辛強(qiáng)，朱衛(wèi)兵，胡璟

(1.中國(guó)汽車零部件工業(yè)有限公司，北京 100083 ；2.上汽通用五菱汽車股份有限公司質(zhì)量部，廣西柳州 545007)

0 引言

隨著電子電器部件的集成度要求越來(lái)越高，面臨的安全問(wèn)題也越來(lái)越嚴(yán)重，如豐田汽車于2010年召回了幾百萬(wàn)車輛，主要就是由于汽車電子油門踏板引起的故障。功能安全是指避免由系統(tǒng)功能性故障導(dǎo)致的不可接受的風(fēng)險(xiǎn)，在本質(zhì)安全無(wú)法達(dá)到時(shí)，盡可能增加安全機(jī)制。從而提高安全等級(jí)，保障生命安全。

目前電子電器產(chǎn)品集成度的增加以及產(chǎn)品上市時(shí)間的緊迫性的雙重壓力，由此引發(fā)的故障也越來(lái)越多，主流車企，無(wú)論歐美系或日韓系，都在認(rèn)真地研究功能安全并指導(dǎo)自身產(chǎn)品的開(kāi)發(fā)，而忽視功能安全的企業(yè)在現(xiàn)代信息傳播快速的年代中，將很可能快速喪失技術(shù)優(yōu)勢(shì)和號(hào)召力，最終導(dǎo)致市場(chǎng)份額的大幅下滑。因此對(duì)汽車電子電器進(jìn)行設(shè)計(jì)時(shí)，其構(gòu)建軟硬件系統(tǒng)就需要考慮在正常條件及存在故障條件下，控制設(shè)備、車輛系統(tǒng)的安全功能必須都能夠保證，而功能安全就是在車輛本質(zhì)安全無(wú)法達(dá)到時(shí)，考慮到各種危險(xiǎn)因素，增加安全機(jī)制從而提高車輛的安全等級(jí)，這在電子產(chǎn)品開(kāi)發(fā)中有著非常重要的作用。

1 功能安全的概念及產(chǎn)生

ISO 26262是從電氣、電子及可編程電子安全相關(guān)系統(tǒng)的功能安全基本標(biāo)準(zhǔn) IEC 61508 派生出來(lái)的，功能安全主要關(guān)注的是車輛發(fā)生系統(tǒng)故障的情況，而不是車輛的原有功能或性能。以電子油門的管理系統(tǒng)為例，主要由感知、決策、執(zhí)行三部分構(gòu)成，其中加速踏板位置傳感器信號(hào)是發(fā)動(dòng)機(jī)輸出轉(zhuǎn)矩主要決定因素。若位置傳感器發(fā)生故障，感知不準(zhǔn)確，將使其與實(shí)際位置發(fā)生偏離，則可能導(dǎo)致發(fā)動(dòng)機(jī)輸出轉(zhuǎn)矩過(guò)大，造成車輛出現(xiàn)突然加速，引發(fā)交通事故，如近期比較熱議的電動(dòng)車高速撞車事件，這就是制動(dòng)管理系統(tǒng)的一個(gè)功能安全風(fēng)險(xiǎn)。因此，要從設(shè)計(jì)上采取措施，就要考慮到加速踏板傳感器故障發(fā)生時(shí)發(fā)動(dòng)機(jī)/電機(jī)轉(zhuǎn)矩仍然可控，這樣才能提高動(dòng)力系統(tǒng)管理系統(tǒng)的安全性。

由于整車企業(yè)是直接面對(duì)消費(fèi)者，所以整車廠(OEM)需要對(duì)產(chǎn)品的安全性負(fù)責(zé)，OEM可以要求零部件廠提供符合功能安全的產(chǎn)品，這樣可以減少主機(jī)廠的很多工作。OEM通過(guò)和供應(yīng)商簽訂開(kāi)發(fā)接口協(xié)議(DIA)，明確雙方責(zé)任，通過(guò)DIA協(xié)議，供應(yīng)商需要承擔(dān)功能安全的責(zé)任。但在新的環(huán)境下，建立功能安全架構(gòu)是雙方的責(zé)任，如OEM在概念設(shè)計(jì)階段就要對(duì)相關(guān)車輛部件的安全等級(jí)進(jìn)行明確，然后開(kāi)展系統(tǒng)開(kāi)發(fā)，零部件供應(yīng)商在前期就要介入相關(guān)軟硬件的產(chǎn)品開(kāi)發(fā)，并保證合規(guī)性，直至整車合規(guī)。

