目前成效安好准绳 ISO26262 正在汽车主动驾驶辅助体例打算历程中的利用，特别是观点阶段的打算利用缺乏团结有用的手段。详尽分析了 ISO26262 准绳第三个别观点阶段的实质和央浼，包罗相干项界说、成效安好周期启动、HARA 理解和成效安好观点，先容了适当 ISO26262 准绳举行观点阶段各个别打算的简直手段，以车道依旧辅助 ( LKA) 为例分析详尽的打算措施和理解历程。此手段已利用于某品牌汽车主动驾驶辅助体例的成效安好观点打算，为其他主动化相干驾驶辅助体例发展成效安好观点打算供应了必定的手段指点。

汽车主动化及主动驾驶是汽车行业异日开展的趋向，天下各国对该范畴的研讨热火朝天，先后发展了许众主动驾驶汽车的相干道途试验，博得了丰富的收获。目前各京都曾经给出了汽车主动化和主动驾驶开展策划，各大车企、汽车相干科研机构和机合对主动驾驶的开展阶段界说根基趋同，包罗美国汽车工程师学会 SAE( society of automotive engineers) 、美国国家公途交通安好经管局 NHTSA( national highway traffic safety administration) 、欧洲博世( Bosch) 、中国汽车工程学会以及以长安汽车为代表的一批车企等，重要划分如下阶段: 无主动驾驶( Level 0) 、具有指定成效主动驾驶( Level 1) 、具有复合成效的主动驾驶 ( Level 2) 、具有局限前提的无人驾驶( Level 3) 、所有主动驾驶( Level 4) 。而目前主流的本领程度均处于 Level 1 和 Level 2 的阶段，即辅助主动驾驶阶段，只要像谷歌等极少数公司的本领曾经进入 Level 4 阶段。

主动驾驶的杀青倚赖的是越来越庞杂的电子电气体例的集成和限制，基于电子电气体例的成效安好题目慢慢凸显出来，成为汽车主动化历程中首当其冲必要处置的环节题目之一，为此国际准绳化机合( ISO) 特意推出了 ISO26262———道途车辆成效安好准绳，来为统统人命周期中与成效安好相干的办事流程和经管流程供应指点。

电子电气体例的斥地打算越来越众将成效安好行为思索的要素，完全知足成效安好准绳 ISO26262 打算的电子电气体例和子体例，最初的打算按照均来自于顶层理解，即成效安好观点阶段的理解收获，于是合理的观点打算至合主要。

目前利用 ISO26262 准绳斥地打算适用成效体例的较众，对主动化各个阶段的成效体例特别是主动驾驶辅助体例的研讨利用相对较少，现有研讨重要是 ISO26262 准绳的举座利用，特意针对成效安好观点的研讨文献屈指可数，可睹此阶段还未惹起研讨职员足够的器重。以某汽车品牌正在研主动驾驶辅助体例成效之一车道依旧体例为例，打算出适当成效安好准绳 ISO26262 的电子电气体例安好打算的简直奉行手段，分析了详尽的实质和措施，为发展后续体例打算和软硬件打算供应输出收获，并为其他本领职员发展相干体例的成效安好观点打算供应指点。

ISO26262 是 IEC61508 对电子电气体例正在道途车辆方面的成效安好央浼的简直利用，实用于道途车辆上特定的由电子、电气和软件组件构成的安好相干体例正在安好人命周期内的完全举动。

1) 观点阶段: 包罗相干项界说( Part 3-5) 、安好人命周 期 启 动 ( Part 3-6) 、风险理解和危险评估 ( Part 3-7) 、成效安好观点( Part 3-8) 四个别实质。凭据产物的成效界说斥地相干项界说，并启动产物安好斥地人命周期，后以相干项界说为基本举行 HARA 理解，得生产品的成效安好方向和 ASIL 等第，再举行观点理解得出成效安好央浼及对应的 ASIL 等第。

