《表1 严重度、暴露率、可控性分类》
根据安全事项的危险分析和危险评估,软件系统开发的功能安全风险(ASIL)等级划分有如下原则:1) 功能安全的要求应该根据系统基本架构提出;2) 下级系统应该全面继承上级系统的安全要求和安全等级;3) 同一要素与上级的几个系统都有从属关系,则取安全等级最高的系统级别;4) 处理好电子电气类安全措施的接口,不要存在系统安全空白,也不要在一个点上过度设计。整车控制器进行功能安全设计时,首先从系统层面分析可能出现的功能故障,比如新能源汽车涉及的高压安全、扭矩控制安全、电控零部件逻辑安全等方面,对此可采用的分析方法有HAZOP、FMEA、头脑风暴等。如在软件各个阶段发现本阶段没有识别出来的故障,都有必要回到本阶段思考、更新故障及功能安全需求。在考虑各个子系统的功能安全时,还需要考虑用户在使用此项功能时的场景、此功能涉及的零部件有哪些已知风险和环境状况,例如路面行驶状况(湿滑路面、冰雪路面、干燥路面)、车辆行驶状态(转向、超车、制动、加速)、人员用车情况(空载、乘客人数、甚至无人驾驶使用场景)等。这些功能安全可能的失效因子可以被称为“危害事件(Hazard Event)”,危害事件确定后,根据三个因子—严重度(Severity)、暴露率(Exposure)和可控性(Controllability)评估危害事件的风险等级。其中,严重度指对驾驶员、乘员、或者行人等涉险人员的伤害程度;暴露率指人员暴露在系统的失效能够找车危害的场景的概率;可控性是指驾驶员或其他涉险人员能够避开事故或者上海的可能性。三个因子的分类见表1。
图表编号 | XD0075883600 严禁用于非法目的 |
---|---|
绘制时间 | 2019.05.30 |
作者 | 周亚芬、钟日敏、黄祖朋 |
绘制单位 | 上汽通用五菱汽车股份有限公司技术中心、上汽通用五菱汽车股份有限公司技术中心、上汽通用五菱汽车股份有限公司技术中心 |
更多格式 | 高清、无水印(增值服务) |