/注明/ 文章内容由汽车功能安全行业工程师口述及参考行业资料整理,仅代表个人观点,如果更好的建议和补充,可以留言互动!
开发过程中的功能安全活动会包含到概念阶段,系统设计阶段,产品开发阶段,生产运行阶段等方面的功能安全活动,今天先说下概念阶段的功能安全活动。
主要从关键三个点来进行分享交流。
1. 确定功能安全要求和范围
2. 进行初步风险分析和评估
3. 安全计划制定
确定功能安全要求和范围
明确车辆功能安全要求和范围是概念阶段的首要任务。安全目标是指车辆系统在功能安全方面需要达到的具体目标,例如,对于自动驾驶系统,安全目标可能是确保在特定工况下(如高速行驶、复杂交通环境等)不会因系统故障导致严重交通事故。
明确要开发的汽车系统或功能,例如自动驾驶辅助系统中的自动紧急制动功能。确定该功能的基本性能要求和预期使用场景,如在城市道路、高速公路等不同路况下的工作要求。 识别项目的利益相关者,包括汽车制造商、供应商、驾驶员、乘客以及可能受到影响的其他道路使用者等。
功能安全特性则是指与安全相关的系统特性,比如制动系统的冗余设计、传感器的故障检测能力等。这些特性是实现安全目标的具体手段和保障。
进行初步风险分析和评估
通过对系统功能的分析,初步识别潜在的危险和风险。这需要考虑系统在正常运行和各种可能的故障情况下,可能对车辆、驾驶员、乘客以及周围环境造成的危害。
对识别出的危险和风险进行评估和分类,通常会根据风险的严重程度、发生的可能性以及可控制性等因素进行评估。例如,严重程度可能分为轻微、中等、严重和灾难性等几个等级;发生的可能性可以分为极低、低、中、高和极高;可控制性则可以分为容易控制、较难控制和难以控制等。
针对所定义的汽车系统或功能,全面识别可能出现的危害情况。以制动系统为例,可能的危害包括制动失效、制动距离过长、制动不均匀等。
考虑系统在正常运行、故障状态以及各种外部环境条件(如恶劣天气、道路状况等)下可能产生的危害。
对每个识别出的危害,根据其严重性(S)、暴露率(E)和可控性(C)进行评估。严重性是指危害可能导致的伤害程度,例如危及生命的伤害为高严重性;暴露率是指车辆暴露于可能导致危害发生的场景中的概率,如车辆在日常行驶中频繁使用制动系统,制动系统故障的暴露率较高;可控性是指在危害发生时,驾驶员或其他道路使用者能够避免伤害的程度,例如在高速行驶时制动突然失效,驾驶员很难控制车辆避免碰撞,可控性较低。
根据严重性、暴露率和可控性的评估结果,参照相关标准(如 ISO 26262 中的风险矩阵)确定每个危害的风险等级,如汽车安全完整性等级(ASIL)A、B、C 或 D,其中 ASIL D 为最高风险等级。
对于汽车的转向系统,潜在的危险可能包括转向失灵、转向过度或不足等。在初步风险分析中,转向失灵可能被评估为严重程度高(如可能导致车辆失控,引发严重交通事故)、发生可能性低(假设转向系统采用了高质量的部件和可靠的设计)、可控制性低(一旦发生,驾驶员很难在短时间内控制车辆)。根据这些评估结果,可以对该风险进行分类,以便后续采取相应的措施。
安全计划制定
详细规划整个项目的功能安全活动,包括各项活动的时间安排、责任人、所需资源(如人力、设备、预算等)和交付物等。如,计划在概念阶段结束后的第 2 周内完成危害分析与风险评估报告的初稿,由功能安全经理负责协调,系统工程师和测试工程师共同参与,并提交给项目团队进行评审。 初步规划在后续阶段将采用的功能安全验证与确认方法和流程。例如,在产品开发阶段,计划采用硬件在环测试(HIL)来验证硬件的功能和安全性,采用软件单元测试、集成测试和系统测试来验证软件的功能和安全性;在生产阶段,计划采用抽样检测和过程审核等方法来确保产品的质量和功能安全符合性等。 明确验证与确认活动的时间节点和验收标准,确保能够有效地验证系统是否满足功能安全要求。
