紀(jì)宏巖，崔書超，孫燦，張進(jìn)明

（北京汽車研究總院有限公司，北京　101300）

基于ISO 26262的道路車輛功能安全開發(fā)流程解讀

紀(jì)宏巖，崔書超，孫燦，張進(jìn)明

（北京汽車研究總院有限公司，北京101300）

ISO 26262定位于汽車領(lǐng)域的電子電器部件，旨在提高汽車電子、電氣產(chǎn)品的功能安全。解讀ISO 26262標(biāo)準(zhǔn)的目的是使人們更好地理解安全的相關(guān)功能，并盡可能明確地對它們進(jìn)行解釋，同時(shí)為避免潛在風(fēng)險(xiǎn)提供了可行性的方法和流程。ISO 26262為汽車安全提供了一個(gè)生命周期的理念，它從管理到開發(fā)、生產(chǎn)、經(jīng)營、維護(hù)直至報(bào)廢等階段都提供了必要的技術(shù)和管理支持。

ISO 26262；功能安全；風(fēng)險(xiǎn)評估；電子電器架構(gòu)

安全是未來汽車發(fā)展面臨的首要問題之一，汽車的新功能不僅僅在輔助駕駛范圍，還有車輛動(dòng)態(tài)控制和主動(dòng)被動(dòng)的安全系統(tǒng)等日益觸及的安全工程領(lǐng)域。隨著系統(tǒng)復(fù)雜性的提高、軟件和機(jī)電設(shè)備的應(yīng)用，來自系統(tǒng)失效和隨機(jī)硬件失效的風(fēng)險(xiǎn)也日益增加，在汽車開發(fā)領(lǐng)域迫切需要先進(jìn)的開發(fā)流程和技術(shù)來保證汽車的使用安全。在這樣的背景下，ISO組織在2011年11月份正式頒布了和汽車相關(guān)的功能安全標(biāo)準(zhǔn)ISO 26262［1］。

功能安全早在2000年就已經(jīng)有了相關(guān)標(biāo)準(zhǔn)IEC 61508，它是國際電工委員會發(fā)布的《電氣／電子／可編程電子安全系統(tǒng)的功能安全》，IEC 61508是針對所有電氣／電子／可編程電子系統(tǒng)，沒有局限在某一個(gè)行業(yè)。后來，隨著各自行業(yè)的發(fā)展，慢慢地衍生出了很多行業(yè)相關(guān)的功能安全標(biāo)準(zhǔn)。比如，過程工業(yè)的IEC 61511、機(jī)械工業(yè)的IEC 62061、核電的IEC 61513等，而ISO 26262就是專注于汽車領(lǐng)域的功能安全標(biāo)準(zhǔn)［2］。

1　ISO 26262協(xié)議介紹

制定道路車輛功能安全標(biāo)準(zhǔn)的目的是使工程師或者用戶對安全相關(guān)功能有一個(gè)好的理解，并對出現(xiàn)的潛在風(fēng)險(xiǎn)進(jìn)行解釋，同時(shí)為避免這些風(fēng)險(xiǎn)提供了具有可行性的方法和流程。

采用ISO 26262能夠確保汽車零部件從最開始就是在高安全等級下生產(chǎn)。該標(biāo)準(zhǔn)能夠用于建立一個(gè)安全的管理體系，使得該體系滿足國際認(rèn)可的最佳實(shí)踐和風(fēng)險(xiǎn)管理的最新方式，從而提高供應(yīng)商或者主機(jī)廠的競爭優(yōu)勢。汽車生產(chǎn)商則應(yīng)將ISO 26262的符合性作為考核零部件和潛在電氣電子組件供應(yīng)商的標(biāo)準(zhǔn)。

ISO 26262是一個(gè)多部分組成的標(biāo)準(zhǔn)，為實(shí)現(xiàn)道路用車在電子電氣系統(tǒng)中的功能性安全定義出要求并提供指南。該標(biāo)準(zhǔn)被認(rèn)為是實(shí)現(xiàn)道路用車的功能性安全的最佳實(shí)踐框架。

道路車輛功能安全標(biāo)準(zhǔn)ISO 26262共分為10章，分別從功能安全管理、概念、系統(tǒng)級研發(fā)、軟硬件的研發(fā)、生產(chǎn)和操作等方面對產(chǎn)品的整個(gè)生命周期進(jìn)行了規(guī)范和要求，從而使得產(chǎn)品在各個(gè)生命周期都比較完善地考慮了其安全功能。如圖1所示。

