本文详细介绍了汽车功能安全的概念开发阶段,包括相关项定义、危害分析与风险评估(HARA)、功能安全概念(FSC)及其在ADAS系统中的应用。通过HARA确定安全目标,FSC负责分配和实施安全要求,确保系统开发始终遵循严格的安全标准。
01、摘要
本篇属于汽车功能安全专题系列第十三篇内容,我们接着聊功能安全概念开发阶段剩余内容。
在上一篇文章''MUNIK谈汽车功能安全系列专题分享(十一)功能安全之概念阶段-Item定义及HARA''(我是链接)中,我们聊到了前两部分内容。
相关项定义(Item Definition) 是功能安全研究的起点,它确保了我们对研究对象有一个清晰、准确的认知。通过定义相关项的边界和交互关系,我们能够确立一个明确的研究范围和目标,为后续的安全分析和方案开发奠定基础。
危害分析和风险评估(HARA) 是一个关键步骤,它涉及到识别潜在的危害事件,评估这些事件的可能性和严重性,并据此确定相应的安全目标和ASIL等级。HARA不仅帮助我们理解系统可能面临的风险,而且为我们提供了实现功能安全目标的指导。
接下来,我们将详细讨论概念开发阶段的第三个重要组成部分:功能安全概念开发(FSC)。功能安全概念开发是在相关项定义和HARA的基础上进行的。它旨在制定一个全面的计划,以确保实现在HARA阶段确定的安全目标。FSC部分安全要求的结构和分布见下图(ISO 26262 Part3)。
图一、安全目标和功能安全要求层级
具体包括:
- 安全要求分配
- 安全概念设计
- 安全措施的实施
通过这些步骤,功能安全方案开发(FSC)确保了从概念阶段开始,汽车系统的开发就遵循了严格的安全标准。这不仅有助于提高汽车的整体安全性,也有助于满足产品要求和市场期望。在后续的开发阶段,FSC将继续指导设计、实施和验证活动,确保功能安全目标得到实现和维护。
02、什么是FSR
2.1安全目标
安全目标是怎么得到的呢?前文提到,通过对整车进行危害分析和风险评估,识别出需要防止、减轻或控制的危害和危害事件,为每个危害事件制定安全目标,并将汽车安全完整性等级(ASIL)与每个安全目标关联。以L2+自动驾驶高速公路辅助(HWA)为例:
表1 高速公路辅助(HWA)功能安全目标(示例)
| Safety Goals ID | Safety Goals | ASIL Rating | Safety States | FTTI |
|---|---|---|---|---|
| HWA_SG_01 | 避免HWA功能控制时过高或非预期的加速 | ASIL D | 1.打开双闪;2.提醒驾驶员接管;3.停止发送加速请求;4.保持本车道内安全行驶;5.驾驶员接管后退出HWA功能;6.提醒驾驶员HWA功能已经退出。 | 300ms |
划重点:
- 安全目标是相关项最高层级的功能安全需求。
- 安全目标和功能安全需求一样,包含ASIL等级、FTTI、safe state等属性。
2.2功能安全要求
功能安全要求是怎么得到的呢,ISO 26262, part3中指出:功能安全要求应由安全目标和安全状态导出,并考虑初步架构设想;且功能安全要求应分配给初步架构设想中的要素。
从SG到FSR,多采用FTA分析方法进行分析,由1.1节示例中HWA_SG_01导出的,且对应到初步系统架构要素上的功能安全需求(FSR)如下:
步骤一: 确定分析边界,包括分析对象,范围;
步骤二: 选择分析的故障,即顶事件,通常将违反的安全目标(SG)作为FTA顶事件;
步骤三: 根据顶事件,确认充分导致故障产生的原因,建立故障树,直至分析的最低抽象级别,即底事件(对于FSR,一般为组件级别,如传感器,执行器,控制单元等) 。
步骤四: 根据底事件,采取安全措施以消除相关故障路径,制定相应的FSR。
图二、SG导出FSR过程
根据ISO 26262-3-2018要求,FSR必须分配至系统架构,作为FSC的重要组成部分。以下是HWA功能安全需求与系统架构元素的分配关系。
表2 高速公路辅助(HWA)功能安全需求(示例)
| FSR ID | Description | ASIL Rating | Allocated |
|---|---|---|---|
| HWA_SG02_FSR_01 | 避免感知给出障碍物位置过远 | ASIL B(D) | ADAS |
