王俊明， 周宏偉

(長(zhǎng)安汽車股份有限公司 智能化研究院， 重慶 401120)

0 引 言

汽車自動(dòng)化及自動(dòng)駕駛是汽車行業(yè)未來(lái)發(fā)展的趨勢(shì)，世界各國(guó)對(duì)該領(lǐng)域的研究如火如荼，先后開展了很多自動(dòng)駕駛汽車的相關(guān)道路試驗(yàn)，取得了豐碩的成果[1]。目前各國(guó)都已經(jīng)給出了汽車自動(dòng)化和自動(dòng)駕駛發(fā)展規(guī)劃，各大車企、汽車相關(guān)科研機(jī)構(gòu)和組織對(duì)自動(dòng)駕駛的發(fā)展階段定義基本趨同，包括美國(guó)汽車工程師學(xué)會(huì)SAE(society of automotive engineers)、美國(guó)國(guó)家公路交通安全管理局NHTSA(national highway traffic safety administration)、歐洲博世(Bosch)、中國(guó)汽車工程學(xué)會(huì)以及以長(zhǎng)安汽車為代表的一批車企等，主要?jiǎng)澐秩缦码A段：無(wú)自動(dòng)駕駛(Level 0)、具有指定功能自動(dòng)駕駛(Level 1)、具有復(fù)合功能的自動(dòng)駕駛(Level 2)、具有限制條件的無(wú)人駕駛(Level 3)、完全自動(dòng)駕駛(Level 4)。而目前主流的技術(shù)水平均處于Level 1和Level 2的階段，即輔助自動(dòng)駕駛階段，只有像谷歌等極少數(shù)公司的技術(shù)已經(jīng)進(jìn)入Level 4階段[2]。

自動(dòng)駕駛的實(shí)現(xiàn)依靠的是越來(lái)越復(fù)雜的電子電氣系統(tǒng)的集成和控制，基于電子電氣系統(tǒng)的功能安全問題漸漸凸顯出來(lái)，成為汽車自動(dòng)化過程中首當(dāng)其沖需要解決的關(guān)鍵問題之一，為此國(guó)際標(biāo)準(zhǔn)化組織(ISO)專門推出了ISO26262——道路車輛功能安全標(biāo)準(zhǔn)，來(lái)為整個(gè)生命周期中與功能安全相關(guān)的工作流程和管理流程提供指導(dǎo)[3]。

電子電氣系統(tǒng)的開發(fā)設(shè)計(jì)越來(lái)越多將功能安全作為考慮的因素，所有滿足功能安全標(biāo)準(zhǔn)ISO26262設(shè)計(jì)的電子電氣系統(tǒng)和子系統(tǒng)，最初的設(shè)計(jì)依據(jù)均來(lái)自于頂層分析，即功能安全概念階段的分析成果，因此合理的概念設(shè)計(jì)至關(guān)重要。

目前應(yīng)用ISO26262標(biāo)準(zhǔn)開發(fā)設(shè)計(jì)實(shí)用功能系統(tǒng)的較多[4-6]，對(duì)自動(dòng)化各個(gè)階段的功能系統(tǒng)尤其是自動(dòng)駕駛輔助系統(tǒng)的研究應(yīng)用相對(duì)較少，現(xiàn)有研究主要是ISO26262標(biāo)準(zhǔn)的整體應(yīng)用[7]，專門針對(duì)功能安全概念的研究文獻(xiàn)屈指可數(shù)，可見此階段還未引起研究人員足夠的重視。以長(zhǎng)安汽車在研自動(dòng)駕駛輔助系統(tǒng)功能之一車道保持系統(tǒng)為例，設(shè)計(jì)出符合功能安全標(biāo)準(zhǔn)ISO26262的電子電氣系統(tǒng)安全設(shè)計(jì)的具體執(zhí)行方法，闡述了詳細(xì)的內(nèi)容和步驟，為開展后續(xù)系統(tǒng)設(shè)計(jì)和軟硬件設(shè)計(jì)提供輸出成果，并為其他技術(shù)人員開展相關(guān)系統(tǒng)的功能安全概念設(shè)計(jì)提供指導(dǎo)。

1 ISO26262簡(jiǎn)介

ISO26262是IEC61508對(duì)電子電氣系統(tǒng)在道路車輛方面的功能安全要求的具體應(yīng)用，適用于道路車輛上特定的由電子、電氣和軟件組件組成的安全相關(guān)系統(tǒng)在安全生命周期內(nèi)的所有活動(dòng)[8]。

