經(jīng)過幾年的發(fā)展,各主機廠的域控制器已經(jīng)排上開發(fā)日程表了,或者是有些已經(jīng)量產(chǎn)上車了。那基于域控制器的功能安全開發(fā)也必須開展了。
今天主要來學(xué)習(xí)一下動力域控制器功能安全概念階段需要做哪些?
首先整體來講,概念階段的工作主要包括三項:相關(guān)項定義,危害分析和分享評估,功能安全概念設(shè)計。
首先來說說相關(guān)項定義,那啥是相關(guān)項呢?
相關(guān)項主要包括控制器功能需求,非功能需求,法律法規(guī)要求,環(huán)境要求和控制器接口等內(nèi)容,那相關(guān)項定義就很好理解了,就是要理清控制器上述列舉的內(nèi)容。
為了更好并且直觀的理解這些內(nèi)容,通常要繪制域控制器的系統(tǒng)框圖,如下圖所示。
▲圖1 動力域控制器系統(tǒng)框圖(來源知網(wǎng))
在相關(guān)項定義時,也有一些注意項,首先對于外部接口,應(yīng)該全面覆蓋,功能和非功能需求也要梳理全,另外對功能需求的描述,不能將整車功能功能定義為相關(guān)項功能,比如整車功能“定速巡航”,定義是“根據(jù)用戶設(shè)定的速度巡航”,但是對于動力域控制器而言,實現(xiàn)的功能僅僅是“提供驅(qū)動扭矩”。
危害分析和風(fēng)險評估主要包括失效模式識別、 危害識別、 場景分析、危害事件分析、ASIL 評估、確定安全目標(biāo)和描述安全狀態(tài),然后再推導(dǎo)出相關(guān)項的安全目標(biāo)及對應(yīng)ASIL等級。
1.失效模式識別
失效模式識別的工作主要是對識別相關(guān)項可能存在哪些的異常表現(xiàn),目前比較常用的方法是HAZOP,通過 HAZOP 中給出的引導(dǎo)詞的啟發(fā),思考功能可能的異常表現(xiàn),
需要注意的是,HAZOP 中的引導(dǎo)詞只是參考與啟發(fā)的作用, 若實際功能存在更多的或其他類型的失效模式, 則都應(yīng)在危害分析和風(fēng)險評估過程中考慮,因此在 HAZOP 分析基礎(chǔ)上,仍是需要通過頭腦風(fēng)暴或?qū)<以u審等方式進(jìn)行驗證, 確保失效模式識別全面。
2.危害識別
基于上述的分析結(jié)果,開始分析失效模式對整車級別的危害,比如“驅(qū)動力輸出大于預(yù)期”,對整車的表現(xiàn)就是“加速度過大”。
3.場景識別和危害事件分析
在上述流程完成后,要開始場景分析了。對于場景分析,主要從環(huán)境情況,駕駛操作,駕駛地點,車速等其他幾個維度進(jìn)行,目的是避免對人身造成傷害。所以需盡可能識別出對應(yīng)危害發(fā)生時會造成人身傷害的場景,下面舉個例子。
場景為在十字路口,準(zhǔn)備直行,并且前方有車,車速小于30km/h。
在這種場景下會有什么危害事件呢?
在這種場景下,驅(qū)動力過大,或者是車輛加速度過大,導(dǎo)致追尾前方車輛。
從上面可以看出,場景分析是之中綜合場景的功能安全風(fēng)險評估,所以需要盡可能全面的識別處對應(yīng)危害發(fā)生時會造成人身傷害的場景。另外危害分析則是后續(xù)風(fēng)險評估的主要對象了。
4.ASIL評估及安全目標(biāo)確定
根據(jù)上面已經(jīng)識別出的危害事件以及其帶來的后果,可以從嚴(yán)重程度,暴露度,可控度來評估ASIL等級了。其中暴露度是用來評判場景的,不應(yīng)該考慮電子電氣系統(tǒng)要素失效的概率。而嚴(yán)重度的評判時,不應(yīng)考慮已有的安全機制,比如電池過壓保護(hù)機制等,避免將等級制定過低。
以場景識別中列舉的例子為例,這種場景幾乎發(fā)生在每次駕駛中,所以暴露度可以定位E4。
這種場景會導(dǎo)致追尾前車,所以嚴(yán)重度評定為 S3,在這種情況下,駕駛員可通過緊急踩剎車保持車距,避免碰撞,通常可控,所以可控度評定為C2, 根據(jù)這三項,以及查看ASIL表,可以得出ASIL等級為C。
▲圖2 ASIL評級表
在ASIL評估完成之后,開始要給每個危害事件確定安全目標(biāo),并且ASIL等級分配給對應(yīng)的安全目標(biāo),安全目標(biāo)是最高層面的安全需求, 是危害分析和風(fēng)險評估的結(jié)果。安全目標(biāo)目的是為了防止或者緩解危害事件,實現(xiàn)避免不合理的風(fēng)險。
再以上述的危害事件為例,安全目標(biāo)為避免輸出扭矩過大,安全狀態(tài)停止輸出扭矩并報警,于此同時還需確認(rèn)安全目標(biāo)的FTTI等。
| 安全目標(biāo) | 避免輸出扭矩過大 |
| ASIL 等級 | ASIL C |
| 安全狀態(tài) | 停止扭矩輸出并報警 |
| FTTI | 1.5s |
概念設(shè)計過程是從安全目標(biāo)得出功能安全要求,并將其分配給相關(guān)項的初步架構(gòu)要素或外部措施的過程。
為了實現(xiàn)上述過程,首先明確架構(gòu)中安全目標(biāo)相關(guān)的要素及其各自職責(zé), 識別出會違背安全目標(biāo)的要素的失效,增加對應(yīng)的安全機制,安全機制則會轉(zhuǎn)化為功能安全需求,分配給架構(gòu)各要素,向后續(xù)開發(fā)環(huán)節(jié)傳遞。
同時為了確保功能安全需求考慮更加全面,通常采用FTA或FMEA的分析方法,這是一種自上而下的分析方式。這種方法是將安全目標(biāo)的違背作為目標(biāo),逐層分析違背安全目標(biāo)的失效原因,知道架構(gòu)中的最底層要素。
分析完之后,需要為所有違背功能安全目標(biāo)的失效,提出相應(yīng)的功能安全需求,如果在推導(dǎo)功能安全需求的過程中,不存在分解,則 FSR 繼承最高 ASIL 等級,若存在分解,則應(yīng)遵循ASIL的分解標(biāo)準(zhǔn),同時需進(jìn)行相關(guān)失效分析。
同時還應(yīng)對各產(chǎn)出物進(jìn)行驗證審核和實施認(rèn)可措施。
至此,功能全權(quán)概念階段開發(fā)完成。
轉(zhuǎn)自汽車ECU開發(fā)
