高 捷， 宋錦剛

（江蘇財(cái)經(jīng)職業(yè)技術(shù)學(xué)院， 江蘇 淮安 223003）

隨著智能網(wǎng)聯(lián)汽車的快速發(fā)展，其電子電氣系統(tǒng)將變得愈加復(fù)雜，與此同時(shí)，對(duì)其各種功能的安全性要求也日益提高。因此，國(guó)際標(biāo)準(zhǔn)組織在IEC61508標(biāo)準(zhǔn)的基礎(chǔ)上制定并頒布了功能安全國(guó)際標(biāo)準(zhǔn)ISO 26262《Road vehicles-Functional safety》。該標(biāo)準(zhǔn)針對(duì)于汽車中安全相關(guān)電子電氣系統(tǒng)，它定義了汽車電子電氣系統(tǒng)產(chǎn)品功能安全開發(fā)的過程和方法論，旨在有效保障愈加復(fù)雜的汽車電子電氣系統(tǒng)下的高度安全性。為此，本文首先建立基于ISO 26262的智能網(wǎng)聯(lián)汽車網(wǎng)關(guān)系統(tǒng)功能安全的開發(fā)流程，然后闡述了基于危害分析與風(fēng)險(xiǎn)評(píng)估的功能失效危害及風(fēng)險(xiǎn)評(píng)估方法，通過該方法進(jìn)一步確定了智能網(wǎng)聯(lián)汽車網(wǎng)關(guān)系統(tǒng)的功能安全目標(biāo)，并在此基礎(chǔ)上展開了網(wǎng)關(guān)系統(tǒng)的功能安全概念設(shè)計(jì)，最后給出了網(wǎng)關(guān)系統(tǒng)的設(shè)計(jì)方案。

1 智能網(wǎng)聯(lián)汽車網(wǎng)關(guān)系統(tǒng)功能安全開發(fā)流程的建立

建立符合ISO 26262功能安全標(biāo)準(zhǔn)要求的過程體系是開展汽車電子電氣系統(tǒng)功能安全開發(fā)的首要條件。該標(biāo)準(zhǔn)制定了汽車在整個(gè)生命周期中與安全相關(guān)的各項(xiàng)活動(dòng)。它涵蓋了在整個(gè)安全生命周期中，從需求定義到概念設(shè)計(jì)，再到產(chǎn)品開發(fā)，包括系統(tǒng)層面開發(fā)、硬件開發(fā)、軟件開發(fā)，一直到最終的生產(chǎn)和運(yùn)營(yíng)的所有階段，保證了即使車輛中與安全相關(guān)的電子系統(tǒng)發(fā)生功能性失效時(shí)的系統(tǒng)安全性。

實(shí)施ISO 26262功能安全標(biāo)準(zhǔn)的最有效方式是將該標(biāo)準(zhǔn)所提出的開發(fā)流程和方法與汽車企業(yè)已經(jīng)建立的產(chǎn)品開發(fā)流程相融合，將安全生命周期管理融入到整個(gè)產(chǎn)品的生命周期當(dāng)中，把該標(biāo)準(zhǔn)所要求的重要工作產(chǎn)品加入到汽車產(chǎn)品開發(fā)的交付物清單中，這樣能夠保證功能安全活動(dòng)得到有效執(zhí)行?；谏鲜鲈瓌t并結(jié)合汽車企業(yè)實(shí)際情況，建立的智能網(wǎng)聯(lián)汽車網(wǎng)關(guān)系統(tǒng)功能安全的開發(fā)流程，如圖1所示。

圖1 功能安全開發(fā)流程

2 智能網(wǎng)聯(lián)汽車網(wǎng)關(guān)系統(tǒng)的危害分析與風(fēng)險(xiǎn)評(píng)估

ISO 26262標(biāo)準(zhǔn)中提出并定義了一種功能失效的危害分析與風(fēng)險(xiǎn)評(píng)估方法 （Hazard Analysis & Risk Assessment，HARA），該方法得到了廣泛的應(yīng)用，通過該方法首先對(duì)汽車電子電氣系統(tǒng)的功能安全風(fēng)險(xiǎn)進(jìn)行評(píng)估分析，并在此基礎(chǔ)上通過對(duì)危害事件的嚴(yán)重度S （Severity）、暴露率E （Exposure）和可控性C （Controllability）這3個(gè)因子進(jìn)行識(shí)別和分類，最終確定各功能安全風(fēng)險(xiǎn)項(xiàng)的汽車安全完整性等級(jí)（Automotive Safety Integration Level，ASIL），如表1所示。

