基于ISO 26262的新能源汽車電子電器部件功能安全開發(fā)簡介

辛強(qiáng)，朱衛(wèi)兵，胡璟

(1.中國汽車零部件工業(yè)有限公司，北京 100083 ；2.上汽通用五菱汽車股份有限公司質(zhì)量部，廣西柳州 545007)

0 引言

隨著電子電器部件的集成度要求越來越高，面臨的安全問題也越來越嚴(yán)重，如豐田汽車于2010年召回了幾百萬車輛，主要就是由于汽車電子油門踏板引起的故障。功能安全是指避免由系統(tǒng)功能性故障導(dǎo)致的不可接受的風(fēng)險，在本質(zhì)安全無法達(dá)到時，盡可能增加安全機(jī)制。從而提高安全等級，保障生命安全。

目前電子電器產(chǎn)品集成度的增加以及產(chǎn)品上市時間的緊迫性的雙重壓力，由此引發(fā)的故障也越來越多，主流車企，無論歐美系或日韓系，都在認(rèn)真地研究功能安全并指導(dǎo)自身產(chǎn)品的開發(fā)，而忽視功能安全的企業(yè)在現(xiàn)代信息傳播快速的年代中，將很可能快速喪失技術(shù)優(yōu)勢和號召力，最終導(dǎo)致市場份額的大幅下滑。因此對汽車電子電器進(jìn)行設(shè)計時，其構(gòu)建軟硬件系統(tǒng)就需要考慮在正常條件及存在故障條件下，控制設(shè)備、車輛系統(tǒng)的安全功能必須都能夠保證，而功能安全就是在車輛本質(zhì)安全無法達(dá)到時，考慮到各種危險因素，增加安全機(jī)制從而提高車輛的安全等級，這在電子產(chǎn)品開發(fā)中有著非常重要的作用。

1 功能安全的概念及產(chǎn)生

ISO 26262是從電氣、電子及可編程電子安全相關(guān)系統(tǒng)的功能安全基本標(biāo)準(zhǔn) IEC 61508 派生出來的，功能安全主要關(guān)注的是車輛發(fā)生系統(tǒng)故障的情況，而不是車輛的原有功能或性能。以電子油門的管理系統(tǒng)為例，主要由感知、決策、執(zhí)行三部分構(gòu)成，其中加速踏板位置傳感器信號是發(fā)動機(jī)輸出轉(zhuǎn)矩主要決定因素。若位置傳感器發(fā)生故障，感知不準(zhǔn)確，將使其與實(shí)際位置發(fā)生偏離，則可能導(dǎo)致發(fā)動機(jī)輸出轉(zhuǎn)矩過大，造成車輛出現(xiàn)突然加速，引發(fā)交通事故，如近期比較熱議的電動車高速撞車事件，這就是制動管理系統(tǒng)的一個功能安全風(fēng)險。因此，要從設(shè)計上采取措施，就要考慮到加速踏板傳感器故障發(fā)生時發(fā)動機(jī)/電機(jī)轉(zhuǎn)矩仍然可控，這樣才能提高動力系統(tǒng)管理系統(tǒng)的安全性。

由于整車企業(yè)是直接面對消費(fèi)者，所以整車廠(OEM)需要對產(chǎn)品的安全性負(fù)責(zé)，OEM可以要求零部件廠提供符合功能安全的產(chǎn)品，這樣可以減少主機(jī)廠的很多工作。OEM通過和供應(yīng)商簽訂開發(fā)接口協(xié)議(DIA)，明確雙方責(zé)任，通過DIA協(xié)議，供應(yīng)商需要承擔(dān)功能安全的責(zé)任。但在新的環(huán)境下，建立功能安全架構(gòu)是雙方的責(zé)任，如OEM在概念設(shè)計階段就要對相關(guān)車輛部件的安全等級進(jìn)行明確，然后開展系統(tǒng)開發(fā)，零部件供應(yīng)商在前期就要介入相關(guān)軟硬件的產(chǎn)品開發(fā)，并保證合規(guī)性，直至整車合規(guī)。

2 汽車電子電器部件安全性的開發(fā)流程

傳統(tǒng)車輛的質(zhì)量控制體系主要以ISO9001、TS16949、采購技術(shù)參數(shù)以及版本控制為主，但是隨著新能源汽車技術(shù)的發(fā)展，特別是軟件定義汽車的年代，面臨越來越多的新的問題，因此需要引入功能安全對電子電器的軟硬件進(jìn)行產(chǎn)品質(zhì)量過程的控制，其中包括風(fēng)險分析、ASIL等級分級、安全概念、可溯源性等等。

ISO 26262標(biāo)準(zhǔn)針對汽車的電子電器系統(tǒng)，通過增加安全機(jī)制使系統(tǒng)達(dá)到可接受的安全程度。主要構(gòu)成包括3個部分：(1)功能安全的管理,建立每個過程的安全開發(fā);(2)安全產(chǎn)品的相關(guān)開發(fā)，包括概念開發(fā)、系統(tǒng)開發(fā)和實(shí)際開發(fā);(3)生產(chǎn)和運(yùn)維，從整個生命周期對產(chǎn)品的安全性提出要求。ISO 26262標(biāo)準(zhǔn)對于功能安全的制定采用了汽車軟件工程中常用的擴(kuò)展V模型,如圖1所示。

