吳坷 李超 杜佳 高海龍 陳玉龍

摘 ?要：隨著汽車電子的高速發(fā)展，輔助駕駛系統(tǒng)已經(jīng)開始大量普及，并已經(jīng)開始逐步下探到十萬元左右的在售車型之中。輔助駕駛系統(tǒng)，主要是指隨著智能化的應(yīng)用，輔助駕駛員駕駛，系統(tǒng)自動(dòng)執(zhí)行部分動(dòng)態(tài)駕駛?cè)蝿?wù)，有效的降低駕駛員駕駛強(qiáng)度，提升駕駛品質(zhì)。典型的如自適應(yīng)巡航系統(tǒng)（ACC）、車道保持輔助系統(tǒng)（LKA）、自動(dòng)緊急制動(dòng)系統(tǒng)（AEB）和高速公路輔助系統(tǒng)（HWA）。其中高速公路輔助系統(tǒng)（HWA）直接對(duì)車輛進(jìn)行橫縱向組合控制，目前功能安全國際標(biāo)準(zhǔn)（ISO 26262）在駕駛輔助系統(tǒng)中的涉及橫縱向控制的功能，在概念階段的涉及應(yīng)用沒有統(tǒng)一有效的方法。本文以HWA為例闡述詳細(xì)的功能安全概念階段的設(shè)計(jì)方法、和分析過程，包含相關(guān)項(xiàng)定義，危害分析、安全目標(biāo)導(dǎo)出和功能安全概念。此方法已經(jīng)在東風(fēng)汽車高級(jí)駕駛輔助系統(tǒng)的功能安全開發(fā)中應(yīng)用，為后續(xù)的高級(jí)駕駛輔助系統(tǒng)的功能開發(fā)提供一定的方法指導(dǎo)。

關(guān)鍵詞：功能安全;高速駕駛輔助;相關(guān)項(xiàng)定義;危害縫隙與風(fēng)險(xiǎn)評(píng)估;功能安全概念

中圖分類號(hào)：U471 ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A ? ? ? 文章編號(hào)：1005-2550（2022）02-0070-12

The Function Safety Concept Design of Highway Assisted

Driving based on ISO 26262

WU Ke1， LI Chao2，DU Jia1， GAO Hai-long2， CHEN Yu-long2

（1. Dongfeng Motor Company Technology Center， Wuhan 430058， China; 2. Xiangyang Daan Automobile Test Center CO. LTD， Xiangyang 441004， China）

Abstract： With the rapid development of automotive electronics， assisted driving systems have begun to spread in large numbers， and have gradually dropped to about 100，000 yuan among the models on sale. Assisted driving system mainly refers to the application of intelligence to assist the driver in driving. The system automatically performs some dynamic driving tasks， effectively reducing the driving intensity of the driver and improving the driving quality. Typical such as adaptive cruise system （ACC）， lane keeping assist system （LKA）， automatic emergency braking system （AEB） and highway assist system （HWA）. Among them， the highway assistance system （HWA） directly performs the lateral and the longitudinal combined control of the vehicle. The current international functional safety standard （ISO 26262） involves the function of the lateral and the longitudinal control in the driving assistance system， and there is no unified and effective method for the application in the concept stage. This article takes HWA as an example to explain the detailed design method and analysis process of the functional safety concept stage， including the definition of related items， hazard analysis， safety goal derivation and functional safety concept. This method has been applied in the functional safety development of Dongfeng Motor's automatic driving assistance system， providing certain method guidance for the subsequent development of automatic driving assistance functions.