表1 嚴(yán)重度S、 暴露率E、 可控性C的等級(jí)分類

其中，嚴(yán)重度S是指在可能發(fā)生潛在危害場(chǎng)景中對(duì)一個(gè)或者多個(gè)人員的傷害嚴(yán)重程度的預(yù)估；暴露率E是人員處于某種運(yùn)行場(chǎng)景下，如果發(fā)生所分析的失效模式導(dǎo)致危害的概率；可控性C是指通過所涉及人員 （駕駛員，乘客或者車輛外部的鄰近人員）的及時(shí)反應(yīng)，避免特定的傷害或者損傷的能力。最后該評(píng)估方法依據(jù)風(fēng)險(xiǎn)級(jí)別矩陣表確定汽車安全完整性等級(jí)（ASIL）。如表2所示，ASIL等級(jí)由A—D，等級(jí)越高表示危害事件的風(fēng)險(xiǎn)性越高。

表2 風(fēng)險(xiǎn)等級(jí)判定依據(jù)

其中，A、B、C、D 分別代表ISO 26262標(biāo)準(zhǔn)中的功能安全等級(jí)ASIL A、ASIL B、ASIL C、ASIL D。QM （Quality Management）代表質(zhì)量管理，表示在產(chǎn)品開發(fā)中，只要按照質(zhì)量管理體系的要求進(jìn)行系統(tǒng)或產(chǎn)品功能開發(fā)就能夠滿足要求，不需要增加額外的安全相關(guān)設(shè)計(jì)。

安全目標(biāo) （Safety Goal，SG）本質(zhì)上是汽車電子電氣系統(tǒng)最高層面 （整車層）的安全需求，它是基于危害分析和風(fēng)險(xiǎn)評(píng)估得到的。ISO26262標(biāo)準(zhǔn)要求為每一個(gè)危害事件確定一個(gè)安全目標(biāo)，并繼承危害事件的汽車安全完整性ASIL等級(jí)。安全目標(biāo)應(yīng)該表述為功能性需求。通過以上危害分析與風(fēng)險(xiǎn)評(píng)估，能夠?qū)С鼍W(wǎng)關(guān)系統(tǒng)的危害事件相應(yīng)的安全目標(biāo)，并最終確定網(wǎng)關(guān)系統(tǒng)的功能安全目標(biāo)，如表3所示。

表3 功能安全目標(biāo)

3 智能網(wǎng)聯(lián)汽車網(wǎng)關(guān)系統(tǒng)功能安全概念設(shè)計(jì)

在進(jìn)行系統(tǒng)開發(fā)時(shí)，功能安全開發(fā)的概念設(shè)計(jì)階段需要確定系統(tǒng)功能安全需求 （Functional Safety Requirements，F(xiàn)SR），并最終在系統(tǒng)設(shè)計(jì)中實(shí)現(xiàn)。對(duì)于上一階段所確定的每一個(gè)功能安全目標(biāo)，既可以對(duì)應(yīng)于一個(gè)功能安全需求，也可以對(duì)應(yīng)于多個(gè)功能安全需求。系統(tǒng)開發(fā)時(shí)應(yīng)根據(jù)項(xiàng)目特點(diǎn)選擇合適的技術(shù)方案。本設(shè)計(jì)所確定的網(wǎng)關(guān)功能安全概念主要指標(biāo)如表4所示。

表4 功能安全需求

其中，F(xiàn)SR01、FSR02、FSR05、FSR06對(duì)應(yīng)于功能安全目標(biāo)SG_01；FSR03，F(xiàn)SR07，F(xiàn)SR09對(duì)應(yīng)于功能安全目標(biāo)SG_02；FSR04、FSR08對(duì)應(yīng)于功能安全目標(biāo)SG_03；FSR10對(duì)應(yīng)于功能安全目標(biāo)SG_04。

4 智能網(wǎng)聯(lián)汽車網(wǎng)關(guān)系統(tǒng)的設(shè)計(jì)

4.1 智能網(wǎng)聯(lián)汽車網(wǎng)關(guān)系統(tǒng)的功能定義

在智能網(wǎng)聯(lián)汽車中，網(wǎng)關(guān)系統(tǒng)是車內(nèi)網(wǎng)絡(luò)的數(shù)據(jù)交互中樞，它可以在汽車的各功能域 （動(dòng)力系統(tǒng)域、底盤系統(tǒng)域、車身域、信息娛樂域、智能駕駛域等）之間以及不同類型網(wǎng)絡(luò)之間安全可靠地交互和處理各種類型數(shù)據(jù)；網(wǎng)關(guān)系統(tǒng)同時(shí)也是連接不同類型網(wǎng)絡(luò)的接口裝置，綜合了路由器和交換機(jī)的功能。在智能網(wǎng)聯(lián)汽車中，網(wǎng)關(guān)系統(tǒng)的主要功能定義如表5所示。

