域控制器功能安全概念阶段开发学习

经过几年的发展，各主机厂的域控制器已经排上开发日程表了，或者是有些已经量产上车了。那基于域控制器的功能安全开发也必须开展了。

今天主要来学习一下动力域控制器功能安全概念阶段需要做哪些？

首先整体来讲，概念阶段的工作主要包括三项：相关项定义，危害分析和分享评估，功能安全概念设计。

01.相关项定义

首先来说说相关项定义，那啥是相关项呢？

相关项主要包括控制器功能需求，非功能需求，法律法规要求，环境要求和控制器接口等内容，那相关项定义就很好理解了，就是要理清控制器上述列举的内容。

为了更好并且直观的理解这些内容，通常要绘制域控制器的系统框图，如下图所示。

▲图1动力域控制器系统框图(来源知网)

在相关项定义时，也有一些注意项，首先对于外部接口，应该全面覆盖，功能和非功能需求也要梳理全，另外对功能需求的描述，不能将整车功能功能定义为相关项功能，比如整车功能“定速巡航”，定义是“根据用户设定的速度巡航”，但是对于动力域控制器而言，实现的功能仅仅是“提供驱动扭矩”。

02.危害分析和风险评估

危害分析和风险评估主要包括失效模式识别、 危害识别、 场景分析、危害事件分析、ASIL 评估、确定安全目标和描述安全状态，然后再推导出相关项的安全目标及对应ASIL等级。

1.失效模式识别

失效模式识别的工作主要是对识别相关项可能存在哪些的异常表现，目前比较常用的方法是HAZOP，通过 HAZOP 中给出的引导词的启发，思考功能可能的异常表现，

需要注意的是，HAZOP 中的引导词只是参考与启发的作用， 若实际功能存在更多的或其他类型的失效模式， 则都应在危害分析和风险评估过程中考虑，因此在 HAZOP 分析基础上，仍是需要通过头脑风暴或专家评审等方式进行验证， 确保失效模式识别全面。

2.危害识别

基于上述的分析结果，开始分析失效模式对整车级别的危害，比如“驱动力输出大于预期”，对整车的表现就是“加速度过大”。

3.场景识别和危害事件分析

在上述流程完成后，要开始场景分析了。对于场景分析，主要从环境情况，驾驶操作，驾驶地点，车速等其他几个维度进行，目的是避免对人身造成伤害。所以需
尽可能识别出对应危害发生时会造成人身伤害的场景，下面举个例子。

场景为在十字路口，准备直行，并且前方有车，车速小于30km/h。

在这种场景下会有什么危害事件呢？

在这种场景下，驱动力过大，或者是车辆加速度过大，导致追尾前方车辆。

从上面可以看出，场景分析是之中综合场景的功能安全风险评估，所以需要尽可能全面的识别处对应危害发生时会造成人身伤害的场景。另外危害分析则是后续风险评估的主要对象了。

4.ASIL评估及安全目标确定

根据上面已经识别出的危害事件以及其带来的后果，可以从严重程度，暴露度，可控度来评估ASIL等级了。其中暴露度是用来评判场景的，不应该考虑电子电气系统要素失效的概率。而严重度的评判时，不应考虑已有的安全机制，比如电池过压保护机制等，避免将等级制定过低。

以场景识别中列举的例子为例，这种场景几乎发生在每次驾驶中，所以暴露度可以定位E4。

这种场景会导致追尾前车，所以严重度评定为 S3，在这种情况下，驾驶员可通过紧急踩刹车保持车距，避免碰撞，通常可控，所以可控度评定为C2, 根据这三项，以及查看ASIL表，可以得出ASIL等级为C。

▲图2 ASIL评级表

在ASIL评估完成之后，开始要给每个危害事件确定安全目标，并且ASIL等级分配给对应的安全目标，安全目标是最高层面的安全需求， 是危害分析和风险评估的结果。安全目标目的是为了防止或者缓解危害事件，实现避免不合理的风险。

再以上述的危害事件为例，安全目标为避免输出扭矩过大，安全状态停止输出扭矩并报警，于此同时还需确认安全目标的FTTI等。

03.功能安全概念设计

概念设计过程是从安全目标得出功能安全要求，并将其分配给相关项的初步架构要素或外部措施的过程。

为了实现上述过程，首先明确架构中安全目标相关的要素及其各自职责， 识别出会违背安全目标的要素的失效，增加对应的安全机制，安全机制则会转化为功能安全需求，分配给架构各要素，向后续开发环节传递。

同时为了确保功能安全需求考虑更加全面，通常采用FTA或FMEA的分析方法，这是一种自上而下的分析方式。这种方法是将安全目标的违背作为目标，逐层分析违背安全目标的失效原因，知道架构中的最底层要素。

分析完之后，需要为所有违背功能安全目标的失效，提出相应的功能安全需求，如果在推导功能安全需求的过程中，不存在分解，则 FSR 继承最高 ASIL 等级，若存在分解，则应遵循ASIL的分解标准，同时需进行相关失效分析。

同时还应对各产出物进行验证审核和实施认可措施。

至此，功能全权概念阶段开发完成。

审核编辑 ：李倩