ISO 26262-3(2018)概念阶段细化:Item Definition / HARA / FSC

ISO 26262 5.4.1 要求 Item Definition 含:

例:HV 主驱逆变器的边界——

• HV 输入(电池侧)算 item 内还是外?外(电池有自己 item)
• 12V LV 电源算内还是外?外(电池管理 item 输出)
• 电机算内还是外?通常外(机械系统不在 item 范畴)
• VCU(Vehicle Control Unit)算外接 → 通过 CAN 接口

边界定错的代价:漏掉的部分没人做安全分析 → 司机说"加速失控"时找不到责任;算多了的部分要做 ISO 26262 工作产品 → 工程量爆炸。

如果在做 SEooC(IC supplier)而不是完整 item,Item Definition 用预设 Item Definition——假设 item 是什么、IC 怎么集成。Part 11 的 AoU(Assumption of Use)和这里的 functional assumptions 是同源概念。详见 SEooC。

每个识别出的 hazard 按三个维度打分:

ISO 26262 Table 4 给出固定查表:

• 任何含 S0 / E0 / C0 的 → QM(无 ASIL,质量管理流程足够)
• S3 + E4 + C3 → ASIL D(最严)
• S2 + E4 + C3 或 S3 + E3 + C3 等 → ASIL C
• 其它边界值 → ASIL A 或 B

工程实务:SEC 三维各取一档错就跨等级,所以 HARA 评审会反复检查每个 hazard 的 S/E/C 评分。

这一节先把“EV 主驱常见 hazard 评估”的判断维度收拢到同一视图里，后面的表格用于横向比较各选项的边界。

每个 ASIL ≥ A 的 hazard 关联一个 Safety Goal —— 用否定形式表述安全意图:

• "Avoid unintended acceleration while stopped"(SG1, ASIL D)
• "Avoid reverse torque output"(SG2, ASIL D)
• "Avoid sudden loss of acceleration above 60 km/h"(SG3, ASIL B)

SG 不是技术细节——它是"系统不应该做什么"的高级声明。Part 4 的 TSC 才把它落到"为了避免这个,要监控扭矩 ≤ 5Nm 静止时"的具体技术要求。

每个 SG 都有 FTTI——从故障发生到必须达到 safe state 的最大时间。EV 主驱典型 FTTI:

• 静止时:200ms(司机踩刹车前能反应,但不能太长)
• 行驶中扭矩反向:50-100ms(更短,反向扭矩更危险)
• 显示故障码错:无 FTTI(不是 safety goal)

FTTI 决定整个监控链路的时间预算:

• 故障发生 → 检测延迟(DTI,Diagnostic Time Interval)≤ FTTI/2
• 检测后 → 反应延迟(reaction time)≤ FTTI/2

主驱 200ms FTTI → DTI 100ms → MCU 主任务周期 ≤ 50ms(留余量)。

FSR 是功能层面的需求(不是具体硬件 / 软件实现):

例 SG1 "避免静止时意外加速" 拆出 FSRs:

• FSR1.1:Inverter 收到 VCU 扭矩命令时检查命令完整性(CRC + sequence)
• FSR1.2:Inverter 测量电机相电流 + position + 电池电压,做 plausibility check
• FSR1.3:Inverter 监控扭矩输出与命令偏差 ≤ 5%
• FSR1.4:Inverter 检测到任何 fault → 200ms 内进 safe state
• FSR1.5:Inverter 报告自身故障给 VCU(CAN diagnostic)

每个 FSR 继承 SG1 的 ASIL D。

FSR 分配到 item 内的 element(子系统):

• FSR1.1 → CAN 接口模块
• FSR1.2 → 传感器接口 + MCU 检测算法
• FSR1.3 → MCU 扭矩监控算法
• FSR1.4 → MCU + SBC 协作的 safe state 控制
• FSR1.5 → CAN 接口模块