圖1表述了基于功能安全的產(chǎn)品生命開發(fā)周期，包括概念階段、產(chǎn)品開發(fā)和生產(chǎn)發(fā)布之后3個(gè)階段。

1)概念階段：包括相關(guān)項(xiàng)定義(Part 3-5)、安全生命周期啟動(dòng)(Part 3-6)、危害分析和風(fēng)險(xiǎn)評(píng)估(Part 3-7)、功能安全概念(Part 3-8)四部分內(nèi)容。根據(jù)產(chǎn)品的功能定義開發(fā)相關(guān)項(xiàng)定義，并啟動(dòng)產(chǎn)品安全開發(fā)生命周期，后以相關(guān)項(xiàng)定義為基礎(chǔ)進(jìn)行HARA分析，得出產(chǎn)品的功能安全目標(biāo)和ASIL等級(jí)，再進(jìn)行概念分析得出功能安全要求及對(duì)應(yīng)的ASIL等級(jí)。

圖1 安全生命周期Fig. 1 Safety lifecycle

2)產(chǎn)品開發(fā)：基于概念階段分析得出的功能安全要求，得出具體的技術(shù)安全要求，包括系統(tǒng)層(Part 4)、硬件層(Part 5)和軟件層(Part 6)的技術(shù)安全要求，并指導(dǎo)各個(gè)層級(jí)的設(shè)計(jì)開發(fā)；產(chǎn)品設(shè)計(jì)開發(fā)完成后，需要通過功能安全確認(rèn)(Part 4-9)和功能安全評(píng)估(Part 4-10)才能允許產(chǎn)品生產(chǎn)發(fā)布(Part 4-11)。其中，安全確認(rèn)除了對(duì)功能安全要求的所有交付物進(jìn)行確認(rèn)，還包括支撐概念階段分析的控制能力的假設(shè)、外部措施的使用及其他技術(shù)的應(yīng)用。產(chǎn)品開發(fā)過程中應(yīng)該同步定義產(chǎn)品的生產(chǎn)計(jì)劃(Part 7-5)和運(yùn)行計(jì)劃(Part 7-6)。

3)生產(chǎn)發(fā)布之后：基于產(chǎn)品的生產(chǎn)計(jì)劃和運(yùn)行計(jì)劃，執(zhí)行基于功能安全要求的的生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢過程(Part 7-6和Part 7-6)的活動(dòng)。上述活動(dòng)中若有修改的情況，則應(yīng)返回到對(duì)應(yīng)的生命周期階段進(jìn)行迭代。

ISO26262標(biāo)準(zhǔn)共分十章，在產(chǎn)品開發(fā)生命周期中，第一、二、八、九、十章適用整個(gè)周期，第三、四、五、六、七章則需要遵循設(shè)計(jì)開發(fā)的先后順序。第三章概念階段的工作成果是后面所有開發(fā)工作的基礎(chǔ)，直接決定著接下來(lái)產(chǎn)品開發(fā)關(guān)于功能安全要求的執(zhí)行質(zhì)量，因此非常重要。

2 概念階段

2.1 相關(guān)項(xiàng)定義

對(duì)相關(guān)項(xiàng)進(jìn)行定義和描述，及其與環(huán)境和其它相關(guān)項(xiàng)的依賴性和相互影響，包括其功能、邊界接口、環(huán)境條件、法規(guī)要求和危害等，方便設(shè)計(jì)開發(fā)人員能夠充分理解相關(guān)項(xiàng)，為后續(xù)階段的活動(dòng)提供支持。

車道保持輔助(lane-keeping assistance，LKA)是部分自動(dòng)化階段的輔助駕駛功能，駕駛員無(wú)意識(shí)偏離車道時(shí)，能夠監(jiān)測(cè)并主動(dòng)糾偏。對(duì)其進(jìn)行相關(guān)項(xiàng)定義應(yīng)包括如下內(nèi)容：

2.1.1 功能邏輯

圖2是LKA功能的功能架構(gòu)及邊界圖，在功能開啟后，LKA通過CAN網(wǎng)絡(luò)搜集各個(gè)要素(Element)提供的相關(guān)信息，部分詳細(xì)如下：

