ 軟件是一款集成失效模式與影響分析（FMEA）、風(fēng)險分析、功能安全及需求管理功能的軟件]，這一特性使其非常適合用于構(gòu)建本文所提出的模型。該軟件針對 Windows 系統(tǒng)進行了優(yōu)化適配，是集成到工作流程與文檔管理系統(tǒng)中的前瞻性基礎(chǔ)工具。

本文構(gòu)建的模型采用樹形結(jié)構(gòu)。模型的第一層為發(fā)動機部分，第二層為執(zhí)行器（噴射系統(tǒng)、燃油系統(tǒng)和節(jié)氣門體）。進一步細化可看到電子控制模塊（ECM）子系統(tǒng)以及輸入輸出接口（與電子控制模塊（ECM）相連）。再下一層為四個主要模塊：電源模塊、微控制器（主中央處理器（Main CPU））、監(jiān)控中央處理器（Monitor CPU）和 H 橋模塊。模型的最后一層為每個模塊包含的具體組件。除上述四個電子控制模塊外，模型中還設(shè)有一個 “安全機制” 模塊，該模塊作為防范各類故障的保護機制；同時，模型中還包含一個串行端口接口（SPI），用于實現(xiàn)微控制器（Microcontroller）與監(jiān)控中央處理器（Monitor CPU）之間的通信。

車輛系統(tǒng)由軟件和硬件組件構(gòu)成。硬件組件存在失效模式，可能導(dǎo)致安全目標無法實現(xiàn)。為避免此類情況，汽車工程師引入了安全機制，旨在檢測組件故障并防止故障向更高層級擴散。

若要使某個系統(tǒng)、子系統(tǒng)或組件納入上述模型，必須為其分配相應(yīng)的功能；否則，該組件不應(yīng)被納入模型結(jié)構(gòu)中。圖 5 展示了主中央處理器（Main CPU）的功能與失效模式示例。

圖 5:主中央處理器（Main CPU）的功能 / 失效示例

在為每個組件設(shè)定類似的功能與失效模式集合后，下一步需將所有組件的功能與失效模式關(guān)聯(lián)起來，構(gòu)建所謂的 “功能 / 失效網(wǎng)絡(luò)”。通過這種方式，即可開展失效模式與影響分析（FMEA）。借助該分析，工程師能夠清晰地看到從頂層系統(tǒng)到最底層組件（組件級）的所有子系統(tǒng)和元素之間的關(guān)聯(lián)。

故障樹分析（FTA）通過 “失效網(wǎng)絡(luò)” 界面開展，該分析僅針對那些可能對安全目標產(chǎn)生直接影響的缺陷。分析過程運用邏輯門構(gòu)建故障樹，關(guān)聯(lián)方式如下：若某個模塊中的單個組件發(fā)生失效障，同時覆蓋該模塊所有組件的安全機制也失效，則會導(dǎo)致安全目標無法實現(xiàn)。該分析過程采用了Ross提出的數(shù)學(xué)理論。

在確定可能對安全目標產(chǎn)生直接影響的失效后，下一步需為每個安全機制分配診斷覆蓋率。通過設(shè)定診斷覆蓋率，可計算出相應(yīng)的架構(gòu)指標，而這些指標的計算結(jié)果將反映系統(tǒng)的可靠性。

6、討論

顯然，汽車企業(yè)的工程師所面對的系統(tǒng)，比本文所呈現(xiàn)的系統(tǒng)更為復(fù)雜、細節(jié)更為豐富。因此，建立這樣的系統(tǒng)整體視角具有極大的價值，尤其是 APIS IQ-RM 工具能夠?qū)⑸鲜鋈N分析（FMEA、FMEDA、FTA）整合到同一個視圖中，從而實現(xiàn)了三者的協(xié)同分析。

在本研究之初，我們就闡述了將安全分析方法整合統(tǒng)一所能帶來的部分優(yōu)勢，其中之一便是應(yīng)對當(dāng)前硬件設(shè)計變更的需求。當(dāng)系統(tǒng)中的某個組件發(fā)生故障或已停產(chǎn)時，就必須用其他組件對其進行替換。

借助前一章所構(gòu)建的系統(tǒng)視圖，工程師能夠輕松開展系統(tǒng)影響分析，評估變更可能對系統(tǒng)安全產(chǎn)生的影響。在這類分析中，需驗證待更換組件是否存在與安全相關(guān)的輸入或輸出，以及其失效是否會直接影響安全目標。

僅開展定性分析是不夠的，原因在于定性分析基于非量化信息對系統(tǒng)進行分析，依賴主觀判斷；而定量分析則基于數(shù)學(xué)、統(tǒng)計模型和測量數(shù)據(jù)。鑒于涉及危及人類生命安全的風(fēng)險評估，分析過程必須同時包含定量分析與定性分析。

7、結(jié)論、拓展與未來展望模型構(gòu)建與分析過程

本文的研究目的是通過強調(diào)定量分析與定性分析相結(jié)合的必要性，進一步完善汽車功能安全的研究范疇。

當(dāng)前眾所周知的元器件短缺問題，更凸顯了在每個汽車項目中建立系統(tǒng)整體視角的重要性。若系統(tǒng)中的某個組件已停止生產(chǎn)，就必須尋找替代組件。在做出最終決策之前，需開展系統(tǒng)影響分析。借助系統(tǒng)整體視角，汽車安全工程師能夠更輕松地評估變更影響，進而判斷新組件是否能夠滿足舊組件的特性與功能需求。

基于上述種種原因，在汽車行業(yè)中，擁有一款符合 ISO 26262 標準認證的工具（如 APIS IQ-RM）已成為開展工作的必要條件，這類工具能夠?qū)崿F(xiàn)定性分析與定量分析的統(tǒng)一整合。

本文以通用電子控制單元（ECU）為例進行分析，但在汽車領(lǐng)域，實際系統(tǒng)的復(fù)雜程度遠超本文所呈現(xiàn)的內(nèi)容。因此，可對現(xiàn)有模型的結(jié)構(gòu)、功能及失效模式進行優(yōu)化升級，為后續(xù)研究提供延續(xù)性。此外，另一項可行的研究方向是將客戶需求與組件相關(guān)聯(lián)，并建立從需求到驗證需求所需測試集的可追溯性。

未來的研究工作應(yīng)更加注重有意識地開展定量分析與定性分析。為此，可對當(dāng)前的 APIS 模型進行改進，使其能夠融入定性與定量分析的特征，以支持此類分析工作的開展；同時，也可考慮開發(fā)用于該目的的新型工具。