FS-B4 — ASIL 分解 D=B(D)+B(D):为什么两个 B 能"加"成一个 D,以及独立性为何是整支证据的命门

本质与导读

专家养成 · 模块一(功能安全)· B 阶第 4 讲。上一讲 FS-B3 用 FTA 把危害的布尔结构显式化,看清 2 阶割集 $q_{A} q_{B}$ 的概率优势全压在一个 AND 门——"两通道独立"——上。今天就钻进那个 AND 门:ISO 26262-9 把一条 ASIL D 安全目标拆给两条只按 B 开发的通道,写成 $D = B (D) + B (D)$ 。这看着像在把"安全等级"当数字加减,可 ASIL 明明是个序数等级、不是可测量,凭什么能相加?答案藏在 ASIL 到底捆绑了什么、以及"相加"在数学上对应哪个乘法里。讲透这一层,就能一眼识破最致命的一类错误:伪分解——看着拆成了两条,实则共一个命门, $β$ 因子一来,整支证据塌回单通道。

开篇:硬约束——ASIL 不是数,凭什么能"相加"

一条 ASIL D 的安全目标,要让单个元件 single-handedly 扛下来,代价是陡峭的:Aurix lockstep 双核 MCU、五重 confirmation measures、最严的 V 模型交付、SPFM $\geq 99%$ / LFM $\geq 90%$ / PMHF $< 10$ FIT 全部压在一颗芯片的开发流程上。ISO 26262-9 给了一条逃生通道:把这条 SG 拆给两条充分独立的通道,每条只按更低的 ASIL(更便宜的流程)开发,合起来仍满足 D。EV 主驱最主流的拆法就是 $D \to B (D) + B (D)$ :主 MCU 双核 lockstep 一条、独立安全 MCU + 硬件 STO 通道一条,各按 ASIL B 开发。

但这里有个一眼就该警觉的硬约束:ASIL 是个序数风险等级(A<B<C<D),不是可测量的物理量。D 不等于"2 倍的 B",正如"特大暴雨"不等于"2 倍中雨"。所以 $D = B (D) + B (D)$ 这个写法,字面上不可能是算术——你不能把两个等级的"安全性"像质量一样相加。那它要么是个无意义的记号,要么是在编码一件真实但被压缩了的事。功能安全工程师与"背规则的人"的分水岭,就在能不能把这件被压缩的事还原出来:分解到底分的是 ASIL 捆绑的哪一样东西,而"相加"又对应着哪个真实的乘法。 下面从第一性原理拆。

中段一:ASIL 捆绑了两样东西,分解动的只是其中一样

要看懂分解,先得看清 ASIL 这一个字母里其实塞了两套互相独立的要求:

第一套是系统性能力(systematic capability)——防的是开发过程引入的固有缺陷:需求写漏、软件 bug、工具链错误。它没有 FIT、不是随机的,一旦埋进去就在每一片量产件里确定性地复现。ASIL 越高,要求的流程严苛度越高(评审、测试覆盖、工具置信度 TCL),本质是用过程纪律把系统性缺陷的残余概率压低。

第二套是随机硬件失效的量化指标——SPFM / LFM / PMHF,防的是器件随机老化、宇宙射线翻转这类统计性失效,有明确的 FIT 和概率语义(见 FMEDA 深度)。

分清这两套,分解的真相才浮出来:ASIL 分解主要松绑的是第一套——每条通道的系统性能力(流程严苛度),而不是第二套。 这正是记号 $B (D)$ 里那对括号的全部含义:通道按 B 的流程开发(systematic capability 降到 B),但它所承载的安全目标 SG 仍然是 D——括号里的 D 一分都不能削。 量化指标(SPFM/LFM/PMHF/PMHF<10 FIT)是对整个 item 的要求,分解后仍由两通道的组合整体满足,不因拆开而放宽。

为什么系统性能力可以这样松绑?因为两条独立通道里出现同一个系统性缺陷的概率,远小于任一条单独出缺陷的概率。一个软件 bug 要同时违背 SG,得在两条用不同团队、不同技术(比如一条软件比对、一条硬件门控)实现的通道里各埋一个、且恰好在同一工况下一起发作——这正是"独立"二字要兑现的事。把"单通道必须做到 D 级流程才够稳"换成"两条 B 级流程的通道靠独立性互相兜底",省下的是真金白银的开发成本,赌的是那个 AND 门。

中段二:为什么"相加"合法——独立把概率变成乘积,把 ASIL 变成对数尺

现在回答开篇的悬念:序数凭什么能加。给 ASIL 一个朴素的整数刻度 $QM = 0, A = 1, B = 2, C = 3, D = 4$ ,ISO 26262-9 §5.4.10 允许的分解族就恰好满足整数守恒:

D (4) = D (4) + QM (0) = C (3) + A (1) = B (2) + B (2), C (3) = B (2) + A (1) = A (1) + A (1) + A (1)