Key Words： Function Safety; Highway Assist; Item Definition; Hazard Analysis And Risk Assessment; Functional Safety Concept

汽車自動(dòng)化及自動(dòng)駕駛是汽車行業(yè)未來發(fā)展的趨勢(shì)，雖然完全意義上的自動(dòng)駕駛汽車還沒有走入普通人的生活，但是綜合了自適應(yīng)速度控制、自動(dòng)緊急制動(dòng)、高速駕駛輔助、擁堵輔助等多種輔助功能的汽車已經(jīng)出現(xiàn)在市場上了，這使得半自主駕駛在量產(chǎn)車型上成為現(xiàn)實(shí)[1]。

1 ? ?ISO 26262概念階段的主要活動(dòng)

ISO 26262概念階段（第3部分）已經(jīng)是安全生命周期的開始，概念階段的主要任務(wù)是從整車層面確定功能，針對(duì)功能失效的危害事件進(jìn)行風(fēng)險(xiǎn)評(píng)估并制定安全目標(biāo)（主要屬性：ASIL等級(jí)、FTTI和安全狀態(tài)）導(dǎo)出功能安全要求。本部分主要是有四個(gè)活動(dòng)，分別是相關(guān)項(xiàng)定義（Part3-5）、安全生命周期啟動(dòng)（Part3-6）、危害分析和風(fēng)險(xiǎn)評(píng)估（Part3-7）、功能安全概念（Part3-8）。本文以高速輔助駕駛功能為案例，對(duì)概念階段開發(fā)的內(nèi)容和步驟進(jìn)行詳細(xì)的說明。

2 ? ? 概念階段

2.1 ? 相關(guān)項(xiàng)定義

概念階段的開發(fā)是以相關(guān)項(xiàng)定義（Item Definition）開始的，相關(guān)項(xiàng)定義是對(duì)系統(tǒng)的描述，此系統(tǒng)也是標(biāo)準(zhǔn)中安全要求應(yīng)用的對(duì)象。相關(guān)項(xiàng)定義的目的是定義和描述相關(guān)項(xiàng)，以及對(duì)其他相關(guān)項(xiàng)和環(huán)境的相互作用。因此，需要描述功能和非功能需求、邊界、接口和其他系統(tǒng)相互作用的假設(shè)。

相關(guān)項(xiàng)定義為危害分析和風(fēng)險(xiǎn)評(píng)估（HARA）提供輸入?yún)?shù)，在HARA中通過對(duì)E/E系統(tǒng)功能故障的定義和分析，識(shí)別整車級(jí)別的潛在危害。

HWA系統(tǒng)的工作場景為高速公路主干道（不含匝道）或近似于高速公路的道路，自車的速度范圍為0km/h至130km/h。HWA 系統(tǒng)可在激活且無故障的條件下對(duì)車輛進(jìn)行縱向以及橫向控制，能夠探測(cè)前方車輛狀況和車道線，自動(dòng)控制車輛加速、減速和轉(zhuǎn)向，從而讓車輛保持在車道線內(nèi)跟車行駛或以設(shè)定巡航速度行駛，并在駕駛員確認(rèn)的情況下，通過探測(cè)側(cè)向車道線及側(cè)方車輛情況，提供自動(dòng)變道。對(duì)其進(jìn)行相關(guān)項(xiàng)定義應(yīng)包含如下內(nèi)容：

2.1.1功能需求

相關(guān)項(xiàng)定義的目標(biāo)是劃定開發(fā)范圍，描述開發(fā)對(duì)象和其他Item的交互關(guān)系。對(duì)于涉及橫縱向組合控制的駕駛輔助系統(tǒng)，需要進(jìn)一步明確一些前提輸入，包含感知系統(tǒng)、決策單元、動(dòng)力系統(tǒng)、制動(dòng)系統(tǒng)、轉(zhuǎn)向系統(tǒng)、整車通訊和診斷等。在整車層面，HWA功能安全開發(fā)只考慮邊界內(nèi)的各部件[2]。

圖1是HWA功能的功能架構(gòu)及邊界圖，系統(tǒng)內(nèi)各個(gè)要素（Element）通過控制邏輯實(shí)現(xiàn)：1）跟車時(shí)距控制;2）定速巡航;3）激發(fā)式自動(dòng)變道控制;4）車道保持。HWA系統(tǒng)HWA初始架構(gòu)要素及功能分配：

Element01：發(fā)布開關(guān)信息（如多功能方向盤模塊Switch）;

