紀宏巖，崔書超，孫燦，張進明

（北京汽車研究總院有限公司，北京　101300）

基于ISO 26262的道路車輛功能安全開發(fā)流程解讀

紀宏巖，崔書超，孫燦，張進明

（北京汽車研究總院有限公司，北京101300）

ISO 26262定位于汽車領域的電子電器部件，旨在提高汽車電子、電氣產品的功能安全。解讀ISO 26262標準的目的是使人們更好地理解安全的相關功能，并盡可能明確地對它們進行解釋，同時為避免潛在風險提供了可行性的方法和流程。ISO 26262為汽車安全提供了一個生命周期的理念，它從管理到開發(fā)、生產、經營、維護直至報廢等階段都提供了必要的技術和管理支持。

ISO 26262；功能安全；風險評估；電子電器架構

安全是未來汽車發(fā)展面臨的首要問題之一，汽車的新功能不僅僅在輔助駕駛范圍，還有車輛動態(tài)控制和主動被動的安全系統等日益觸及的安全工程領域。隨著系統復雜性的提高、軟件和機電設備的應用，來自系統失效和隨機硬件失效的風險也日益增加，在汽車開發(fā)領域迫切需要先進的開發(fā)流程和技術來保證汽車的使用安全。在這樣的背景下，ISO組織在2011年11月份正式頒布了和汽車相關的功能安全標準ISO 26262［1］。

功能安全早在2000年就已經有了相關標準IEC 61508，它是國際電工委員會發(fā)布的《電氣／電子／可編程電子安全系統的功能安全》，IEC 61508是針對所有電氣／電子／可編程電子系統，沒有局限在某一個行業(yè)。后來，隨著各自行業(yè)的發(fā)展，慢慢地衍生出了很多行業(yè)相關的功能安全標準。比如，過程工業(yè)的IEC 61511、機械工業(yè)的IEC 62061、核電的IEC 61513等，而ISO 26262就是專注于汽車領域的功能安全標準［2］。

1　ISO 26262協議介紹

制定道路車輛功能安全標準的目的是使工程師或者用戶對安全相關功能有一個好的理解，并對出現的潛在風險進行解釋，同時為避免這些風險提供了具有可行性的方法和流程。

采用ISO 26262能夠確保汽車零部件從最開始就是在高安全等級下生產。該標準能夠用于建立一個安全的管理體系，使得該體系滿足國際認可的最佳實踐和風險管理的最新方式，從而提高供應商或者主機廠的競爭優(yōu)勢。汽車生產商則應將ISO 26262的符合性作為考核零部件和潛在電氣電子組件供應商的標準。

ISO 26262是一個多部分組成的標準，為實現道路用車在電子電氣系統中的功能性安全定義出要求并提供指南。該標準被認為是實現道路用車的功能性安全的最佳實踐框架。

道路車輛功能安全標準ISO 26262共分為10章，分別從功能安全管理、概念、系統級研發(fā)、軟硬件的研發(fā)、生產和操作等方面對產品的整個生命周期進行了規(guī)范和要求，從而使得產品在各個生命周期都比較完善地考慮了其安全功能。如圖1所示。

2　車輛功能安全的開發(fā)流程

ISO 26262的開發(fā)流程首先是從項目定義開始的。項目定義就是對所研發(fā)項目的一個描述，其包括了項目的功能、接口、環(huán)境條件、法規(guī)要求、危險等內容，也包括項目的其他相關功能、系統和組件決定的接口、邊界條件等［3］。

2.1概念開發(fā)

根據項目是新產品研發(fā)或者既有產品更改決定后續(xù)的流程，稱之為安全生命周期初始化。如果是既有產品更改，就要對產品進行影響分析，影響分析的結果決定整個生命周期中的哪些流程可以省略，不用考慮。