而明确不允许 $D \to B (2) + A (1)$ (和只有 3,覆盖不到 D)。这个"加法"为什么对应真实风险?因为 ASIL 的等级在容许风险上近似是对数刻度——每升一级,容许的危害概率大致紧一个数量级。两条独立通道要同时失效才违背 SG,概率相乘;取对数,乘法变加法:

lo g P_{both} = lo g (q_{1}) + lo g (q_{2}) ASIL \propto - l o g q ASIL_{combined} \approx ASIL_{1} + ASIL_{2}

这就是"相加"的第一性来源:序数加法是概率乘法在对数尺上的投影。 两个 $q \sim 1 0^{- 2}$ 量级(B 级)的通道,独立相乘得 $1 0^{- 4}$ (D 级)。

但必须诚实标注这个论断的强度:整数守恒是 ISO 标准化的、偏保守的工程约定,不是一条严格的概率定理。 ASIL 与 $- lo g q$ 只是"近似成比例",各级边界是人为划定;真正赋予这套加法合法性的不是代数,而是那个前提——乘法只在独立时成立。一旦两通道不独立, $P_{both} \neq = q_{1} q_{2}$ ,对数加法当场失效, $B (D) + B (D)$ 就退不回 $D$ 。所以下一节用数字看:独立性破一点点,红利会塌多少。

中段三:worked example——分解的概率红利,与 $β$ 因子如何吞掉它

走一个完整的数,看"独立"值多少钱、"不独立"赔多少。两条 $B (D)$ 通道,各自经诊断后的剩余危险失效率 $λ = 100 FIT = 1 \times 1 0^{- 7} / h$ ;取整车寿命 $T_{L} = 1.5 \times 1 0^{4} h$ ,单通道寿命失效概率:

q = λ T_{L} = 1 \times 1 0^{- 7} \times 1.5 \times 1 0^{4} = 1.5 \times 1 0^{- 3}

理想独立情形——违背 SG 需两条同时失效(AND 门),概率相乘:

q_{indep} = q^{2} = (1.5 \times 1 0^{- 3})^{2} = 2.25 \times 1 0^{- 6} (寿命内) \Rightarrow \frac{2.25 \times 1 0 ^{- 6}}{1.5 \times 1 0 ^{4}} = 1.5 \times 1 0^{- 10} / h = 0.15 FIT

$0.15$ FIT 远低于 ASIL D 的 $10$ FIT 门槛——分解把单通道的 $\sim 100$ FIT 级风险压了约 670 倍,这就是"两条独立通道"许诺的红利。

现在承认 10% 的共因——用 IEC 61508 / ISO 26262 标准的简化 $β$ 因子模型:每条通道的失效按比例 $β = 0.1$ 劈成"共因部分 $β λ$ (一发即同时撂倒两条)"和"独立部分 $(1 - β) λ$ "。共因部分行为等同一个1 阶(单点) 贡献:

q_{cc} = β λ T_{L} = 0.1 \times 100 FIT \times 1.5 \times 1 0^{4} h = 10 FIT \times 1.5 \times 1 0^{- 5} = 1.5 \times 1 0^{- 4}

q_{indep part} = [(1 - β) λ T_{L}]^{2} = (0.9 \times 1.5 \times 1 0^{- 3})^{2} = (1.35 \times 1 0^{- 3})^{2} = 1.82 \times 1 0^{- 6}

q_{total} = q_{cc} + q_{indep part} \approx 1.5 \times 1 0^{- 4} + 1.82 \times 1 0^{- 6} \approx 1.52 \times 1 0^{- 4} \Rightarrow \frac{1.52 \times 1 0 ^{- 4}}{1.5 \times 1 0 ^{4}} \approx 1.0 \times 1 0^{- 8} / h \approx 10.1 FIT

读数是冰冷的:本该 $0.15$ FIT 的分解系统,放进 10% 共因后变成 $\approx 10$ FIT——正卡在 ASIL D 的门槛上,比理想独立差了约 67 倍;而且新总额的 98.8% 来自那个共因单点项 $q_{cc}$ ,独立相乘项 $1.82 \times 1 0^{- 6}$ 已沦为可忽略的零头。换句话说, $B (D) + B (D)$ 的概率红利在数学上已坍回接近单通道。

最该带走的不是这几个数,而是它们揭示的标度律:分解能拿到的最好结果,被 $β$ 封顶,而不是被单通道质量决定。 共因项 $q_{cc} = β λ T_{L}$ 与通道做得多好( $q^{2}$ 那一项)几乎无关——你把每条通道的 $λ$ 再压一半, $q^{2}$ 项掉 4 倍,可总额仍被 $β λ$ 钉住几乎不动。要拿回红利,唯一的杠杆是把 $β$ 压下去,而 $β$ 是物理与流程的独立性,不是算法精度——这就把球直接踢给了 DFA 与下一讲的 $β$ 因子量化(FS-B5)。

中段四:伪分解陷阱——五个"看着分了、实则没分"的命门

既然红利的天花板是 $β$ ,那"分解失败"的具体长相,就是 $β \to 1$ 的那些共享点。OEM 评审拒掉的分解,几乎全栽在下面五类共因命门上——它们的共性是:两条通道在某一处其实是同一个东西,这处一坏,两条同时死,AND 门退化成 OR 门。