Element 1：提供開關(guān)信息

Element 2：提供車速信息

Element 3：提供發(fā)動(dòng)機(jī)轉(zhuǎn)速信息

Element 4：提供方向盤轉(zhuǎn)角信息

Element 5：提供外界溫度信息

Element X：接收ECU指令并執(zhí)行顯示

Element Y：接收ECU指令并執(zhí)行轉(zhuǎn)向

……：其他輸入和輸出信息

所有信息經(jīng)過LKA的ECU處理，判斷出車輛車輪外邊緣距車道線的距離是否滿足糾偏要求，并輸出相應(yīng)指令給執(zhí)行要素(如Element X和Element Y)，在需要的時(shí)候?qū)④囕v糾偏回正常車道內(nèi)。

相關(guān)項(xiàng)定義中的工作模式和條件應(yīng)該盡量包含系統(tǒng)實(shí)際工作時(shí)所有的模式及其依據(jù)的條件，考慮到開發(fā)之初設(shè)計(jì)的不完全成熟，故允許后續(xù)的改進(jìn)和更新。如表1為L(zhǎng)KA系統(tǒng)具有的工作模式及對(duì)應(yīng)的條件。

表1 系統(tǒng)工作模式及條件Table 1 System working modes and conditions

圖2 功能架構(gòu)及邊界Fig. 2 Function architecture and boundary diagram

2.1.2 邊界接口

定義相關(guān)項(xiàng)與其他相關(guān)項(xiàng)和環(huán)境之間的交互作用和相互影響、功能在所涉及的系統(tǒng)和要素間的分配等。如圖2，通過邊界線將系統(tǒng)的組件和要素劃分成兩部分，邊界內(nèi)的要素與系統(tǒng)直接相關(guān)、會(huì)影響系統(tǒng)功能實(shí)現(xiàn)，如Element 1系統(tǒng)開關(guān)，其開閉觸發(fā)狀態(tài)直接決定系統(tǒng)能否開始工作，因此需要?jiǎng)潥w邊界內(nèi)；邊界外的要素與系統(tǒng)間接相關(guān)、會(huì)影響系統(tǒng)性能，如提供外界溫度信號(hào)的Element 5，其提供的信息作為處理器算法的補(bǔ)償，準(zhǔn)確性僅影響處理器計(jì)算偏差的大小，不會(huì)影響系統(tǒng)本身功能的使用，因此需要?jiǎng)潥w邊界外；此外有些要素可能具有不同的功能，在系統(tǒng)工作時(shí)參與多種角色，既提供輸入信息，又擔(dān)負(fù)ECU指令信息顯示或執(zhí)行的任務(wù)，或者同時(shí)負(fù)責(zé)其他系統(tǒng)的相關(guān)角色，若無(wú)法在邊界架構(gòu)圖中畫出，則需要在相關(guān)項(xiàng)定義中明確描述。

接口定義包括機(jī)械接口和因邊界線劃分要素的系統(tǒng)內(nèi)部要素接口和外部要素接口，此外系統(tǒng)要素間、要素與總線間的通信也應(yīng)該定義明確。

2.1.3 環(huán)境條件

本節(jié)需要定義系統(tǒng)運(yùn)行環(huán)境，如溫度、海拔、濕度、振動(dòng)、電磁干擾等；系統(tǒng)運(yùn)行要求，如工作電壓、電流等；其他的限制條件。若不明確可以不用定義。表2列舉了LKA系統(tǒng)運(yùn)行的環(huán)境條件。

表2 LKA系統(tǒng)運(yùn)行的環(huán)境條件Table 2 Environment conditions of LKA system operation

LKA系統(tǒng)在以上要求的環(huán)境條件限制內(nèi)出現(xiàn)的失效屬于功能安全的范疇，超出以上環(huán)境條件功能安全不再保證有效。如環(huán)境溫度大于NN°C，系統(tǒng)可能無(wú)法正常工作；攝像頭被遮擋，系統(tǒng)也無(wú)法正常工作；其他的限制條件如大雨大雪天氣也會(huì)影響系統(tǒng)的正常工作等。

2.1.4 法規(guī)要求

應(yīng)明確列舉相關(guān)項(xiàng)系統(tǒng)功能符合哪些法律法規(guī)、國(guó)家標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)。如LKA功能滿足的法規(guī)包括ECE R10.05、ISO 7637、GB/T 18655等，詳細(xì)可以定義到滿足相關(guān)法規(guī)的具體章節(jié)。

