經過幾年的發展,各主機廠的域控制器已經排上開發日程表了,或者是有些已經量產上車了。那基于域控制器的功能安全開發也必須開展了。
今天主要來學習一下動力域控制器功能安全概念階段需要做哪些?
首先整體來講,概念階段的工作主要包括三項:相關項定義,危害分析和分享評估,功能安全概念設計。
首先來說說相關項定義,那啥是相關項呢?
相關項主要包括控制器功能需求,非功能需求,法律法規要求,環境要求和控制器接口等內容,那相關項定義就很好理解了,就是要理清控制器上述列舉的內容。
為了更好并且直觀的理解這些內容,通常要繪制域控制器的系統框圖,如下圖所示。
▲圖1 動力域控制器系統框圖(來源知網)
在相關項定義時,也有一些注意項,首先對于外部接口,應該全面覆蓋,功能和非功能需求也要梳理全,另外對功能需求的描述,不能將整車功能功能定義為相關項功能,比如整車功能“定速巡航”,定義是“根據用戶設定的速度巡航”,但是對于動力域控制器而言,實現的功能僅僅是“提供驅動扭矩”。
危害分析和風險評估主要包括失效模式識別、 危害識別、 場景分析、危害事件分析、ASIL 評估、確定安全目標和描述安全狀態,然后再推導出相關項的安全目標及對應ASIL等級。
1.失效模式識別
失效模式識別的工作主要是對識別相關項可能存在哪些的異常表現,目前比較常用的方法是HAZOP,通過 HAZOP 中給出的引導詞的啟發,思考功能可能的異常表現,
需要注意的是,HAZOP 中的引導詞只是參考與啟發的作用, 若實際功能存在更多的或其他類型的失效模式, 則都應在危害分析和風險評估過程中考慮,因此在 HAZOP 分析基礎上,仍是需要通過頭腦風暴或專家評審等方式進行驗證, 確保失效模式識別全面。
2.危害識別
基于上述的分析結果,開始分析失效模式對整車級別的危害,比如“驅動力輸出大于預期”,對整車的表現就是“加速度過大”。
3.場景識別和危害事件分析
在上述流程完成后,要開始場景分析了。對于場景分析,主要從環境情況,駕駛操作,駕駛地點,車速等其他幾個維度進行,目的是避免對人身造成傷害。所以需盡可能識別出對應危害發生時會造成人身傷害的場景,下面舉個例子。
場景為在十字路口,準備直行,并且前方有車,車速小于30km/h。
在這種場景下會有什么危害事件呢?
在這種場景下,驅動力過大,或者是車輛加速度過大,導致追尾前方車輛。
從上面可以看出,場景分析是之中綜合場景的功能安全風險評估,所以需要盡可能全面的識別處對應危害發生時會造成人身傷害的場景。另外危害分析則是后續風險評估的主要對象了。
4.ASIL評估及安全目標確定
根據上面已經識別出的危害事件以及其帶來的后果,可以從嚴重程度,暴露度,可控度來評估ASIL等級了。其中暴露度是用來評判場景的,不應該考慮電子電氣系統要素失效的概率。而嚴重度的評判時,不應考慮已有的安全機制,比如電池過壓保護機制等,避免將等級制定過低。
以場景識別中列舉的例子為例,這種場景幾乎發生在每次駕駛中,所以暴露度可以定位E4。
這種場景會導致追尾前車,所以嚴重度評定為 S3,在這種情況下,駕駛員可通過緊急踩剎車保持車距,避免碰撞,通常可控,所以可控度評定為C2, 根據這三項,以及查看ASIL表,可以得出ASIL等級為C。
▲圖2 ASIL評級表
在ASIL評估完成之后,開始要給每個危害事件確定安全目標,并且ASIL等級分配給對應的安全目標,安全目標是最高層面的安全需求, 是危害分析和風險評估的結果。安全目標目的是為了防止或者緩解危害事件,實現避免不合理的風險。
再以上述的危害事件為例,安全目標為避免輸出扭矩過大,安全狀態停止輸出扭矩并報警,于此同時還需確認安全目標的FTTI等。
| 安全目標 | 避免輸出扭矩過大 |
| ASIL 等級 | ASIL C |
| 安全狀態 | 停止扭矩輸出并報警 |
| FTTI | 1.5s |
概念設計過程是從安全目標得出功能安全要求,并將其分配給相關項的初步架構要素或外部措施的過程。
為了實現上述過程,首先明確架構中安全目標相關的要素及其各自職責, 識別出會違背安全目標的要素的失效,增加對應的安全機制,安全機制則會轉化為功能安全需求,分配給架構各要素,向后續開發環節傳遞。
同時為了確保功能安全需求考慮更加全面,通常采用FTA或FMEA的分析方法,這是一種自上而下的分析方式。這種方法是將安全目標的違背作為目標,逐層分析違背安全目標的失效原因,知道架構中的最底層要素。
分析完之后,需要為所有違背功能安全目標的失效,提出相應的功能安全需求,如果在推導功能安全需求的過程中,不存在分解,則 FSR 繼承最高 ASIL 等級,若存在分解,則應遵循ASIL的分解標準,同時需進行相關失效分析。
同時還應對各產出物進行驗證審核和實施認可措施。
至此,功能全權概念階段開發完成。
轉自汽車ECU開發