安全生命周期初始化之后，首先進行危害分析和風險評估。一個項目的ASIL等級就是通過這個階段確定下來的。ASIL全稱是車輛安全完整性等級，標準中用A、B、C、D4個級別來規(guī)定項目或者單元所需的ISO 26262要求以及安全措施，來避免不合理的殘余風險，D代表最大嚴格度，A代表最小嚴格度［4］。一旦項目的ASIL等級確定下來，項目的后續(xù)所有開發(fā)流程及開發(fā)方法都要按照相應的ASIL等級要求進行開發(fā)，因此這個階段在功能安全開發(fā)的整個流程中至關重要。

危害分析和風險評估時，要充分考慮發(fā)生危害時汽車所在駕駛情景的暴露率、交通參與者對事故的可控性以及危害對交通參與者造成傷害的嚴重程度。通過這3個指標確定項目的ASIL等級，同時為每一個風險設立安全目標，并根據項目的ASIL等級給安全目標確定合適的ASIL等級。

接下來的功能安全概念的環(huán)節(jié)要考慮系統的基本架構，將由安全目標得到的整體安全需求分配到項目的元素中去，同時具體和細化定位到每個項目元素中的功能安全要求。超出邊界條件的系統和其他技術可以作為功能安全概念的一部分來考慮。對其他技術的應用和外部措施的要求不在ISO 26262考慮的范圍之內［5］。

2.2系統級開發(fā)

有了具體的安全需求之后，接下來就是進行系統級開發(fā)了?？梢詮陌踩枨蟮玫郊夹g安全要求規(guī)范，系統級開發(fā)的過程基于V模型的開發(fā)流程。

在V模型的左邊首先是“系統級產品開發(fā)的啟動”，這個環(huán)節(jié)主要是依據實際情況更新項目計劃和安全計劃，還需要創(chuàng)建測試計劃、確認計劃和評估計劃；接下來要明確技術安全需求規(guī)范，技術安全需求規(guī)范是從功能安全要求和系統或者單元的架構設計中得到的，在這個規(guī)范里主要描述了識別和控制系統自身故障，以及其它系統故障的機制、安全狀態(tài)的達到或保持措施、警示和降級方案的措施等。有了技術安全需求規(guī)范之后，就進入到了系統設計階段。系統設計階段主要完成這幾項工作：上述各項安全措施如何實現、進一步細化系統架構、借助安全分析的安全設計驗證（FMEA，FTA）、明確硬件和軟件的接口規(guī)范等。系統設計之后就進入到了具體的硬件設計和軟件設計階段。

系統級開發(fā)的V模型右邊的流程首先是項目集成和測試。這主要是測試所設計的安全功能是否滿足技術安全需求，每個安全需求都應該被驗證，并且要選用ASIL相關的測試方法［6］。項目在集成和測試之后，就要進行安全確認，安全確認可以由公司內部的研發(fā)工程師開展，主要是站在整車層面確認系統設計是否能夠完全實現最初的安全目標和安全需求。安全確認之后是安全評估，安全評估一般是找第三方進行，通過評估來確認是否所有工作都正確、完整地開展了，并且安全等級是否達到了相應ASIL的要求。安全評估完成之后，最后一個階段就是產品發(fā)布。在這一階段需要制定生產和操作計劃，以及對產品的生產、操作、服務和拆解的相關要求。通過這些相關的計劃和要求以及規(guī)章制度，保證產品在生產和使用環(huán)節(jié)滿足功能安全的要求。

2.3硬件開發(fā)

系統級開發(fā)之后，硬件級的產品開發(fā)也要符合V模型概念。V模型左邊的第1個環(huán)節(jié)是硬件級產品研發(fā)的啟動。這個過程主要是計劃活動，根據項目的大小和復雜程度，來計劃和確定這個階段的活動和支持過程。然后確定硬件安全需求規(guī)范，軟、硬件安全需求規(guī)范都是由系統階段的技術安全需求規(guī)范拆分得到的。根據硬件安全需求規(guī)范，要進行硬件設計，硬件設計包括硬件架構設計和硬件詳細設計。