Element02：發(fā)布車速、行駛方向、制動(dòng)踏板狀態(tài)、EPB狀態(tài)等;接收制動(dòng)扭矩請(qǐng)求;

Element03：發(fā)布方向盤轉(zhuǎn)角、方向盤轉(zhuǎn)角速率、駕駛員手力矩等;接收轉(zhuǎn)向扭矩請(qǐng)求;

Element04：發(fā)布Drive Ready、加速踏板狀態(tài)、駕駛模式等;接收加速扭矩請(qǐng)求;

Element05：環(huán)境感知傳感器（毫米波雷達(dá)、角雷達(dá)、攝像頭等），感知外部環(huán)境，識(shí)別、發(fā)布環(huán)境信息（工況、目標(biāo)物信息等）

Element06：發(fā)布車門狀態(tài)等;

Element07：發(fā)布安全帶狀態(tài)，氣囊狀態(tài)、橫擺角速度等;

Element08：HMI（接收信息并執(zhí)行顯示、蜂鳴等）

Element09：智能網(wǎng)聯(lián)域控制器，接受其他全部相關(guān)項(xiàng)發(fā)布信息，對(duì)外發(fā)布控制指令（驅(qū)動(dòng)扭矩、制動(dòng)扭矩、轉(zhuǎn)向扭矩等）、HMI（模式狀態(tài)、Warning等）、燈光（制動(dòng)燈、前照燈等）;

……：其他輸入和輸出信息。

根據(jù)當(dāng)前車輛的各項(xiàng)運(yùn)動(dòng)參數(shù)，結(jié)合各傳感器（毫米波雷達(dá)、角雷達(dá)、攝像頭等）所感知的外部環(huán)境，所有的信息經(jīng)過智能網(wǎng)聯(lián)域控制器（Element09）處理，判斷車輛當(dāng)前駕駛狀態(tài)是否處于各子功能設(shè)計(jì)適用范疇（ODD）以內(nèi)，并發(fā)布控制請(qǐng)求，執(zhí)行整車橫縱向控制。

如上文所述，相關(guān)項(xiàng)定義為功能安全開發(fā)的起點(diǎn)，必然處于項(xiàng)目開發(fā)的最早期。在此階段，整車設(shè)計(jì)任務(wù)書并未正式凍結(jié)，開發(fā)的設(shè)計(jì)也不完全成熟，不排除后續(xù)對(duì)功能架構(gòu)和邊界進(jìn)行調(diào)整的可能。但功能安全工程師應(yīng)充分地認(rèn)識(shí)到功能安全概念階段的開發(fā)是后續(xù)系統(tǒng)及軟硬件工程師開發(fā)的基礎(chǔ)，所以在進(jìn)行功能架構(gòu)和邊界的梳理時(shí)應(yīng)與功能定義工程師充分打合，應(yīng)盡量包含系統(tǒng)實(shí)際工作時(shí)所有的模式及其依據(jù)條件，避免后續(xù)工作出現(xiàn)反復(fù)，對(duì)項(xiàng)目成本、交期產(chǎn)生不良影響。圖2為HWA系統(tǒng)具有的工作模式及狀態(tài)。

通過直觀的狀態(tài)機(jī)圖示，可以很清晰的描述功能開啟、關(guān)閉、巡航、變道以及故障、降級(jí)和禁用等各個(gè)狀態(tài)，并通過詳細(xì)的定義表單（表1）去描述狀態(tài)跳轉(zhuǎn)的條件。因涉及企業(yè)保密原則，表中注1、2、3、4、5等條件無法在本論文中體現(xiàn)。

