FS-A2 — 风险的量化逻辑:S×E×C 为何如此切分,ASIL 的概率语义,QM 的边界

整个功能安全体系有一个绕不过去的根问题:安全没有量纲。你能测电流、测结温、测 FIT 失效率,但你测不出"这个设计有多安全"。安全是"未发生的伤害",是一个反事实。工程上无法对一个无量纲、反事实的东西直接下预算。

可是 ISO 26262 偏偏要做一件事:对每一个危险事件,回答"该投入多少工程力气去防它"。投入是真金白银——一个 ASIL D 回路要 lockstep MCU、要冗余采样、要 FMEDA 算到 10 FIT、要独立确认评审;一个 QM 回路常规质量流程就够。两者的开发成本差一个数量级。所以这个"投入多少"的判断,必须先把无量纲的风险变成有刻度、可复现的量——否则两个团队、两个供应商、OEM 和审核方之间就没法对齐,Safety Case 也无从论证。

这就是 FS-A2 的硬约束:把连续、主观的风险判断,压缩成离散、可复现、可外部论证的等级。 S×E×C 三维切分和 ASIL 五档,都是为解这一个约束而生的。下面从第一性原理推它为什么必须长这样。

先回到风险的定义。任何工程风险都是两件事的合成:

严重度好理解,就是 S。难的是"发生概率"。在车辆 item 失效这个语境下,一次人身伤害不是单一事件,而是一条必须逐环导通的因果链。把它拆开看:要让一次伤害真正发生,以下三件事必须同时成立——

1. 危险事件(比如主驱非预期输出扭矩)发生的那一刻,车辆恰好处于一个会暴露该危险的运行情境(高速行驶中、而非熄火停在车位)。这是一个条件概率,记 $P_E$。
2. 危险事件发生后,司机或其它交通参与者无法把局面控制住、无法避免伤害。这又是一个条件概率,记 $P_C=P(\text{失控}\mid \text{已暴露})$。
3. 一旦伤害发生,它有多重。这是后果幅度,即 S。

于是"发生概率"本身分解成两段独立的条件概率链。把它代回风险定义:

这就是 S、E、C 三维的来历,也是为什么它们是相乘而不是相加:条件概率沿因果链连乘,是概率论的硬事实,不是 ISO 的约定。E 和 C 各自压低一个数量级,联合起来风险就降两个数量级。如果用加和,这个"链路串联、任一环断开整链就断"的因果结构就丢了。

注意三维各自锚定的是不同的、彼此独立的物理/统计量,这是切分能成立的前提:

• S(Severity,严重度) 锚在伤情医学分级(AIS/MAIS)。S0 无伤;S1 轻中伤、基本可恢复(AIS 1–2);S2 重伤、可能危及生命(AIS 3–4);S3 致命或严重危及生命(AIS 5–6)。为什么正好 4 档:这是创伤医学里公认可稳定区分的粒度,且每档大致对应社会成本/赔付的一个数量级。S 评的是"如果撞了,后果多重",与发生频率无关。
• E(Exposure,暴露) 锚在运行情境的时间占比或频率统计——本质是 $P_E$。E1 很少(某情境占行车时间 $<1\%$,或一年遇到几次量级);E2 偶尔($1\%\text{–}10\%$);E3 较常(大于约 $10\%$ 但非持续);E4 几乎每次行程都处于(高频/持续,如"在行驶中")。用时间占比量化,是因为 E 问的恰好是"危险事件触发的那一刻,车辆碰巧在这个情境里的概率"。
• C(Controllability,可控性) 锚在"典型司机/交通参与者能避免伤害的概率",即 $1-P_C$。C0 一般可控(几乎总能避免);C1 简单可控($>99\%$ 的司机能控住);C2 一般可控($>90\%$);C3 难以控制或不可控($<90\%$ 的人能控住)。阈值卡在 $99\%$ 和 $90\%$ 不是拍脑袋——这两条线恰好把失控概率 $P_C$ 分成 $<1\%$、$1\%\text{–}10\%$、$>10\%$ 三段,每段差一个数量级,与 E 的刻度对齐。C 必须用真实司机的统计表现来论证(实车/驾驶模拟器/专家共识),不能用"老司机肯定能救回来"这种乐观假设——这是后面要讲的反模式重灾区。