表5 網(wǎng)關(guān)系統(tǒng)功能定義

4.2 智能網(wǎng)聯(lián)汽車網(wǎng)關(guān)系統(tǒng)功能架構(gòu)

網(wǎng)關(guān)系統(tǒng)主要包括MCU芯片、電源管理模塊、看門狗模塊、Flash數(shù)據(jù)存儲(chǔ)單元、CAN/CAN FD接口模塊、Ethernet以太網(wǎng)接口模塊等幾部分，其功能架構(gòu)如圖2所示。

圖2 網(wǎng)關(guān)系統(tǒng)功能框架

MCU是整個(gè)網(wǎng)關(guān)系統(tǒng)的運(yùn)算中心和控制核心，為了保證整個(gè)網(wǎng)關(guān)系統(tǒng)能夠達(dá)到功能安全ASILD的要求，MCU需要采用滿足功能安全ASILD的微處理器芯片。同時(shí)，針對(duì)系統(tǒng)的軟件功能需求，按照滿足功能安全的目標(biāo)的要求，對(duì)各軟件功能模塊進(jìn)行分區(qū)，將網(wǎng)絡(luò)通信、網(wǎng)絡(luò)路由、網(wǎng)絡(luò)管理等功能模塊劃分到功能安全ASILD的功能分區(qū)，將數(shù)據(jù)管理、文件管理等功能模塊劃分到功能安全ASIL B的功能分區(qū)。最終確保整個(gè)網(wǎng)關(guān)系統(tǒng)能夠滿足功能安全ASILD的系統(tǒng)設(shè)計(jì)目標(biāo)。

電源管理模塊主要負(fù)責(zé)將車輛的電源合理地分配給網(wǎng)關(guān)系統(tǒng)內(nèi)部的各工作模塊，同時(shí)它還對(duì)各模塊的電源功耗，工作狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控；看門狗模塊實(shí)時(shí)對(duì)MCU的程序運(yùn)行狀態(tài)進(jìn)行監(jiān)控，保證MCU能夠正常運(yùn)行；Flash數(shù)據(jù)存儲(chǔ)單元用于保存網(wǎng)關(guān)系統(tǒng)在運(yùn)行時(shí)所需要的各種數(shù)據(jù)和程序文件。CAN/CAN FD接口模塊主要由多路CAN/CAN FD收發(fā)器芯片及其外圍電路組成，它與CAN控制器 （通常集成于MCU內(nèi)部）相連接，是網(wǎng)關(guān)系統(tǒng)的CAN/CAN FD數(shù)據(jù)的收發(fā)通道。Ethernet以太網(wǎng)接口模塊主要由以太網(wǎng)交換機(jī)芯片和多路以太網(wǎng)PHY芯片組成，它是板載的以太網(wǎng)交換機(jī)，能夠支持100Base-T1和100Base-TX以太網(wǎng)標(biāo)準(zhǔn)，是網(wǎng)關(guān)系統(tǒng)的Ethernet以太網(wǎng)數(shù)據(jù)收發(fā)通道。

5 結(jié)語

本文系統(tǒng)地介紹了在智能網(wǎng)聯(lián)汽車中網(wǎng)關(guān)系統(tǒng)功能安全的設(shè)計(jì)流程和方法，并利用該設(shè)計(jì)流程和方法，在網(wǎng)關(guān)系統(tǒng)的設(shè)計(jì)開發(fā)過程中系統(tǒng)地展開功能安全開發(fā)。按照設(shè)計(jì)流程的要求對(duì)網(wǎng)關(guān)系統(tǒng)進(jìn)行危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估，進(jìn)一步得出網(wǎng)關(guān)系統(tǒng)的功能安全目標(biāo)。在此基礎(chǔ)上針對(duì)該功能安全目標(biāo)展開了網(wǎng)關(guān)系統(tǒng)的功能安全設(shè)計(jì)和系統(tǒng)設(shè)計(jì)，并最終保證該網(wǎng)關(guān)系統(tǒng)的設(shè)計(jì)能夠達(dá)到ISO 26262功能安全標(biāo)準(zhǔn)的要求。