基于ISO 26262的新能源汽車電子電器部件功能安全開發簡介

辛強，朱衛兵，胡璟

(1.中國汽車零部件工業有限公司，北京 100083 ；2.上汽通用五菱汽車股份有限公司質量部，廣西柳州 545007)

0 引言

隨著電子電器部件的集成度要求越來越高，面臨的安全問題也越來越嚴重，如豐田汽車于2010年召回了幾百萬車輛，主要就是由于汽車電子油門踏板引起的故障。功能安全是指避免由系統功能性故障導致的不可接受的風險，在本質安全無法達到時，盡可能增加安全機制。從而提高安全等級，保障生命安全。

目前電子電器產品集成度的增加以及產品上市時間的緊迫性的雙重壓力，由此引發的故障也越來越多，主流車企，無論歐美系或日韓系，都在認真地研究功能安全并指導自身產品的開發，而忽視功能安全的企業在現代信息傳播快速的年代中，將很可能快速喪失技術優勢和號召力，最終導致市場份額的大幅下滑。因此對汽車電子電器進行設計時，其構建軟硬件系統就需要考慮在正常條件及存在故障條件下，控制設備、車輛系統的安全功能必須都能夠保證，而功能安全就是在車輛本質安全無法達到時，考慮到各種危險因素，增加安全機制從而提高車輛的安全等級，這在電子產品開發中有著非常重要的作用。

1 功能安全的概念及產生

ISO 26262是從電氣、電子及可編程電子安全相關系統的功能安全基本標準 IEC 61508 派生出來的，功能安全主要關注的是車輛發生系統故障的情況，而不是車輛的原有功能或性能。以電子油門的管理系統為例，主要由感知、決策、執行三部分構成，其中加速踏板位置傳感器信號是發動機輸出轉矩主要決定因素。若位置傳感器發生故障，感知不準確，將使其與實際位置發生偏離，則可能導致發動機輸出轉矩過大，造成車輛出現突然加速，引發交通事故，如近期比較熱議的電動車高速撞車事件，這就是制動管理系統的一個功能安全風險。因此，要從設計上采取措施，就要考慮到加速踏板傳感器故障發生時發動機/電機轉矩仍然可控，這樣才能提高動力系統管理系統的安全性。

由于整車企業是直接面對消費者，所以整車廠(OEM)需要對產品的安全性負責，OEM可以要求零部件廠提供符合功能安全的產品，這樣可以減少主機廠的很多工作。OEM通過和供應商簽訂開發接口協議(DIA)，明確雙方責任，通過DIA協議，供應商需要承擔功能安全的責任。但在新的環境下，建立功能安全架構是雙方的責任，如OEM在概念設計階段就要對相關車輛部件的安全等級進行明確，然后開展系統開發，零部件供應商在前期就要介入相關軟硬件的產品開發，并保證合規性，直至整車合規。

2 汽車電子電器部件安全性的開發流程

傳統車輛的質量控制體系主要以ISO9001、TS16949、采購技術參數以及版本控制為主，但是隨著新能源汽車技術的發展，特別是軟件定義汽車的年代，面臨越來越多的新的問題，因此需要引入功能安全對電子電器的軟硬件進行產品質量過程的控制，其中包括風險分析、ASIL等級分級、安全概念、可溯源性等等。

ISO 26262標準針對汽車的電子電器系統，通過增加安全機制使系統達到可接受的安全程度。主要構成包括3個部分：(1)功能安全的管理,建立每個過程的安全開發;(2)安全產品的相關開發，包括概念開發、系統開發和實際開發;(3)生產和運維，從整個生命周期對產品的安全性提出要求。ISO 26262標準對于功能安全的制定采用了汽車軟件工程中常用的擴展V模型,如圖1所示。