2) 产物斥地: 基于观点阶段理解得出的成效安好央浼，得出简直的本领安好央浼，包 括 系 统 层 ( Part 4) 、硬件层( Part 5) 和软件层( Part 6) 的本领安好央浼，并指点各个层级的打算斥地; 产物打算斥地实行后，必要通过成效安好确认( Part 4-9) 和成效安好评估( Part 4-10) 材干许诺产物分娩颁布( Part 4-11) 。个中，安好确认除了对成效安好央浼的完全交付物举行确认，还包罗维持观点阶段理解的限制才气的假设、外部分径的应用及其他本领的利用。产物斥地历程中应当同步界说产物的分娩部署 ( Part 7-5) 和运转部署( Part 7-6) 。

3) 分娩颁布之后: 基于产物的分娩部署和运转部署，奉行基于成效安好央浼的的分娩、运转、效劳和报废历程( Part 7-6 和 Part 7-6) 的举动。上述举动中若有批改的处境，则应返回到对应的人命周期阶段举行迭代。

ISO26262 准绳共分十章，正在产物斥地人命周期中，第一、二、八、九、十章实用统统周期，第三、四、五、六、七章则必要坚守打算斥地的先后按序。第三章观点阶段的办事收获是后面完全斥地办事的基本，直接裁夺着接下来产物斥地合于成效安好央浼的奉行质地，于是极度主要。

对相干项举行界说和描绘，及其与境况和其它相干项的依赖性和互相影响，包罗其成效、畛域接口、境况前提、法例央浼和风险等，便利打算斥地职员或许充显着了相干项，为后续阶段的举动供应赞成。

车道依旧辅助( lane-keeping assistance，LKA) 是个别主动化阶段的辅助驾驶成效，驾驶员无认识偏离车道时，或许监测并主动纠偏。对其举行相干项界说应包罗如下实质:

图 2 是 LKA 成效的成效架构及畛域图，正在成效开启后，LKA 通过 CAN 搜集网罗各个因素( Element) 供应的相干音信，个别详尽如下:

完全音信通过 LKA 的 ECU 统治，占定出车辆车轮外角落距车道线的隔断是否知足纠偏央浼，并输出相应指令给奉行因素( 如 Element X 和 Element Y) ，正在必要的时辰将车辆纠偏回平常车道内。

相干项界说中的办事形式和前提应当尽量包括体例实践办事时完全的形式及其按照的前提，思索到斥地之初打算的不所有成熟，故许诺后续的改革和更新。如表 1 为 LKA 体例具有的办事形式及对应的前提。

界说相干项与其他相干项和境况之间的交互影响和互相影响、成效正在所涉及的体例和因素间的分拨等。如图 2，通过畛域线将体例的组件和因素划分成两个别，畛域内的因素与体例直接相干、会影响体例成效杀青，如 Element 1 体例开合，其开闭触发状况直接裁夺体例能否起源办事，于是必要划归畛域内; 畛域外的因素与体例间接相干、会影响体例职能，如供应外界温度信号的 Element 5，其供应的音信行为统治器算法的抵偿，确切性仅影响统治器盘算误差的巨细，不会影响体例自己成效的应用，于是必要划归畛域外; 另外有些因素不妨具有分别的成效，正在体例办事时插手众种脚色，既供应输入音信，又担负 ECU 指令音信显示或奉行的做事，或者同时担当其他体例的相干脚色，若无法正在畛域架构图中画出，则必要正在相干项界说中昭着描绘。

接口界说包罗呆板接口和因畛域线划分因素的体例内部因素接口和外部因素接口，另外体例因素间、因素与总线间的通讯也应当界说昭着。

本节必要界说体例运转境况，如温度、海拔、湿度、振动、电磁搅扰等; 体例运转央浼，如办事电压、电流等; 其他的局限前提。若不昭着可能无须界说。表 2 罗列了 LKA 体例运转的境况前提。

LKA 体例正在以上央浼的境况前提局限内崭露的失效属于成效安好的领域，赶过以上境况前提成效安好不再保障有用。如境况温度大于 NN°C，体例不妨无法平常办事; 摄像头被遮挡，体例也无法平常办事; 其他的局限前提如大雨大雪气象也会影响体例的平常办事等。

