汽車電子功能安全設(shè)計(jì)方法的研究

吳丹丹

摘要：隨著當(dāng)前社會(huì)經(jīng)濟(jì)的發(fā)展，汽車制造速度在不斷的加快，汽車安全成為汽車在設(shè)計(jì)中需要解決的首要問題，本文就汽車電子功能安全設(shè)計(jì)與方法進(jìn)行闡述。

關(guān)鍵詞：汽車；電子功能；安全設(shè)計(jì)

電子控制系統(tǒng)是汽車的重要組成部分，在設(shè)計(jì)的過程中要充分考慮其安全性。

一、汽車電控系統(tǒng)功能安全設(shè)計(jì)要求

（一）功能安全危害分析與風(fēng)險(xiǎn)評(píng)估

提出了確定功能安全等級(jí)（ASIL）的方法，安全等級(jí)范圍是A、B、C、D，其中ASILA安全等級(jí)最低，ASILD安全等級(jí)最高。在整車和系統(tǒng)電子設(shè)計(jì)時(shí)，需要確定所設(shè)計(jì)項(xiàng)目的范圍?；陧?xiàng)目定義，確定項(xiàng)目的安全目標(biāo)，避免不合理的風(fēng)險(xiǎn)。ASIL使用3個(gè)參數(shù)進(jìn)行評(píng)估，分別是：危險(xiǎn)對(duì)駕駛員或其他交通參與人員造成傷害的嚴(yán)重程度S，危險(xiǎn)所在工況的發(fā)生概率E，危險(xiǎn)涉及的駕駛員和其他交通參與人員及時(shí)采取控制行動(dòng)避免特定傷害的能力C。S分為0～3級(jí)，如表1所示，S0代表無傷害，S3代表危及生命的重傷或致命傷；E分為0～4級(jí)，E0代表工況不可能發(fā)生，E4代表工況是常見的；C分0～3級(jí)，C0代表完全可控，C3代表非常難于控制。對(duì)于每一個(gè)識(shí)別到的危險(xiǎn)，按評(píng)估風(fēng)險(xiǎn)等級(jí)（即汽車安全完整性等級(jí)），其中QM表示與安全無關(guān)。

（二）功能安全系統(tǒng)設(shè)計(jì)

系統(tǒng)級(jí)產(chǎn)品功能安全設(shè)計(jì)要求包括產(chǎn)品開發(fā)的啟動(dòng)、技術(shù)安全要求中的規(guī)范、系統(tǒng)設(shè)計(jì)、項(xiàng)目集成、安全驗(yàn)證、功能安全評(píng)估、生產(chǎn)發(fā)布。在啟動(dòng)產(chǎn)品開發(fā)和定義技術(shù)安全要求后，進(jìn)行系統(tǒng)設(shè)計(jì)。在系統(tǒng)計(jì)過程中建立系統(tǒng)架構(gòu)，將技術(shù)安全要求分配給硬件和軟件，并且，如果適用，也可應(yīng)用其它技術(shù)。同時(shí)，細(xì)化技術(shù)安全要求，并添加來自系統(tǒng)架構(gòu)的要求，包括軟硬件接口的要求。根據(jù)架構(gòu)的復(fù)雜性，可以逐步得出子系統(tǒng)的需求。開發(fā)后，集成硬件和軟件要素并測試以形成一個(gè)相關(guān)項(xiàng)，然后，將該相關(guān)項(xiàng)集成在整車上。一旦在整車層面完成了系統(tǒng)集成，進(jìn)行安全確認(rèn)以提供與安全目標(biāo)相關(guān)的功能安全證據(jù)。

（三）功能安全軟硬件設(shè)計(jì)

在系統(tǒng)功能安全設(shè)計(jì)時(shí)，需要制定軟硬件接口HIS要求，分析確定的不同功能安全等級(jí)，在進(jìn)行具體軟件和硬件設(shè)計(jì)時(shí)也要有具體要求?？傮w來說，硬件功能安全設(shè)計(jì)體現(xiàn)了不同安全等級(jí)的定量要求，硬件功能安全要求包括硬件產(chǎn)品開發(fā)的啟動(dòng)、硬件安全規(guī)格的要求、硬件設(shè)計(jì)、硬件架構(gòu)指標(biāo)、對(duì)由于硬件隨機(jī)失效引起的違反安全目標(biāo)進(jìn)行評(píng)估、硬件集成和測試。軟件功能安全要求包括軟件級(jí)產(chǎn)品開發(fā)的啟動(dòng)、軟件安全要求的規(guī)格、軟件架構(gòu)設(shè)計(jì)、軟件單元設(shè)計(jì)與執(zhí)行、軟件單元測試、軟件集成和測試、軟件安全要求的驗(yàn)證。（見表1、表2）

