燃料电池 ECU 的功能安全开发方法分析

由于标准涉及的范围十分广泛， 所以本文先介绍一些关键概念， 然后 结合 ISO 26262 标准内容确定研究范围， 为燃料电池 ECU 的功能 安全研究提供理论依据。

安全生命周期分析 

安全生命周期模型是采用系统化的方法安排整体的、 为达到和保持安全 完整性等级所需的全部活动。如图 2-2 所示， 包括了概念阶段、 产品研发阶 段和生产发布之后的所有阶段， ISO 26262 提供了计划、 协调和记录这些阶 段的安全活动的要求和流程。明确了每个阶段要求的输入和输出,进而分解出每个阶段需要完成的活动。在本文的第三章、 第四章、 第五章和第六章， 将 针对燃料电池 ECU 在概念阶段和产品研发阶段的活动做详细展开， 并依据 标准指导完成所需开发活动， 最终通过安全确认验证燃料电池 ECU 的功能 安全设计。因研究范围所限， 本文对安全确认之后的功能安全评估和生产发 布及之后的阶段不作展开。

由于汽车工业分布式开发的特性， 安全生命周期所涉及到的企业数目众 多， 不同的企业所负责的安全活动需要协调配合、 明晰各自产品的输入和输 出， 才能在保证产品性能和质量的前提下达成安全目标。本课题站在燃料电 池 ECU 这一零部件供应商的角度， 对从相关项定义至功能安全评估的功能 安全活动进行研究， 并完成硬件层面的设计与验证。软件层面的工作以及生 产和运行阶段的活动不在本课题研究范围之内。受限于学术论文的性质， 对 于标准中规定的项目计划、 安全计划、 确认计划以及验证报告、 分析报告、 测试报告等安全档案和开发流程， 本课题仅作简要总结。但是对于实际的汽 车企业项目来说， 合理的计划才能保证安全活动的顺利实施， 规范的各种报告才能通过企业内外的评审、 评估， 包括评审评估结果在内的完善的安全档 案才是证明完整的实现了相关项安全要求的证据。

一般工作流程分析 

图 2-3 介绍符合车辆的生命周期并适应安全工程实践的一般工作流程， 该图同时也说明了安全要求的层级结构。通过这个流程可以确定可能出现的 危害及相应场景， 这些危害会造成的风险， 应对这些风险场景所需的安全要 求和安全功能， 这些功能的成功和失败概率， 以及最终的产品是否满足安全 目标。

本研究通过履行图 2-3 中的流程， 通过实施危害分析和风险评估， 定义 出安全目标， 再由安全目标得出功能安全需求规范， 并进一步得出技术安全 要求规范、 硬件安全要求规范和软件安全规范， 完成本研究的主体内容。
相关项定义分析 相关项（Item） 是指适用于 ISO 26262 的实现车辆层面功能或部分功能 的系统， 它包括至少与一个传感器、 一个控制器和一个执行器相关联的要素， 其中的传感器和执行器可以在包含在系统之内， 也可以在系统之外。典型的 相关项架构如图 2-4 所示。燃料电池 ECU 需要外部的传感器和执行器才能 实现控制功能， 是一个典型的汽车控制器， 因此符合 ISO 26262 标准中关于 相关项的规定。

相关项定义的目的是描述清楚相关项， 以及与环境和其他相关项的依赖 性和相互影响， 从而为充分理解相关项提供支持， 为后续阶段的安全活动提 供输入。对于燃料电池 ECU 而言， 需要参考已有信息， 给出功能性和非功 能性的要求， 与环境之间的依赖性， 还需要定义燃料电池 ECU 功能的边界、 与外部的接口、 以及与其他相关项和要素的交互关系等。 