应昭着罗列相干项体例成效适当哪些司法法例、国家准绳和国际准绳。如 LKA 成效知足的法例包罗 ECE R10．05、ISO 7637、GB /T 18655 等，详尽可能界说到知足相干法例的简直章节。

本节必要界说相干项体例已知的失效形式和风险，酿成的潜正在后果，包罗体例因素、软硬件失效对体例酿成的风险。如 LKA 体例倚赖摄像头供应准确的车道线音信，若摄像头崭露滞碍，必要体例紧闭并呼应相应提示，体例光复必要维修或更调摄像头至平常。

安好人命周期启动必要确定本相干项体例是新的斥地依旧对现有相干项体例举行批改，或是对现有相干项体例的重用。新的相干项斥地必要络续举行下一步风险理解和危险评估，对现有相干项举行批改必要评估批改个别对相干项的影响并举行影响理解，对现有相干项体例的重用必要集成和沿用与现有相干项安好相干的文档。商榷的 LKA 体例为新斥地的相干项，故对批改相干项和重用相干项实质不做描绘。

风险理解和危险评估( hazard analysis and risk assessment，HARA) 。其宗旨是对成效潜正在滞碍举行识别并对其形成的风险举行分类，确定成效安好方向并拟定相应的门径以避免体例成效分歧理的危险。

HARA 理解流程如图 3，凭据相干项界说，通过潜正在风险识别确定整车级风险，然后通过 ASIL 理解确定每一个整车级风险的 ASIL 等第，结尾确定相干风险的安好方向，并输出成效安好观点。

风险理解和危险评估( hazard analysis and risk assessment，HARA) 。其宗旨是对成效潜正在滞碍举行识别并对其形成的风险举行分类，确定成效安好方向并拟定相应的门径以避免体例成效分歧理的危险。

HARA 理解流程如图 3，凭据相干项界说，通过潜正在风险识别确定整车级风险，然后通过 ASIL 理解确定每一个整车级风险的 ASIL 等第，结尾确定相干风险的安好方向，并输出成效安好观点。合切牛喀网投入体例、软件和ADAS成效安好培训，现正在团购可享福立减800价值优惠。

目前确定整车级风险应用较众的手段有风险和可操作性理解 HAZOP( hazard and operability analysis) 、脑筋风暴、预先损害性理解 PHA ( preliminary hazard analysis) 等，相对来讲，HAZOP 理解体例性、完整性和布局性较好; 脑筋风暴和其他 PHA 手段正在场景理解切实切性和周到性方面，依赖理解职员具备充足的经 验、专业学问等要素，导致理解成绩担心谧。于是 LKA 成效的风险理解采用 HAZOP 理解手段。

HAZOP 供应了 12 种失效形式，通过对每种失效形式的理解确切周到的寻找潜正在风险，包罗太过、亏空、失效、衰减、间歇性、无秩序、波动、毛病、相反、延时、无呼应。

表3 是 LKA 成效的 HAZOP 理解表，对 LKA 成效应当理解上述 12 种失效，确定每种失效导致的整车级风险，并确定必要思索的众种运转境况，给出不妨的限制门径，结尾将完全属于风险事务的整车级风险汇总，以举行后续理解。合于AEB,ACC,L3主动驾驶等更众体例的成效安好打算和斥地需求，可参加牛喀网获取更众原料，牛喀网汽车安好专家团队也可能凭据需求供应接洽和审核评估赞成效劳，详询电话/微信。

汽车安好完备性等第( automobile safety integrity levers，ASIL) 。ASIL 等第是通过败露度、重要度、可控性三个维度影响因子的理解确定，共分 ASILA、B、 C、D、QM 5 个等第，个中 QM 等第属于质地经管领域，不正在成效安好思索之内。

(1) 败露度。对车辆运转工况和驾驶境况的评估。可能通过运转工况占车辆人命运转周期时光比例或者产生频率来确定。败露度等第界说和分类睹表 4。

(2) 重要度。相干项体例成效正在特定的境况前提下产生失效，由潜正在损害酿成职员摧残的重要水平，包罗对本车和其他道途应用车辆的驾驶员、乘员以及途上行人的摧残等。重要度等第界说和分类睹表 5。