2.1.5 危害定義

本節(jié)需要定義相關(guān)項(xiàng)系統(tǒng)已知的失效模式和危害，造成的潛在后果，包括系統(tǒng)要素、軟硬件失效對(duì)系統(tǒng)造成的危害。如LKA系統(tǒng)依靠攝像頭提供精確的車道線信息，若攝像頭出現(xiàn)故障，需要系統(tǒng)關(guān)閉并響應(yīng)相應(yīng)提示，系統(tǒng)恢復(fù)需要維修或更換攝像頭至正常。

2.2 啟動(dòng)安全生命周期

安全生命周期啟動(dòng)需要確定本相關(guān)項(xiàng)系統(tǒng)是新的開發(fā)還是對(duì)現(xiàn)有相關(guān)項(xiàng)系統(tǒng)進(jìn)行修改，或是對(duì)現(xiàn)有相關(guān)項(xiàng)系統(tǒng)的重用。新的相關(guān)項(xiàng)開發(fā)需要繼續(xù)進(jìn)行下一步危害分析和風(fēng)險(xiǎn)評(píng)估，對(duì)現(xiàn)有相關(guān)項(xiàng)進(jìn)行修改需要評(píng)估修改部分對(duì)相關(guān)項(xiàng)的影響并進(jìn)行影響分析，對(duì)現(xiàn)有相關(guān)項(xiàng)系統(tǒng)的重用需要集成和沿用與現(xiàn)有相關(guān)項(xiàng)安全相關(guān)的文檔。討論的LKA系統(tǒng)為新開發(fā)的相關(guān)項(xiàng)，故對(duì)修改相關(guān)項(xiàng)和重用相關(guān)項(xiàng)內(nèi)容不做描述。

2.3 HARA分析

危害分析和風(fēng)險(xiǎn)評(píng)估(hazard analysis and risk assessment，HARA)。其目的是對(duì)功能潛在故障進(jìn)行識(shí)別并對(duì)其產(chǎn)生的危害進(jìn)行分類，確定功能安全目標(biāo)并制定相應(yīng)的措施以避免系統(tǒng)功能不合理的風(fēng)險(xiǎn)。

HARA分析流程如圖3，根據(jù)相關(guān)項(xiàng)定義，通過潛在危害識(shí)別確定整車級(jí)危害，然后通過ASIL分析確定每一個(gè)整車級(jí)危害的ASIL等級(jí)，最后確定相關(guān)危害的安全目標(biāo)，并輸出功能安全概念。

圖3 HARA分析流程Fig. 3 HARA analysis procedure

2.3.1 確定整車級(jí)危害

目前確定整車級(jí)危害使用較多的方法有危害和可操作性分析HAZOP(hazard and operability analysis)、頭腦風(fēng)暴、預(yù)先危險(xiǎn)性分析PHA(preliminary hazard analysis)等，相對(duì)來(lái)講，HAZOP分析系統(tǒng)性、完善性和結(jié)構(gòu)性較好；頭腦風(fēng)暴和其他PHA方法在場(chǎng)景分析的準(zhǔn)確性和全面性方面，依賴分析人員具備豐富的經(jīng)驗(yàn)、專業(yè)知識(shí)等因素，導(dǎo)致分析效果不穩(wěn)定[9-11]。因此LKA功能的危害分析采用HAZOP分析方法。

HAZOP提供了12種失效模式，通過對(duì)每種失效模式的分析準(zhǔn)確全面的找出潛在危害，包括過度、不足、失效、衰減、間歇性、無(wú)規(guī)律、震蕩、錯(cuò)誤、相反、延時(shí)、無(wú)響應(yīng)。

表3是LKA功能的HAZOP分析表，對(duì)LKA功能應(yīng)該分析上述12種失效，確定每種失效導(dǎo)致的整車級(jí)危害，并確定需要考慮的多種運(yùn)行環(huán)境，給出可能的控制措施，最后將所有屬于危害事件的整車級(jí)危害匯總，以進(jìn)行后續(xù)分析。

2.3.2 確定ASIL等級(jí)

汽車安全完整性等級(jí)(automobile safety integrity levers，ASIL)。ASIL等級(jí)是通過暴露度、嚴(yán)重度、可控性三個(gè)維度影響因子的分析確定，共分ASILA、B、C、D、QM 5個(gè)等級(jí)，其中QM等級(jí)屬于質(zhì)量管理范疇，不在功能安全考慮之內(nèi)。

1)暴露度。對(duì)車輛運(yùn)行工況和駕駛環(huán)境的評(píng)估?？梢酝ㄟ^運(yùn)行工況占車輛生命運(yùn)行周期時(shí)間比例或者發(fā)生頻率來(lái)確定。暴露度等級(jí)定義和分類見表4。