一句话收束这一节:S、E、C 是把"风险"这个反事实,沿"后果幅度 × 暴露概率 × 失控概率"这条因果链做的正交分解,三维相乘重建风险,每维都钉在一个可外部论证的量上——这就是 HARA 能被审计、能跨团队复现的根。 详细评分依据与经典例子见 HARA — 危害分析与风险评估 与 HARA worked example 深度;危险事件的系统化识别(避免漏项)见 STPA 危害分析深度。

把 (S, E, C) 映射到 ASIL 的,是 ISO 26262-3 的表 4。很多人把它当查表黑盒,其实它的构造逻辑极其干净,而且正是上一节"相乘"的直接结果。

关键观察:既然风险 $\propto w(S)\times P_E\times P_C$,且 S/E/C 每升一档大致对应风险一个数量级,那么在对数域里,三维相乘就变成相加。表 4 本质就是给每维赋一个等距整数权重,再求和分档:

验算:最危险的组合 S3+E4+C3 $=3+4+3=10\to$ D;把可控性改善一档 S3+E4+C2 $=9\to$ C;S1+E1+C1 $=3\to$ QM。任一维降一级,和减 1,ASIL 降一档——和因果链上"任一条件概率降一个数量级、风险降一个数量级"完全对应。表 4 不是任意排的查找表,它是 log 域里风险量级的等距刻度尺。

这把一个常见误解纠正过来:ASIL 衡量的不是"这件事有多危险",而是"为了把残余风险压到可接受,需要多大的风险削减量(risk reduction)"。 同样是 S3 致命级危险,如果 E 很低、C 很高(很少遇到、且基本能控住),需要的额外削减就少,ASIL 反而低。ASIL 是预算,不是恐惧程度。

这个"预算"语义的落地,正是 FS-A1 那条分解-聚合链在概率上的兑现:HARA 给出的定性 ASIL,会被翻译成 ISO 26262-5 表 6 里定量的硬件指标目标——

• PMHF(随机硬件失效概率/小时):ASIL D $<10\text{FIT}$(即 $10^{-8}/\mathrm{h}$),ASIL C/B $<100\text{FIT}$($10^{-7}/\mathrm{h}$);ASIL A 无量化 PMHF 要求。
• SPFM(单点故障度量):ASIL D $\ge 99\%$,C $\ge 97\%$,B $\ge 90\%$。
• LFM(潜伏故障度量):ASIL D $\ge 90\%$,C $\ge 80\%$,B $\ge 60\%$。

于是 HARA 里你把 C 从 C2 评成 C3、ASIL 从 C 升到 D,下游就是 PMHF 目标从 100 FIT 收紧到 10 FIT、SPFM 从 97% 提到 99%——一个定性判断,锁死了一整套定量工程约束和流程严格度。这条"定性档 → 定量目标"的咬合,就是功能安全把主观风险变成可计算工程预算的核心机制。指标怎么算见 FMEDA 深度;为什么 ASIL D 常要靠分解成两路 ASIL B 来兑现见 ASIL 分解深度。

表 4 里 index $\le 6$ 的组合落到 QM(Quality Management)。这是最容易被工程上误读的一档,值得单独拆。

QM 的准确含义是:这个安全目标对应的风险,已经低到不需要 ISO 26262 的额外安全措施——常规的质量管理体系(IATF 16949 那一套开发、产线、变更控制)就足以把它压在可接受水平。 用预算语义说,就是"相对常规质量基线,需要的额外风险削减量 = 0"。

落到表 4 的边界,典型 QM 组合例如:S1 且 E1(无论 C)、S1+E2+C1/C2、S2+E1+C1 等,index 之和都 $\le 6$。但这里有一条关键例外必须记住:S3+C3 即便 E1,仍是 ASIL A,不掉 QM(致命且不可控的危险,哪怕极罕见,也不允许只靠常规质量兜底)。这条例外正是为了堵住下面要说的舞弊点。