完整的功能邏輯還應(yīng)包含功能實(shí)現(xiàn)的信號(hào)交互（信號(hào)矩陣）和能量傳遞鏈，同時(shí)對(duì)邊界外部需要定義清楚與系統(tǒng)內(nèi)交互的接口和信息。邊界外部的要素與邊界內(nèi)部的要素配合完成車輛的HWA各功能達(dá)成。如圖1，通過邊界線將系統(tǒng)的組件和要素劃分成兩部分，邊界內(nèi)的要素與系統(tǒng)直接相關(guān)、會(huì)影響系統(tǒng)功能實(shí)現(xiàn)，如Element 1系統(tǒng)開關(guān)，其開閉觸發(fā)狀態(tài)直接決定系統(tǒng)能否開始工作，因此需要?jiǎng)潥w邊界內(nèi)。此外有些要素項(xiàng)即承擔(dān)了信號(hào)發(fā)布的職能，同時(shí)也是執(zhí)行段的信號(hào)接收單元，會(huì)同時(shí)出現(xiàn)在邊界內(nèi)和邊界外，這一點(diǎn)在圖1中也有所體現(xiàn)。

2.1.2非功能需求

本節(jié)包含功能涉及的相關(guān)法律法規(guī)、國家標(biāo)準(zhǔn)以及國際標(biāo)準(zhǔn)。同時(shí)也應(yīng)包含環(huán)境約束信息，如溫度、海拔、濕度、振動(dòng)、電磁干擾等;系統(tǒng)運(yùn)行要求，如工作電壓、電流等其他的限制條件。因該項(xiàng)內(nèi)容較為簡單、清晰，本文不做詳細(xì)展開。

2.1.3失效后果及影響

本節(jié)需要定義相關(guān)項(xiàng)系統(tǒng)已知的失效模式和潛在的危害，造成的潛在后果，包括系統(tǒng)要素、軟硬件失效對(duì)系統(tǒng)造成的危害，用于指導(dǎo)HA&RA和系統(tǒng)設(shè)計(jì)。如HWA系統(tǒng)開關(guān)單元功能卡滯，無法正常開啟、關(guān)閉;以及當(dāng)系統(tǒng)執(zhí)行無目標(biāo)物的巡航駕駛?cè)蝿?wù)時(shí)，若攝像頭軟硬件故障導(dǎo)致的相關(guān)后果及影響。因篇幅限制，表2中選取開啟/關(guān)閉和巡航兩個(gè)子行為作為案例來闡述。

2.2 ? 危害分析與風(fēng)險(xiǎn)評(píng)估HA&RA

在ISO 26262的第3部分對(duì)危害分析與風(fēng)險(xiǎn)評(píng)估（Hazard Analysis and Risk Assessment）的方法論做了細(xì)致的闡述。但這些概念的定義過于抽象拗口，讓人很難快速理解其中的要點(diǎn)?；诖耍疚慕Y(jié)合HWA功能實(shí)例來梳理危害分析與風(fēng)險(xiǎn)評(píng)估的方法及其中的關(guān)鍵點(diǎn)。

危害分析和風(fēng)險(xiǎn)評(píng)估基于相關(guān)項(xiàng)定義的功能和接口來展開，通過識(shí)別出相關(guān)項(xiàng)的功能失效可能導(dǎo)致的危害和風(fēng)險(xiǎn)，并對(duì)風(fēng)險(xiǎn)進(jìn)行ASIL等級(jí)評(píng)估從而得到相關(guān)項(xiàng)的安全目標(biāo)。有了安全目標(biāo)后，才能按照V模型對(duì)相關(guān)項(xiàng)進(jìn)行功能安全開發(fā)。因此，危害分析與風(fēng)險(xiǎn)評(píng)估是進(jìn)行功能安全開發(fā)的關(guān)鍵一步。

HA&RA分析流程如圖3，根據(jù)相關(guān)項(xiàng)定義確定系統(tǒng)邊界和定義系統(tǒng)框圖;然后進(jìn)行整車級(jí)的危害分析，識(shí)別確定整車級(jí)危害，并通過運(yùn)行場景的ASIL評(píng)估確定每一個(gè)整車級(jí)危害的ASIL等級(jí)，最后確定相關(guān)危害的安全目標(biāo)（Safety Goals），并輸出功能安全概念。

2.2.1整車級(jí)危害分析

前文所述，通過相關(guān)項(xiàng)定義已經(jīng)確定了研究的系統(tǒng)和其范圍（System Description），并通過分析，提取出系統(tǒng)組件用來執(zhí)行的所有功能。

