汽车功能安全概述及产品设计过程详解-绵羊汽车生活记录

跟着电动化、智能化的起色，越来越众的汽车装备了电子电气体系，如电传动体系、助力转向体系、自愿驾驶体系等，原有的板滞部件被电子器件代替。而引入如斯纷乱的

跟着电动化、智能化的起色，越来越众的汽车装备了电子电气体系，如电传动体系、助力转向体系、自愿驾驶体系等，原有的板滞部件被电子器件代替。而引入如斯纷乱的电子电气体系对整车安好带来了极大的危机，纯洁的一个元器件老化、失效，都有大概激励体系阻碍，进而导致事项产生。因而，对汽车及其联系零部件安好的央求也是越来越高。

为了抵达更高水平的安好央求，正在针对其他行业安好的通用IEC 61508尺度的根基上，衍生出针对汽车行业特定的ISO 26262功用安好尺度。ISO 26262央求车载电子电气体系正在检测到潜正在的垂危情形，启动袒护或更正装备，以防备产生垂危事项或供应缓解手段以省略垂危事项的后果。简而言之，功用安好的最终方针是确保产物安好运转，即使呈现题目也不妨最大水平省略蹂躏。因此，正在电动化及智能化水平最高的新能源汽车行业，引入和深切奉行ISO 26262功用安好尺度，指示联系的产物开垦，是极度须要的。

ISO 26262对枢纽的安好级别举办了四层划分，通过汽车安好完美性等第（ASIL）来量度。ASIL A是最低等第，央求数目约100个把握，而ASIL D是最上等级，央求数目近200个（如图1所示）。等第越高，安总共系就须要供应越众的安好和验证手段，须要填充更众的测试和集成使命，也就意味着供应商须要接受更众的开垦本钱和期间。

为了告竣新能源汽车的整车功用安好，须要OEM和各级供应商有着显着的职责划分和协作形式，外洋主机厂正在与供应商协作中，如博世、电装等，都有着显着的功用安好尺度和验证央求。当然分歧的汽车部件对功用安好的央求是分歧的，越焦点的部件须要越上等级的功用安好。就新能源汽车车辆本身安好而言，电机职掌器不得不算是最焦点的部件之一，电机职掌器行动新能源汽车的动力职掌体系，负责着整车的加快、刹车等枢纽职能，电控失效带来的安好危机阻挡忽略，因此，吻合功用安好的电控打算正慢慢成为业内的集体需求，现在对电控的功用安好需求众为ASIL C等第，但正在他日，电控的功用安好需求或将擢升为ASIL D级，这须要供应商具备纷乱度更高、冗余性更强、牢靠性目标更高的电控产物打算才气和程度。

观念阶段首要职责是从整车层面确定功用，针对功用失效的摧残事项举办危机评估并拟订安好对象（首要属性：ASIL等第、FTTI和安好形态）导出功用安好需求。本局限首要有4个举止（如图2），接下来我们就来讲讲这些举止首要告竣什么。

注：FTTI: 从阻碍产生到阻碍统治达成的期间,FTTI期间是从整车层面界说，零部件的FTTI期间为个中一局限。

正在汽车功用安好周围，许众人都有传闻过HARA领会。但正在举办HARA领会之前，须要先界说项目要告竣的功用，以及告竣该功用产物的利用处境、与其它产物联系的依赖性和互相影响、规则央求、体系和组件之间的接口和界线要求，这便是联系项界说的首要方针。正在此举止中须要画一个与联系项联系的物理架构图，即为项目界线图，界说体系的界线和与它联系联的体系。值得贯注的是，针对零部件厂家此处的功用是零部件正在整车层面表示的功用。如：电机职掌器的供应扭矩功用，简称“扭矩功用”，正在HARA领会后的功用就会如许形容“仰求正向动力现实输出反向动力”，属于比力细化的形容。

摧残领会和危机评估针春联系项所界说的每一个功用分歧举办HAZOP领会（功用无、功用众、功用少、功用相反、非预期、卡滞）。正在界说摧残事项（整车阻碍、道面境况、气象境况、驾驶情形和用户），末了举办危机评估确定每一条摧残事项的ASIL等第，从S（首要度）、E（裸露概率）、C（可控性）三个角度举办领会。

注：巧记S+E+C=7对应ASILA；S+E+C=8对应ASIL B；S+E+C=9对应ASILC；S+E+C=10对应ASIL D。

达成HARA领会后，应为每一条摧残事项确定安好对象。安好对象是最高层面的安好需求，其要紧属性搜罗ID、形容、ASIL等第、FTTI、安好形态。ASIL等第为所笼盖的摧残事项的最上等级。产物的末了验证举止也便是从整车层面确定ASIL等第和安好对象，是大“V”验证举止中末了一个举止“安好确认”。