第一,共享 MCU 跑两份软件:在同一颗芯片上跑"主算法 + 监控算法",看着是两条软件通道,可一次时钟故障、一次电源跌落、一个共享 RTOS 调度 bug 就同时撂倒两份——系统性与随机共因全中, $β$ 接近 1。第二,共享电源 / 地:两通道吃同一路 buck、同一片 GND,一次 surge 同时拉死。第三,共享时钟 / 晶振:同源时钟漂移让两通道一起算错。第四,共享传感器源:主算法与"独立合理性校验"读同一颗电流传感器,传感器偏置时两条一致地错、校验形同虚设(对应 FS-B3 worked example 里 $C_{3} = {B_{3}, B_{4}}$ 那个 AND 门的独立性前提)。第五,共享开发团队 / 工具链:同一批人、同一个未鉴定的编译器,会在两条通道里复制同一个系统性缺陷——这正是分解本想松绑系统性能力、却被同源团队反噬的地方。

把这五类对照中段二就懂了:分解的合法性建立在"两条独立通道不会同时出同一个故障"之上;每一个共享点都是给这个 AND 门偷偷并联了一条 OR,把对数加法的前提抽掉。所以 ISO 26262-9 §7 把 DFA(Dependent Failure Analysis) 列为分解的硬约束而非可选项:分解写在纸上只是声明,DFA 才是兑现声明的审计——逐一排查物理 / 共因 / 软件三层独立性,把每个潜在共享点要么消除、要么量化进 $β$ 。没有 DFA 背书的 $D = B (D) + B (D)$ ,是一张未兑付的支票。

落到工程结论:分解的执行流程 + 三条准则

把方法拼成可执行流程。给定一条 ASIL D 的 SG:

选分解族:在 ISO 26262-9 §5.4.10 允许的组合里选(D(D)+QM(D) / C(D)+A(D) / B(D)+B(D)),整数守恒到 D;绝不自创 $B (D) + A (D)$ 这种覆盖不足的拆法。
分配两条通道 + 锚定括号:每条按所选低 ASIL 开发(松绑系统性能力),但括号里的 SG 仍是 D,SPFM/LFM/PMHF 由组合整体满足,不放宽。
显式画出 AND 门:用 FTA 把"违背 SG = 两通道同时失效"写成 AND(接 FS-B3),让独立性假设从默认变成可审计对象。
跑 DFA 兑现独立性:逐查物理(电源/地/封装)、共因(时钟/温度/EMI)、软件(同芯片/同 RTOS/同工具链)三层,消除或量化每个共享点为 $β$ 。
量化 $β$ 的代价:用 $q_{cc} = β λ T_{L}$ 算共因单点项,确认含 $β$ 后的组合仍 $< 10$ FIT;若被 $β$ 钉死,回头改架构(异构两条通道)而非优化算法——接 FS-B5。

带走三条准则:

分解松的是系统性能力,锁的是 SG。 $B (D)$ 的 B 指流程严苛度降到 B,括号里的 D(含 SPFM/LFM/PMHF)一分不削;以为"分解=降级"是评审红线级误解。
"相加"是概率乘法在对数尺上的投影,且只在独立时成立。 序数守恒是保守的工程约定不是定理;独立性一破,对数加法当场失效, $B (D) + B (D)$ 退不回 D。
$β$ 封顶分解红利,DFA 才是兑现的审计。 共因项 $β λ T_{L}$ 与通道质量几乎无关、却主导总额;每个共享点都给 AND 门偷并一条 OR——没有 DFA 背书的分解是未兑付的支票。

承上启下:今天我们钻进了 FS-B3…

承上启下:今天我们钻进了 FS-B3 留下的那个 AND 门—— $D = B (D) + B (D)$ 的"相加"是概率乘法在对数尺上的投影,合法性整个压在两通道独立这一个前提上;worked example 显示哪怕 10% 共因,分解红利就从 670 倍坍到接近单通道, $β$ 而非通道质量封顶了一切。但我们一直把 $β$ 当成一个给定的数在用——它到底怎么来、DFA 的 7 类 DFI 怎么逐项量化成一个 $β$ 、为什么"独立性"是整个功能安全里最难证的一件事?下一讲 FS-B5 拆共因失效(CCF)与 $β$ 因子:把今天"未兑付的支票"逐项算成钱。预热可读共因失效深度。

FS-B4 — ASIL 分解 D=B(D)+B(D):为什么两个 B 能"加"成一个 D,以及独立性为何是整支证据的命门

本质与导读

1. 开篇:硬约束——ASIL 不是数,凭什么能"相加"

2. 中段一:ASIL 捆绑了两样东西,分解动的只是其中一样

3. 中段二:为什么"相加"合法——独立把概率变成乘积,把 ASIL 变成对数尺

4. 中段三:worked example——分解的概率红利,与 β 因子如何吞掉它

5. 中段四:伪分解陷阱——五个"看着分了、实则没分"的命门

6. 落到工程结论:分解的执行流程 + 三条准则