2 汽車電子電器部件安全性的開(kāi)發(fā)流程

傳統(tǒng)車輛的質(zhì)量控制體系主要以ISO9001、TS16949、采購(gòu)技術(shù)參數(shù)以及版本控制為主，但是隨著新能源汽車技術(shù)的發(fā)展，特別是軟件定義汽車的年代，面臨越來(lái)越多的新的問(wèn)題，因此需要引入功能安全對(duì)電子電器的軟硬件進(jìn)行產(chǎn)品質(zhì)量過(guò)程的控制，其中包括風(fēng)險(xiǎn)分析、ASIL等級(jí)分級(jí)、安全概念、可溯源性等等。

ISO 26262標(biāo)準(zhǔn)針對(duì)汽車的電子電器系統(tǒng)，通過(guò)增加安全機(jī)制使系統(tǒng)達(dá)到可接受的安全程度。主要構(gòu)成包括3個(gè)部分：(1)功能安全的管理,建立每個(gè)過(guò)程的安全開(kāi)發(fā);(2)安全產(chǎn)品的相關(guān)開(kāi)發(fā)，包括概念開(kāi)發(fā)、系統(tǒng)開(kāi)發(fā)和實(shí)際開(kāi)發(fā);(3)生產(chǎn)和運(yùn)維，從整個(gè)生命周期對(duì)產(chǎn)品的安全性提出要求。ISO 26262標(biāo)準(zhǔn)對(duì)于功能安全的制定采用了汽車軟件工程中常用的擴(kuò)展V模型,如圖1所示。

圖1 基于ISO 26262 V模型開(kāi)發(fā)過(guò)程

由圖可知，其開(kāi)發(fā)過(guò)程如下：(1)概念階段是擴(kuò)展模型V的翅膀，與安全相關(guān)的項(xiàng)目是由它來(lái)定義的，為后續(xù)執(zhí)行工作提供對(duì)該項(xiàng)目的全面了解。(2)V模型的左半部分是由系統(tǒng)級(jí)的產(chǎn)品安全工程需求定義、系統(tǒng)設(shè)計(jì)、硬件級(jí)產(chǎn)品安全功能需求定義、硬件設(shè)計(jì)、軟件級(jí)的產(chǎn)品功能安全需求定義、軟件設(shè)計(jì)開(kāi)發(fā)所構(gòu)成。(3)V模型的右半部分主要關(guān)注于前部分涉及的各個(gè)過(guò)程的驗(yàn)證和確認(rèn)。

3 汽車功能安全等級(jí)評(píng)估

在對(duì)ISO 26262標(biāo)準(zhǔn)中的系統(tǒng)進(jìn)行功能安全設(shè)計(jì)時(shí)，前期非常重要的一個(gè)步驟是對(duì)系統(tǒng)進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估，從而識(shí)別出系統(tǒng)的危害，并根據(jù)相關(guān)危害情況對(duì)危害的風(fēng)險(xiǎn)等級(jí)——汽車安全完整性等級(jí)(Automotive Safety Integration Level，ASIL)進(jìn)行評(píng)估。風(fēng)險(xiǎn)分析的流程，主要包括場(chǎng)景分析，在不同駕駛環(huán)境下識(shí)別風(fēng)險(xiǎn)，可以用的工具包括FMEA、FTA等;然后根據(jù)風(fēng)險(xiǎn)參數(shù)進(jìn)行危害度分析，從而確定ASIL，明確要達(dá)到的安全目標(biāo);最后復(fù)審，驗(yàn)證分類的正確性和一致性[2]。

ISO 26262標(biāo)準(zhǔn)規(guī)定，ASIL有A、B、C、D 4個(gè)等級(jí)，其中A是最低等級(jí)，D是最高等級(jí)。ASIL等級(jí)決定了對(duì)系統(tǒng)安全性的要求，ASIL等級(jí)越高，對(duì)系統(tǒng)的安全性要求越高，也意味著為實(shí)現(xiàn)安全付出的代價(jià)越高，相關(guān)的硬件診斷覆蓋率越高，所對(duì)應(yīng)的開(kāi)發(fā)成本增加，開(kāi)發(fā)周期延長(zhǎng)，技術(shù)要求也更高[1]。

