ISO26262標準為量產道路車輛提供了詳細開發過程框架。然而，對于原型車或樣車的開發，并沒有可遵循的適用標準。ISO26262中包含的開發工作超出了原型車構建的范疇。

那么，工程師該怎么做呢？原型車和樣車必須考慮功能安全，以保證駕駛員、乘客和車輛附近人員免受因車輛故障造成的傷害。?

這就是為什么FEV要為原型車開發一套定制化的功能安全流程。它基于ISO26262概念階段包含的主要工作任務，但是復雜性降低，因此適用于原型車。這些任務包括：

• 初步的相關項定義
• 高等級危害分析和風險評估
• 安全機制定義

除了上述任務，還包括一個如下所示的迭代循環（見表1）以結合定義的安全機制來重新評估剩余風險。

表1

初步的相關項定義

假定我們正在將一款原型車的傳統動力總成轉化成P2混合動力總成，除了集成高壓系統外，將動力總成改成電動系統還具有安全隱患。在這種情況下，初始項目定義將描述P2混合動力總成系統的所有功能、操作模式、接口和操作條件。

高等級危害分析和風險評估

這項任務的主要步驟是為原型車選擇相關的用例，功能危害分析（FHA）以及由此產生危險情況的風險評估。FHA為每個功能分配一個標準的故障，一旦與用例結合，故障即導致相應危險情況。

下面是使用我們的原型車樣車場景的電子驅動功能示例：

功能：電驅動

用例：車輛停在交通燈處

故障：非預期扭矩

危險情況：車輛意外移動，導致碰撞

根據ISO26262，風險評估將基于三個標準：

暴露率：用例出現頻率，而不是危險情況

嚴重度：可能對某人造成的傷害的評級

可控性：駕駛員干預和避免傷害的能力

但是，準確決定這些標準會非常耗時，因此FEV流程包括簡化的保守評級目錄（見表2）。這就是風險等級計算方式，而不是使用ISO26262中定義的汽車安全完整性等級(ASIL)。

除此之外，我們還包括一個迭代循環（見表2）以結合定義的安全機制重新評估剩余風險。

表2

對于我們的電子驅動器示例，評級如下所示：

在交通信號燈處暴露率=3

交叉路口撞擊的嚴重度=3

非預期移動的可控性=2*

*根據具體的邊界條件（例如，最大車輪扭矩小于駕駛員踩剎車時的制動扭矩）。

安全措施定義

為了獲得可接受的風險等級，必須定義低中高風險的安全措施。在我們原型車例子中，我們列舉了中風險等級，即暴露率+可控性=5并且嚴重度=3（見表3）。為了獲取可接受等級，我們可以采取如下措施：

1. 安裝緊急情況停止鍵，切斷電動驅動系統，實現可控性從2到1。

2. 限制車輛于交通燈處的運行時間少于1%的駕駛周期，實現暴露率從3到2。

通過采取這些措施，我們可以達到一個可接受的風險等級，即暴露率（2）+可控性（1）=3，并且嚴重度保持在3。

除此之外，我們增加了迭代循環（見表3）來重新評估與定義安全機制相關的剩余風險。

表3

當然，這僅僅是原型車輛需要考慮的其中一個場景。還有其他風險概率可能也高，需要采取進一步的安全措施（例如：監控算法）。這些額外的措施也可被用來規避較低概率的風險，從而避免各類限制，如用例限制或整車僅能由經訓練的駕駛員操作等。

除此之外，我們還包含了一個迭代循環（見表4）來重新評估與定義安全機制相結合的其他風險。

表4

一經定義，必須在原型車輛可以真正啟用之前實施和測試相應的安全措施。

雖然ISO26262為整車生產相關的功能安全創造了一個完整的技術路線，但目前并未涉及原型車開發。FEV創建的替代解決方案，可以通過在開發原型車時提供經濟高效的功能安全方法來解決這一關鍵缺失因素。

編輯：黃飛