經過幾年(nián)的(de←♦)發展，各主機(jī)廠(chǎng)的(de)域控制(zhì)器(q∞δì)已經排上(shàng)開(kāi)發日(rì)程表了(le)，或者是(≤Ω>shì)有(yǒu)些(xiē)已經量産上(sh¶φàng)車(chē)了(le)。那(nà)基于域控制(zhì)器(qì)的(de)¥¶✔功能(néng)安全開(kāi)發也(yě" ≠®)必須開(kāi)展了(le)。

      今天主要(yào)來(lái)"α<學習(xí)一(yī)下(xià)動力域控制(zhì)Ωλ≈↔器(qì)功能(néng)安全概念階段需要(yào)做(↓>™zuò)哪些(xiē)？

      首先整體(tǐ)來(lái)講，概念階段的(de)工ε↑∑(gōng)作(zuò)主要(yào)包括三項：相(xiàng)關項定義，危害¥↑↓¶分(fēn)析和(hé)分(fēn)享評估，功能(néng)安全概念設計(jì)。

01.

      首先來(lái)說(sh<"uō)說(shuō)相(xiàng)關項定義，那(nà)啥是(sh<✘ì)相(xiàng)關項呢(ne)？

      相(xiàng β)關項主要(yào)包括控制(zhì)器(q &↕ì)功能(néng)需求，非功能(néng)需求，法律法規要(yào)求，環境要(yào)求™¥和(hé)控制(zhì)器(qì)接口等內(nèi)容，那(nà)相(xiàng)關項定義就(j✘₩£₹iù)很(hěn)好(hǎo)理(lǐ)解了(le)，就(jiù)是(sh"Ω ✘ì)要(yào)理(lǐ)清控制(zhì)器(qì)上(shàng)述列舉的(de)內(n↑♦↔èi)容。

      為(wèi)了(le)更好(hǎo)并且直觀的(de→¥≤)理(lǐ)解這(zhè)些(xiē)內(nèi)容，通(tōn‍§±¶g)常要(yào)繪制(zhì)域控制(zhì♠↓)器(qì)的(de)系統框圖，如(rú)下<¶(xià)圖所示。

▲圖1 動力域控制(zhì)器(qì)系統框圖(來(lái)源知(zhī)網‌÷ )

      在相(xiàng)關項定義時(shí)，也(yě)有(y <∏<ǒu)一(yī)些(xiē)注意項，首先±↓γ∏對(duì)于外(wài)部接口，應該全面覆蓋，功能(néng)和(±' hé)非功能(néng)需求也(yě)要(yào♣π‌)梳理(lǐ)全，另外(wài)對(duì)功能(n ←φ→éng)需求的(de)描述，不(bù)能(néng)将•¶整車(chē)功能(néng)功能(néng)×™"定義為(wèi)相(xiàng)關項功能(né™® ≤ng)，比如(rú)整車(chē)功能(↓∑↕néng)“定速巡航”，定義是(shì)“根據用(yòng)戶設定的(de)₩™☆‍速度巡航”，但(dàn)是(shì)對(duì)于動力域控制(←≠π♦zhì)器(qì)而言，實現(xiàn)的(de)∏¶≠功能(néng)僅僅是(shì)“提供驅動扭矩”。

02.

      危害分(fēn)析和(←λ ₩hé)風(fēng)險評估主要(yào)包括失效模式識别、 危害識别、 場(chǎng♦≥)景分(fēn)析、危害事(shì)件(jiàn)分(fēn)析、ASIL 評估、确定安全目 Ω标和(hé)描述安全狀态，然後再推導出相(xiàng)關項的(de)安全目标及對(duì)應AS≥∑$ΩIL等級。

      1.失效模式識别

      失效模式識别的(de)工(gōng≤ε )作(zuò)主要(yào)是(shì)對(duì)識别相(xi$↕​àng)關項可(kě)能(néng)存在哪些(xiē)的(de)異常表現(xiàn)，目±λ★前比較常用(yòng)的(de)方法是(shì)HAZOP， ♣通(tōng)過 HAZOP 中給出的(d>‌×e)引導詞的(de)啓發，思考功能(néng)可(kě)能(•‍εnéng)的(de)異常表現(xiàn)，