表3 LKA功能的HAZOP分析Table 3 HAZOP analysis of LKA function

表4 暴露度等級(jí)定義Table 4 Exposure level definition

2)嚴(yán)重度。相關(guān)項(xiàng)系統(tǒng)功能在特定的環(huán)境條件下發(fā)生失效，由潛在危險(xiǎn)造成人員傷害的嚴(yán)重程度，包括對(duì)本車和其他道路使用車輛的駕駛員、乘員以及路上行人的傷害等。嚴(yán)重度等級(jí)定義和分類見表5。

3)可控性。評(píng)估駕駛者或其它道路使用者當(dāng)危害發(fā)生時(shí)對(duì)危險(xiǎn)情況的控制并能避免傷害的概率。嚴(yán)重度等級(jí)定義和分類見表6。

對(duì)HAZOP分析確定的整車級(jí)危害繼續(xù)進(jìn)行ASIL分析，分析每一個(gè)危害的E、S、C等級(jí)，并根據(jù)表8確定每一個(gè)整車級(jí)危害的ASIL等級(jí)。本節(jié)以LKA功能發(fā)生誤糾偏和糾偏不足兩個(gè)整車級(jí)危害為例說(shuō)明HARA分析過程和ASIL等級(jí)確定，詳見表7。

表5 嚴(yán)重度等級(jí)定義Table 5 Severity level definition

表6 可控性等級(jí)定義Table 6 Controllability level definition

表7 HARA分析Table 7 HARA analysis

2.3.3 確定安全目標(biāo)

針對(duì)駕駛員能感知的整車級(jí)危害，從管管人員角度提出為避免危害需要達(dá)到的目標(biāo)，是頂層的功能安全需求。應(yīng)該為每一個(gè)整車級(jí)危害確定一個(gè)安全目標(biāo)?？梢院喜⑺姓嚰?jí)危害中類似的安全目標(biāo)，其ASIL等級(jí)為相應(yīng)危害分析中ASIL最高的等級(jí)。表9為通過表7的HARA分析確定的LKA功能的安全目標(biāo)及對(duì)應(yīng)的ASIL等級(jí)。

表8 ASIL等級(jí)確定Table 8 ASIL level determination

注：若出現(xiàn)S0、E0、C0情況，則無(wú)需分配ASIL等級(jí)。

表9 HARA分析安全目標(biāo)和ASIL等級(jí)Table 9 HARA analysis safety goal and ASIL level

2.4 功能安全概念

功能安全概念源于功能安全目標(biāo)，包括安全狀態(tài)、安全需求、安全需求在相關(guān)項(xiàng)架構(gòu)要素的分配，明確一定的安全措施與安全機(jī)制。具體包括：故障檢測(cè)和失效緩解方法；過渡到安全狀態(tài)及故障容忍時(shí)間間隔；容錯(cuò)機(jī)制，即一個(gè)故障發(fā)生時(shí)不會(huì)直接導(dǎo)致違反安全目標(biāo)(S)并保持該功能在安全狀態(tài)；故障監(jiān)測(cè)與報(bào)警；從不同功能發(fā)送過來(lái)的多個(gè)請(qǐng)求中選擇最適當(dāng)?shù)目刂埔髨?zhí)行的仲裁邏輯；如圖4功能安全概念各狀態(tài)變換的時(shí)間間隔定義。

圖4 功能安全概念各狀態(tài)與時(shí)間關(guān)系Fig. 4 Status relatimship in FSC

功能安全概念需要通過以下3個(gè)方面展開：

1)安全狀態(tài)的提出。安全狀態(tài)是系統(tǒng)或功能不存在任何由于系統(tǒng)導(dǎo)致的不能接受的風(fēng)險(xiǎn)的一種狀態(tài)，包括功能正常的運(yùn)行、執(zhí)行、操作狀態(tài)、功能故障后的降級(jí)反應(yīng)、功能故障后關(guān)閉并報(bào)警。本例LKA系統(tǒng)在發(fā)生故障時(shí)，在現(xiàn)有功能本身上述3種機(jī)制均無(wú)法達(dá)到有效的安全狀態(tài)，故無(wú)對(duì)應(yīng)的有效安全狀態(tài)。

