由于標(biāo)準(zhǔn)涉及的范圍十分廣泛， 所以本文先介紹一些關(guān)鍵概念， 然后 結(jié)合 ISO 26262 標(biāo)準(zhǔn)內(nèi)容確定研究范圍， 為燃料電池 ECU 的功能 安全研究提供理論依據(jù)。

安全生命周期分析

安全生命周期模型是采用系統(tǒng)化的方法安排整體的、 為達(dá)到和保持安全 完整性等級(jí)所需的全部活動(dòng)。如圖 2-2 所示， 包括了概念階段、 產(chǎn)品研發(fā)階 段和生產(chǎn)發(fā)布之后的所有階段， ISO 26262 提供了計(jì)劃、 協(xié)調(diào)和記錄這些階 段的安全活動(dòng)的要求和流程。明確了每個(gè)階段要求的輸入和輸出,進(jìn)而分解出每個(gè)階段需要完成的活動(dòng)。在本文的第三章、 第四章、 第五章和第六章， 將 針對(duì)燃料電池 ECU 在概念階段和產(chǎn)品研發(fā)階段的活動(dòng)做詳細(xì)展開， 并依據(jù) 標(biāo)準(zhǔn)指導(dǎo)完成所需開發(fā)活動(dòng)， 最終通過安全確認(rèn)驗(yàn)證燃料電池 ECU 的功能 安全設(shè)計(jì)。因研究范圍所限， 本文對(duì)安全確認(rèn)之后的功能安全評(píng)估和生產(chǎn)發(fā) 布及之后的階段不作展開。

由于汽車工業(yè)分布式開發(fā)的特性， 安全生命周期所涉及到的企業(yè)數(shù)目眾 多， 不同的企業(yè)所負(fù)責(zé)的安全活動(dòng)需要協(xié)調(diào)配合、 明晰各自產(chǎn)品的輸入和輸 出， 才能在保證產(chǎn)品性能和質(zhì)量的前提下達(dá)成安全目標(biāo)。本課題站在燃料電 池 ECU 這一零部件供應(yīng)商的角度， 對(duì)從相關(guān)項(xiàng)定義至功能安全評(píng)估的功能 安全活動(dòng)進(jìn)行研究， 并完成硬件層面的設(shè)計(jì)與驗(yàn)證。軟件層面的工作以及生 產(chǎn)和運(yùn)行階段的活動(dòng)不在本課題研究范圍之內(nèi)。受限于學(xué)術(shù)論文的性質(zhì)， 對(duì) 于標(biāo)準(zhǔn)中規(guī)定的項(xiàng)目計(jì)劃、 安全計(jì)劃、 確認(rèn)計(jì)劃以及驗(yàn)證報(bào)告、 分析報(bào)告、 測(cè)試報(bào)告等安全檔案和開發(fā)流程， 本課題僅作簡(jiǎn)要總結(jié)。但是對(duì)于實(shí)際的汽 車企業(yè)項(xiàng)目來說， 合理的計(jì)劃才能保證安全活動(dòng)的順利實(shí)施， 規(guī)范的各種報(bào)告才能通過企業(yè)內(nèi)外的評(píng)審、 評(píng)估， 包括評(píng)審評(píng)估結(jié)果在內(nèi)的完善的安全檔 案才是證明完整的實(shí)現(xiàn)了相關(guān)項(xiàng)安全要求的證據(jù)。

一般工作流程分析

圖 2-3 介紹符合車輛的生命周期并適應(yīng)安全工程實(shí)踐的一般工作流程， 該圖同時(shí)也說明了安全要求的層級(jí)結(jié)構(gòu)。通過這個(gè)流程可以確定可能出現(xiàn)的 危害及相應(yīng)場(chǎng)景， 這些危害會(huì)造成的風(fēng)險(xiǎn)， 應(yīng)對(duì)這些風(fēng)險(xiǎn)場(chǎng)景所需的安全要 求和安全功能， 這些功能的成功和失敗概率， 以及最終的產(chǎn)品是否滿足安全 目標(biāo)。