QM 在工程上的三个陷阱,每一个都坑过真实项目:

1. QM ≠ 不做事。常规质量流程照样要做。把某 SG 评成 QM,只是说不触发 26262 的专门工作产物(不需要 TSR 分解、不需要 FMEDA 算到 ASIL 阈值),不是说这条功能可以不管。
2. QM 与 ASIL 在同一硬件上共存 → 干扰风险。一个 item 往往有多个 SG,有的 ASIL D 有的 QM。如果 QM 部分和 ASIL 部分共享 MCU、共享电源、共享总线,QM 那部分的故障可能通过共因失效或资源争抢"污染"ASIL 部分,把整体拉下来。这时候 QM 部分必须满足免于干扰(Freedom From Interference,FFI),否则它实际上要按被它影响的最高 ASIL 来开发。"QM 部分"从来不是可以随便糊的部分。
3. E 评定是做低 ASIL 的头号舞弊点。在四维里,S 由危险性质决定、难造假,C 要实车数据撑、也不好编;E 最软——把"高速行驶"硬说成某个罕见工况、把 E4 评成 E1,index 直接掉 3,ASIL A 就变 QM,下游一整套安全工作和成本就"省"掉了。所以 ISO 26262-3 对 E1(极罕见情境)要求强证据,审核时 E 的依据是重点盘问对象。前面那条"S3+C3+E1 仍是 ASIL A"的例外,就是给这种"靠把 E 评到地板来逃逸"的操作设的硬底线。

QM 的边界判断,本质上是在回答"常规质量到底够不够"这个工程兜底问题——评宽了会漏掉真该上安全措施的功能,评严了会把成本和进度浪费在不需要的地方。这就引出 A 阶最后会回扣的主题:HARA 的每一档评分都不是终点,而是要带着证据链进入下游论证。

把上面三段拼成一个能直接上手的判断。拿一个 EV 主驱的危险事件走一遍——行驶中非预期输出驱动扭矩(unintended torque):

• S:高速下突加扭矩可致失控碰撞、致命 → S3(AIS 5–6)。
• E:车辆"在行驶/施加扭矩"是几乎每次行程的持续状态 → E4。
• C:突发非预期扭矩,典型司机在反应时间内难以纠正方向/稳住车 → C3($<90\%$ 可控)。
• 合计 index $=3+4+3=10\to$ ASIL D。下游锁死:PMHF $<10\text{FIT}$、SPFM $\ge 99\%$、安全状态需在 FTTI 内进入(通常主动短路 ASC 或安全扭矩关断)。

换个情境做对比,自动泊车(APA)低速下的非预期扭矩:速度极低、周边多为低速碰撞 → S 可能降到 S1–S2;但泊车占行车时间比例低 → E 可能 E2;司机有时间松刹车/介入 → C 可能 C1–C2。index 落到 6–7,ASIL 就掉到 A 甚至 QM。同一个物理故障(非预期扭矩),在不同运行情境下 ASIL 可以差三档——这再次证明 ASIL 是"情境相关的风险削减预算",不是器件或故障本身的固有属性。

带走三条准则:

1. 每一档评分都要留可外部论证的证据,尤其 E 和 C。 S 锚医学分级、E 锚情境时长统计、C 锚真实司机表现——HARA 的可审计性全靠这三条锚链不断。审核时第一刀通常砍向"你 E1 的依据呢"。
2. ASIL 是预算不是标签。 拿到 ASIL D,真正读到的是 PMHF $<10\text{FIT}$、SPFM $\ge 99\%$、需独立确认评审——它决定的是工程投入的量级,而不是给器件贴恐惧标。
3. QM 边界要保守,警惕"靠压 E 逃逸"和"QM 污染 ASIL"。 记住 S3+C3+E1 仍是 ASIL A 这条硬底线;凡 QM 与 ASIL 共享资源,先论证 FFI 再说。