2　車輛功能安全的開發(fā)流程

ISO 26262的開發(fā)流程首先是從項(xiàng)目定義開始的。項(xiàng)目定義就是對所研發(fā)項(xiàng)目的一個(gè)描述，其包括了項(xiàng)目的功能、接口、環(huán)境條件、法規(guī)要求、危險(xiǎn)等內(nèi)容，也包括項(xiàng)目的其他相關(guān)功能、系統(tǒng)和組件決定的接口、邊界條件等［3］。

2.1概念開發(fā)

根據(jù)項(xiàng)目是新產(chǎn)品研發(fā)或者既有產(chǎn)品更改決定后續(xù)的流程，稱之為安全生命周期初始化。如果是既有產(chǎn)品更改，就要對產(chǎn)品進(jìn)行影響分析，影響分析的結(jié)果決定整個(gè)生命周期中的哪些流程可以省略，不用考慮。

安全生命周期初始化之后，首先進(jìn)行危害分析和風(fēng)險(xiǎn)評估。一個(gè)項(xiàng)目的ASIL等級就是通過這個(gè)階段確定下來的。ASIL全稱是車輛安全完整性等級，標(biāo)準(zhǔn)中用A、B、C、D4個(gè)級別來規(guī)定項(xiàng)目或者單元所需的ISO 26262要求以及安全措施，來避免不合理的殘余風(fēng)險(xiǎn)，D代表最大嚴(yán)格度，A代表最小嚴(yán)格度［4］。一旦項(xiàng)目的ASIL等級確定下來，項(xiàng)目的后續(xù)所有開發(fā)流程及開發(fā)方法都要按照相應(yīng)的ASIL等級要求進(jìn)行開發(fā)，因此這個(gè)階段在功能安全開發(fā)的整個(gè)流程中至關(guān)重要。

危害分析和風(fēng)險(xiǎn)評估時(shí)，要充分考慮發(fā)生危害時(shí)汽車所在駕駛情景的暴露率、交通參與者對事故的可控性以及危害對交通參與者造成傷害的嚴(yán)重程度。通過這3個(gè)指標(biāo)確定項(xiàng)目的ASIL等級，同時(shí)為每一個(gè)風(fēng)險(xiǎn)設(shè)立安全目標(biāo)，并根據(jù)項(xiàng)目的ASIL等級給安全目標(biāo)確定合適的ASIL等級。

接下來的功能安全概念的環(huán)節(jié)要考慮系統(tǒng)的基本架構(gòu)，將由安全目標(biāo)得到的整體安全需求分配到項(xiàng)目的元素中去，同時(shí)具體和細(xì)化定位到每個(gè)項(xiàng)目元素中的功能安全要求。超出邊界條件的系統(tǒng)和其他技術(shù)可以作為功能安全概念的一部分來考慮。對其他技術(shù)的應(yīng)用和外部措施的要求不在ISO 26262考慮的范圍之內(nèi)［5］。

2.2系統(tǒng)級開發(fā)

有了具體的安全需求之后，接下來就是進(jìn)行系統(tǒng)級開發(fā)了?？梢詮陌踩枨蟮玫郊夹g(shù)安全要求規(guī)范，系統(tǒng)級開發(fā)的過程基于V模型的開發(fā)流程。

在V模型的左邊首先是“系統(tǒng)級產(chǎn)品開發(fā)的啟動(dòng)”，這個(gè)環(huán)節(jié)主要是依據(jù)實(shí)際情況更新項(xiàng)目計(jì)劃和安全計(jì)劃，還需要?jiǎng)?chuàng)建測試計(jì)劃、確認(rèn)計(jì)劃和評估計(jì)劃；接下來要明確技術(shù)安全需求規(guī)范，技術(shù)安全需求規(guī)范是從功能安全要求和系統(tǒng)或者單元的架構(gòu)設(shè)計(jì)中得到的，在這個(gè)規(guī)范里主要描述了識別和控制系統(tǒng)自身故障，以及其它系統(tǒng)故障的機(jī)制、安全狀態(tài)的達(dá)到或保持措施、警示和降級方案的措施等。有了技術(shù)安全需求規(guī)范之后，就進(jìn)入到了系統(tǒng)設(shè)計(jì)階段。系統(tǒng)設(shè)計(jì)階段主要完成這幾項(xiàng)工作：上述各項(xiàng)安全措施如何實(shí)現(xiàn)、進(jìn)一步細(xì)化系統(tǒng)架構(gòu)、借助安全分析的安全設(shè)計(jì)驗(yàn)證（FMEA，F(xiàn)TA）、明確硬件和軟件的接口規(guī)范等。系統(tǒng)設(shè)計(jì)之后就進(jìn)入到了具體的硬件設(shè)計(jì)和軟件設(shè)計(jì)階段。

