基于ISO 26262的道路車輛功能安全開發流程解讀

紀宏巖，崔書超，孫燦，張進明

（北京汽車研究總院有限公司，北京　101300）

基于ISO 26262的道路車輛功能安全開發流程解讀

紀宏巖，崔書超，孫燦，張進明

（北京汽車研究總院有限公司，北京101300）

ISO 26262定位于汽車領域的電子電器部件，旨在提高汽車電子、電氣產品的功能安全。解讀ISO 26262標準的目的是使人們更好地理解安全的相關功能，并盡可能明確地對它們進行解釋，同時為避免潛在風險提供了可行性的方法和流程。ISO 26262為汽車安全提供了一個生命周期的理念，它從管理到開發、生產、經營、維護直至報廢等階段都提供了必要的技術和管理支持。

ISO 26262；功能安全；風險評估；電子電器架構

安全是未來汽車發展面臨的首要問題之一，汽車的新功能不僅僅在輔助駕駛范圍，還有車輛動態控制和主動被動的安全系統等日益觸及的安全工程領域。隨著系統復雜性的提高、軟件和機電設備的應用，來自系統失效和隨機硬件失效的風險也日益增加，在汽車開發領域迫切需要先進的開發流程和技術來保證汽車的使用安全。在這樣的背景下，ISO組織在2011年11月份正式頒布了和汽車相關的功能安全標準ISO 26262［1］。

功能安全早在2000年就已經有了相關標準IEC 61508，它是國際電工委員會發布的《電氣／電子／可編程電子安全系統的功能安全》，IEC 61508是針對所有電氣／電子／可編程電子系統，沒有局限在某一個行業。后來，隨著各自行業的發展，慢慢地衍生出了很多行業相關的功能安全標準。比如，過程工業的IEC 61511、機械工業的IEC 62061、核電的IEC 61513等，而ISO 26262就是專注于汽車領域的功能安全標準［2］。

1　ISO 26262協議介紹

制定道路車輛功能安全標準的目的是使工程師或者用戶對安全相關功能有一個好的理解，并對出現的潛在風險進行解釋，同時為避免這些風險提供了具有可行性的方法和流程。

采用ISO 26262能夠確保汽車零部件從最開始就是在高安全等級下生產。該標準能夠用于建立一個安全的管理體系，使得該體系滿足國際認可的最佳實踐和風險管理的最新方式，從而提高供應商或者主機廠的競爭優勢。汽車生產商則應將ISO 26262的符合性作為考核零部件和潛在電氣電子組件供應商的標準。

ISO 26262是一個多部分組成的標準，為實現道路用車在電子電氣系統中的功能性安全定義出要求并提供指南。該標準被認為是實現道路用車的功能性安全的最佳實踐框架。

道路車輛功能安全標準ISO 26262共分為10章，分別從功能安全管理、概念、系統級研發、軟硬件的研發、生產和操作等方面對產品的整個生命周期進行了規范和要求，從而使得產品在各個生命周期都比較完善地考慮了其安全功能。如圖1所示。

2　車輛功能安全的開發流程

ISO 26262的開發流程首先是從項目定義開始的。項目定義就是對所研發項目的一個描述，其包括了項目的功能、接口、環境條件、法規要求、危險等內容，也包括項目的其他相關功能、系統和組件決定的接口、邊界條件等［3］。

2.1概念開發

根據項目是新產品研發或者既有產品更改決定后續的流程，稱之為安全生命周期初始化。如果是既有產品更改，就要對產品進行影響分析，影響分析的結果決定整個生命周期中的哪些流程可以省略，不用考慮。

安全生命周期初始化之后，首先進行危害分析和風險評估。一個項目的ASIL等級就是通過這個階段確定下來的。ASIL全稱是車輛安全完整性等級，標準中用A、B、C、D4個級別來規定項目或者單元所需的ISO 26262要求以及安全措施，來避免不合理的殘余風險，D代表最大嚴格度，A代表最小嚴格度［4］。一旦項目的ASIL等級確定下來，項目的后續所有開發流程及開發方法都要按照相應的ASIL等級要求進行開發，因此這個階段在功能安全開發的整個流程中至關重要。

危害分析和風險評估時，要充分考慮發生危害時汽車所在駕駛情景的暴露率、交通參與者對事故的可控性以及危害對交通參與者造成傷害的嚴重程度。通過這3個指標確定項目的ASIL等級，同時為每一個風險設立安全目標，并根據項目的ASIL等級給安全目標確定合適的ASIL等級。

接下來的功能安全概念的環節要考慮系統的基本架構，將由安全目標得到的整體安全需求分配到項目的元素中去，同時具體和細化定位到每個項目元素中的功能安全要求。超出邊界條件的系統和其他技術可以作為功能安全概念的一部分來考慮。對其他技術的應用和外部措施的要求不在ISO 26262考慮的范圍之內［5］。

2.2系統級開發

有了具體的安全需求之后，接下來就是進行系統級開發了。可以從安全需求得到技術安全要求規范，系統級開發的過程基于V模型的開發流程。

在V模型的左邊首先是“系統級產品開發的啟動”，這個環節主要是依據實際情況更新項目計劃和安全計劃，還需要創建測試計劃、確認計劃和評估計劃；接下來要明確技術安全需求規范，技術安全需求規范是從功能安全要求和系統或者單元的架構設計中得到的，在這個規范里主要描述了識別和控制系統自身故障，以及其它系統故障的機制、安全狀態的達到或保持措施、警示和降級方案的措施等。有了技術安全需求規范之后，就進入到了系統設計階段。系統設計階段主要完成這幾項工作：上述各項安全措施如何實現、進一步細化系統架構、借助安全分析的安全設計驗證（FMEA，FTA）、明確硬件和軟件的接口規范等。系統設計之后就進入到了具體的硬件設計和軟件設計階段。