      需要(yào)注意的(de)是(shì)，HA÷™♥ZOP 中的(de)引導詞隻是(shì)參考與啓發的(de)作(→₹←≈zuò)用(yòng)， 若實際功能(néng)存在更多(duō)的(de)或其→ γ₽他(tā)類型的(de)失效模式， 則都(dōu)•≈'★應在危害分(fēn)析和(hé)風(fēng)險評估過程中考慮，因此在 HAZOP 分(fēn∑")析基礎上(shàng)，仍是(shì)需要∑​£(yào)通(tōng)過頭腦(nǎo)風(fēng)暴或專家(jiā)±¥評審等方式進行(xíng)驗證， 确保失效σ÷模式識别全面。

     2.危害識别

      基于上(shàng)述的(de)分(fēn)析結≥α 果，開(kāi)始分(fēn)析失效模式對(duì)整車(chē)級别的(de)← 危害，比如(rú)“驅動力輸出大(dà)←♣δ于預期”，對(duì)整車(chē)的(de)表現(xiàn)就(jiùλ₩₹)是(shì)“加速度過大(dà)”。

     3.場(c¥§™←hǎng)景識别和(hé)危害事(shì)件(ji↔®¥₹àn)分(fēn)析

     ∞₹ 在上(shàng)述流程完成後，要(yào)開(kāi)始場(chǎng)景分(fēn)析了(Ωφ₹le)。對(duì)于場(chǎng)景分(fēn)析♣‌↔λ，主要(yào)從(cóng)環境情況，駕駛操作(zuò)，駕駛地(d₽©<ì)點，車(chē)速等其他(tā)幾個(gè)維度進行(xíng)，目的(de)是(shì₩∑∏≠)避免對(duì)人(rén)身(shēn)造成傷害。所以需'↓<'盡可(kě)能(néng)識别出對(duì)應危害發生(shēng)時(shí)會(huì)造&¶•成人(rén)身(shēn)傷害的(deε¥±©)場(chǎng)景，下(xià)面舉個(gè)例$≤子(zǐ)。

      場(ch♠‌≈ǎng)景為(wèi)在十字路(lù)口，準備直行(xíng)，并且前方有(yǒu)∞♦車(chē)，車(chē)速小(xiǎo)✘≤★‌于30km/h。

      在這(zhè)種場(chǎng)景下(xià)會(h£¶ε€uì)有(yǒu)什(shén)麽危害事(shì)件(jià® ♠n)呢(ne)？

      在這(zhè)種場(chǎng)景下(xià)，驅₩‍動力過大(dà)，或者是(shì)車(chē)輛(liàng)加速度過大(dà)，導緻追尾前方車(δ≠chē)輛(liàng)。

      從(cóng)上(shàng)面可(kě)•€÷以看(kàn)出，場(chǎng)景分(fēn)析 ®是(shì)之中綜合場(chǎng)景的(de)功能(™≈ néng)安全風(fēng)險評估，所以需要(yào)盡¥€φ​可(kě)能(néng)全面的(de)識别處對(duì)應危害發生(shēng)時(shí)會π∏(huì)造成人(rén)身(shēn)傷害的(de)場(chǎng)景。另外↓≈★​(wài)危害分(fēn)析則是(shì)後續風✘ ‌ (fēng)險評估的(de)主要(yào)對(duì)象了(le)。

      4.ASIL評估 §及安全目标确定

      根據上(shàng)面已經識别出的(de)危害事(shì≠₩♥)件(jiàn)以及其帶來(lái)的(de)↑☆後果，可(kě)以從(cóng)嚴重程度，暴露度，可(kě)控度來(lái)評估ASIL等級了¶∞(le)。其中暴露度是(shì)用(yòng)來(lái)γπ₽評判場(chǎng)景的(de)，不(bù)應該考慮電(diàn)子(zǐ)電(diàn)氣系統要(yào)素失效的(de)概率。而嚴重&‌度的(de)評判時(shí)，不(bù)應考慮已有(yǒu>♦δ)的(de)安全機(jī)制(zhì)，比如(rú)電(diàn)池過↕>壓保護機(jī)制(zhì)等，避免将等級制(zhì)定過低(dī)。

