由于標準涉及的范圍十分廣泛， 所以本文先介紹一些關鍵概念， 然后 結合 ISO 26262 標準內容確定研究范圍， 為燃料電池 ECU 的功能 安全研究提供理論依據(jù)。

安全生命周期分析

安全生命周期模型是采用系統(tǒng)化的方法安排整體的、 為達到和保持安全 完整性等級所需的全部活動。如圖 2-2 所示， 包括了概念階段、 產品研發(fā)階 段和生產發(fā)布之后的所有階段， ISO 26262 提供了計劃、 協(xié)調和記錄這些階 段的安全活動的要求和流程。明確了每個階段要求的輸入和輸出,進而分解出每個階段需要完成的活動。在本文的第三章、 第四章、 第五章和第六章， 將 針對燃料電池 ECU 在概念階段和產品研發(fā)階段的活動做詳細展開， 并依據(jù) 標準指導完成所需開發(fā)活動， 最終通過安全確認驗證燃料電池 ECU 的功能 安全設計。因研究范圍所限， 本文對安全確認之后的功能安全評估和生產發(fā) 布及之后的階段不作展開。

由于汽車工業(yè)分布式開發(fā)的特性， 安全生命周期所涉及到的企業(yè)數(shù)目眾 多， 不同的企業(yè)所負責的安全活動需要協(xié)調配合、 明晰各自產品的輸入和輸 出， 才能在保證產品性能和質量的前提下達成安全目標。本課題站在燃料電 池 ECU 這一零部件供應商的角度， 對從相關項定義至功能安全評估的功能 安全活動進行研究， 并完成硬件層面的設計與驗證。軟件層面的工作以及生 產和運行階段的活動不在本課題研究范圍之內。受限于學術論文的性質， 對 于標準中規(guī)定的項目計劃、 安全計劃、 確認計劃以及驗證報告、 分析報告、 測試報告等安全檔案和開發(fā)流程， 本課題僅作簡要總結。但是對于實際的汽 車企業(yè)項目來說， 合理的計劃才能保證安全活動的順利實施， 規(guī)范的各種報告才能通過企業(yè)內外的評審、 評估， 包括評審評估結果在內的完善的安全檔 案才是證明完整的實現(xiàn)了相關項安全要求的證據(jù)。

一般工作流程分析

圖 2-3 介紹符合車輛的生命周期并適應安全工程實踐的一般工作流程， 該圖同時也說明了安全要求的層級結構。通過這個流程可以確定可能出現(xiàn)的 危害及相應場景， 這些危害會造成的風險， 應對這些風險場景所需的安全要 求和安全功能， 這些功能的成功和失敗概率， 以及最終的產品是否滿足安全 目標。

本研究通過履行圖 2-3 中的流程， 通過實施危害分析和風險評估， 定義 出安全目標， 再由安全目標得出功能安全需求規(guī)范， 并進一步得出技術安全 要求規(guī)范、 硬件安全要求規(guī)范和軟件安全規(guī)范， 完成本研究的主體內容。 相關項定義分析 相關項（Item） 是指適用于 ISO 26262 的實現(xiàn)車輛層面功能或部分功能 的系統(tǒng)， 它包括至少與一個傳感器、 一個控制器和一個執(zhí)行器相關聯(lián)的要素， 其中的傳感器和執(zhí)行器可以在包含在系統(tǒng)之內， 也可以在系統(tǒng)之外。典型的 相關項架構如圖 2-4 所示。燃料電池 ECU 需要外部的傳感器和執(zhí)行器才能 實現(xiàn)控制功能， 是一個典型的汽車控制器， 因此符合 ISO 26262 標準中關于 相關項的規(guī)定。

相關項定義的目的是描述清楚相關項， 以及與環(huán)境和其他相關項的依賴 性和相互影響， 從而為充分理解相關項提供支持， 為后續(xù)階段的安全活動提 供輸入。對于燃料電池 ECU 而言， 需要參考已有信息， 給出功能性和非功 能性的要求， 與環(huán)境之間的依賴性， 還需要定義燃料電池 ECU 功能的邊界、 與外部的接口、 以及與其他相關項和要素的交互關系等。

