經(jīng)過幾年的發(fā)展，各主機廠的域控制器已經(jīng)排上開發(fā)日程表了，或者是有些已經(jīng)量產(chǎn)上車了。那基于域控制器的功能安全開發(fā)也必須開展了。

今天主要來學(xué)習(xí)一下動力域控制器功能安全概念階段需要做哪些？

首先整體來講，概念階段的工作主要包括三項：相關(guān)項定義，危害分析和分享評估，功能安全概念設(shè)計。

01.相關(guān)項定義

首先來說說相關(guān)項定義，那啥是相關(guān)項呢？

相關(guān)項主要包括控制器功能需求，非功能需求，法律法規(guī)要求，環(huán)境要求和控制器接口等內(nèi)容，那相關(guān)項定義就很好理解了，就是要理清控制器上述列舉的內(nèi)容。

為了更好并且直觀的理解這些內(nèi)容，通常要繪制域控制器的系統(tǒng)框圖，如下圖所示。

▲圖1動力域控制器系統(tǒng)框圖(來源知網(wǎng))

在相關(guān)項定義時，也有一些注意項，首先對于外部接口，應(yīng)該全面覆蓋，功能和非功能需求也要梳理全，另外對功能需求的描述，不能將整車功能功能定義為相關(guān)項功能，比如整車功能“定速巡航”，定義是“根據(jù)用戶設(shè)定的速度巡航”，但是對于動力域控制器而言，實現(xiàn)的功能僅僅是“提供驅(qū)動扭矩”。

02.危害分析和風(fēng)險評估

危害分析和風(fēng)險評估主要包括失效模式識別、 危害識別、 場景分析、危害事件分析、ASIL 評估、確定安全目標(biāo)和描述安全狀態(tài)，然后再推導(dǎo)出相關(guān)項的安全目標(biāo)及對應(yīng)ASIL等級。

1.失效模式識別

失效模式識別的工作主要是對識別相關(guān)項可能存在哪些的異常表現(xiàn)，目前比較常用的方法是HAZOP，通過 HAZOP 中給出的引導(dǎo)詞的啟發(fā)，思考功能可能的異常表現(xiàn)，

需要注意的是，HAZOP 中的引導(dǎo)詞只是參考與啟發(fā)的作用， 若實際功能存在更多的或其他類型的失效模式， 則都應(yīng)在危害分析和風(fēng)險評估過程中考慮，因此在 HAZOP 分析基礎(chǔ)上，仍是需要通過頭腦風(fēng)暴或?qū)＜以u審等方式進行驗證， 確保失效模式識別全面。

2.危害識別

基于上述的分析結(jié)果，開始分析失效模式對整車級別的危害，比如“驅(qū)動力輸出大于預(yù)期”，對整車的表現(xiàn)就是“加速度過大”。

3.場景識別和危害事件分析

在上述流程完成后，要開始場景分析了。對于場景分析，主要從環(huán)境情況，駕駛操作，駕駛地點，車速等其他幾個維度進行，目的是避免對人身造成傷害。所以需
盡可能識別出對應(yīng)危害發(fā)生時會造成人身傷害的場景，下面舉個例子。

場景為在十字路口，準備直行，并且前方有車，車速小于30km/h。

在這種場景下會有什么危害事件呢？

在這種場景下，驅(qū)動力過大，或者是車輛加速度過大，導(dǎo)致追尾前方車輛。

從上面可以看出，場景分析是之中綜合場景的功能安全風(fēng)險評估，所以需要盡可能全面的識別處對應(yīng)危害發(fā)生時會造成人身傷害的場景。另外危害分析則是后續(xù)風(fēng)險評估的主要對象了。

4.ASIL評估及安全目標(biāo)確定

根據(jù)上面已經(jīng)識別出的危害事件以及其帶來的后果，可以從嚴重程度，暴露度，可控度來評估ASIL等級了。其中暴露度是用來評判場景的，不應(yīng)該考慮電子電氣系統(tǒng)要素失效的概率。而嚴重度的評判時，不應(yīng)考慮已有的安全機制，比如電池過壓保護機制等，避免將等級制定過低。

以場景識別中列舉的例子為例，這種場景幾乎發(fā)生在每次駕駛中，所以暴露度可以定位E4。

這種場景會導(dǎo)致追尾前車，所以嚴重度評定為 S3，在這種情況下，駕駛員可通過緊急踩剎車保持車距，避免碰撞，通?？煽?，所以可控度評定為C2, 根據(jù)這三項，以及查看ASIL表，可以得出ASIL等級為C。

▲圖2 ASIL評級表

在ASIL評估完成之后，開始要給每個危害事件確定安全目標(biāo)，并且ASIL等級分配給對應(yīng)的安全目標(biāo)，安全目標(biāo)是最高層面的安全需求， 是危害分析和風(fēng)險評估的結(jié)果。安全目標(biāo)目的是為了防止或者緩解危害事件，實現(xiàn)避免不合理的風(fēng)險。

再以上述的危害事件為例，安全目標(biāo)為避免輸出扭矩過大，安全狀態(tài)停止輸出扭矩并報警，于此同時還需確認安全目標(biāo)的FTTI等。

03.功能安全概念設(shè)計

概念設(shè)計過程是從安全目標(biāo)得出功能安全要求，并將其分配給相關(guān)項的初步架構(gòu)要素或外部措施的過程。

為了實現(xiàn)上述過程，首先明確架構(gòu)中安全目標(biāo)相關(guān)的要素及其各自職責(zé)， 識別出會違背安全目標(biāo)的要素的失效，增加對應(yīng)的安全機制，安全機制則會轉(zhuǎn)化為功能安全需求，分配給架構(gòu)各要素，向后續(xù)開發(fā)環(huán)節(jié)傳遞。

同時為了確保功能安全需求考慮更加全面，通常采用FTA或FMEA的分析方法，這是一種自上而下的分析方式。這種方法是將安全目標(biāo)的違背作為目標(biāo)，逐層分析違背安全目標(biāo)的失效原因，知道架構(gòu)中的最底層要素。

分析完之后，需要為所有違背功能安全目標(biāo)的失效，提出相應(yīng)的功能安全需求，如果在推導(dǎo)功能安全需求的過程中，不存在分解，則 FSR 繼承最高 ASIL 等級，若存在分解，則應(yīng)遵循ASIL的分解標(biāo)準，同時需進行相關(guān)失效分析。

同時還應(yīng)對各產(chǎn)出物進行驗證審核和實施認可措施。

至此，功能全權(quán)概念階段開發(fā)完成。

審核編輯 ：李倩