如何实施汽车功能安全

作者：朱赤， Peter Grabs，徐蔚文章来源：Intedis电子电气工程技术有限公司发布时间：2012-12-06

分享到

【摘要】汽车功能安全是汽车电子电气架构开发中必不可少的一部分。随着ISO26262的发布，这项工作已成为行业热点，并进入了高速发展的阶段。本文将就功能安全在汽车工业的背景、现状，以及在中国本土汽车工业的发展方向进行深刻探讨。

引言

在开发整车电子电气架构的过程中，需要考虑车型架构的多方面约束条件。这些约束条件可能包括沿用件的约束、架构功能约束、物理空间约束以及成本价格约束等。在以上种种约束条件下，成功的实现复杂的功能、逻辑以及网络，这本身就是一大挑战，而功能安全的要求又将该挑战难度提高了一个台阶。

本文旨在描述如何在电子电气架构开发过程中，根据中国本土的现状，切实有效地开展汽车功能安全工作。

1汽车功能安全简介

近年来，功能安全是全球汽车行业的一大热点。自从ISO26262于2011年正式发布之后，该工作也进入了高速发展的阶段。全球各大车企开始将功能安全作为汽车设计、开发、试验、生产、售后乃至整个汽车生命周期中非常重要或者必不可少的一部分。

功能安全的特征是，该工作覆盖产品开发的所有阶段，从需求规划、设计、实施、集成、验证与确认，直到产品发布。

功能安全的目的是，通过严格的设计、开发、管理流程以及设计、开发、测试、验证要求，来保证系统的安全可靠性，从而保证道路车辆、乘客以及路人的安全。

功能安全的影响是，通过一系列的安全流程与安全要求，明确定义车企与供应商之间的安全责任分配，将车企与供应商的安全责任都保持在合理范围内。

功能安全的实施依据分别有基础标准IEC61508、道路车辆功能安全领域专用标准ISO26262以及当地的法律法规。其中，最主要的依据是ISO26262标准，也是本文讨论的重点。

2汽车功能安全的重要性

功能安全之所以成为全球热点，有两大因素：一是安全责任、二是设计开发的需求。

安全责任是汽车行业的主要问题。一旦发生安全事故或者召回事件，将会对企业造成直接的经济损失、以及品牌形象受损带来的间接的经济损失。安全隐患对企业的影响，从2009年著名的丰田召回事件中可见一斑。除了以上的直接与间接的经济损失，由于各地的法律法规的强制规定，安全事故也会为项目负责人以及整个企业带来法律责罚。例如NHTSA(美国高速公路安全管理局)就规定，不符合TREAD ACT(美国汽车安全法规)的要求所造成的惩罚，除了车企所要负担的15万美元罚款之外，管理者个人的罚款将高达50万美元，另外还可能有入狱15年的刑罚，同时还可能造成品牌出口遭禁。

设计开发需求是指，汽车电子电气功能数量越来越多，功能与功能直接的交互越来越多、依赖性越来越高，导致了功能的高度复杂。这样的功能复杂性，对功能安全的要求也相应提高。而传统的测试与验证，只能显示错误的存在，不能查找错误的缺失。而且测试的关键问题是将系统在实际使用环境下运行，而测试时模仿的环境，是否能够达到实际的极限条件，这是不能100%保证的，因此许多失效是由未预见的输入、环境条件所引起的。同时，对硬件而言失效一般有预警，而软件失效是毫无预警的。所以，在设计开发过程中面临着双重挑战：功能复杂性、失效验证。

为了明确安全责任、应对功能复杂性与失效验证的挑战，需要建立一整套针对功能安全的流程、方法与要求的实施与管理体系，在汽车整个生命周期中提供功能安全的保障。

3 ISO 26262标准简介

在ISO26262标准发布之前，只有电子、电气及可编程器件功能安全基本标准IEC61508来指导功能安全的工作。但是近年来功能数量与功能复杂性的大幅增加，促成了ISO26262标准的起草与发布。该标准从IEC61508派生出来，是适用于汽车电子电气系统的功能安全标准。ISO26262于2011年11月正式颁布，标准主要适用于安装在最大毛重不超过3.5吨的乘用车上的一个或多个E/E(电子电气)系统的安全相关系统，定义了在整个的生命周期所有与安全相关的汽车电子电气系统的功能安全的措施和方法，其目的是解决由电子电气系统的故障行为导致的危险行为。

ISO26262标准(英文原版)包含9个规范和10个实用指南章节，在390多页中详细定义了共计几百项要求，其中包括组织结构、安全管理、产品概念阶段、产品开发阶段、直至SOP阶段。ISO26262标准的核心价值在于，它可以通过系统的功能安全研发管理流程，以及针对汽车电子控制系统硬件和软件的系统化验证和确认方法，保证电子系统的功能在面对各种严酷条件时不失效，从而保证驾乘人员以及路人的安全。