2)FSR的提出。功能安全需求(functional safety requirement，F(xiàn)SR)。應(yīng)基于安全目標(biāo)和安全狀態(tài)，并考慮初步的架構(gòu)與邊界范圍來(lái)提出安全需求(如圖2)，通過表10列舉出系統(tǒng)要素及其功能，為每一個(gè)要素編號(hào)。

為每一個(gè)安全目標(biāo)至少提出一條安全需求。以下述LKA系統(tǒng)的安全目標(biāo)為例：

安全目標(biāo)：避免誤糾偏(ASIL D)。

具體的分析過程見表11。

安全需求的ASIL等級(jí)分解和分配依據(jù)本節(jié)3)部分的規(guī)則，故障容忍時(shí)間間隔需要在后續(xù)的設(shè)計(jì)過程中通過技術(shù)安全需求提出。

ISO26262要求其他相關(guān)內(nèi)容在功能安全概念中明確(如果具有)，包括：可用的駕駛模式；緊急操作時(shí)間；轉(zhuǎn)換成安全狀態(tài)的條件；駕駛員和其他處于危害中的人員的假設(shè)行為；避免危害的外部措施。

表10 系統(tǒng)要素及其功能列表Table 10 System elements and function list

表11 安全目標(biāo)為避免誤糾偏的安全需求分解Table 11 Safety requirement decomposition from safety goal of avoiding unintended rectifying lane deviation

3)ASIL等級(jí)要素的分配和分解。基于安全目標(biāo)提出具體的安全需求，將安全需求分配到具體的系統(tǒng)要素。系統(tǒng)要素包括子系統(tǒng)和零部件，通過分配ASIL等級(jí)確定其具體的安全需求。多個(gè)等級(jí)分配給同一要素，需選取最高的ASIL等級(jí)作為該要素的功能安全等級(jí)。

當(dāng)分配給某一要素的ASIL等級(jí)過高，導(dǎo)致技術(shù)實(shí)現(xiàn)難度增加或成本增加等問題，就需要采用ASIL分解方法實(shí)現(xiàn)“降級(jí)”，以滿足開發(fā)和安全的綜合要求。被“降級(jí)”分配的要素之間功能相互冗余且具備獨(dú)立性。分解規(guī)則如表12。

表12 ASIL等級(jí)分解規(guī)則Table 12 ASIL ratings decomposition rules

基于初步架構(gòu)圖和安全需求分解和要素分配，將分配ASIL等級(jí)的要素重新編號(hào)，繪制完善的安全架構(gòu)圖，如圖5。

圖5 完善的安全架構(gòu)Fig. 5 Developed safety architecture

基于完善的安全架構(gòu)圖，通過安全需求的分解和要素的分配，得出安全要素需求匯總表，如表13。本部分安全需求為功能安全概念階段的最終輸出物，是后續(xù)系統(tǒng)設(shè)計(jì)、軟硬件設(shè)計(jì)的基礎(chǔ)。

表13 安全要素需求匯總Table 13 Summary of safety elements requirements

3 結(jié) 論

1)根據(jù)功能安全標(biāo)準(zhǔn)ISO26262第三章概念階段的內(nèi)容，設(shè)計(jì)出標(biāo)準(zhǔn)應(yīng)用具體方法，給出了設(shè)計(jì)步驟和分析過程。

2)應(yīng)用設(shè)計(jì)的方法對(duì)車道保持輔助(LKA)進(jìn)行案例分析，得出符合ISO26262標(biāo)準(zhǔn)的分析成果。

3)所設(shè)計(jì)的方法為ISO26262標(biāo)準(zhǔn)在概念階段的設(shè)計(jì)應(yīng)用提供了借鑒，為其他自動(dòng)化系統(tǒng)開展功能安全概念設(shè)計(jì)提供了方法指導(dǎo)。

4)所設(shè)計(jì)的方法目前已應(yīng)用在長(zhǎng)安汽車多個(gè)駕駛輔助系統(tǒng)的設(shè)計(jì)開發(fā)中，如自適應(yīng)巡航(automatic cruise control，ACC)、車道偏離預(yù)警(lane depart warning，LDW)、自動(dòng)緊急制動(dòng)(automatic emergency brake，AEB)、自動(dòng)泊車輔助(automatic parking assist，APA)等，為相關(guān)產(chǎn)品開發(fā)提出了功能安全要求，系統(tǒng)全面地找出導(dǎo)致產(chǎn)品失效的原因并針對(duì)性的施加措施，能夠有效降低產(chǎn)品的非預(yù)期失效風(fēng)險(xiǎn)，極大的提高了產(chǎn)品的安全性。