經(jīng)過幾年的發(fā)展，各主機(jī)廠的域控制器已經(jīng)排上開發(fā)日程表了，或者是有些已經(jīng)量產(chǎn)上車了。那基于域控制器的功能安全開發(fā)也必須開展了。

今天主要來學(xué)習(xí)一下動(dòng)力域控制器功能安全概念階段需要做哪些？

首先整體來講，概念階段的工作主要包括三項(xiàng)：相關(guān)項(xiàng)定義，危害分析和分享評(píng)估，功能安全概念設(shè)計(jì)。

01.相關(guān)項(xiàng)定義

首先來說說相關(guān)項(xiàng)定義，那啥是相關(guān)項(xiàng)呢？

相關(guān)項(xiàng)主要包括控制器功能需求，非功能需求，法律法規(guī)要求，環(huán)境要求和控制器接口等內(nèi)容，那相關(guān)項(xiàng)定義就很好理解了，就是要理清控制器上述列舉的內(nèi)容。

為了更好并且直觀的理解這些內(nèi)容，通常要繪制域控制器的系統(tǒng)框圖。

在相關(guān)項(xiàng)定義時(shí)，也有一些注意項(xiàng)，首先對(duì)于外部接口，應(yīng)該全面覆蓋，功能和非功能需求也要梳理全，另外對(duì)功能需求的描述，不能將整車功能功能定義為相關(guān)項(xiàng)功能，比如整車功能“定速巡航”，定義是“根據(jù)用戶設(shè)定的速度巡航”，但是對(duì)于動(dòng)力域控制器而言，實(shí)現(xiàn)的功能僅僅是“提供驅(qū)動(dòng)扭矩”。

02.危害分析和風(fēng)險(xiǎn)評(píng)估

危害分析和風(fēng)險(xiǎn)評(píng)估主要包括失效模式識(shí)別、 危害識(shí)別、 場(chǎng)景分析、危害事件分析、ASIL 評(píng)估、確定安全目標(biāo)和描述安全狀態(tài)，然后再推導(dǎo)出相關(guān)項(xiàng)的安全目標(biāo)及對(duì)應(yīng)ASIL等級(jí)。

1.失效模式識(shí)別

失效模式識(shí)別的工作主要是對(duì)識(shí)別相關(guān)項(xiàng)可能存在哪些的異常表現(xiàn)，目前比較常用的方法是HAZOP，通過 HAZOP 中給出的引導(dǎo)詞的啟發(fā)，思考功能可能的異常表現(xiàn)，

需要注意的是，HAZOP 中的引導(dǎo)詞只是參考與啟發(fā)的作用， 若實(shí)際功能存在更多的或其他類型的失效模式， 則都應(yīng)在危害分析和風(fēng)險(xiǎn)評(píng)估過程中考慮，因此在 HAZOP 分析基礎(chǔ)上，仍是需要通過頭腦風(fēng)暴或?qū)＜以u(píng)審等方式進(jìn)行驗(yàn)證， 確保失效模式識(shí)別全面。

2.危害識(shí)別

基于上述的分析結(jié)果，開始分析失效模式對(duì)整車級(jí)別的危害，比如“驅(qū)動(dòng)力輸出大于預(yù)期”，對(duì)整車的表現(xiàn)就是“加速度過大”。

3.場(chǎng)景識(shí)別和危害事件分析

在上述流程完成后，要開始場(chǎng)景分析了。對(duì)于場(chǎng)景分析，主要從環(huán)境情況，駕駛操作，駕駛地點(diǎn)，車速等其他幾個(gè)維度進(jìn)行，目的是避免對(duì)人身造成傷害。所以需盡可能識(shí)別出對(duì)應(yīng)危害發(fā)生時(shí)會(huì)造成人身傷害的場(chǎng)景，下面舉個(gè)例子。

