产品经理学习资料 - 汽车功能安全产品设计概述2021.docxVIP

PAGE1 / NUMPAGES11 汽车功能安全产品设计概述 随着电动化、智能化的发展，越来越多的汽车配备了电子电气系统，如电传动系统、助力转向系统、自动驾驶系统等，原有的机械部件被电子器件取代。而引入如此复杂的电子电气系统对整车安全带来了极大的风险，简单的一个元器件老化、失效，都有可能引发系统故障，进而导致事故发生。因此，对汽车及其相关零部件安全的要求也是越来越高。 为了达到更高程度的安全要求，在针对其他行业安全的通用IEC61508标准的基础上，衍生出针对汽车行业特定的ISO26262功能安全标准。ISO26262要求车载电子电气系统在检测到潜在的危险情况，启动保护或纠正装置，以防止发生危险事件或提供缓解措施以减少危险事件的后果。简而言之，功能安全的最终目的是确保产品安全运行，即便出现问题也能够最大程度减少伤害。所以，在电动化及智能化程度最高的新能源汽车行业，引入和深入实施ISO26262功能安全标准，指导相关的产品开发，是十分必要的。 ISO26262对关键的安全级别进行了四层划分，通过汽车安全完整性等级（ASIL）来衡量。ASILA是最低等级，要求数目约100个左右，而ASILD是最高等级，要求数目近200个。等级越高，安全系统就需要提供越多的安全和验证措施，需要增加更多的测试和集成工作，也就意味着供应商需要承担更多的开发成本和时间。 为了实现新能源汽车的整车功能安全，需要OEM和各级供应商有着明确的职责划分和合作模式，国外主机厂在与供应商合作中，如博世、电装等，都有着明确的功能安全标准和验证要求。当然不同的汽车部件对功能安全的要求是不同的，越核心的部件需要越高等级的功能安全。就新能源汽车车辆自身安全而言，电机控制器不得不算是最核心的部件之一，电机控制器作为新能源汽车的动力控制系统，掌握着整车的加速、刹车等关键性能，电控失效带来的安全风险不容忽视，所以，符合功能安全的电控设计正逐渐成为业内的普遍需求，当前对电控的功能安全需求多为ASILC等级，但在未来，电控的功能安全需求或将提升为ASILD级，这需要供应商具备复杂度更高、冗余性更强、可靠性指标更高的电控产品设计能力和水平。 下面对功能安全在整个产品设计过程中的应用进行详细介绍： 1概念阶段 概念阶段主要任务是从整车层面确定功能，针对功能失效的危害事件进行风险评估并制定安全目标（主要属性：ASIL等级、FTTI和安全状态）导出功能安全需求。本部分主要有4个活动，接下来咱们就来讲讲这些活动主要实现什么。 注：FTTI:从故障发生到故障处理完成的时间,FTTI时间是从整车层面定义，零部件的FTTI时间为其中一部分。 1.1相关项定义 在汽车功能安全领域，很多人都有听说过HARA分析。但在进行HARA分析之前，需要先定义项目要实现的功能，以及实现该功能产品的使用环境、与其它产品相关的依赖性和相互影响、法规要求、系统和组件之间的接口和边界条件，这就是相关项定义的主要目的。在此活动中需要画一个与相关项相关的物理架构图，即为项目边界图，定义系统的边界和与它相关联的系统。值得注意的是，针对零部件厂家此处的功能是零部件在整车层面体现的功能。如：电机控制器的提供扭矩功能，简称“扭矩功能”，在HARA分析后的功能就会这样描述“请求正向动力实际输出反向动力”，属于比较细化的描述。 1.2HARA分析 危害分析和风险评估针对相关项所定义的每一个功能分别进行HAZOP分析（功能无、功能多、功能少、功能相反、非预期、卡滞）。在定义危害事件（整车故障、路面状况、天气状况、驾驶情景和用户），最后进行风险评估确定每一条危害事件的ASIL等级，从S（严重度）、E（暴露概率）、C（可控性）三个角度进行分析。 注：巧记S+E+C=7对应ASILA；S+E+C=8对应ASILB；S+E+C=9对应ASILC；S+E+C=10对应ASILD。 1.3安全目标 完成HARA分析后，应为每一条危害事件确定安全目标。安全目标是最高层面的安全需求，其重要属性包括ID、描述、ASIL等级、FTTI、安全状态。ASIL等级为所覆盖的危害事件的最高等级。产品的最后验证活动也就是从整车层面确定ASIL等级和安全目标，是大“V”验证活动中最后一个活动“安全确认”。 1.4功能安全需求 功能安全需求是由安全目标和安全状态导出，可能有人会问如何导出？把它简单理解成一个分解的过程就行。例如：确保把大象放进冰箱里这个“安全目标”，第一步打开冰箱门；第二步把大象装进冰箱；第三步关上冰箱门，这三步就是根据“安全目标”导出的“功能安全需求”。 注意：在分解过程中，需要继承安全目标最高ASIL等级。功能安全需求是大“V”验证活动中，对应整车集成和测试。 为了使导出的功能安全需求更具完整性，可以通过整车层面的安全分析导出，如：FMEA、FTA、