系統級開發的V模型右邊的流程首先是項目集成和測試。這主要是測試所設計的安全功能是否滿足技術安全需求，每個安全需求都應該被驗證，并且要選用ASIL相關的測試方法［6］。項目在集成和測試之后，就要進行安全確認，安全確認可以由公司內部的研發工程師開展，主要是站在整車層面確認系統設計是否能夠完全實現最初的安全目標和安全需求。安全確認之后是安全評估，安全評估一般是找第三方進行，通過評估來確認是否所有工作都正確、完整地開展了，并且安全等級是否達到了相應ASIL的要求。安全評估完成之后，最后一個階段就是產品發布。在這一階段需要制定生產和操作計劃，以及對產品的生產、操作、服務和拆解的相關要求。通過這些相關的計劃和要求以及規章制度，保證產品在生產和使用環節滿足功能安全的要求。

2.3硬件開發

系統級開發之后，硬件級的產品開發也要符合V模型概念。V模型左邊的第1個環節是硬件級產品研發的啟動。這個過程主要是計劃活動，根據項目的大小和復雜程度，來計劃和確定這個階段的活動和支持過程。然后確定硬件安全需求規范，軟、硬件安全需求規范都是由系統階段的技術安全需求規范拆分得到的。根據硬件安全需求規范，要進行硬件設計，硬件設計包括硬件架構設計和硬件詳細設計。

硬件架構設計應表示出所有硬件組件及彼此間的關聯，并且要實現規定的硬件安全需求。應該清楚地描述出硬件安全需求和硬件組件之間的關系，可充分信賴的硬件組件可以考慮復用。在硬件架構設計時，還應考慮安全相關硬件組件失效的非功能因素。比如：振動、水、塵、EMI等。硬件詳細設計是指在電氣原理圖級別上的設計，應表示出硬件組件的零部件間的相互關聯。

接下來是計算硬件的量化指標，在功能安全開發的過程中有3個指標是可以量化的，分別是單點故障指標、潛在故障指標和隨機硬件失效率。前2個指標表示的是所設計的安全功能的能力，也可以簡單理解為安全機制的優劣，指標越高，表示所設計的安全機制越好。最后一個指標表示硬件的可靠性，這個指標越高，可以簡單理解為安全機制越耐用。對于不同ASIL等級的產品，這3個指標的要求是不同的，因此在這個階段需要計算一下量化指標，看看是否滿足相應的ASIL等級要求。

在硬件設計的最后階段就是進行硬件集成與測試，主要測試設計的硬件是否能夠實現預期的功能。

2.4軟件開發

在硬件級的產品開發的同時，軟件級的產品開發也應符合V模型思想，軟件級產品與傳統開發流程相比，多了軟件安全需求規范和驗證軟件安全需求2個環節。軟件安全需求規范也是從技術安全需求規范而來，至于驗證軟件安全需求這個環節，ISO 26262規定了硬件在環、搭建電子控制器網絡環境和實車測試等嚴格的測試環境的要求。除此之外，對于軟件架構設計、軟件單元設計和實現、軟件單元測試、軟件集成和測試這4個環節，ISO 26262也規定必須要根據具體的ASIL等級選用不同的設計和測試方法。

3　總結

道路車輛功能安全標準ISO 26262就是通過上述的這些流程階段，以及每個階段所必須考慮的措施、方法和具體技術的要求，將各個階段的要求和如何滿足要求的措施都進行逐一落實，通過流程和技術兩方面的共同約束才可以設計、制造出滿足功能安全要求的安全產品。

［1］劉佳熙，郭輝，李君.汽車電子電氣系統的功能安全標準ISO 26262［J］.上海汽車，2011（10）：57-61.

［2］袁蘭秀.汽車電子電氣系統功能安全標準ISO26262的幾點探討［J］.科技資訊，2013（8）：245-245.

［3］尚世亮，王雷雷，趙向東.基于ISO 26262的車輛電子電氣系統故障注入測試方法［J］.汽車技術，2015（12）：49-51，58.

［4］張東.EPS控制器的可靠性優化及其基于ISO 26262的正向開發［D］.吉林大學，2015.

［5］還宏生.汽車設計中的安全要求及ISO 26262標準［J］.汽車零部件，2012（10）：41-43.

［6］王丹，周曉翠，雍建軍.CMMI及ISO 26262標準在汽車電子軟件開發中的部署［J］.電子技術與軟件工程，2015（21）：72-74.

（編輯楊景）

Understanding of Vehicles Functional Safety Development Process Based on ISO 26262

JI Hong-yan，CUI Shu-chao，SUN Can，ZHANG Jin-ming
（BAIC Motor Technology Centre，Beijing 101300，China）

ISO26262 is making for improving functional safety of the electronic components in the automotive field.The interpretation of the ISO26262 helps people better understand safety related functions，and provides methods and process to avoid the potential risks.ISO26262 provides a life cycle concept for automobile safety，which includes necessary technical and managerial support for management，development，production，operation and maintenance.

ISO 26262；functional safety；risk assessment；electrical structure

U472.7

A

1003-8639（2016）07-0057-03

2016-03-15

紀宏巖（1982-），男，黑龍江鐵力人，碩士，工程師，從事汽車電器開發工作；崔書超（1988-），男，河南平頂山人，碩士，工程師，從事汽車網絡開發工作。