場(chǎng)景為在十字路口，準(zhǔn)備直行，并且前方有車，車速小于30km/h。

在這種場(chǎng)景下會(huì)有什么危害事件呢？

在這種場(chǎng)景下，驅(qū)動(dòng)力過大，或者是車輛加速度過大，導(dǎo)致追尾前方車輛。

從上面可以看出，場(chǎng)景分析是之中綜合場(chǎng)景的功能安全風(fēng)險(xiǎn)評(píng)估，所以需要盡可能全面的識(shí)別處對(duì)應(yīng)危害發(fā)生時(shí)會(huì)造成人身傷害的場(chǎng)景。另外危害分析則是后續(xù)風(fēng)險(xiǎn)評(píng)估的主要對(duì)象了。

4.ASIL評(píng)估及安全目標(biāo)確定

根據(jù)上面已經(jīng)識(shí)別出的危害事件以及其帶來的后果，可以從嚴(yán)重程度，暴露度，可控度來評(píng)估ASIL等級(jí)了。其中暴露度是用來評(píng)判場(chǎng)景的，不應(yīng)該考慮電子電氣系統(tǒng)要素失效的概率。而嚴(yán)重度的評(píng)判時(shí)，不應(yīng)考慮已有的安全機(jī)制，比如電池過壓保護(hù)機(jī)制等，避免將等級(jí)制定過低。

以場(chǎng)景識(shí)別中列舉的例子為例，這種場(chǎng)景幾乎發(fā)生在每次駕駛中，所以暴露度可以定位E4。

這種場(chǎng)景會(huì)導(dǎo)致追尾前車，所以嚴(yán)重度評(píng)定為 S3，在這種情況下，駕駛員可通過緊急踩剎車保持車距，避免碰撞，通常可控，所以可控度評(píng)定為C2, 根據(jù)這三項(xiàng)，以及查看ASIL表，可以得出ASIL等級(jí)為C。

在ASIL評(píng)估完成之后，開始要給每個(gè)危害事件確定安全目標(biāo)，并且ASIL等級(jí)分配給對(duì)應(yīng)的安全目標(biāo)，安全目標(biāo)是最高層面的安全需求， 是危害分析和風(fēng)險(xiǎn)評(píng)估的結(jié)果。安全目標(biāo)目的是為了防止或者緩解危害事件，實(shí)現(xiàn)避免不合理的風(fēng)險(xiǎn)。

再以上述的危害事件為例，安全目標(biāo)為避免輸出扭矩過大，安全狀態(tài)停止輸出扭矩并報(bào)警，于此同時(shí)還需確認(rèn)安全目標(biāo)的FTTI等。

03.功能安全概念設(shè)計(jì)

概念設(shè)計(jì)過程是從安全目標(biāo)得出功能安全要求，并將其分配給相關(guān)項(xiàng)的初步架構(gòu)要素或外部措施的過程。

為了實(shí)現(xiàn)上述過程，首先明確架構(gòu)中安全目標(biāo)相關(guān)的要素及其各自職責(zé)， 識(shí)別出會(huì)違背安全目標(biāo)的要素的失效，增加對(duì)應(yīng)的安全機(jī)制，安全機(jī)制則會(huì)轉(zhuǎn)化為功能安全需求，分配給架構(gòu)各要素，向后續(xù)開發(fā)環(huán)節(jié)傳遞。

同時(shí)為了確保功能安全需求考慮更加全面，通常采用FTA或FMEA的分析方法，這是一種自上而下的分析方式。這種方法是將安全目標(biāo)的違背作為目標(biāo)，逐層分析違背安全目標(biāo)的失效原因，知道架構(gòu)中的最底層要素。

分析完之后，需要為所有違背功能安全目標(biāo)的失效，提出相應(yīng)的功能安全需求，如果在推導(dǎo)功能安全需求的過程中，不存在分解，則 FSR 繼承最高 ASIL 等級(jí)，若存在分解，則應(yīng)遵循ASIL的分解標(biāo)準(zhǔn)，同時(shí)需進(jìn)行相關(guān)失效分析。

同時(shí)還應(yīng)對(duì)各產(chǎn)出物進(jìn)行驗(yàn)證審核和實(shí)施認(rèn)可措施。

至此，功能全權(quán)概念階段開發(fā)完成。

審核編輯：郭婷