汽車電子功能安全設計與測試方法的研究

摘要：對汽車功能安全標準體系進行了研究，闡述了電控系統在功能安全等級概念分析、系統設計測試、軟硬件設計測試各方面要求內容。結合功能安全標準，總結了符合汽車功能安全等級的評估方法，可以覆蓋標準的各部分要求。本文網絡版地址：http：//www.eepw.com.cn/article/248891. htm

關鍵詞：標準體系；電控系統；汽車功能安全等級；評估

DOI： 10.3969/j.issn.1005-5517.2014.6.006

*天津市自然科學基金項目資助，合同編號13JC2DJC34200

王鐵，男，主要研究方向：汽車功能安全評估、測試、咨詢，汽車行業規劃與咨詢。

引言

電子技術集成化的快速發展及其在汽車上的大量應用極大推動了汽車產業的發展，汽車對電子技術的依賴程度越來越高的同時，汽車電子電氣產品所帶來的安全問題越發重要，例如，因各種汽車電控系統軟硬件故障而不斷出現的汽車召回事件。國家政府部門、汽車整車及零部件企業和用戶越來越關注產品的功能安全，在這樣的背景下，迫切需要對汽車電子電氣產品在設計、研發、檢測試驗和生產管理等諸多方面提出全新的功能安全要求，ISO26262道路車輛功能安全標準應運而生。

目前，道路車輛功能安全國家標準也正在轉化過程中。基于標準本身的要求，本文對汽車電子領域涉及到電控系統開發過程中的功能安全設計、測試、安全等級評估等內容和方法要求進行研究，為汽車電子功能安全技術的應用提供一些借鑒。

1 國內外標準化介紹

1. 1 ISO26262標準發展簡介

ISO26262是從電子、電氣及可編程器件功能安全基本標準IEC61508派生出來的，主要定位在汽車行業中特定的電氣器件、電子設備、可編程電子器件等專門用于汽車領域的部件。

ISO26262從2005年11月起正式開始制定，經歷了大約6年左右的時間，已于2011年11月正式頒布，成為國際標準。

1. 2 道路車輛國標發展簡介

道路車輛功能安全標準分為10個部分：術語、功能安全管理、概念階段、產品開發-系統層、產品開發-硬件層、產品開發-軟件層、生產和操作、支持過程、汽車安全完整性等級導向和安全導向分析、指南，具體架構如圖1所示：

國標委2012年8月正式下達了推薦性國家標準《道路車輛 功能安全》制定計劃，全國汽標委已經統籌協調開展該系列標準的研究和制定工作。目前，國標正在轉化過程中。

道路車輛功能安全標準涉及到汽車電子的安全性，適用的汽車企業包括整車開發商（所有3.5噸以下客車）、安全相關的車輛電機與電子系統開發商、安全相關的車輛電子零部件開發商、安全相關的車輛電子組件開發商；適用的人員包括車輛功能安全相關的不同項目人員、公司管理層、項目管理者、相關研發人員、相關業務人員。

2 汽車電控系統功能安全設計要求

道路車輛功能安全標準從開發流程、管理方法、技術措施三個大方面提出了對汽車電控系統安全等級的要求。在產品開發階段，ISO26262按汽車工業中常用的V型開發流程定義相關安全活動：V型的左側是技術安全需求（功能安全概念的技術實現途徑）的制定、系統/軟件/硬件設計；V型的右側是軟硬件測試、系統集成測試。

2.1 功能安全危害分析與風險評估

提出了確定功能安全等級（ASIL）的方法，安全等級范圍是A、B、C、D，其中ASIL A安全等級最低，ASIL D安全等級最高。在整車和系統電子設計時，需要確定所設計項目的范圍。基于項目定義，確定項目的安全目標，避免不合理的風險。ASIL使用3個參數進行評估，分別是：危險對駕駛員或其他交通參與人員造成傷害的嚴重程度S，危險所在工況的發生概率E，危險涉及的駕駛員和其他交通參與人員及時采取控制行動避免特定傷害的能力C。S分為0～3級，如表1所示，S0代表無傷害，S3代表危及生命的重傷或致命傷；E分為0～4級，如表2所示，E0代表工況不可能發生，E4代表工況是常見的；C分為0～3級，如表3所示，C0代表完全可控，C3代表非常難于控制。對于每一個識別到的危險，按表4評估風險等級（即汽車安全完整性等級），其中QM表示與安全無關。

