基于ISO26262的原型车功能安全解决方案

ISO26262标准为量产道路车辆提供了详细开发过程框架。然而，对于原型车或样车的开发，并没有可遵循的适用标准。ISO26262中包含的开发工作超出了原型车构建的范畴。

那么，工程师该怎么做呢？原型车和样车必须考虑功能安全，以保证驾驶员、乘客和车辆附近人员免受因车辆故障造成的伤害。‍

这就是为什么FEV要为原型车开发一套定制化的功能安全流程。它基于ISO26262概念阶段包含的主要工作任务，但是复杂性降低，因此适用于原型车。这些任务包括：

• 初步的相关项定义
• 高等级危害分析和风险评估
• 安全机制定义

除了上述任务，还包括一个如下所示的迭代循环（见表1）以结合定义的安全机制来重新评估剩余风险。

表1

初步的相关项定义

假定我们正在将一款原型车的传统动力总成转化成P2混合动力总成，除了集成高压系统外，将动力总成改成电动系统还具有安全隐患。在这种情况下，初始项目定义将描述P2混合动力总成系统的所有功能、操作模式、接口和操作条件。

高等级危害分析和风险评估

这项任务的主要步骤是为原型车选择相关的用例，功能危害分析（FHA）以及由此产生危险情况的风险评估。FHA为每个功能分配一个标准的故障，一旦与用例结合，故障即导致相应危险情况。

下面是使用我们的原型车样车场景的电子驱动功能示例：

功能：电驱动

用例：车辆停在交通灯处

故障：非预期扭矩

危险情况：车辆意外移动，导致碰撞

根据ISO26262，风险评估将基于三个标准：

暴露率：用例出现频率，而不是危险情况

严重度：可能对某人造成的伤害的评级

可控性：驾驶员干预和避免伤害的能力

但是，准确决定这些标准会非常耗时，因此FEV流程包括简化的保守评级目录（见表2）。这就是风险等级计算方式，而不是使用ISO26262中定义的汽车安全完整性等级(ASIL)。

除此之外，我们还包括一个迭代循环（见表2）以结合定义的安全机制重新评估剩余风险。

 表2

对于我们的电子驱动器示例，评级如下所示：

在交通信号灯处暴露率=3

交叉路口撞击的严重度=3

非预期移动的可控性=2*

*根据具体的边界条件（例如，最大车轮扭矩小于驾驶员踩刹车时的制动扭矩）。

安全措施定义

为了获得可接受的风险等级，必须定义低中高风险的安全措施。在我们原型车例子中，我们列举了中风险等级，即暴露率+可控性=5并且严重度=3（见表3）。为了获取可接受等级，我们可以采取如下措施：

1. 安装紧急情况停止键，切断电动驱动系统，实现可控性从2到1。

2. 限制车辆于交通灯处的运行时间少于1%的驾驶周期，实现暴露率从3到2。

通过采取这些措施，我们可以达到一个可接受的风险等级，即暴露率（2）+可控性（1）=3，并且严重度保持在3。

除此之外，我们增加了迭代循环（见表3）来重新评估与定义安全机制相关的剩余风险。

表3

当然，这仅仅是原型车辆需要考虑的其中一个场景。还有其他风险概率可能也高，需要采取进一步的安全措施（例如：监控算法）。这些额外的措施也可被用来规避较低概率的风险，从而避免各类限制，如用例限制或整车仅能由经训练的驾驶员操作等。

除此之外，我们还包含了一个迭代循环（见表4）来重新评估与定义安全机制相结合的其他风险。

表4

一经定义，必须在原型车辆可以真正启用之前实施和测试相应的安全措施。

虽然ISO26262为整车生产相关的功能安全创造了一个完整的技术路线，但目前并未涉及原型车开发。FEV创建的替代解决方案，可以通过在开发原型车时提供经济高效的功能安全方法来解决这一关键缺失因素。

编辑：黄飞