功用安好需求是由安好对象和安好形态导出，大概有人会问何如导出？把它纯洁通晓成一个剖析的进程就行。比方：确保把大象放进冰箱里这个“安好对象”，第一步翻开冰箱门；第二步把大象装进冰箱；第三步闭上冰箱门，这三步便是依据“安好对象”导出的“功用安好需求”。

贯注：正在剖析进程中，须要承担安好对象最高ASIL等第。功用安好需求是大“V”验证举止中，对应整车集成和测试。

为了使导出的功用安好需求更具完美性，可能通过整车层面的安好领会导出，如：FMEA、FTA、HAZOP。目前行业内常用FTA方式。其方式将每个安好对象的阻碍行动FTA的顶事项，然后将每个安好对象联系筑设的物理框丹青出来，用FTA领会联系筑设失效，将FTA领会的每一个大概的底事项和未发展事项都须要界说相应的安好需求来低浸摧残事项产生的大概性。比方：整车职掌器与电机职掌器之间通讯的CAN总线舛错大概导致安好对象违背，于是就提出“央求整车职掌器输出的信号须要举办时序袒护和CRC校验，以保障传输给电机职掌器的信号精确”如许一条功用安好需求。

体系阶段首要依据功用安好需乞降其它非安好需求一块整兼并细化本钱事（安好）需求，然后举办体系打算，酿成本事（安好）观念，并将本事（安好）需求分派给软硬件。此阶段首要有6个举止，睹图3，接下来具体讲一下各进程。

行家看到题目中的“安好”用括号是否会觉得好奇呢。我们就先从这讲起，工程师们思思就明了，行动一个产物不大概只要安好联系的需求，确信须要少许非安好联系的需求才具做出一个完美的产物。正在体系阶段的第一个职责，便是将功用安好需乞降非安好需求整兼并细化本钱事（安好）需求。

非安好联系的需求搜罗：装置工艺（如：迥殊点胶位）、振动需求、职能需求等。正在细化安好需求时，须要将安好机制及详细奉行计划研讨进去。确定产物开垦打算的联系计划，如上面例子第二步“把大象装进冰箱”，正在这里就要细化成是买冰箱照样我方做冰箱，以及把活的大象赶进去照样杀了后整头或切块装进去。正在此举止中须要贯注ASIL等第的剖析。此举止对应大“V”的体系集成和测试。

行家看到这局限尺度大概很容易犯含糊，不知道体系架构是啥旨趣，也不明了何如下手。本来体系架构打算便是将本事（安好）需求形容的功用模块用框图的局面示意出来，即为每一条需求的本事处理计划以框图局面表达。框图的输入、输出接口便是功用模块的输入、输出接口，然后把扫数的框图组合正在一块就成了体系架构图。贯注这内里蕴涵两个实质，第一、本事（安好）需求的ID要与体系架构的ID对应，确保需求与架构相同；第二、要将模块接口形容的参数消息写到架构的接口参数形容当中去。

其它体系架构该当从观念阶段的发端架构中睁开打算体系架构，等把统统产物的架构打算好后，翻开观念阶段的架构点击深切便是体系阶段的架构，再点击深切便是软硬件层面的架构。就像我们看舆图相通，先是从地球放大睁开找到中国再放大找到省再放大找到市。行动一个工程师思思我方打算出如许的架构是不是很美丽。

安好领会是领会体系性失效的器材，方针是助助与扶助打算。正在体系阶段的安好领会须要用到两种，分歧为FMEA、FTA。FMEA和FTA都是以识别体系性失效的原故和体系性阻碍影响的器材，FTA是演绎领会法，FMEA是概括领会法。演绎领会，从上往下领会导出安好对象违背的根基原故；概括领会，从下往上采用阻碍模子（可采用HAZOP枢纽字）对大概导致安好对象违背的扫数失效形式举办领会。两者可能互相验证且都是通过领会验证架构来满意本事（安好）需求，平常领会安好机制的需求是否满意功用安好需求的央求。

联系性失效领会又称为独立性领会简称DFA。DFA首要识别正在分歧ASIL等第的模块间不行互相滋扰，以抵达不违背安好需求或安好对象。

本事（安好）需求、体系架构打算、安好领会和DFA是一个迭代进程，即使安好领会的结果，涌现本事（安好）需求细化的安好机制不敷整个，就须要去更新需求同时也要更新架构，以抵达四者相同。