二、汽車電子電氣系統(tǒng)的功能安全

（一）功能安全

功能安全是相對(duì)于本質(zhì)安全的一個(gè)概念。利用設(shè)計(jì)手段移除系統(tǒng)的危險(xiǎn)源，使得系統(tǒng)或其部件即使發(fā)生故障也不會(huì)造成危險(xiǎn)的安全事故，就是本質(zhì)安全。與本質(zhì)安全不同，功能安全不追求系統(tǒng)絕對(duì)無危險(xiǎn)源，而是通過其功能來抑制事故的風(fēng)險(xiǎn)。如果在設(shè)計(jì)交叉路口時(shí)，采用立交橋的方案，就是本質(zhì)安全，因?yàn)橐瞥嘶疖嚺c汽車碰撞事故的危險(xiǎn)源。如果設(shè)計(jì)時(shí)采用阻攔器和信號(hào)燈的方案，就是功能安全，因?yàn)樵撛O(shè)計(jì)并未移除碰撞事故的危險(xiǎn)源，而是通過添加別的功能來減少甚至完全杜絕事故的發(fā)生。

如果所有系統(tǒng)都能移除危險(xiǎn)源，做到本質(zhì)安全，自然是非常理想的。但是實(shí)際開發(fā)過程中，有些系統(tǒng)是非常復(fù)雜性的，例如汽車電子電氣系統(tǒng)，想要完全剔除危險(xiǎn)源是很難實(shí)現(xiàn)的，因此就要借助功能安全的設(shè)計(jì)思想，對(duì)系統(tǒng)添加安全功能，來降低由于系統(tǒng)失效導(dǎo)致安全事故的可能性。因此，功能安全近年來受到越來越多的重視。功能安全關(guān)注系統(tǒng)故障后的行為，而不是系統(tǒng)的原有功能或性能。以EPS系統(tǒng)為例，扭矩傳感器信號(hào)是決定電機(jī)助力大小的主要因素，如果扭矩傳感器發(fā)生故障，扭矩信號(hào)偏離實(shí)際值較大，則可能導(dǎo)致助力力矩異常，車輛發(fā)生違背駕駛員意愿的自主轉(zhuǎn)向現(xiàn)象，這是EPS系統(tǒng)的一個(gè)功能安全風(fēng)險(xiǎn)。

（二）功能安全標(biāo)準(zhǔn)

從20世紀(jì)70年代起，歐美國家已開始利用系統(tǒng)工程的理論解決安全相關(guān)問題，并制定法規(guī)和標(biāo)準(zhǔn)來控制由于技術(shù)缺陷和人為錯(cuò)誤導(dǎo)致的安全風(fēng)險(xiǎn)。

在IEC61508的基礎(chǔ)上，國際標(biāo)準(zhǔn)化組織（ISO）針對(duì)汽車應(yīng)用的特殊性制定了ISO26262（RoadvehicleFunctionalsafety，道路車輛功能安全標(biāo)準(zhǔn)），并于2011年11月正式頒布。ISO26262涵蓋功能安全相關(guān)整體開發(fā)的各個(gè)過程（包括規(guī)劃、設(shè)計(jì)、驗(yàn)證和確認(rèn)等），該標(biāo)準(zhǔn)根據(jù)危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估將系統(tǒng)或其組成部分劃分A、B、C、D四個(gè)汽車安全完整性等級(jí)，安全等級(jí)依此升高。

三、結(jié)束語

綜上所述，在當(dāng)前汽車發(fā)展的過程中，要不斷提升電子功能的安全設(shè)計(jì)，保證汽車的運(yùn)行安全。

參考文獻(xiàn)：

[1]楊國，青厲蔣.基于ISO26262功能安全標(biāo)準(zhǔn)的汽車電子系統(tǒng)測試方法[J].電子產(chǎn)品世界，2013（4）.