ISO26262標(biāo)準(zhǔn)為量產(chǎn)道路車輛提供了詳細(xì)開發(fā)過程框架。然而，對于原型車或樣車的開發(fā)，并沒有可遵循的適用標(biāo)準(zhǔn)。ISO26262中包含的開發(fā)工作超出了原型車構(gòu)建的范疇。

那么，工程師該怎么做呢？原型車和樣車必須考慮功能安全，以保證駕駛員、乘客和車輛附近人員免受因車輛故障造成的傷害。?

這就是為什么FEV要為原型車開發(fā)一套定制化的功能安全流程。它基于ISO26262概念階段包含的主要工作任務(wù)，但是復(fù)雜性降低，因此適用于原型車。這些任務(wù)包括：

• 初步的相關(guān)項定義
• 高等級危害分析和風(fēng)險評估
• 安全機(jī)制定義

除了上述任務(wù)，還包括一個如下所示的迭代循環(huán)（見表1）以結(jié)合定義的安全機(jī)制來重新評估剩余風(fēng)險。

表1

初步的相關(guān)項定義

假定我們正在將一款原型車的傳統(tǒng)動力總成轉(zhuǎn)化成P2混合動力總成，除了集成高壓系統(tǒng)外，將動力總成改成電動系統(tǒng)還具有安全隱患。在這種情況下，初始項目定義將描述P2混合動力總成系統(tǒng)的所有功能、操作模式、接口和操作條件。

高等級危害分析和風(fēng)險評估

這項任務(wù)的主要步驟是為原型車選擇相關(guān)的用例，功能危害分析（FHA）以及由此產(chǎn)生危險情況的風(fēng)險評估。FHA為每個功能分配一個標(biāo)準(zhǔn)的故障，一旦與用例結(jié)合，故障即導(dǎo)致相應(yīng)危險情況。

下面是使用我們的原型車樣車場景的電子驅(qū)動功能示例：

功能：電驅(qū)動

用例：車輛停在交通燈處

故障：非預(yù)期扭矩

危險情況：車輛意外移動，導(dǎo)致碰撞

根據(jù)ISO26262，風(fēng)險評估將基于三個標(biāo)準(zhǔn)：

暴露率：用例出現(xiàn)頻率，而不是危險情況

嚴(yán)重度：可能對某人造成的傷害的評級

可控性：駕駛員干預(yù)和避免傷害的能力

但是，準(zhǔn)確決定這些標(biāo)準(zhǔn)會非常耗時，因此FEV流程包括簡化的保守評級目錄（見表2）。這就是風(fēng)險等級計算方式，而不是使用ISO26262中定義的汽車安全完整性等級(ASIL)。

除此之外，我們還包括一個迭代循環(huán)（見表2）以結(jié)合定義的安全機(jī)制重新評估剩余風(fēng)險。

表2

對于我們的電子驅(qū)動器示例，評級如下所示：

在交通信號燈處暴露率=3

交叉路口撞擊的嚴(yán)重度=3

非預(yù)期移動的可控性=2*

*根據(jù)具體的邊界條件（例如，最大車輪扭矩小于駕駛員踩剎車時的制動扭矩）。

安全措施定義

為了獲得可接受的風(fēng)險等級，必須定義低中高風(fēng)險的安全措施。在我們原型車?yán)又?，我們列舉了中風(fēng)險等級，即暴露率+可控性=5并且嚴(yán)重度=3（見表3）。為了獲取可接受等級，我們可以采取如下措施：

1. 安裝緊急情況停止鍵，切斷電動驅(qū)動系統(tǒng)，實現(xiàn)可控性從2到1。

2. 限制車輛于交通燈處的運行時間少于1%的駕駛周期，實現(xiàn)暴露率從3到2。

通過采取這些措施，我們可以達(dá)到一個可接受的風(fēng)險等級，即暴露率（2）+可控性（1）=3，并且嚴(yán)重度保持在3。

除此之外，我們增加了迭代循環(huán)（見表3）來重新評估與定義安全機(jī)制相關(guān)的剩余風(fēng)險。

表3

當(dāng)然，這僅僅是原型車輛需要考慮的其中一個場景。還有其他風(fēng)險概率可能也高，需要采取進(jìn)一步的安全措施（例如：監(jiān)控算法）。這些額外的措施也可被用來規(guī)避較低概率的風(fēng)險，從而避免各類限制，如用例限制或整車僅能由經(jīng)訓(xùn)練的駕駛員操作等。

除此之外，我們還包含了一個迭代循環(huán)（見表4）來重新評估與定義安全機(jī)制相結(jié)合的其他風(fēng)險。

表4

一經(jīng)定義，必須在原型車輛可以真正啟用之前實施和測試相應(yīng)的安全措施。

雖然ISO26262為整車生產(chǎn)相關(guān)的功能安全創(chuàng)造了一個完整的技術(shù)路線，但目前并未涉及原型車開發(fā)。FEV創(chuàng)建的替代解決方案，可以通過在開發(fā)原型車時提供經(jīng)濟(jì)高效的功能安全方法來解決這一關(guān)鍵缺失因素。

編輯：黃飛