通過采用適當(dāng)?shù)墓ぞ叻椒ㄈネ诰蛳到y(tǒng)潛在的風(fēng)險(xiǎn)，目前較多的方法有危害和可操作性分析HAZOP（Hazard and Operability Analysis）、系統(tǒng)論過程分析STPA（Systems-Theoretic Process Analysis）。HAZOP分析是一種用于辨識(shí)設(shè)計(jì)缺陷、工藝過程危害及操作性問題的結(jié)構(gòu)化、系統(tǒng)化分析方法，被廣泛用于汽車E/E系統(tǒng)的潛在危害識(shí)別，其理論依據(jù)是：當(dāng)在實(shí)際執(zhí)行中的狀態(tài)參數(shù)（如轉(zhuǎn)向扭矩、制動(dòng)扭矩、驅(qū)動(dòng)扭矩、電壓、電流、溫度等）一旦偏離設(shè)計(jì)規(guī)定的基準(zhǔn)狀態(tài)，就會(huì)發(fā)生問題或出現(xiàn)危險(xiǎn)。

HAZOP方法對(duì)每個(gè)已識(shí)別的功能，應(yīng)用一組引導(dǎo)詞描述功能可能偏離其設(shè)計(jì)意圖的各種方式。IEC61882列出了11個(gè)建議的“引導(dǎo)詞”，但是這些引導(dǎo)詞可以根據(jù)所分析的特定系統(tǒng)進(jìn)行篩選。在功能安全領(lǐng)域采用篩選后的7個(gè)引導(dǎo)詞，見表3。從整車層面評(píng)估以上功能偏差會(huì)帶來的影響，如果偏離設(shè)計(jì)預(yù)期可能導(dǎo)致整車級(jí)危險(xiǎn)，則記錄該整車級(jí)危害。

表3 HAZOP引導(dǎo)詞

通過HAZOP定位某一組件的失效危害，即分析了產(chǎn)生危險(xiǎn)的原因，同時(shí)導(dǎo)出該危險(xiǎn)會(huì)給整個(gè)系統(tǒng)所帶來的后果。HAZOP方法利用系統(tǒng)參數(shù)和引導(dǎo)詞辨識(shí)偏差，能夠很大程度上辨識(shí)出存在于系統(tǒng)的危險(xiǎn)，但是不和引導(dǎo)詞關(guān)聯(lián)的危險(xiǎn)就可能不能被辨別。

在權(quán)衡人力資源、技術(shù)儲(chǔ)備、成本和周期的權(quán)衡，筆者團(tuán)隊(duì)在HWA實(shí)際開發(fā)中僅采用了HAZOP方法，同步也在構(gòu)建新的分析方法和體系能力。表4選擇HWA功能中“觸發(fā)式自動(dòng)變道”進(jìn)行HAZOP分析案例，分析上述7種失效，確定每種失效導(dǎo)致的整車級(jí)危害，并確定需要考慮的多種運(yùn)行環(huán)境，給出可能的控制措施，最后將所有屬于危害事件的整車級(jí)危害匯總，以進(jìn)行后續(xù)分析。

2.2.2確定ASIL等級(jí)

功能安全并不需要考慮功能異常所對(duì)應(yīng)的所有危害，而是需要結(jié)合危害和危害發(fā)生時(shí)刻車輛運(yùn)行的場景來分析危害所導(dǎo)致的風(fēng)險(xiǎn)是否在可接受的范圍內(nèi)。車輛的運(yùn)行場景，可以理解為是表5中各個(gè)因素的排列組合。簡單來說，運(yùn)行場景=道路場景+駕駛場景，比如“高速公路+直行加速”或者“高速公路+直線制動(dòng)”等[3]。