软硬件接口打算便是将软件与硬件交互的实质界说知道，先将接口界说知道，利便软件工程师和硬件工程师分歧打算。正在后续产物硬件和软件分歧验证达成后，可能举办软硬件集成和测试。站正在现实开垦角度来讲，也可能省略软硬件工程师之间扯皮的事故。

硬件层面便是依据本事（安好）需求导出硬件(安好)需求并通过硬件打算来告竣。正在具体打算后，领会随机硬件阻碍失效和影响。正在硬件层面有6个举止（睹图4）。硬件（安好）需求、硬件架构打算、安好领会这三个举止与体系阶段同理，这里就不再赘述。正在这里首要讲下硬件具体打算和FMEDA。硬件（安好）需求对应小“V”的硬件集成和测试。

硬件具体打算是道理图级其余打算，依据硬件（安好）需乞降硬件架构来打算道理图。万分须要贯注道理图模块电道须要跟硬件架构的模块对应，模块之间的接口也要相通。

FMEDA（随机硬件失效导致违背安好对象的评估）是评估硬件随机失效的方式。针对每一个ASIL等第的开垦，依据ISO 26262尺度央求具有相应的量化目标须要满意，如ASIL B PMHF＜100FIT，SPFM≥90%，LFM≥60%。FMEDA领会便是确定是否满意安好对象所界说的ASIL等第对象值。

输入道理图和BOM集合安好对象，对道理图上的元器件逐一举办FMEDA领会，通过查找行业承认的失效用手册（SN 29500、IEC 62380等）获取元器件的根基失效用，然后针对每一个元器件领会单点阻碍和残存阻碍，众点阻碍和潜匿阻碍，研讨对应安好机制的诊断笼盖率确定安好失效总和、单点阻碍失效和残存阻碍失效总和，计较单点阻碍失效用和潜匿阻碍失效用以及随机硬件阻碍失效用量度是否满意量化目标。

软件层面的软件（安好）需求跟硬件层面相通，都是从本事（安好）需求那里导出，但正在细化软件（安好）需求时应试虑硬件统制及其对软件的影响。软件层面共有7个举止（睹图5）。软件（安好）需求、软件架构打算、安好领会跟前面讲的相通是迭代进程，软件（安好）需乞降安好领会与体系阶段使命实质同理，这里就不再赘述。

软件架构跟硬件架构相通，先要告竣软件（安好）需求，还须要形容各软件模块及其正在宗旨构造中的交互。交互搜罗两方面，静态和动态。静态：须要把每个模块与模块之间的接口和数据途径形容知道；动态：须要将模块与模块之间的时序和准时形容知道。此举止对应小“V”的软件集成和测试。

软件单位打算与告竣首要是依据软件架构和软件（安好）需求具体界说软件单位并依据界说告竣软件单位代码，而且正在单位测试之前须要进步行静态测试。万分须要贯注软件代码模块与软件架构的模块对应，模块之间的接口、静态接口形容的相通。此举止对应小“V”的软件单位测试。

ISO 26262基于“V”模子开垦产物验证，大概许众工程师不知道举止对应闭连。现正在我把3个“V”对应的举止用图示式样画出来，图6是大“V”对应的举止，图7是硬件“V”对应的举止，图8是软件“V”对应的举止。

注：硬件阶段的验证也可能参考软件V模子，将测试分成三个局限。针对硬件具体打算验证的硬件模块测试；针对硬件架构打算验证的硬件集成和测试；以及针对硬件需求验证的硬件测试，分歧界说测试用例举办测试，使验证和打算的追溯更明显，只是由于硬件须要将扫数电道模块整合正在一片板上才利便使命，因此看起来只要一个测试举止。

体系需求对应体系架构、硬件需求对应硬件架构、软件需求对应软件架构，每个阶段的需乞降架构都是可能互相追溯。架构是需求的告竣以及进一步具体打算的根据。

如图6、图7、图8中的3V模子可能明了V模子的左边的打算和右边的验证，这也便是打算验证的追溯闭连。比方：本事安好观念对应体系集成和测试、功用安好观念对应整车集成和测试。

综述：上面临汽车功用安好举办了概述，同时提到统统产物开垦进程的首要举止以及尺度中三个要紧的追溯闭连。行家正在通晓尺度时可能行动主干，向外延长实质即可。

汽车测试网-首创于2008年，报道汽车测试本事与产物、趋向、动态等相干邮箱 marketing#auto-testing.net (把#改成@)