系統(tǒng)級開發(fā)的V模型右邊的流程首先是項(xiàng)目集成和測試。這主要是測試所設(shè)計(jì)的安全功能是否滿足技術(shù)安全需求，每個(gè)安全需求都應(yīng)該被驗(yàn)證，并且要選用ASIL相關(guān)的測試方法［6］。項(xiàng)目在集成和測試之后，就要進(jìn)行安全確認(rèn)，安全確認(rèn)可以由公司內(nèi)部的研發(fā)工程師開展，主要是站在整車層面確認(rèn)系統(tǒng)設(shè)計(jì)是否能夠完全實(shí)現(xiàn)最初的安全目標(biāo)和安全需求。安全確認(rèn)之后是安全評估，安全評估一般是找第三方進(jìn)行，通過評估來確認(rèn)是否所有工作都正確、完整地開展了，并且安全等級是否達(dá)到了相應(yīng)ASIL的要求。安全評估完成之后，最后一個(gè)階段就是產(chǎn)品發(fā)布。在這一階段需要制定生產(chǎn)和操作計(jì)劃，以及對產(chǎn)品的生產(chǎn)、操作、服務(wù)和拆解的相關(guān)要求。通過這些相關(guān)的計(jì)劃和要求以及規(guī)章制度，保證產(chǎn)品在生產(chǎn)和使用環(huán)節(jié)滿足功能安全的要求。

2.3硬件開發(fā)

系統(tǒng)級開發(fā)之后，硬件級的產(chǎn)品開發(fā)也要符合V模型概念。V模型左邊的第1個(gè)環(huán)節(jié)是硬件級產(chǎn)品研發(fā)的啟動(dòng)。這個(gè)過程主要是計(jì)劃活動(dòng)，根據(jù)項(xiàng)目的大小和復(fù)雜程度，來計(jì)劃和確定這個(gè)階段的活動(dòng)和支持過程。然后確定硬件安全需求規(guī)范，軟、硬件安全需求規(guī)范都是由系統(tǒng)階段的技術(shù)安全需求規(guī)范拆分得到的。根據(jù)硬件安全需求規(guī)范，要進(jìn)行硬件設(shè)計(jì)，硬件設(shè)計(jì)包括硬件架構(gòu)設(shè)計(jì)和硬件詳細(xì)設(shè)計(jì)。

硬件架構(gòu)設(shè)計(jì)應(yīng)表示出所有硬件組件及彼此間的關(guān)聯(lián)，并且要實(shí)現(xiàn)規(guī)定的硬件安全需求。應(yīng)該清楚地描述出硬件安全需求和硬件組件之間的關(guān)系，可充分信賴的硬件組件可以考慮復(fù)用。在硬件架構(gòu)設(shè)計(jì)時(shí)，還應(yīng)考慮安全相關(guān)硬件組件失效的非功能因素。比如：振動(dòng)、水、塵、EMI等。硬件詳細(xì)設(shè)計(jì)是指在電氣原理圖級別上的設(shè)計(jì)，應(yīng)表示出硬件組件的零部件間的相互關(guān)聯(lián)。

接下來是計(jì)算硬件的量化指標(biāo)，在功能安全開發(fā)的過程中有3個(gè)指標(biāo)是可以量化的，分別是單點(diǎn)故障指標(biāo)、潛在故障指標(biāo)和隨機(jī)硬件失效率。前2個(gè)指標(biāo)表示的是所設(shè)計(jì)的安全功能的能力，也可以簡單理解為安全機(jī)制的優(yōu)劣，指標(biāo)越高，表示所設(shè)計(jì)的安全機(jī)制越好。最后一個(gè)指標(biāo)表示硬件的可靠性，這個(gè)指標(biāo)越高，可以簡單理解為安全機(jī)制越耐用。對于不同ASIL等級的產(chǎn)品，這3個(gè)指標(biāo)的要求是不同的，因此在這個(gè)階段需要計(jì)算一下量化指標(biāo)，看看是否滿足相應(yīng)的ASIL等級要求。