當(dāng)列出了相關(guān)項(xiàng)的所有場景與危害的組合后，接下來就是對(duì)其進(jìn)行分類和篩選，確定哪些風(fēng)險(xiǎn)是可接受的，哪些是不可接受的。ISO 26262采用的方法是使用風(fēng)險(xiǎn)圖評(píng)估風(fēng)險(xiǎn)，即使用一種定性的方法，根據(jù)嚴(yán)重程度、暴露時(shí)間和可控性來判斷風(fēng)險(xiǎn)。

S（severity 嚴(yán)重度）：危害發(fā)生對(duì)駕駛員或乘客或路人或周邊車輛中人員會(huì)造成的傷害等級(jí)，見表6;E（Exposure 暴露時(shí)間）：運(yùn)行場景在日常駕駛過程中發(fā)生的概率，見表7;C（controllability 可控度）：駕駛員或其他涉險(xiǎn)人員控制危害以避免傷害的概率，見表8。

基于先前的分類，在最后一步根據(jù)標(biāo)準(zhǔn)中的風(fēng)險(xiǎn)圖給每個(gè)可能發(fā)生危險(xiǎn)的事件得出所要求的ASIL級(jí)別。為了便于對(duì)標(biāo)準(zhǔn)中風(fēng)險(xiǎn)圖的理解，本文引入危險(xiǎn)遭遇概率作為中間量，即危險(xiǎn)的遭遇概率=暴露的頻度（危險(xiǎn)工況的遭遇頻度）×可控性（危險(xiǎn)可回避的程度），如圖4較為直觀的描述潛在的危險(xiǎn)等級(jí)導(dǎo)出的因果關(guān)系。

ASIL A、ASIL B 、ASIL C和ASIL D要求采取特殊的措施。如果分析結(jié)果是QM（質(zhì)量管理），只需按照企業(yè)流程開發(fā)就認(rèn)為可以滿足ISO 26262要求，無需額外進(jìn)行功能安全開發(fā)。為確保思維的一致性以及邏輯的合理性，依然按表5（HWA_TLC功能的HAZOP分析示例）完成后續(xù)的HARA分析案例，具體見表9。

2.2.3確定安全目標(biāo)

根據(jù)危害分析及風(fēng)險(xiǎn)評(píng)估的結(jié)果，描述安全目標(biāo)，及對(duì)應(yīng)的ASIL等級(jí)、安全狀態(tài)及故障容錯(cuò)時(shí)間等參數(shù)，作為所有功能安全需求的最頂層需求，延續(xù)上文的HARA分析，導(dǎo)出合并后的安全目標(biāo)。表10為HWA安全目標(biāo)。

2.3 ? 功能安全概念

功能安全概念（Function Safety Concept）的目的是針對(duì)相關(guān)項(xiàng)定義（Item Definition）的系統(tǒng)和系統(tǒng)的功能，依據(jù)危害分析及風(fēng)險(xiǎn)評(píng)估的結(jié)果，導(dǎo)出安全目標(biāo)對(duì)應(yīng)的功能安全需求及相應(yīng)的ASIL等級(jí)、并將功能安全需求分配到系統(tǒng)的初始架構(gòu)、外部措施或者其他技術(shù)方法上。功能安全概念從三個(gè)層面展開[3]：

明確安全狀態(tài)（Safety State）。安全狀態(tài)是系統(tǒng)或功能不存在任何由于系統(tǒng)導(dǎo)致的不能接受的風(fēng)險(xiǎn)的一種狀態(tài)，主要根據(jù)危害情況從三個(gè)角度提出。分別是功能正常的運(yùn)行、執(zhí)行、操作狀態(tài)，功能故障后的降級(jí)反應(yīng)和功能故障后關(guān)閉并報(bào)警。但應(yīng)注意明確安全狀態(tài)并不是說每一個(gè)危害都要按照這三條來提出，要結(jié)合具體的功能來定義，切忌生搬硬套，例如EMS可能涉及到的安全狀態(tài)包含了以上三項(xiàng)內(nèi)容。高速駕駛輔助（HWA）的安全狀態(tài)屬于第三類，故障后直接關(guān)閉該系統(tǒng)，不存在保持操作和降級(jí)的概念。