(3) 可控性。评估驾驶者或其它道途应用者当风险产生时对损害处境的限制并能避免摧残的概率。重要度等第界说和分类睹表 6。对 HAZOP 理解确定的整车级风险络续举行 ASIL理解，理解每一个风险的 E、S、C 等第，并凭据表8确定每一个整车级风险的 ASIL 等第。本节以 LKA 成效产生误纠偏和纠偏亏空两个整车级风险为例证据 HARA理解过 程和ASIL等第确定，详睹表 7。

针对驾驶员能感知的整车级风险，从管管职员角度提出为避免风险必要到达的方向，是顶层的成效安好需求。应当为每一个整车级风险确定一个安好方向。可能兼并完全整车级风险中形似的安好方向，其 ASIL 等第为相应风险理解中 ASIL 最高的等第。表 9 为通过表 7 的 HARA 理解确定的 LKA 成效的安好方向及对应的 ASIL 等第。

成效安好观点源于成效安好方向，包罗安好状况、安好需求、安好需求正在相干项架构因素的分拨，昭着必定的安好门径与安好机制。简直包罗: 滞碍检测和失效缓解手段; 过渡到安好状况及滞碍容忍时光间隔; 容错机制，即一个滞碍产生时不会直接导致违反安好方向( S) 并依旧该成效正在安好状况; 滞碍监测与报警; 从分别成效发送过来的众个仰求落选择最得当的限制央浼奉行的仲裁逻辑; 如图 4 成效安好观点各状况变换的时光间隔界说。

1) 安好状况的提出。安好状况是体例或成效不存正在任何因为体例导致的不行承受的危险的一种状况，包罗成效平常的运转、奉行、操作状况、成效滞碍后的降级反映、成效滞碍后紧闭并报警。本例 LKA 体例正在产生滞碍时，正在现有成效自己上述 3 种机制均无法到达有用的安好状况，故无对应的有用安好状况。

2) FSR 的提出。成效安好需求( functional safety requirement，FSR) 。应基于安好方向和安好状况，并思索发轫的架构与畛域边界来提出安好需求( 如图 2) ，通过表 10 罗列出体例因素及其成效，为每一个因素编号。

安好需求的 ASIL 等第分析和分拨按照本节 3) 个别的正派，滞碍容忍时光间隔必要正在后续的打算历程中通过本领安好需求提出。

ISO26262 央浼其他相干实质正在成效安好观点中昭着( 假若具有) ，包罗: 可用的驾驶形式; 垂危操作时光; 转换成安好状况的前提; 驾驶员和其他处于风险中的职员的假设手脚; 避免风险的外部分径。

3) ASIL 等第因素的分拨和分析。基于安好方向提出简直的安好需求，将安好需求分拨到简直的体例因素。体例因素包罗子体例和零部件，通过分拨 ASIL 等第确定其简直的安好需求。众个等第分拨给统一因素，需抉择最高的 ASIL 等第行为该因素的成效安好等第。

当分拨给某一因素的 ASIL 等第过高，导致本领杀青难度增进或本钱增进等题目，就必要采用 ASIL 分析手段杀青“降级”，以知足斥地和安好的归纳央浼。被“降级”分拨的因素之间成效互相冗余且具备独立性。分析正派如表 12。

基于发轫架构图和安好需求分析和因素分拨，将分拨 ASIL 等第的因素从新编号，绘制完整的安好架构图，如图 5。

基于完整的安好架构图，通过安好需求的分析 和因素的分拨，得出安好因素需求汇总表，如表 13。本个别安好需求为成效安好观点阶段的最终输出 物，是后续体例打算、软硬件打算的基本。

