上一篇文章，介绍了功能安全实施过程中需要执行的几个阶段和步骤。我们大体上可以了解大概要做些什么了。

既然开题是功能安全的实践，那么就需要一个真实的产品来作为操作对象，从功能安全的构想开始，按步骤，最终实现功能安全的目标. 考虑了一下，决定选纯电动汽车里面的电机控制器作为实操的对象。首先声明一下我没做过这种产品，不过做过类似的产品，有很多东西还是可以借鉴的，但电动车电机控制器里面又有很多新东西值得去挑战，无可避免的，这过程中必然有错误，欢迎大家批评和指证。也必须提醒和声明，所有的这里面的分享，不能作为开发的依据，只能作为大家的参考，出了问题一概不负责任.

电机控制器和电机，为电动汽车提供动力源，和电池和BMS享有相同的重要地位。其安全性重要性可见一斑.

那我们就开始了。

这篇文章里面，我们要扮演的是OEM功能安全工程师的角色，如下表所示，我们最终要输出功能安全目标，即SG.

表1

3-1-1 item 定义

什么是item： 也叫相关项，英文的解释是：System or combination of systems.to which ISO 26262 is applied.that implements a function or part of the function at that vehicel level.  简单来讲，就是在车辆层级，系统都由哪些东西来构成的，包括功能和环境和法规等.

那么item定义要做些什么？这里要用描述性的语言和图来对item进行定义. 下面列举的内容将在后面逐步展开。 一个完整的item定义应该包括：

1. 该产品(系统)在车辆层级所希望实现的功能.

2. 与想要实现的功能相关的功能

3. 表示想要实现的功能与相关功能的关系的功能框图

4. 列举法规，包括国标和国际标准

5. 列举公司内的标准和规定

6. 产品（系统）使用的环境

7. 产品（系统）使用的模式，比如电动汽车中的电机有停止，转动，刹车等模式。

8. item 构成的模块图

9. 对8中每个模块图的功能的描述。

上面的要求来自标准中的：5.5 Work products Item definition resulting from requirements

3-1-1-1 该产品(系统)在车辆层级希望实现的功能.

表2

3-1-1-2 与想要实现的功能相关的功能.

找出想要实现的功能相关的功能并定义(非常抱歉，这里不一定准确和完整，因为对整车上的其他模块不是非常了解，惭愧)

表3

3-1-1-3表示想要实现的功能与相关功能的关系的功能框图

图1

上面的三个章节实际完成了功能定义，接下来是环境定义.

3-1-1-4 列举法规，包括国标和国际标准

表4

3-1-1-5 列举公司内的标准和规定

表5

3-1-1-6 产品（系统）使用的环境

表6

3-1-1-7  产品（系统）使用的模式

（下面的表不知道是否正确，权当参考吧）

表7

呼呼, 关于item (相关项)的定义终于完成了。下面要对进行Hara(Hazard)分析了. 在这一节主要的任务是进行HAZOP 分析 和得到Hazard 分析结果. 不过在分析之前，需要准备的信息在先列一下。

3-1-2  Hara 分析

3-1-2-1 系统构成模块图

其实和上面3-1-1-3一致，所以不放出来了.

3-1-2-2 item构成功能概要

即3-1-1-3 功能块中记载的构成项目的各功能的概要，还是以表格的形式.  请原谅下面的表格中只列出了有限几个子功能，实际上完整的分析应该有很多子模块，比如温度监控。通讯等。不过话说回来，我们有没有必要列出全部功能？选择功能模块的基本考虑方式是，如果拿掉它会不会影响这个系统本来应该实现的功能？

表8

3-1-2-3 HAZOP

现在只对转矩控制的子功能进行HAZOP分析。其他的功能也可以用类似的方法进行，因为转矩控制功能是非常重要功能，后面肯定能得出ASIL D等级的功能安全目标。所以不影响后面实操。HAZOP 分析的结果如下表：

表9

3-1-2-4 Hazard 分析结果

如果完成了所有安全相关子功能的HAZOP分析，可以洗练出Hazard分析的结果，如下表所示，不过这里只显示了对转矩控制的功能的故障行为。

表10

上面这些Hazard，实际上就是风险，接下来就是对风险进行评估了，评估完成后，功能安全目标ASIL 等级也就自然导出了，加油！

3-1-3  风险评估

所谓风险评估，就是把车辆放到场景中，--注意场景包括环境状态（场所，路况等) 和车辆状态(车速，车况，周边等)，去评估当出现以上Hazard事件时的安全等级. 这时候暴露率（E），可控性（C), 和伤害严重度（S) 就该上场了。

车辆运行的状态归纳为下表：

表11

当逐个去考虑每个Haz造成的伤害时，必须结合车辆的运行状态。从上面表中可以看出车辆运行状态有很多组合，在分析过程中不可能分析到所有的情况，因此先选择那些常见的情况进行分析，快速锁定ASIL等级。

下面是对Haz_02分析的局部例子. 图好像看不清，左边是车辆运行状态的组合，灰色代表选择场所，道路，车速等，右边是E,C,S的打分和解释. 最右边倒数第二列是在这样的场景下出现Hazard 时为了安全应该进入的安全状态，最后一列是此时控制器最应该要做的事情.

表12

对于车厂来讲，每个Hazard 都应该放在不同的车辆运行状态下去检讨，不同情况下ASIL等级是不一样的，但是作为功能安全目标的选定，是选择等级最高的ASIL. 比如上表中的D等级.  在评审过程中可以请多个专家进行讨论，并记录，这个也是一个可输出的证明文件。反正定功能安全目标绝对不是一家之言。对每个Hazard 进行安全评估后，就可以总结和归纳得出功能安全目标了. 如下表中对Haz_02的功能安全目标总结如下：

3-1-4  安全目标导出

表13

SG 还有很多，这里就不一一列举了。

到这里功能安全的构想阶段（车辆层）就大概完成了。

希望对你有帮助.

关于本篇还有不完善的地方我会慢慢修改完善，比如E C S 怎么定，有空再补一篇。 为了不打破Documentation 的完整结构，这里就不多说了.

那么接下来，就要进入 FSC了。