本研究通過履行圖 2-3 中的流程， 通過實(shí)施危害分析和風(fēng)險(xiǎn)評(píng)估， 定義 出安全目標(biāo)， 再由安全目標(biāo)得出功能安全需求規(guī)范， 并進(jìn)一步得出技術(shù)安全 要求規(guī)范、 硬件安全要求規(guī)范和軟件安全規(guī)范， 完成本研究的主體內(nèi)容。 相關(guān)項(xiàng)定義分析 相關(guān)項(xiàng)（Item） 是指適用于 ISO 26262 的實(shí)現(xiàn)車輛層面功能或部分功能 的系統(tǒng)， 它包括至少與一個(gè)傳感器、 一個(gè)控制器和一個(gè)執(zhí)行器相關(guān)聯(lián)的要素， 其中的傳感器和執(zhí)行器可以在包含在系統(tǒng)之內(nèi)， 也可以在系統(tǒng)之外。典型的 相關(guān)項(xiàng)架構(gòu)如圖 2-4 所示。燃料電池 ECU 需要外部的傳感器和執(zhí)行器才能 實(shí)現(xiàn)控制功能， 是一個(gè)典型的汽車控制器， 因此符合 ISO 26262 標(biāo)準(zhǔn)中關(guān)于 相關(guān)項(xiàng)的規(guī)定。

相關(guān)項(xiàng)定義的目的是描述清楚相關(guān)項(xiàng)， 以及與環(huán)境和其他相關(guān)項(xiàng)的依賴 性和相互影響， 從而為充分理解相關(guān)項(xiàng)提供支持， 為后續(xù)階段的安全活動(dòng)提 供輸入。對(duì)于燃料電池 ECU 而言， 需要參考已有信息， 給出功能性和非功 能性的要求， 與環(huán)境之間的依賴性， 還需要定義燃料電池 ECU 功能的邊界、 與外部的接口、 以及與其他相關(guān)項(xiàng)和要素的交互關(guān)系等。

危害分析與風(fēng)險(xiǎn)評(píng)估和安全目標(biāo)的分析

危害分析與風(fēng)險(xiǎn)評(píng)估的目的是識(shí)別燃料電池 ECU 因故障而引起的危害 并對(duì)危害進(jìn)行歸類， 制定防止危害事件發(fā)生或減輕危害程度的安全目標(biāo)， 以 避免不合理的風(fēng)險(xiǎn)。實(shí)施方法是基于相關(guān)項(xiàng)的定義對(duì)燃料電池 ECU 故障行 為導(dǎo)致的危害進(jìn)行場(chǎng)景分析， 識(shí)別整車層面的危害， 確定危害事件， 并按照 表 2-1 對(duì)危害事件使用嚴(yán)重度、 暴露概率和可控性三個(gè)參數(shù)進(jìn)行風(fēng)險(xiǎn)評(píng)估， 得出 ASIL 等級(jí)。然后為具有 ASIL 等級(jí)的危害事件分配安全目標(biāo)， 并按照 ISO 26262 第 9 部分對(duì)危害分析、 風(fēng)險(xiǎn)評(píng)估和安全目標(biāo)進(jìn)行驗(yàn)證。在系統(tǒng)設(shè) 計(jì)時(shí)， 可以針對(duì)安全目標(biāo)設(shè)計(jì)相應(yīng)的安全機(jī)制， 以滿足 ASIL 等級(jí)的要求。 場(chǎng)景分析時(shí)應(yīng)對(duì)相關(guān)項(xiàng)的故障行為發(fā)生的具體運(yùn)行場(chǎng)景和運(yùn)行模式進(jìn) 行描述， 之后考慮相關(guān)項(xiàng)的故障行為在不同場(chǎng)景下對(duì)車輛的最終影響， 識(shí)別 危害事件的后果。如果相關(guān)項(xiàng)層面的失效導(dǎo)致多個(gè)功能出現(xiàn)故障行為， 需要 考慮相關(guān)項(xiàng)或整車層面的故障行為組合而導(dǎo)致的危害事件。如果難以對(duì)于一 個(gè)給定的危害進(jìn)行嚴(yán)重度、 暴露概率或可控性的分級(jí)， 應(yīng)保持謹(jǐn)慎， 給出較 高的 ASIL 等級(jí)， 而不是較低的 ASIL 等級(jí)。具有 ASIL 等級(jí)的每個(gè)危害事件 都應(yīng)確定相應(yīng)的安全目標(biāo)， 如果多個(gè)安全目標(biāo)是類似的， 則可以將其合并為 一個(gè)， 如果合并前的安全目標(biāo)具有不同的 ASIL 等級(jí)， 則合并后的安全目標(biāo) 應(yīng)繼承其中最高的一個(gè)。安全目標(biāo)的目的不是描述具體的技術(shù)解決方案， 而 是表述功能。它可以包括對(duì)應(yīng)的安全狀態(tài)， 轉(zhuǎn)移到安全狀態(tài)所需的容錯(cuò)時(shí)間 間隔， 或需要保持的物理特性等。 安全目標(biāo)是相關(guān)項(xiàng)的最高層面安全要求,由安全目標(biāo)導(dǎo)出功能安全要求， 并為產(chǎn)品研發(fā)階段的技術(shù)安全要求和硬件安全要求提供輸入。