4如何依据ISO26262实施汽车功能安全

ISO26262标准发布之后，整车企业共同面对的问题是如何根据该表中定义的要求来建立相应的知识技能与开发流程。该流程的建立过程要谨防方向性的失误,需要结合公司自身现有流程的实际情况，要以实际可操作为目标。比如，有的整车企业不开发安全相关的零部件的软件，那么就要对该车企的现有流程详细分析，做到与ISO26262的相关要求相匹配。

根据ISO26262标准建立的开发流程，对开发过程中必须的安全行为具有指导意义。整车企业需要对以下部分定义安全要求：第3部分“概念阶段”、第4部分“系统层产品开发”中的4-8至4-11、第7部分“生产与操作”。而供应商行为则包括：第4部分“系统层产品开发”、第5部分“硬件层产品开发”、第6部分“软件层产品开发”。而双方之间的责任担当与分配，则需要整车企业与供应商在DIA(开发接口协议)中共同定义。

图1：ISO26262中的流程图

如图1所示，ISO26262标准对汽车开发流程相应的功能安全行为已有了详细定义。该流程的意义在于，在整个汽车生命周期中，在流程、方法、技术要求等方面保证开发车辆的安全性，同时预防安全方面的“过分设计”，并从而减少“过分设计”带来的开发成本、ECU(电控单元)价格成本、甚至线束系统价格成本的浪费。

4.1 概念阶段

首先，在第3部分“概念阶段”，以整车架构为出发点，需要进行以下工作：

定义架构中安全相关的功能清单与约束条件

定义安全行为计划

定义相关功能的安全等级

针对安全等级，定义功能安全概念

将相关的功能安全要求封装至各个相应ECU

该阶段的工作，需要系统地定义车辆操作、运行过程所有可能发生的危害风险，以及相应的应对措施。要将标准中定义的流程、要求与整车企业自身的流程和组织结构有机结合起来，需要对标准本身有透彻的理解。

这一阶段的安全等级定义与安全概念描述，是预防安全方面“过分设计”的第一步，也是设计最佳架构的关键一步，因为它将风险管理与价格控制这两个对立面巧妙的结合了起来。

该阶段的功能安全分析是电子电气架构开发的一部分，也是ISO26262中唯一与电子电气架构开发相关的一部分。此后的产品开发、生产与操作均不属于电子电气架构开发的范畴。

4.2 “系统层产品开发”

在第3部分“概念阶段”中生成的功能安全概念是ECU开发过程中的安全行为输入。但因为ECU的开发一般并不是整车企业自己完成，而是由供应商完成，因此由双方共同定义DIA(开发接口协议)是至关重要的一步。

在双方共同完成DIA定义的基础上，第4部分“系统层产品开发”阶段，子阶段4-5至4-7是供应商行为，而右侧(见图1)的4-8至4-11为测试、验证、评估与发布，属于整车企业的职责范围。其中包含的工作有：

定义测试计划

审查安全测试规范

量化安全分析

验证危害及风险分析中的假设前提

编写安全情况说明、准备安全评估

4.3 “生产与操作”

第7部分“生产与操作”阶段由整车企业负责，定义操作与服务(用户手册、诊断、拆除等)以及生产中所需考虑的安全因素。

4.4 其他供应商行为

除了第4部分“系统层产品开发”中的4-5至4-7之外，第5部分“硬件层产品开发”与第6部分“软件层产品开发”通常也属于供应商行为。因为一般来讲，整车企业并不从事与安全相关的ECU的软件与硬件的开发。整车企业可以根据ISO26262中的要求标准，定义对供应商的要求，以此进行供应商行为管理并作为产品验收的标准，从而达到降低整车企业安全责任风险的目的。

4.5 架构开发中的功能安全分析

电子电气架构开发属于概念开发，因此架构开发中的功能安全分析，通常只包括第3部分“概念阶段”。

整车企业如果想要在电子电气架构开发过程中开展上述的功能安全分析工作，需要具备以下的输入条件：

功能描述：这是开展功能安全分析工作所必须的第一个条件

功能之间的依赖性，以及功能的物理实施方案：主要是要看到功能之间是如何交互的，以及各个ECU实现哪一个功能、如何实现

目标车型信息：发动机功率、座椅数量、目标市场等

在电子电气架构开发过程中开展功能安全分析工作能为整车企业带来以下收获：

功能安全等级分析结果

功能安全概念描述

功能安全要求(可作为安全测试、验证的要求规范)

综合考虑了安全与成本的最佳电子电气架构方案

5如何根据本土现状开展功能安全