      以場(chǎn©​g)景識别中列舉的(de)例子(zǐ)為(wèi)例，這(zhè)種場(chǎng)景幾•‍€乎發生(shēng)在每次駕駛中，所以暴露度可(kěγ↓♥)以定位E4。

      這γγ₩(zhè)種場(chǎng)景會(huì)導緻追尾前車(chē)，所以嚴重度評定為(wèi) S3，在這(zhè)種情況下(xià)，駕駛員(yuán)可(kě)通(tōng)過緊急踩刹車(chē)保持車(chē)距，避免碰撞，通(tōng)常可(kě)控，所以可(kě)控度評定為(wèi)C2, 根據這(zhè)三項，以及查看(kàn)ASIL表，可(®★kě)以得(de)出ASIL等級為(wèi)C。

▲圖2 ASIL評級表

      在AS♦±♦IL評估完成之後，開(kāi)始要(yào)給每個(gèε×♠™)危害事(shì)件(jiàn)确定安全目标，并且ASIL等級分(fēn)配給對(duìΩ$™≠)應的(de)安全目标，安全目标是(shì)最高(gāo)層面的(de)安全需求， 是(sh'↓αì)危害分(fēn)析和(hé)風(fēng)險評估的(de)Ωβ結果。安全目标目的(de)是(shì)為(wèi)了(le)防止或者緩解危害事(shì)件(ji♠γ'γàn)，實現(xiàn)避免不(bù)合理(lǐ)的(de)風(fēε '​ng)險。

      再以¶♣上(shàng)述的(de)危害事(shì)件(jiàn)為(wèi)例，≈•∞♦安全目标為(wèi)避免輸出扭矩過大(dà)，安全狀态停止輸出扭矩并報(bào)警，于此同時(sh∏££í)還(hái)需确認安全目标的(de)FTTI等。

安全目标	避免輸出扭矩過大(dà)
ASIL 等級	ASIL C
安全狀态	停止扭矩輸出并報(bào)警
FTTI	1.5s

03.

      概念設計(jì)過程是(s∞₩δhì)從(cóng)安全目标得(de)出功能(néng)安全要(yào)求，并将其分(fēn)配≈£給相(xiàng)關項的(de)初步架構要(yà$ o)素或外(wài)部措施的(de)過程。

     為(wèi)了(le)實現(xiàn)上(ε♣$shàng)述過程，首先明(míng)确架構中安全目标₽ $×相(xiàng)關的(de)要(yào)素及其各自(zì)職責， 識别出會(huì)違背安全目 ∑♠₩标的(de)要(yào)素的(de)失效，增加對(duì)應的(d   γe)安全機(jī)制(zhì)，安全機(jī)制(zhì)則會(huì)轉化(huà)為(wèi✘₽₹)功能(néng)安全需求，分(fēn)Ωε配給架構各要(yào)素，向後續開(kāi)發環節傳遞。

     同時(shí)為(wèi)了(le)确₩↓&保功能(néng)安全需求考慮更加全面，通(tōn©'¶g)常采用(yòng)FTA或FMEA的(de)分(φ&'♠fēn)析方法，這(zhè)是(shì)一(yī)種自(zì)上(shàng)而下(xià)的(de)分(fēn)析方式。這(zhè)種方法是(shì)将安全目标的(de)違背作(zu€₹<×ò)為(wèi)目标，逐層分(fēn)析違背安全目标的(de)失效原因，知(zh‌βī)道(dào)架構中的(de)最底層要(yào₹‍)素。

     分(fē>≈n)析完之後，需要(yào)為(wèi)所有(yǒu)違背功能(néng)安全目标的(de)失效，✘€×提出相(xiàng)應的(de)功能(néng)安全需求，如(rú)果在推導功能(néng)安全需求的(de)過程中，不(bù)存在分(fēn)解，則 FSR 繼承最高(gāo) ASIL 等級，若存在分(fēn)解，則應遵循ASIL的(de)分(fēn)解标準，同時(shí)需進行(xíng)相(xiàng)關失效分(fēn)析。

      同時(shí)還(hái)應對(duì)各産出物(wù)進行(xíng)驗證審核和(hé)實施認可(kě)措施。

      至此，功能(néng)全權概念階段開(kāi)發完成。

轉自(zì)汽車(chē)ECU開(kāi)發