2. 2 功能安全系統設計

系統級產品功能安全設計要求包括產品開發的啟動、技術安全要求中的規范、系統設計、項目集成和測試、安全驗證、功能安全評估、生產發布。如圖2所示。

在啟動產品開發和定義技術安全要求后，進行系統設計。在系統設計過程中建立系統架構，將技術安全要求分配給硬件和軟件，并且，如果適用，也可應用其它技術。同時，細化技術安全要求，并添加來自系統架構的要求，包括軟硬件接口的要求。根據架構的復雜性，可以逐步得出子系統的需求。開發后，集成硬件和軟件要素并測試以形成一個相關項，然后，將該相關項集成在整車上。一旦在整車層面完成了系統集成，進行安全確認以提供與安全目標相關的功能安全證據。

2 3 功能安全軟硬件設計

如圖2所示，在系統功能安全設計時，需要制定軟硬件接口HIS要求，根據表4分析確定的不同功能安全等級，在進行具體軟件和硬件設計時也要有具體要求。總體來說，硬件功能安全設計體現了不同安全等級的定量要求，如表5和表6所示。硬件功能安全要求包括硬件產品開發的啟動、硬件安全規格的要求、硬件設計、硬件架構指標、對由于硬件隨機失效引起的違反安全目標進行評估、硬件集成和測試。

軟件功能安全等級的定性要求，如圖3所示。軟件功能安全要求包括軟件級產品開發的啟動、軟件安全要求的規格、軟件架構設計、軟件單元設計與執行、軟件單元測試、軟件集成和測試、軟件安全要求的驗證。

3 汽車電控系統安全等級驗證評估要求

汽車電控系統功能安全等級的驗證評估主要從測試驗證和文檔評審來確定。

3. 1 功能安全測試要求

功能安全測試分為軟硬件測試、系統集成測試、整車集成測試。

軟硬件測試主要針對軟件和硬件設計的具體單元、功能模塊進行確認實施，其中硬件測試主要是失效率的驗證、功能的確認、EMC等性能測試，軟件測試主要是單元模塊測試、不同測試方法的覆蓋。

系統集成測試主要是對不同安全等級對應的安全場景、故障反應時間、故障處理措施、安全狀態的確認。

整車集成實施主要是在實車環境中依據危害分析和風險評估的結果進行各種故障注入測試，確認實車環境下各電控系統能夠滿足不同功能安全等級的要求。

3. 2 功能安全文檔要求

根據功能安全標準的要求，在功能安全管理、概念階段、產品系統設計、硬件設計、軟件設計、生產發布、支持過程等環節，對應有諸多的功能安全工作成果。對于不同電控系統的設計需求，可以對這些工作成果即文檔進行功能安全裁剪。按照標準要求，對這些文檔進行審核確認。

3. 3 功能安全等級評估

功能安全等級評估可以分為五個階段完成：安全理念認可、功能/基本安全試驗、硬件安全完整性分析與測試、軟件安全性分析與測試、功能安全等級認定。

其中，安全理念認可包括安全管理計劃審核、驗證與確認計劃審核、功能/安全需求規格說明書審核、安全相關的文檔體系評估、產品生產質量管理文檔評估、已采用的故障避免措施評估。功能/基本安全試驗包括安全相關的EMC試驗、環境試驗、化學試驗、故障注入測試、FMEDA分析、安全相關的功能測試等；硬件安全完整性分析與測試包括危險與風險分析、故障注入測試、系統建模與安全參數計算等。軟件安全性分析與測試包括軟件代碼安全性分析、軟件架構安全分析、軟件測試工作完善性分析、HIL咨詢測試、項目開發工具安全適用性分析。依據上述的評審，最終進行功能安全等級的確認。

4 小結

汽車上電子的元素越多，涉及到的安全隱患就會越大，道路車輛功能安全標準作為國際上各大整車企業和零部件企業共同推出的汽車電子安全設計開發標準，需要國內企業更好地去執行。

本文基于標準的理解，對汽車電控系統在功能安全等級概念分析、系統設計測試、軟硬件設計測試各環節進行了技術應用方面的研究，并結合功能安全文檔和測試要求，分析整理了符合功能安全等級的評估方法，為汽車電控系統功能安全設計開發提供了的一種技術應用途徑。

參考文獻：

[1]ISO 26262，Road Vehicles Functional Safety—part1：vocabulary， 2011.International Organizations for Standards

[2]ISO 26262，Road Vehicles Functional Safety—part3：concept phase，2011.International Organizations for Standards

[3]ISO 26262，Road Vehicles Functional Safety—part4：product development at the system level，2011.International Organizations for Standards

[4]楊國，青厲蔣.基于ISO 26262功能安全標準的汽車電子系統測試方法（上）.電子產品世界.2013（4）

[5]楊國，青厲蔣.基于ISO 26262功能安全標準的汽車電子系統測試方法（中）.電子產品世界.2013（5）

[6]楊國，青厲蔣.基于ISO 26262功能安全標準的汽車電子系統測試方法（下）.電子產品世界.2013（6）