汽車安全完整性等級(jí)（ASIL） 分析

汽車安全完整性等級(jí)（ASIL） 則是針對(duì)危害事件的定性衡量標(biāo)準(zhǔn)， 并分 配到安全目 標(biāo)。如果系統(tǒng)的功能安全風(fēng)險(xiǎn)越大， 對(duì)應(yīng)的安全要求就越高， ASIL 等級(jí)也就更高。ASIL 分為 A、 B、 C、 D 共 4 種級(jí)別， ASIL D 為最 高級(jí)別。 ASIL 等級(jí)的定義方法如表 2-1 所示， 三個(gè)維度分別是：嚴(yán)重度等級(jí) S （Severity）， 暴露概率等級(jí) E（Exposure）， 可控性等級(jí) C（Controllability）。嚴(yán)重度代表潛在的處于風(fēng)險(xiǎn)中的每個(gè)人收到的傷害情況的嚴(yán)重程度， 包括駕 駛員、 乘客、 行人和其他車輛上的人， 其中 S0 代表無傷害， S3 代表危及生 命乃至致命的傷害。暴露概率代表危害事件發(fā)生的每個(gè)運(yùn)行場(chǎng)景的可能性， 按照?qǐng)鼍暗某掷m(xù)事件或發(fā)生頻率來分級(jí)， E0 代表幾乎不會(huì)發(fā)生， 如自然災(zāi) 害或其他不可抗力等， 對(duì)于絕大多數(shù)駕駛員小于一年發(fā)生一次；E3 代表大 于 10%的平均運(yùn)行時(shí)間或幾乎每次駕駛都會(huì)發(fā)生。可控性代表駕駛員或其他 潛在處于風(fēng)險(xiǎn)的參與人員能夠充分控制危害事件以避免特定傷害的概率， C0 代表原則上可控， C3 代表難以控制或不可控。由于 S0、 E0 和 C0 等級(jí)代表 對(duì)該風(fēng)險(xiǎn)的場(chǎng)景對(duì)人員無傷害、 幾乎不可能發(fā)生和原則上可以控制， 所以無需分配 ASIL 等級(jí)。QM（Quality Management: 質(zhì)量管理） 通常可以由企業(yè) 內(nèi)部的質(zhì)量管理體系來管理， 無需額外的功能安全管理。

系統(tǒng)的 ASIL 等級(jí)越高， 功能安全風(fēng)險(xiǎn)越大。ISO 26262 對(duì)相應(yīng)的設(shè)計(jì) 方法、 安全技術(shù)、 測(cè)試方法以及需要達(dá)到的技術(shù)指標(biāo)的要求也就越嚴(yán)格， 最 終對(duì)開發(fā)流程和工作產(chǎn)品的審核和確認(rèn)也越嚴(yán)格， 因此在實(shí)際產(chǎn)品開發(fā)過程 中， ASIL 等級(jí)還與開發(fā)周期和開發(fā)成本息息相關(guān)。后續(xù)我們也將針 對(duì)燃料電池 ECU 具體展開 ASIL 等級(jí)的相關(guān)要求進(jìn)行。

審核編輯 ：李倩