明確功能安全需求（Function Safety ? ? Requirement，F(xiàn)SR）。功能安全需求仍然是從管理人員的角度來看待問題，故不涉及具體的實(shí)現(xiàn)技術(shù)。功能安全需求對(duì)應(yīng)于整個(gè)系統(tǒng)的頂層設(shè)計(jì)（Top-Level-Design），并為技術(shù)安全需求的必須輸入信息建立了相應(yīng)的基礎(chǔ)。對(duì)OEM而言，如系統(tǒng)級(jí)和軟硬件開發(fā)都是外委供應(yīng)商來完成，則整個(gè)系統(tǒng)級(jí)的功能安全需求充當(dāng)了OEM與Tier1之間，針對(duì)“開發(fā)接口協(xié)議（DIA）”的合同文件的角色，因?yàn)樵谶@里系統(tǒng)屬性也已確定。圖5描述了功能安全需求導(dǎo)出的層級(jí)關(guān)系和責(zé)任主體[4]。

由圖5可知FSR是OEM功能安全開發(fā)的重點(diǎn)工作項(xiàng)之一，OEM需要將FSR覆蓋到Item的每一個(gè)Element。在需求分配期間，ASIL等級(jí)和諸多要求必須繼承自相關(guān)的安全目標(biāo)，主要的要求為：功能正常運(yùn)行、操作模式;故障發(fā)生時(shí)的容錯(cuò)時(shí)間間隔;如何轉(zhuǎn)換為安全狀態(tài);應(yīng)急操作時(shí)需要在多長時(shí)間內(nèi)完成的時(shí)間間隔和功能冗余。

安全需求的ASIL等級(jí)的分解和分配依據(jù)ISO 26262-9：2018，在本章節(jié)中對(duì)分解、分配規(guī)則進(jìn)行簡單闡述。本文以表11中“SG-HWA-05：防止激發(fā)式自動(dòng)變道過度，車輛離開目標(biāo)車道”為例來詳細(xì)如何設(shè)計(jì)一份FSR，下表12即為安全目標(biāo)SG-HWA-05的安全需求分解示例。

這里還需要補(bǔ)充一個(gè)概念，系統(tǒng)要保障安全除了應(yīng)設(shè)計(jì)合理的安全機(jī)制和安全狀態(tài)，系統(tǒng)必須能夠檢測(cè)故障并在容錯(cuò)時(shí)間間隔（FTTI）內(nèi)轉(zhuǎn)換到安全狀態(tài)。否則，故障仍然會(huì)成為系統(tǒng)級(jí)危害。FTTI與由功能異常行為引起的危害相關(guān)，其最小的時(shí)間間隔則是通過評(píng)估所有先關(guān)的危險(xiǎn)事件來獲得，具體的數(shù)值取決于危害的特征。在概念階段，F(xiàn)TTI僅在相關(guān)項(xiàng)級(jí)定義，不需要進(jìn)一步考慮到要素級(jí)[5]。

安全目標(biāo)（SG）分解為功能安全需求（FSR），F(xiàn)SR繼承了ASIL。在此過程中，高等級(jí)的ASIL可以分解為若干低等級(jí)的ASIL。ASIL分解是作為需求的分解，分解后的需求落在要素（element）上面、要素（element）具有ASIL Capability。事實(shí)上只要是需求就可以進(jìn)行ASIL分解，在功能安全開發(fā)過程中，F(xiàn)SR只是第一次可以做分解地方，后續(xù)的需求也可以再分解，如在系統(tǒng)設(shè)計(jì)、軟件設(shè)計(jì)、硬件設(shè)計(jì)等階段分解不限制次數(shù)。