硬件架構設計應表示出所有硬件組件及彼此間的關聯，并且要實現規(guī)定的硬件安全需求。應該清楚地描述出硬件安全需求和硬件組件之間的關系，可充分信賴的硬件組件可以考慮復用。在硬件架構設計時，還應考慮安全相關硬件組件失效的非功能因素。比如：振動、水、塵、EMI等。硬件詳細設計是指在電氣原理圖級別上的設計，應表示出硬件組件的零部件間的相互關聯。

接下來是計算硬件的量化指標，在功能安全開發(fā)的過程中有3個指標是可以量化的，分別是單點故障指標、潛在故障指標和隨機硬件失效率。前2個指標表示的是所設計的安全功能的能力，也可以簡單理解為安全機制的優(yōu)劣，指標越高，表示所設計的安全機制越好。最后一個指標表示硬件的可靠性，這個指標越高，可以簡單理解為安全機制越耐用。對于不同ASIL等級的產品，這3個指標的要求是不同的，因此在這個階段需要計算一下量化指標，看看是否滿足相應的ASIL等級要求。

在硬件設計的最后階段就是進行硬件集成與測試，主要測試設計的硬件是否能夠實現預期的功能。

2.4軟件開發(fā)

在硬件級的產品開發(fā)的同時，軟件級的產品開發(fā)也應符合V模型思想，軟件級產品與傳統開發(fā)流程相比，多了軟件安全需求規(guī)范和驗證軟件安全需求2個環(huán)節(jié)。軟件安全需求規(guī)范也是從技術安全需求規(guī)范而來，至于驗證軟件安全需求這個環(huán)節(jié)，ISO 26262規(guī)定了硬件在環(huán)、搭建電子控制器網絡環(huán)境和實車測試等嚴格的測試環(huán)境的要求。除此之外，對于軟件架構設計、軟件單元設計和實現、軟件單元測試、軟件集成和測試這4個環(huán)節(jié)，ISO 26262也規(guī)定必須要根據具體的ASIL等級選用不同的設計和測試方法。

3　總結

道路車輛功能安全標準ISO 26262就是通過上述的這些流程階段，以及每個階段所必須考慮的措施、方法和具體技術的要求，將各個階段的要求和如何滿足要求的措施都進行逐一落實，通過流程和技術兩方面的共同約束才可以設計、制造出滿足功能安全要求的安全產品。

［1］劉佳熙，郭輝，李君.汽車電子電氣系統的功能安全標準ISO 26262［J］.上海汽車，2011（10）：57-61.

［2］袁蘭秀.汽車電子電氣系統功能安全標準ISO26262的幾點探討［J］.科技資訊，2013（8）：245-245.

［3］尚世亮，王雷雷，趙向東.基于ISO 26262的車輛電子電氣系統故障注入測試方法［J］.汽車技術，2015（12）：49-51，58.

［4］張東.EPS控制器的可靠性優(yōu)化及其基于ISO 26262的正向開發(fā)［D］.吉林大學，2015.

［5］還宏生.汽車設計中的安全要求及ISO 26262標準［J］.汽車零部件，2012（10）：41-43.

［6］王丹，周曉翠，雍建軍.CMMI及ISO 26262標準在汽車電子軟件開發(fā)中的部署［J］.電子技術與軟件工程，2015（21）：72-74.

（編輯楊景）

Understanding of Vehicles Functional Safety Development Process Based on ISO 26262

JI Hong-yan，CUI Shu-chao，SUN Can，ZHANG Jin-ming
（BAIC Motor Technology Centre，Beijing 101300，China）

ISO26262 is making for improving functional safety of the electronic components in the automotive field.The interpretation of the ISO26262 helps people better understand safety related functions，and provides methods and process to avoid the potential risks.ISO26262 provides a life cycle concept for automobile safety，which includes necessary technical and managerial support for management，development，production，operation and maintenance.

ISO 26262；functional safety；risk assessment；electrical structure

U472.7

A

1003-8639（2016）07-0057-03

2016-03-15

紀宏巖（1982-），男，黑龍江鐵力人，碩士，工程師，從事汽車電器開發(fā)工作；崔書超（1988-），男，河南平頂山人，碩士，工程師，從事汽車網絡開發(fā)工作。