圖1 基于ISO 26262 V模型開發(fā)過程

由圖可知，其開發(fā)過程如下：(1)概念階段是擴(kuò)展模型V的翅膀，與安全相關(guān)的項(xiàng)目是由它來定義的，為后續(xù)執(zhí)行工作提供對該項(xiàng)目的全面了解。(2)V模型的左半部分是由系統(tǒng)級的產(chǎn)品安全工程需求定義、系統(tǒng)設(shè)計、硬件級產(chǎn)品安全功能需求定義、硬件設(shè)計、軟件級的產(chǎn)品功能安全需求定義、軟件設(shè)計開發(fā)所構(gòu)成。(3)V模型的右半部分主要關(guān)注于前部分涉及的各個過程的驗(yàn)證和確認(rèn)。

3 汽車功能安全等級評估

在對ISO 26262標(biāo)準(zhǔn)中的系統(tǒng)進(jìn)行功能安全設(shè)計時，前期非常重要的一個步驟是對系統(tǒng)進(jìn)行危害分析和風(fēng)險評估，從而識別出系統(tǒng)的危害，并根據(jù)相關(guān)危害情況對危害的風(fēng)險等級——汽車安全完整性等級(Automotive Safety Integration Level，ASIL)進(jìn)行評估。風(fēng)險分析的流程，主要包括場景分析，在不同駕駛環(huán)境下識別風(fēng)險，可以用的工具包括FMEA、FTA等;然后根據(jù)風(fēng)險參數(shù)進(jìn)行危害度分析，從而確定ASIL，明確要達(dá)到的安全目標(biāo);最后復(fù)審，驗(yàn)證分類的正確性和一致性[2]。

ISO 26262標(biāo)準(zhǔn)規(guī)定，ASIL有A、B、C、D 4個等級，其中A是最低等級，D是最高等級。ASIL等級決定了對系統(tǒng)安全性的要求，ASIL等級越高，對系統(tǒng)的安全性要求越高，也意味著為實(shí)現(xiàn)安全付出的代價越高，相關(guān)的硬件診斷覆蓋率越高，所對應(yīng)的開發(fā)成本增加，開發(fā)周期延長，技術(shù)要求也更高[1]。

進(jìn)行功能安全設(shè)計時，針對每種危害確定至少一個安全目標(biāo)，安全目標(biāo)是系統(tǒng)的最高級別的安全需求，由安全目標(biāo)導(dǎo)出系統(tǒng)級別的安全需求，再將安全需求分配到硬件和軟件。安全等級的評判由3個因素決定：傷害嚴(yán)重程度，發(fā)生概率和可控程度，其等級劃分標(biāo)準(zhǔn)見表1。

表1 安全等級的評判標(biāo)準(zhǔn)

下面將通過一個例子說明一下安全等級的標(biāo)準(zhǔn)劃分。如發(fā)生故障為智能汽車正常行駛時突然自動轉(zhuǎn)向，其傷害程度方面，可能會造成汽車失控，并關(guān)系到生命安全，其傷害等級應(yīng)該為3級;發(fā)生概率方面，無論在高速、快速道路、城市道路都可能發(fā)生，取值為4級;可控程度方面，由于行駛中突然發(fā)生，容易失控，取值為3，因此該功能的安全等級應(yīng)該定義為最高級D級。

4 功能安全的設(shè)計流程

基于ISO 26262標(biāo)準(zhǔn)，設(shè)計了一個新的功能安全方案，其流程為:

(1)進(jìn)行危險分析和風(fēng)險估計，評出此需求的ASIL評級并建立安全目標(biāo)。比如轉(zhuǎn)向助力那個例子中，“助力方向一致”這個需求一定是ASIL D級，故障后會有相當(dāng)大的安全風(fēng)險。其安全目標(biāo)就是把故障風(fēng)險降低至可容忍風(fēng)險以下。

(2)將安全目標(biāo)進(jìn)一步分解為功能安全概念和技術(shù)安全概念。如，要怎樣降低“助力方向一致”故障的風(fēng)險呢？一個可行的辦法是進(jìn)行冗余計算：用兩套不同的算法計算助力方向，保證結(jié)果的正確性?；蛘撸阎﹄姍C(jī)的力矩限制在一個較小的值也是個好辦法，因?yàn)檫@樣一來即便助力方向錯誤，由于助力有限，駕駛員還是可以控制汽車[3]。

(3)形成軟件安全需求和硬件安全需求，這些安全需求，可以作為軟/硬件設(shè)計的依據(jù)，同時也繼承了相同的ASIL等級。

(4)根據(jù)得到的安全需求，并結(jié)合其ASIL 等級制定測試與驗(yàn)證方案。對于不同等級的安全需求，ISO 26262對測試方案有著硬性的要求。比如ASIL D級需求除了進(jìn)行MISRA、PolySpace等測試外，還要進(jìn)行完備的功能測試和覆蓋率100%的MCDC測試[4]。

5 結(jié)束語

文中針對汽車電子電器部件，主要依據(jù)功能安全規(guī)范ISO 26262，提出其基于V模型的功能安全設(shè)計，最主要的目的是讓國內(nèi)相關(guān)企業(yè)能夠?qū)δ馨踩O(shè)計有所了解。由于ISO 26262標(biāo)準(zhǔn)對相關(guān)的硬件、軟件以及質(zhì)量管理人員等工作提出了新的系統(tǒng)化和規(guī)范化的設(shè)計要求，不同專業(yè)的技術(shù)團(tuán)隊(duì)需要協(xié)調(diào)一致才能保證整體的可靠性。意味著研發(fā)團(tuán)隊(duì)需要經(jīng)過對該標(biāo)準(zhǔn)的培訓(xùn)，才能保證標(biāo)準(zhǔn)符合度，并在此基礎(chǔ)之上，通過系統(tǒng)化的功能安全管理方法，才能保證在開發(fā)過程中更好符合系統(tǒng)安全的要求。