基于ISO26262的原型車(chē)功能安全解決方案

ISO26262標(biāo)準(zhǔn)為量產(chǎn)道路車(chē)輛提供了詳細(xì)開(kāi)發(fā)過(guò)程框架。然而，對(duì)于原型車(chē)或樣車(chē)的開(kāi)發(fā)，并沒(méi)有可遵循的適用標(biāo)準(zhǔn)。ISO26262中包含的開(kāi)發(fā)工作超出了原型車(chē)構(gòu)建的范疇。

那么，工程師該怎么做呢？原型車(chē)和樣車(chē)必須考慮功能安全，以保證駕駛員、乘客和車(chē)輛附近人員免受因車(chē)輛故障造成的傷害。?

這就是為什么FEV要為原型車(chē)開(kāi)發(fā)一套定制化的功能安全流程。它基于ISO26262概念階段包含的主要工作任務(wù)，但是復(fù)雜性降低，因此適用于原型車(chē)。這些任務(wù)包括：

• 初步的相關(guān)項(xiàng)定義
• 高等級(jí)危害分析和風(fēng)險(xiǎn)評(píng)估
• 安全機(jī)制定義

除了上述任務(wù)，還包括一個(gè)如下所示的迭代循環(huán)（見(jiàn)表1）以結(jié)合定義的安全機(jī)制來(lái)重新評(píng)估剩余風(fēng)險(xiǎn)。

表1

初步的相關(guān)項(xiàng)定義

假定我們正在將一款原型車(chē)的傳統(tǒng)動(dòng)力總成轉(zhuǎn)化成P2混合動(dòng)力總成，除了集成高壓系統(tǒng)外，將動(dòng)力總成改成電動(dòng)系統(tǒng)還具有安全隱患。在這種情況下，初始項(xiàng)目定義將描述P2混合動(dòng)力總成系統(tǒng)的所有功能、操作模式、接口和操作條件。

高等級(jí)危害分析和風(fēng)險(xiǎn)評(píng)估

這項(xiàng)任務(wù)的主要步驟是為原型車(chē)選擇相關(guān)的用例，功能危害分析（FHA）以及由此產(chǎn)生危險(xiǎn)情況的風(fēng)險(xiǎn)評(píng)估。FHA為每個(gè)功能分配一個(gè)標(biāo)準(zhǔn)的故障，一旦與用例結(jié)合，故障即導(dǎo)致相應(yīng)危險(xiǎn)情況。

下面是使用我們的原型車(chē)樣車(chē)場(chǎng)景的電子驅(qū)動(dòng)功能示例：

功能：電驅(qū)動(dòng)

用例：車(chē)輛停在交通燈處

故障：非預(yù)期扭矩

危險(xiǎn)情況：車(chē)輛意外移動(dòng)，導(dǎo)致碰撞

根據(jù)ISO26262，風(fēng)險(xiǎn)評(píng)估將基于三個(gè)標(biāo)準(zhǔn)：

暴露率：用例出現(xiàn)頻率，而不是危險(xiǎn)情況

嚴(yán)重度：可能對(duì)某人造成的傷害的評(píng)級(jí)

可控性：駕駛員干預(yù)和避免傷害的能力

但是，準(zhǔn)確決定這些標(biāo)準(zhǔn)會(huì)非常耗時(shí)，因此FEV流程包括簡(jiǎn)化的保守評(píng)級(jí)目錄（見(jiàn)表2）。這就是風(fēng)險(xiǎn)等級(jí)計(jì)算方式，而不是使用ISO26262中定義的汽車(chē)安全完整性等級(jí)(ASIL)。

除此之外，我們還包括一個(gè)迭代循環(huán)（見(jiàn)表2）以結(jié)合定義的安全機(jī)制重新評(píng)估剩余風(fēng)險(xiǎn)。

表2

對(duì)于我們的電子驅(qū)動(dòng)器示例，評(píng)級(jí)如下所示：

在交通信號(hào)燈處暴露率=3

交叉路口撞擊的嚴(yán)重度=3

非預(yù)期移動(dòng)的可控性=2*

*根據(jù)具體的邊界條件（例如，最大車(chē)輪扭矩小于駕駛員踩剎車(chē)時(shí)的制動(dòng)扭矩）。

安全措施定義

為了獲得可接受的風(fēng)險(xiǎn)等級(jí)，必須定義低中高風(fēng)險(xiǎn)的安全措施。在我們?cè)蛙?chē)?yán)又校覀兞信e了中風(fēng)險(xiǎn)等級(jí)，即暴露率+可控性=5并且嚴(yán)重度=3（見(jiàn)表3）。為了獲取可接受等級(jí)，我們可以采取如下措施：

1. 安裝緊急情況停止鍵，切斷電動(dòng)驅(qū)動(dòng)系統(tǒng)，實(shí)現(xiàn)可控性從2到1。

2. 限制車(chē)輛于交通燈處的運(yùn)行時(shí)間少于1%的駕駛周期，實(shí)現(xiàn)暴露率從3到2。

通過(guò)采取這些措施，我們可以達(dá)到一個(gè)可接受的風(fēng)險(xiǎn)等級(jí)，即暴露率（2）+可控性（1）=3，并且嚴(yán)重度保持在3。

除此之外，我們?cè)黾恿说h(huán)（見(jiàn)表3）來(lái)重新評(píng)估與定義安全機(jī)制相關(guān)的剩余風(fēng)險(xiǎn)。

表3

當(dāng)然，這僅僅是原型車(chē)輛需要考慮的其中一個(gè)場(chǎng)景。還有其他風(fēng)險(xiǎn)概率可能也高，需要采取進(jìn)一步的安全措施（例如：監(jiān)控算法）。這些額外的措施也可被用來(lái)規(guī)避較低概率的風(fēng)險(xiǎn)，從而避免各類(lèi)限制，如用例限制或整車(chē)僅能由經(jīng)訓(xùn)練的駕駛員操作等。

除此之外，我們還包含了一個(gè)迭代循環(huán)（見(jiàn)表4）來(lái)重新評(píng)估與定義安全機(jī)制相結(jié)合的其他風(fēng)險(xiǎn)。

表4

一經(jīng)定義，必須在原型車(chē)輛可以真正啟用之前實(shí)施和測(cè)試相應(yīng)的安全措施。

雖然ISO26262為整車(chē)生產(chǎn)相關(guān)的功能安全創(chuàng)造了一個(gè)完整的技術(shù)路線，但目前并未涉及原型車(chē)開(kāi)發(fā)。FEV創(chuàng)建的替代解決方案，可以通過(guò)在開(kāi)發(fā)原型車(chē)時(shí)提供經(jīng)濟(jì)高效的功能安全方法來(lái)解決這一關(guān)鍵缺失因素。

編輯：黃飛