進(jìn)行功能安全設(shè)計(jì)時(shí)，針對(duì)每種危害確定至少一個(gè)安全目標(biāo)，安全目標(biāo)是系統(tǒng)的最高級(jí)別的安全需求，由安全目標(biāo)導(dǎo)出系統(tǒng)級(jí)別的安全需求，再將安全需求分配到硬件和軟件。安全等級(jí)的評(píng)判由3個(gè)因素決定：傷害嚴(yán)重程度，發(fā)生概率和可控程度，其等級(jí)劃分標(biāo)準(zhǔn)見(jiàn)表1。

表1 安全等級(jí)的評(píng)判標(biāo)準(zhǔn)

下面將通過(guò)一個(gè)例子說(shuō)明一下安全等級(jí)的標(biāo)準(zhǔn)劃分。如發(fā)生故障為智能汽車正常行駛時(shí)突然自動(dòng)轉(zhuǎn)向，其傷害程度方面，可能會(huì)造成汽車失控，并關(guān)系到生命安全，其傷害等級(jí)應(yīng)該為3級(jí);發(fā)生概率方面，無(wú)論在高速、快速道路、城市道路都可能發(fā)生，取值為4級(jí);可控程度方面，由于行駛中突然發(fā)生，容易失控，取值為3，因此該功能的安全等級(jí)應(yīng)該定義為最高級(jí)D級(jí)。

4 功能安全的設(shè)計(jì)流程

基于ISO 26262標(biāo)準(zhǔn)，設(shè)計(jì)了一個(gè)新的功能安全方案，其流程為:

(1)進(jìn)行危險(xiǎn)分析和風(fēng)險(xiǎn)估計(jì)，評(píng)出此需求的ASIL評(píng)級(jí)并建立安全目標(biāo)。比如轉(zhuǎn)向助力那個(gè)例子中，“助力方向一致”這個(gè)需求一定是ASIL D級(jí)，故障后會(huì)有相當(dāng)大的安全風(fēng)險(xiǎn)。其安全目標(biāo)就是把故障風(fēng)險(xiǎn)降低至可容忍風(fēng)險(xiǎn)以下。

(2)將安全目標(biāo)進(jìn)一步分解為功能安全概念和技術(shù)安全概念。如，要怎樣降低“助力方向一致”故障的風(fēng)險(xiǎn)呢？一個(gè)可行的辦法是進(jìn)行冗余計(jì)算：用兩套不同的算法計(jì)算助力方向，保證結(jié)果的正確性?；蛘撸阎﹄姍C(jī)的力矩限制在一個(gè)較小的值也是個(gè)好辦法，因?yàn)檫@樣一來(lái)即便助力方向錯(cuò)誤，由于助力有限，駕駛員還是可以控制汽車[3]。

(3)形成軟件安全需求和硬件安全需求，這些安全需求，可以作為軟/硬件設(shè)計(jì)的依據(jù)，同時(shí)也繼承了相同的ASIL等級(jí)。

(4)根據(jù)得到的安全需求，并結(jié)合其ASIL 等級(jí)制定測(cè)試與驗(yàn)證方案。對(duì)于不同等級(jí)的安全需求，ISO 26262對(duì)測(cè)試方案有著硬性的要求。比如ASIL D級(jí)需求除了進(jìn)行MISRA、PolySpace等測(cè)試外，還要進(jìn)行完備的功能測(cè)試和覆蓋率100%的MCDC測(cè)試[4]。

5 結(jié)束語(yǔ)

文中針對(duì)汽車電子電器部件，主要依據(jù)功能安全規(guī)范ISO 26262，提出其基于V模型的功能安全設(shè)計(jì)，最主要的目的是讓國(guó)內(nèi)相關(guān)企業(yè)能夠?qū)δ馨踩O(shè)計(jì)有所了解。由于ISO 26262標(biāo)準(zhǔn)對(duì)相關(guān)的硬件、軟件以及質(zhì)量管理人員等工作提出了新的系統(tǒng)化和規(guī)范化的設(shè)計(jì)要求，不同專業(yè)的技術(shù)團(tuán)隊(duì)需要協(xié)調(diào)一致才能保證整體的可靠性。意味著研發(fā)團(tuán)隊(duì)需要經(jīng)過(guò)對(duì)該標(biāo)準(zhǔn)的培訓(xùn)，才能保證標(biāo)準(zhǔn)符合度，并在此基礎(chǔ)之上，通過(guò)系統(tǒng)化的功能安全管理方法，才能保證在開(kāi)發(fā)過(guò)程中更好符合系統(tǒng)安全的要求。