危害分析與風險評估和安全目標的分析

危害分析與風險評估的目的是識別燃料電池 ECU 因故障而引起的危害 并對危害進行歸類， 制定防止危害事件發(fā)生或減輕危害程度的安全目標， 以 避免不合理的風險。實施方法是基于相關項的定義對燃料電池 ECU 故障行 為導致的危害進行場景分析， 識別整車層面的危害， 確定危害事件， 并按照 表 2-1 對危害事件使用嚴重度、 暴露概率和可控性三個參數(shù)進行風險評估， 得出 ASIL 等級。然后為具有 ASIL 等級的危害事件分配安全目標， 并按照 ISO 26262 第 9 部分對危害分析、 風險評估和安全目標進行驗證。在系統(tǒng)設 計時， 可以針對安全目標設計相應的安全機制， 以滿足 ASIL 等級的要求。 場景分析時應對相關項的故障行為發(fā)生的具體運行場景和運行模式進 行描述， 之后考慮相關項的故障行為在不同場景下對車輛的最終影響， 識別 危害事件的后果。如果相關項層面的失效導致多個功能出現(xiàn)故障行為， 需要 考慮相關項或整車層面的故障行為組合而導致的危害事件。如果難以對于一 個給定的危害進行嚴重度、 暴露概率或可控性的分級， 應保持謹慎， 給出較 高的 ASIL 等級， 而不是較低的 ASIL 等級。具有 ASIL 等級的每個危害事件 都應確定相應的安全目標， 如果多個安全目標是類似的， 則可以將其合并為 一個， 如果合并前的安全目標具有不同的 ASIL 等級， 則合并后的安全目標 應繼承其中最高的一個。安全目標的目的不是描述具體的技術解決方案， 而 是表述功能。它可以包括對應的安全狀態(tài)， 轉移到安全狀態(tài)所需的容錯時間 間隔， 或需要保持的物理特性等。 安全目標是相關項的最高層面安全要求,由安全目標導出功能安全要求， 并為產品研發(fā)階段的技術安全要求和硬件安全要求提供輸入。

汽車安全完整性等級（ASIL） 分析

汽車安全完整性等級（ASIL） 則是針對危害事件的定性衡量標準， 并分 配到安全目 標。如果系統(tǒng)的功能安全風險越大， 對應的安全要求就越高， ASIL 等級也就更高。ASIL 分為 A、 B、 C、 D 共 4 種級別， ASIL D 為最 高級別。 ASIL 等級的定義方法如表 2-1 所示， 三個維度分別是：嚴重度等級 S （Severity）， 暴露概率等級 E（Exposure）， 可控性等級 C（Controllability）。嚴重度代表潛在的處于風險中的每個人收到的傷害情況的嚴重程度， 包括駕 駛員、 乘客、 行人和其他車輛上的人， 其中 S0 代表無傷害， S3 代表危及生 命乃至致命的傷害。暴露概率代表危害事件發(fā)生的每個運行場景的可能性， 按照場景的持續(xù)事件或發(fā)生頻率來分級， E0 代表幾乎不會發(fā)生， 如自然災 害或其他不可抗力等， 對于絕大多數(shù)駕駛員小于一年發(fā)生一次；E3 代表大 于 10%的平均運行時間或幾乎每次駕駛都會發(fā)生?？煽匦源眈{駛員或其他 潛在處于風險的參與人員能夠充分控制危害事件以避免特定傷害的概率， C0 代表原則上可控， C3 代表難以控制或不可控。由于 S0、 E0 和 C0 等級代表 對該風險的場景對人員無傷害、 幾乎不可能發(fā)生和原則上可以控制， 所以無需分配 ASIL 等級。QM（Quality Management: 質量管理） 通?？梢杂善髽I(yè) 內部的質量管理體系來管理， 無需額外的功能安全管理。

系統(tǒng)的 ASIL 等級越高， 功能安全風險越大。ISO 26262 對相應的設計 方法、 安全技術、 測試方法以及需要達到的技術指標的要求也就越嚴格， 最 終對開發(fā)流程和工作產品的審核和確認也越嚴格， 因此在實際產品開發(fā)過程 中， ASIL 等級還與開發(fā)周期和開發(fā)成本息息相關。后續(xù)我們也將針 對燃料電池 ECU 具體展開 ASIL 等級的相關要求進行。

審核編輯 ：李倩