危害分析与风险评估和安全目标的分析 

危害分析与风险评估的目的是识别燃料电池 ECU 因故障而引起的危害 并对危害进行归类， 制定防止危害事件发生或减轻危害程度的安全目标， 以 避免不合理的风险。实施方法是基于相关项的定义对燃料电池 ECU 故障行 为导致的危害进行场景分析， 识别整车层面的危害， 确定危害事件， 并按照 表 2-1 对危害事件使用严重度、 暴露概率和可控性三个参数进行风险评估， 得出 ASIL 等级。然后为具有 ASIL 等级的危害事件分配安全目标， 并按照 ISO 26262 第 9 部分对危害分析、 风险评估和安全目标进行验证。在系统设 计时， 可以针对安全目标设计相应的安全机制， 以满足 ASIL 等级的要求。
场景分析时应对相关项的故障行为发生的具体运行场景和运行模式进 行描述， 之后考虑相关项的故障行为在不同场景下对车辆的最终影响， 识别 危害事件的后果。如果相关项层面的失效导致多个功能出现故障行为， 需要 考虑相关项或整车层面的故障行为组合而导致的危害事件。如果难以对于一 个给定的危害进行严重度、 暴露概率或可控性的分级， 应保持谨慎， 给出较 高的 ASIL 等级， 而不是较低的 ASIL 等级。具有 ASIL 等级的每个危害事件 都应确定相应的安全目标， 如果多个安全目标是类似的， 则可以将其合并为 一个， 如果合并前的安全目标具有不同的 ASIL 等级， 则合并后的安全目标 应继承其中最高的一个。安全目标的目的不是描述具体的技术解决方案， 而 是表述功能。它可以包括对应的安全状态， 转移到安全状态所需的容错时间 间隔， 或需要保持的物理特性等。 
安全目标是相关项的最高层面安全要求,由安全目标导出功能安全要求， 并为产品研发阶段的技术安全要求和硬件安全要求提供输入。

汽车安全完整性等级（ASIL） 分析 

汽车安全完整性等级（ASIL） 则是针对危害事件的定性衡量标准， 并分 配到安全目 标。如果系统的功能安全风险越大， 对应的安全要求就越高， ASIL 等级也就更高。ASIL 分为 A、 B、 C、 D 共 4 种级别， ASIL D 为最 高级别。 

ASIL 等级的定义方法如表 2-1 所示， 三个维度分别是：严重度等级 S （Severity）， 暴露概率等级 E（Exposure）， 可控性等级 C（Controllability）。严重度代表潜在的处于风险中的每个人收到的伤害情况的严重程度， 包括驾 驶员、 乘客、 行人和其他车辆上的人， 其中 S0 代表无伤害， S3 代表危及生 命乃至致命的伤害。暴露概率代表危害事件发生的每个运行场景的可能性， 按照场景的持续事件或发生频率来分级， E0 代表几乎不会发生， 如自然灾 害或其他不可抗力等， 对于绝大多数驾驶员小于一年发生一次；E3 代表大 于 10%的平均运行时间或几乎每次驾驶都会发生。可控性代表驾驶员或其他 潜在处于风险的参与人员能够充分控制危害事件以避免特定伤害的概率， C0 代表原则上可控， C3 代表难以控制或不可控。由于 S0、 E0 和 C0 等级代表 对该风险的场景对人员无伤害、 几乎不可能发生和原则上可以控制， 所以无需分配 ASIL 等级。QM（Quality Management: 质量管理） 通常可以由企业 内部的质量管理体系来管理， 无需额外的功能安全管理。

系统的 ASIL 等级越高， 功能安全风险越大。ISO 26262 对相应的设计 方法、 安全技术、 测试方法以及需要达到的技术指标的要求也就越严格， 最 终对开发流程和工作产品的审核和确认也越严格， 因此在实际产品开发过程 中， ASIL 等级还与开发周期和开发成本息息相关。后续我们也将针 对燃料电池 ECU 具体展开 ASIL 等级的相关要求进行。

注：文章摘录自2018年论文集，作者，吴松，仅供学习参考！