| HWA_SG02_FSR_02 | 避免BCS给出过低的车速 | ASIL B(D) | BCS |
| HWA_SG02_FSR_03 | HWA应该避免内部错误发出过大的加速请求 | ASIL B(D) | ADAS |
| HWA_SG02_FSR_04 | VCU应该避免内部错误产生过大的加速度执行请求 | ASIL B(D) | VCU |
| …… |
03、什么是FSC
功能安全概念:为了实现功能安全目标,把功能安全要求分配给相关项中的初步架构要素或外部措施的一切活动的总和。
3.1定义每个要素/子系统的所有安全功能,以避免违反安全目标
表3 高速公路辅助(HWA)安全功能(示例)
| SAFETY FUN_ID1 | HWA Acceleration | 根据车辆状态及周围环境探测信息,控制车辆加速 |
|---|---|---|
| SAFETY FUN_ID2 | HWA Deceleration | 根据车辆状态及周围环境探测信息,控制车辆减速 |
| SAFETY FUN_ID3 | HWA Steering | 根据车辆状态及周围环境探测信息,控制车辆转向 |
| SAFETY FUN_ID4 | HWA Function OFF | 根据HWA功能关闭要求,关闭该功能 |
| SAFETY FUN_ID5 | HWA Function ON | 根据HWA功能开启要求,开启该功能 |
| SAFETY FUN_ID6 | Driver Override | 驾驶员自己意图控制车辆时,系统需要将操作权移交给驾驶员。 |
3.2 安全状态
当违背一个HWA安全目标时,可以达到两种安全状态。HWA hands-off是汽车行业中被称为SAE 2.5级的有条件自动驾驶功能,驾驶员应能够在指定时间(最大的接管时间)内接管控制权。一种安全状态是“车辆由驾驶员接管”,另一种安全状态是“车辆停止”。
表4 高速公路辅助(HWA)安全状态(示例)
| Safe State 1 | 车辆由驾驶员接管 | 自车在本车道内停车,并向交通参与者发出视觉警告。 |
|---|---|---|
| Safe State 2 | 车辆停止 | 车辆控制由驾驶员接管,相关项功能不能激活 |
3.3 定义警告和降级策略
警告和降级概念规定了在发生了潜在的功能降级时如何提醒驾驶员,以及如何让这种降级功能进入安全状态。
对于L1/2级功能,如果监控机制识别降级,自动驾驶系统需要将动态驾驶任务直接转移给后备驾驶员。系统首先启动驾驶员接管请求(视觉/声学/触觉警告),驾驶员负责立即接管驾驶任务。如果系统检测到驾驶员没有接管驾驶任务,系统将在行驶车道上执行安全停车,并闪烁危险灯以警告附近的交通参与者。
3.4定义紧急运行策略
紧急运行(EO)是车辆在违反安全目标时,为使车辆进入安全状态而采取的一种运行状态。
在SAE J3016的背景下,紧急操作是一种最小风险策略(MRM),直到达到安全状态/最小风险条件(MRC)。
紧急操作有时间限制(<EOTTI),紧急操作的持续时间取决于每个用例所需的减速度(舒适或紧急)。
3.5ADAS系统安全概念
完整的ADAS功能安全概念FSC除了应包含功能安全需求FSR,还需要将功能安全需求分析到架构,最终输出功能安全概念(FSC)和验证报告。
图三、ADAS safety concept(示意图)
04、写在最后
本文以ADAS自动驾驶系统为例,帮助大家理解功能安全需求FSR和功能安全概念FSC内容,这对于汽车功能安全的开发至关重要。它们不仅是是功能安全目标的技术内容,也是确保系统在面对潜在故障时能够安全响应的关键。通过深入理解这两个概念,我们可以更好地设计和开发出符合功能安全要求的汽车系统。
在后续的内容中,我们将继续探讨功能安全系统阶段开发的其他重要方面,包括系统安全架构设计、技术安全需求TSR和技术安全概念TSC等。希望通过这些内容,能够帮助大家更全面地理解汽车功能安全的开发过程。
最后,你是不是还为功能安全系统阶段开发不知道怎么下手而发愁,请不要犹豫,关注上海秒尼科技术服务有限公司官网,获取更多服务内容~
扫一扫
793
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
