南京航空航天大學金城學院車輛工程系 盧 靜

功能安全標準ISO26262在汽車電子電器開發(fā)中的應用

南京航空航天大學金城學院車輛工程系 盧 靜

功能安全標準ISO26262是汽車業(yè)界繼品質(zhì)和環(huán)境后，專門面向電子電器部件安全性的國際標準。歐美和韓日廠商在該領域已經(jīng)有了較深的積累，而我國的廠商在該領域還處于摸索階段。本文論述了ISO26262標準指定的背景，該標準的核心的功能安全級別ASIL的推導過程，以及標準對不同ASIL等級的系統(tǒng)的方法要求。

功能安全；ISO26262；汽車電子電器

1.引言

本文介紹了功能安全標準ISO26262的制定背景和主要內(nèi)容，從核心內(nèi)容的功能安全管理、過程管理和支持過程三個方面分別進行了論述。在此基礎上，對功能安全等級ASIL的推導方法，以及標準對不同ASIL等級的指導方法進行了深入的論述和舉例說明。

2.ISO26262制定的背景

從汽車行業(yè)規(guī)格的歷史動向上可以看出，繼品質(zhì)和環(huán)境后，安全成為汽車行業(yè)第三個標準要求。

ISO26262建立在電子電氣及可編程器件功能安全基本標準IEC61508之上，專門為汽車行業(yè)定制，用于汽車行業(yè)中特定的電氣器件、電子設備、可編程電子器件等專門用于汽車領域的部件，旨在提高汽車電子、電氣產(chǎn)品功能安全的國際標準。［1］

ISO26262從2005年起正式開始制定，于2011年11月正式頒布，成為國際標準。功能安全標準ISO26262適用于安裝在最大總質(zhì)量不超過3.5噸的量產(chǎn)乘用車上的包含一個或多個電子電器系統(tǒng)的與安全相關的系統(tǒng)。而特殊用途車輛（例如為殘疾駕駛者設計的車輛）不包含在適用范圍內(nèi)。［2］

預計在2018年將發(fā)布下一代功能安全標準，屆時商用車和摩托車也很有可能被定義在適用范圍內(nèi)。

中國也正在積極進行相應國標的制定，目前意見征求稿已經(jīng)公開，預計2016年末將正式發(fā)布相應的道路測量功能安全國家標準。

ISO26262標準分為10個章節(jié)：術語的定義（術語集）；功能安全管理；概念階段；產(chǎn)品開發(fā)（系統(tǒng)層面）；產(chǎn)品開發(fā)（硬件層面）；產(chǎn)品開發(fā)（軟件層面）；生產(chǎn)和運行；支持過程；ASIL指向、安全目標的分析；ISO26262指南等。為汽車安全提供了整個生命周期（管理、開發(fā)、生產(chǎn)、經(jīng)營、服務、報廢）的流程，并在這些生命周期階段中提供必要的支持。該標準涵蓋功能性安全方面的整體開發(fā)過程（包括需求規(guī)劃、設計、實施、集成、驗證、確認和配置）。［3］

功能安全標準的核心分為三個部分，分別是：

第二章 功能安全的管理：包含內(nèi)容有質(zhì)量與功能安全管理體系構(gòu)筑，安全文化和功能安全管理人才的培養(yǎng)，以及各工程配備功能安全管理者。

第三至七章 過程管理：包含V字型開發(fā)過程的執(zhí)行、特別是上游驗證的強化，工程階段的詳細化和可追溯，以及風險分析和故障檢出工程設計等。

支持過程：包含OEM與供應商之間接口的明確化，變更管理和構(gòu)成管理，以及開發(fā)過程使用的工具等。

3.功能安全等級的導出方法

ISO 26262標準根據(jù)安全風險程度，把對系統(tǒng)劃分由A到D的安全完整性等級ASIL（Automotive Safety Integrity Level）劃分為四個等級，分別是A、B、C、D。A為最低級別，D為最高級別，需要最苛刻的安全需求。在核心過程的部分，標準對每個級別需要達到的功能安全活動，做了詳細的劃分。因此，OEM和供應商首先需要明確自己的產(chǎn)品的所屬的功能安全等級。