ASIL分解的原則如圖6所示，ASIL分解可能分多次進(jìn)行，應(yīng)通過在括號(hào)中給出安全目標(biāo)的ASIL等級(jí)，對(duì)每個(gè)分解后的安全要求的ASIL等級(jí)做標(biāo)注。分解后的ASIL等級(jí)后面括號(hào)里是指明初始安全目標(biāo)的ASIL等級(jí)，比如一個(gè)ASIL D的安全目標(biāo)分解成一個(gè)ASIL C的要求和一個(gè)ASIL A的要求，則應(yīng)標(biāo)注成ASIL C（D）和ASIL A（D），如果其中的ASIL C（D）要求還可進(jìn)一步分解成一個(gè)ASIL B 的要求和一個(gè)ASIL A的要求，則應(yīng)使用初始安全目標(biāo)的ASIL等級(jí)將其標(biāo)注為ASIL B（D）和ASIL A（D），后續(xù)集成和安全目標(biāo)的驗(yàn)證仍然依據(jù)其初始的ASIL等級(jí)。

ASIL等級(jí)分解需要滿足需求的冗余性，即分解之后的需求應(yīng)能獨(dú)立滿足分解之前的需求。且要素應(yīng)符合獨(dú)立性原則，所謂的獨(dú)立性就是指要素之間不應(yīng)發(fā)生從屬失效，常見的從屬失效分為共因失效和級(jí)聯(lián)失效。共因失效是指兩個(gè)要素因?yàn)楣餐脑驅(qū)е率В?jí)聯(lián)失效是指一個(gè)要素的失效導(dǎo)致另一個(gè)要素的失效。

3 ? ?總結(jié)

功能安全開發(fā)開始于概念階段，對(duì)應(yīng)標(biāo)準(zhǔn)的part3。本文針對(duì)高速輔助系統(tǒng)這個(gè)相對(duì)復(fù)雜的汽車駕駛輔助功能，進(jìn)行了相關(guān)項(xiàng)定義、危害分析和風(fēng)險(xiǎn)評(píng)估、功能安全要求的分解，并確定了系統(tǒng)的ASIL等級(jí)為D（最高的安全目標(biāo)ASIL），完成了功能安全概念的設(shè)計(jì)工作，最終實(shí)現(xiàn)了對(duì)高速輔助系統(tǒng)功能安全概念設(shè)計(jì)。

參考文獻(xiàn)：

[1]趙鑫，李明勛. 汽車電子功能安全實(shí)戰(zhàn)應(yīng)用[M]，同濟(jì)大學(xué)出版社，2021年4月第1版.

[2] Kai Borgeest，汽車電子系統(tǒng)電磁兼容與功能安全[M]，機(jī)械工業(yè)出版社，2020年8月第1版.

[3]王俊明，周宏偉，基于ISO 26262的車道保持輔助的功能安全概念設(shè)計(jì)[J]，重慶交通大學(xué)學(xué)報(bào)（自然科學(xué)版）、2019年3月第38卷第3期.

[4]Vera Gebhardt，Gerhard M.Rieger，基于ISO26262的功能安全[M]，機(jī)械工業(yè)出版社，2021年4月第一版.

[5]賈天樂. 基于ISO26262標(biāo)準(zhǔn)的EPB控制器設(shè)計(jì)研究[D].南京：南京理工大學(xué)， 2019：21-29.

吳 ?坷

畢業(yè)于華中師范大學(xué)，工學(xué)碩士?，F(xiàn)就職于東風(fēng)汽車公司技術(shù)中心架構(gòu)開發(fā)中心，任功能安全工程師，主要研究方向：整車功能安全，預(yù)期功能安全。

專家推薦語

盛 ? 凱

西安電子科技大學(xué) 前沿交叉研究院

信息感知與智能系統(tǒng) ?教授

本文以高速公路輔助系統(tǒng)（HWA）為例，說明了功能安全概念設(shè)計(jì)階段相關(guān)項(xiàng)定義、危害分析和風(fēng)險(xiǎn)評(píng)估、功能安全要求分解等工作內(nèi)容，確定了該系統(tǒng)的ASIL等級(jí)。針對(duì)復(fù)雜的HWA系統(tǒng)開發(fā)，從實(shí)踐角度對(duì)功能安全概念設(shè)計(jì)工作進(jìn)行了詳細(xì)闡述，具有實(shí)際的工程參考價(jià)值。