汽車電子功能安全設(shè)計方法的研究

吳丹丹

摘要：隨著當前社會經(jīng)濟的發(fā)展，汽車制造速度在不斷的加快，汽車安全成為汽車在設(shè)計中需要解決的首要問題，本文就汽車電子功能安全設(shè)計與方法進行闡述。

關(guān)鍵詞：汽車；電子功能；安全設(shè)計

電子控制系統(tǒng)是汽車的重要組成部分，在設(shè)計的過程中要充分考慮其安全性。

一、汽車電控系統(tǒng)功能安全設(shè)計要求

（一）功能安全危害分析與風險評估

提出了確定功能安全等級（ASIL）的方法，安全等級范圍是A、B、C、D，其中ASILA安全等級最低，ASILD安全等級最高。在整車和系統(tǒng)電子設(shè)計時，需要確定所設(shè)計項目的范圍?；陧椖慷x，確定項目的安全目標，避免不合理的風險。ASIL使用3個參數(shù)進行評估，分別是：危險對駕駛員或其他交通參與人員造成傷害的嚴重程度S，危險所在工況的發(fā)生概率E，危險涉及的駕駛員和其他交通參與人員及時采取控制行動避免特定傷害的能力C。S分為0～3級，如表1所示，S0代表無傷害，S3代表危及生命的重傷或致命傷；E分為0～4級，E0代表工況不可能發(fā)生，E4代表工況是常見的；C分0～3級，C0代表完全可控，C3代表非常難于控制。對于每一個識別到的危險，按評估風險等級（即汽車安全完整性等級），其中QM表示與安全無關(guān)。

（二）功能安全系統(tǒng)設(shè)計

系統(tǒng)級產(chǎn)品功能安全設(shè)計要求包括產(chǎn)品開發(fā)的啟動、技術(shù)安全要求中的規(guī)范、系統(tǒng)設(shè)計、項目集成、安全驗證、功能安全評估、生產(chǎn)發(fā)布。在啟動產(chǎn)品開發(fā)和定義技術(shù)安全要求后，進行系統(tǒng)設(shè)計。在系統(tǒng)計過程中建立系統(tǒng)架構(gòu)，將技術(shù)安全要求分配給硬件和軟件，并且，如果適用，也可應(yīng)用其它技術(shù)。同時，細化技術(shù)安全要求，并添加來自系統(tǒng)架構(gòu)的要求，包括軟硬件接口的要求。根據(jù)架構(gòu)的復(fù)雜性，可以逐步得出子系統(tǒng)的需求。開發(fā)后，集成硬件和軟件要素并測試以形成一個相關(guān)項，然后，將該相關(guān)項集成在整車上。一旦在整車層面完成了系統(tǒng)集成，進行安全確認以提供與安全目標相關(guān)的功能安全證據(jù)。

（三）功能安全軟硬件設(shè)計

在系統(tǒng)功能安全設(shè)計時，需要制定軟硬件接口HIS要求，分析確定的不同功能安全等級，在進行具體軟件和硬件設(shè)計時也要有具體要求。總體來說，硬件功能安全設(shè)計體現(xiàn)了不同安全等級的定量要求，硬件功能安全要求包括硬件產(chǎn)品開發(fā)的啟動、硬件安全規(guī)格的要求、硬件設(shè)計、硬件架構(gòu)指標、對由于硬件隨機失效引起的違反安全目標進行評估、硬件集成和測試。軟件功能安全要求包括軟件級產(chǎn)品開發(fā)的啟動、軟件安全要求的規(guī)格、軟件架構(gòu)設(shè)計、軟件單元設(shè)計與執(zhí)行、軟件單元測試、軟件集成和測試、軟件安全要求的驗證。（見表1、表2）

二、汽車電子電氣系統(tǒng)的功能安全

（一）功能安全

功能安全是相對于本質(zhì)安全的一個概念。利用設(shè)計手段移除系統(tǒng)的危險源，使得系統(tǒng)或其部件即使發(fā)生故障也不會造成危險的安全事故，就是本質(zhì)安全。與本質(zhì)安全不同，功能安全不追求系統(tǒng)絕對無危險源，而是通過其功能來抑制事故的風險。如果在設(shè)計交叉路口時，采用立交橋的方案，就是本質(zhì)安全，因為移除了火車與汽車碰撞事故的危險源。如果設(shè)計時采用阻攔器和信號燈的方案，就是功能安全，因為該設(shè)計并未移除碰撞事故的危險源，而是通過添加別的功能來減少甚至完全杜絕事故的發(fā)生。

如果所有系統(tǒng)都能移除危險源，做到本質(zhì)安全，自然是非常理想的。但是實際開發(fā)過程中，有些系統(tǒng)是非常復(fù)雜性的，例如汽車電子電氣系統(tǒng)，想要完全剔除危險源是很難實現(xiàn)的，因此就要借助功能安全的設(shè)計思想，對系統(tǒng)添加安全功能，來降低由于系統(tǒng)失效導(dǎo)致安全事故的可能性。因此，功能安全近年來受到越來越多的重視。功能安全關(guān)注系統(tǒng)故障后的行為，而不是系統(tǒng)的原有功能或性能。以EPS系統(tǒng)為例，扭矩傳感器信號是決定電機助力大小的主要因素，如果扭矩傳感器發(fā)生故障，扭矩信號偏離實際值較大，則可能導(dǎo)致助力力矩異常，車輛發(fā)生違背駕駛員意愿的自主轉(zhuǎn)向現(xiàn)象，這是EPS系統(tǒng)的一個功能安全風險。

（二）功能安全標準

從20世紀70年代起，歐美國家已開始利用系統(tǒng)工程的理論解決安全相關(guān)問題，并制定法規(guī)和標準來控制由于技術(shù)缺陷和人為錯誤導(dǎo)致的安全風險。

在IEC61508的基礎(chǔ)上，國際標準化組織（ISO）針對汽車應(yīng)用的特殊性制定了ISO26262（RoadvehicleFunctionalsafety，道路車輛功能安全標準），并于2011年11月正式頒布。ISO26262涵蓋功能安全相關(guān)整體開發(fā)的各個過程（包括規(guī)劃、設(shè)計、驗證和確認等），該標準根據(jù)危險分析和風險評估將系統(tǒng)或其組成部分劃分A、B、C、D四個汽車安全完整性等級，安全等級依此升高。

三、結(jié)束語

綜上所述，在當前汽車發(fā)展的過程中，要不斷提升電子功能的安全設(shè)計，保證汽車的運行安全。

參考文獻：

[1]楊國，青厲蔣.基于ISO26262功能安全標準的汽車電子系統(tǒng)測試方法[J].電子產(chǎn)品世界，2013（4）.