《表1 严重度、暴露率、可控性分类》

  提示：宽带有限、当前游客访问压缩模式

本系列图表出处文件名：随高清版一同展现

《新能源汽车VCU诊断软件系统开发》

1. 获取 高清版本忘记账户？点击这里登录

1. 下载图表忘记账户？点击这里登录

根据安全事项的危险分析和危险评估，软件系统开发的功能安全风险（ASIL）等级划分有如下原则:1) 功能安全的要求应该根据系统基本架构提出；2) 下级系统应该全面继承上级系统的安全要求和安全等级；3) 同一要素与上级的几个系统都有从属关系，则取安全等级最高的系统级别；4) 处理好电子电气类安全措施的接口，不要存在系统安全空白，也不要在一个点上过度设计。整车控制器进行功能安全设计时，首先从系统层面分析可能出现的功能故障，比如新能源汽车涉及的高压安全、扭矩控制安全、电控零部件逻辑安全等方面，对此可采用的分析方法有HAZOP、FMEA、头脑风暴等。如在软件各个阶段发现本阶段没有识别出来的故障，都有必要回到本阶段思考、更新故障及功能安全需求。在考虑各个子系统的功能安全时，还需要考虑用户在使用此项功能时的场景、此功能涉及的零部件有哪些已知风险和环境状况，例如路面行驶状况（湿滑路面、冰雪路面、干燥路面）、车辆行驶状态（转向、超车、制动、加速）、人员用车情况（空载、乘客人数、甚至无人驾驶使用场景）等。这些功能安全可能的失效因子可以被称为“危害事件（Hazard Event）”，危害事件确定后，根据三个因子—严重度（Severity）、暴露率（Exposure）和可控性（Controllability）评估危害事件的风险等级。其中，严重度指对驾驶员、乘员、或者行人等涉险人员的伤害程度；暴露率指人员暴露在系统的失效能够找车危害的场景的概率；可控性是指驾驶员或其他涉险人员能够避开事故或者上海的可能性。三个因子的分类见表1。