圖1 基于ISO 26262 V模型開發過程

由圖可知，其開發過程如下：(1)概念階段是擴展模型V的翅膀，與安全相關的項目是由它來定義的，為后續執行工作提供對該項目的全面了解。(2)V模型的左半部分是由系統級的產品安全工程需求定義、系統設計、硬件級產品安全功能需求定義、硬件設計、軟件級的產品功能安全需求定義、軟件設計開發所構成。(3)V模型的右半部分主要關注于前部分涉及的各個過程的驗證和確認。

3 汽車功能安全等級評估

在對ISO 26262標準中的系統進行功能安全設計時，前期非常重要的一個步驟是對系統進行危害分析和風險評估，從而識別出系統的危害，并根據相關危害情況對危害的風險等級——汽車安全完整性等級(Automotive Safety Integration Level，ASIL)進行評估。風險分析的流程，主要包括場景分析，在不同駕駛環境下識別風險，可以用的工具包括FMEA、FTA等;然后根據風險參數進行危害度分析，從而確定ASIL，明確要達到的安全目標;最后復審，驗證分類的正確性和一致性[2]。

ISO 26262標準規定，ASIL有A、B、C、D 4個等級，其中A是最低等級，D是最高等級。ASIL等級決定了對系統安全性的要求，ASIL等級越高，對系統的安全性要求越高，也意味著為實現安全付出的代價越高，相關的硬件診斷覆蓋率越高，所對應的開發成本增加，開發周期延長，技術要求也更高[1]。

進行功能安全設計時，針對每種危害確定至少一個安全目標，安全目標是系統的最高級別的安全需求，由安全目標導出系統級別的安全需求，再將安全需求分配到硬件和軟件。安全等級的評判由3個因素決定：傷害嚴重程度，發生概率和可控程度，其等級劃分標準見表1。

表1 安全等級的評判標準

下面將通過一個例子說明一下安全等級的標準劃分。如發生故障為智能汽車正常行駛時突然自動轉向，其傷害程度方面，可能會造成汽車失控，并關系到生命安全，其傷害等級應該為3級;發生概率方面，無論在高速、快速道路、城市道路都可能發生，取值為4級;可控程度方面，由于行駛中突然發生，容易失控，取值為3，因此該功能的安全等級應該定義為最高級D級。

4 功能安全的設計流程

基于ISO 26262標準，設計了一個新的功能安全方案，其流程為:

(1)進行危險分析和風險估計，評出此需求的ASIL評級并建立安全目標。比如轉向助力那個例子中，“助力方向一致”這個需求一定是ASIL D級，故障后會有相當大的安全風險。其安全目標就是把故障風險降低至可容忍風險以下。

(2)將安全目標進一步分解為功能安全概念和技術安全概念。如，要怎樣降低“助力方向一致”故障的風險呢？一個可行的辦法是進行冗余計算：用兩套不同的算法計算助力方向，保證結果的正確性。或者，把助力電機的力矩限制在一個較小的值也是個好辦法，因為這樣一來即便助力方向錯誤，由于助力有限，駕駛員還是可以控制汽車[3]。

(3)形成軟件安全需求和硬件安全需求，這些安全需求，可以作為軟/硬件設計的依據，同時也繼承了相同的ASIL等級。

(4)根據得到的安全需求，并結合其ASIL 等級制定測試與驗證方案。對于不同等級的安全需求，ISO 26262對測試方案有著硬性的要求。比如ASIL D級需求除了進行MISRA、PolySpace等測試外，還要進行完備的功能測試和覆蓋率100%的MCDC測試[4]。

5 結束語

文中針對汽車電子電器部件，主要依據功能安全規范ISO 26262，提出其基于V模型的功能安全設計，最主要的目的是讓國內相關企業能夠對功能安全設計有所了解。由于ISO 26262標準對相關的硬件、軟件以及質量管理人員等工作提出了新的系統化和規范化的設計要求，不同專業的技術團隊需要協調一致才能保證整體的可靠性。意味著研發團隊需要經過對該標準的培訓，才能保證標準符合度，并在此基礎之上，通過系統化的功能安全管理方法，才能保證在開發過程中更好符合系統安全的要求。