功能安全产品开发初始分析 | 功能分析

看到功能分析很多人会首先想到分析结果（各种文件），但是，这个活动的核心是分析，文件只是活动过程的副产品。本文介绍的分析内容并不是十分详尽，但是，这些内容都是后续开发活动的基础。

危害与风险分析（Hazard and risk analysis）

识别与最终产品使用相关的风险与危害。对于风险、危害和缓解的定义可以参考文章功能安全-26262-理论到实践-基础概念-危害，风险，残余风险。这个分析非常关键，因为项目的安全需求和失效分析数据都来自于这个环节。

安全档案（Safety case）

safety case通常翻译过来都是安全档案。事实上这个术语更侧重与法律上的应用和含义"the case for defense"即辩护证据,正如功能安全-26262-理论到实践-基础知识-标准机构与认可、认证一文中介绍的，一旦发生法律纠纷，safety case中组织的材料，是企业遵循最佳实践和当前技术水平的主要证据，这些证据能帮助企业解释为什么它开发的产品是安全的（安全开发的合理性证据）。

失效分析(Failure analysis)

因为，无论什么样的系统最终都会失效。所以，理解你所设计的系统期望的失效方式与失效频率非常重要。

在上述三个方面分析的基础上补充两个文档，它们是所有功能安全相关产品开发的基础文件；

安全计划（Safety plan）

它列出了产品开发过程中所要遵循的具体实践（specific practices ）。比如，一个公司可能有几种编码规范，每个规范适用于不同类型的编码。安全计划会说明那个规范适用于当前的项目。它同时也会清楚定义项目小组中每个成员的责任和权威（responsibilities and authorities）。

安全手册（Safety manual）

无论你买什么产品，你都需要一份附带的安全手册,它就是那种买割草机时附带的说明书告诉你不能用割草机来剃胡子，这么做发生危险你要自己负责。除了责任说明，汽车电子的安全手册还定义了一系列的使用条件，比如“函数abc()在可用内存不足100Mb时禁止调用”。

上述分析既不是相互独立也不是依次进行的，下图展示它们之间的联系；

危害和风险分析描述了减轻被识别风险的方法mitigation(定义详见汽车电子读书笔记-专业术语解析01)，每种方法都会演变成一条安全需求。例如一个风险可以通过采用双路电源进行缓解，这就产生了电源需要配置两路的需求。危害与风险分析还会识别出那些即便采用了缓解措施也会存在的残余风险，它们组成了失效分析的基础。例如，即便是采用双路电源冗余的方案，在极端情况下还会失效，这需要在失效分析中考虑。

危害与风险分析和失效分析是安全档案的基础。安全档案收集证明产品足够安全的证据。通过对残余风险的考察，设置产品的使用的环境限制。这些限制条件会与产品一起列在安全手册中提供。

下期预告：

危害与风险分析的相关方法论-HACCP和HAZOP

危害与风险分析方法论-HAZOP与HACCP方法介绍