在硬件設(shè)計(jì)的最后階段就是進(jìn)行硬件集成與測試，主要測試設(shè)計(jì)的硬件是否能夠?qū)崿F(xiàn)預(yù)期的功能。

2.4軟件開發(fā)

在硬件級的產(chǎn)品開發(fā)的同時(shí)，軟件級的產(chǎn)品開發(fā)也應(yīng)符合V模型思想，軟件級產(chǎn)品與傳統(tǒng)開發(fā)流程相比，多了軟件安全需求規(guī)范和驗(yàn)證軟件安全需求2個(gè)環(huán)節(jié)。軟件安全需求規(guī)范也是從技術(shù)安全需求規(guī)范而來，至于驗(yàn)證軟件安全需求這個(gè)環(huán)節(jié)，ISO 26262規(guī)定了硬件在環(huán)、搭建電子控制器網(wǎng)絡(luò)環(huán)境和實(shí)車測試等嚴(yán)格的測試環(huán)境的要求。除此之外，對于軟件架構(gòu)設(shè)計(jì)、軟件單元設(shè)計(jì)和實(shí)現(xiàn)、軟件單元測試、軟件集成和測試這4個(gè)環(huán)節(jié)，ISO 26262也規(guī)定必須要根據(jù)具體的ASIL等級選用不同的設(shè)計(jì)和測試方法。

3　總結(jié)

道路車輛功能安全標(biāo)準(zhǔn)ISO 26262就是通過上述的這些流程階段，以及每個(gè)階段所必須考慮的措施、方法和具體技術(shù)的要求，將各個(gè)階段的要求和如何滿足要求的措施都進(jìn)行逐一落實(shí)，通過流程和技術(shù)兩方面的共同約束才可以設(shè)計(jì)、制造出滿足功能安全要求的安全產(chǎn)品。

［1］劉佳熙，郭輝，李君.汽車電子電氣系統(tǒng)的功能安全標(biāo)準(zhǔn)ISO 26262［J］.上海汽車，2011（10）：57-61.

［2］袁蘭秀.汽車電子電氣系統(tǒng)功能安全標(biāo)準(zhǔn)ISO26262的幾點(diǎn)探討［J］.科技資訊，2013（8）：245-245.

［3］尚世亮，王雷雷，趙向東.基于ISO 26262的車輛電子電氣系統(tǒng)故障注入測試方法［J］.汽車技術(shù)，2015（12）：49-51，58.

［4］張東.EPS控制器的可靠性優(yōu)化及其基于ISO 26262的正向開發(fā)［D］.吉林大學(xué)，2015.

［5］還宏生.汽車設(shè)計(jì)中的安全要求及ISO 26262標(biāo)準(zhǔn)［J］.汽車零部件，2012（10）：41-43.

［6］王丹，周曉翠，雍建軍.CMMI及ISO 26262標(biāo)準(zhǔn)在汽車電子軟件開發(fā)中的部署［J］.電子技術(shù)與軟件工程，2015（21）：72-74.

（編輯楊景）

Understanding of Vehicles Functional Safety Development Process Based on ISO 26262

JI Hong-yan，CUI Shu-chao，SUN Can，ZHANG Jin-ming
（BAIC Motor Technology Centre，Beijing 101300，China）

ISO26262 is making for improving functional safety of the electronic components in the automotive field.The interpretation of the ISO26262 helps people better understand safety related functions，and provides methods and process to avoid the potential risks.ISO26262 provides a life cycle concept for automobile safety，which includes necessary technical and managerial support for management，development，production，operation and maintenance.

ISO 26262；functional safety；risk assessment；electrical structure

U472.7

A

1003-8639（2016）07-0057-03

2016-03-15

紀(jì)宏巖（1982-），男，黑龍江鐵力人，碩士，工程師，從事汽車電器開發(fā)工作；崔書超（1988-），男，河南平頂山人，碩士，工程師，從事汽車網(wǎng)絡(luò)開發(fā)工作。