功能安全等級由三個象限定義，分別是受害嚴重程度、發(fā)生的概率和可控性。可由以下公式表示：

ASIL = S（Severity） & E（Exposure） & C（Controllability）

按照受害嚴重程度的定義表，受害嚴重程度分成四個等級，分別是S0、S1、S2和S3。S0代表事故發(fā)生不會導致受傷，如汽車撞到路邊的圍欄；S1代表事故發(fā)生會導致輕微和中度受傷，如汽車與低速行駛車輛的前方或后方碰撞；S2代表事故發(fā)生會導致不致命的重傷，如汽車轉(zhuǎn)彎時與行人發(fā)生碰撞；最高級的S3代表事故發(fā)生會導致致命傷害，如汽車行駛中與中高速乘用車發(fā)生側(cè)面碰撞。

按照場景發(fā)生概率的定義表，發(fā)生概率分成E0到E4五個等級。E0代表事故本身不會發(fā)生；E1代表超低概率，約3年會發(fā)生1次；E2代表低概率，約1年會發(fā)生一次；E3代表中度概率，約1個月會發(fā)生1次；E4代表高度概率，幾乎每次駕駛都會發(fā)生。

按照可控性定義表，事故發(fā)生的可控制程度分成C0至C3四個等級。C0代表一般可控，如廣播音量突然變化；C1代表可輕易控制，如駕駛中座椅位置調(diào)節(jié)故障；C2代表通?？梢钥刂?，如緊急剎車時的ABS故障；C3代表控制困難和失控，如高速行駛中安全氣囊誤爆。

標準中，功能安全等級ASIL的定義表由嚴重度、發(fā)生概率和可控度三個維度構(gòu)成。根據(jù)每個維度的等級，可以找到相應的ASIL等級。如某產(chǎn)品的失效嚴重度：S3，失效發(fā)生概率：E2，可控度：C2，我們可以定位到該產(chǎn)品的功能安全等級為ASIL：B。在實際的工作中，在危害分析和風險評估HARA階段，通過對危險事項和場景的假設，可由該表推導出產(chǎn)品的功能安全等級ASIL。

4.基于ASIL等級的要求

ISO26262針對不同的ASIL等級的系統(tǒng)，對整個流程的各個階段，制定了方法。對于每種方法，應用相關方法的推薦等級取決于系統(tǒng)的ASIL等級，通常分為三類。

“++”表示對于指定的ASIL等級，高度推薦該方法；

“+”表示對于指定的ASIL等級，推薦該方法；

“○”表示對于指定的ASIL等級，未推薦或反對該方法；

Table 1 軟件架構(gòu)設計驗證方法

表1是軟件架構(gòu)設計的驗證方法，標準指定了共計7種方法。其中設計走查是最基本的驗證方法，ASIL等級為A的系統(tǒng)必須要執(zhí)行，而其他等級的系統(tǒng)需用其他方法驗證。對設計中的動態(tài)部分進行仿真是較高級別的要求，它要求為軟件架構(gòu)的動態(tài)部分使用可執(zhí)行的模型，ASIL等級為D的系統(tǒng)必須要使用該方法，而A級B級和C級系統(tǒng)，不必須使用該方法。

Table 2 軟件單元測試方法

表2是軟件單元的測試方法，標準指定了共計5種方法。其中基于需求的測試和接口測試是共通部分，所有等級的系統(tǒng)都需要使用這兩種測試方法驗證系統(tǒng)。而背靠背測試是比較復雜的測試方法，它依賴一種能模擬軟件單元功能的模型，通常是Simulink模型進行仿真，并比對軟件的執(zhí)行結(jié)果和模型的執(zhí)行結(jié)果的一致性，標準指定ASIL等級為C和D的系統(tǒng)使用該方法。

5.結(jié)論

本文主要介紹了功能安全標準ISO26262制定的背景和主要內(nèi)容。重點論述了功能安全等級ASIL的導出方法，以及過程對不同ASIL等級的系統(tǒng)的要求和方法。并對以上內(nèi)容進行案例分析，對于有計劃導入ISO26262標準的組織具有指導性作用。

［1］朱葉，ZHU Ye.基于ISO26262的動力電池系統(tǒng)高壓功能安全概念［J］汽車零部件，2013（10）.

［2］Joerg Weber Towards an Aspect Driven Approach for the Analysis，Evaluation and Optimization of Safety within theAutomotive Industry.SAE 2010-01-0208 2010.

［3］劉佳熙，郭，李君.汽車電子電氣系統(tǒng)的功能安全標準IS026262［J］上海汽車，2011（10）2.Road Vehicles Functional Safety 2011.