1) 凭据成效安好准绳 ISO26262 第三章观点阶段的实质，打算出准绳应器械体手段，给出了打算措施和理解历程。

2) 利用打算的手段对车道依旧辅助( LKA) 举行案例理解，得出适当 ISO26262 准绳的理解收获。

3) 所打算的手段为 ISO26262 准绳正在观点阶段的打算利用供应了鉴戒，为其他主动化体例发展成效安好观点打算供应了手段指点。

4) 所打算的手段目前已利用正在某车厂众个驾驶辅助体例的打算斥地中，如自适合巡航( automatic cruise control，ACC) 、车 道 偏 离 预 警 ( lane depart warning，LDW) 、主动垂危制动( automatic emergency brake，AEB ) 、自 动 泊 车 辅 助 ( automatic parking assist，APA) 等，为相干产物斥地提出了成效安好央浼，体例周到地寻找导致产物失效的起因并针对性的施加门径，或许有用低浸产物的非预期失效危险，极大的降低了产物的安好性。如您必要相干赞成，可致电

跟着ADAS体例尤其庞杂，引入了各式庞杂的传感体例（如Radar、Lidar）和算法（如machine learning）等。这些传感体例和算法正在奉行预期成效时（未产生滞碍），其态势感知才气（situational awareness）正在某些处境下或许直接影响安好性。举个例子，Uber主动驾驶汽车2018年3月正在美国无意撞击致死一名行人。当时行人正穿过一段未被途灯直接照亮的道途，传感体例（Radar和Lidar，未产生滞碍）收集了行人的音信，正在撞击产生的前6秒被车载软件次第解读为未知物体、车辆和自行车。该事变的最终起因（毕竟是传感体例、软件依旧其它要素）有待官方侦察结果，但仍可睹预期成效不妨对安好性的尽头影响。Safety Of The Intended Functionality （SOTIF）的观点尤其受到器重。

SOTIF的合切点是：由成效亏空、或者由可合理猜思的职员误用所导致的风险和危险。比方，传感体例正在暴雨、积雪等气象处境下，自己并未产生滞碍，可是否仍能奉行预期的成效。而成效安好合切于与安好相干的失效，音信安好合切于与安好相干的威吓。

SOTIF正在很大水平上基于假设场景来举行理解。ISO/PAS 21448对场景的界说是：“description of the temporal development between several scenes in a sequence of scenes”，即一系列片断（scenes）中几个片断（scenes）之间的时序开展描绘。

ISO/PAS 21448将场景（scenarios）划分为如下图所示的4个区间，分手为（1）已知-安好、（2）已知-担心全、（3）未知-担心全和（4）未知-安好。宗旨是尽不妨缩小位于区间（2）和（3）中的场景（scenarios）比例，即将确保场景（scenarios）限制正在安好的区间。

表面上，SOTIF应当与ISO 26262中的流程联贯，例如行为早期HARA的输入、后期确认（Validation）阶段的输入等等。参睹下图。将SOTIF与成效安好联贯的潜台词之一，是SOTIF应当采用与成效安好类似的危险承受法规。因为SOTIF的崭露相对较新，能检索到的、有适用代价的原料不众，若何能将它有用地落地仍处于研究阶段。目前有主动驾驶财产链上各个企业的需乞降研究、有相干的SOTIF专题研讨会，但大个别还没有成型的、深刻的项目利用。牛喀网的安好专家团队插手了北美主动驾驶项目安好打算，控制了领先的ADAS和主动驾驶安好实施体味。鉴于团队与各国专家的深刻相易，10月21日，ISO21448准绳委员会专家Pimentel教养异常来到牛喀网上海办公室探访，同期为悉力于正在智能驾驶安好方面有所筑树的诤友供应为期三天的智能驾驶安好本领盛宴，不只包括预期成效安好本领，还包罗众主体安好和职守敏锐安好（RSS）本领主旨，并辅以巨额的实施案例。Pimentel是一位国际出名的安好本领学者，他还会从数学表面解读安好本领的底层逻辑，学员可能尤其长远的明了各式安好打算的头脑手段。

汽车测试网-创立于2008年，报道汽车测试本领与产物、趋向、动态等 干系邮箱 marketing#auto-testing.net (把#改成@)