功能安全標準ISO26262在汽車電子電器開發中的應用

南京航空航天大學金城學院車輛工程系 盧 靜

功能安全標準ISO26262在汽車電子電器開發中的應用

南京航空航天大學金城學院車輛工程系 盧 靜

功能安全標準ISO26262是汽車業界繼品質和環境后，專門面向電子電器部件安全性的國際標準。歐美和韓日廠商在該領域已經有了較深的積累，而我國的廠商在該領域還處于摸索階段。本文論述了ISO26262標準指定的背景，該標準的核心的功能安全級別ASIL的推導過程，以及標準對不同ASIL等級的系統的方法要求。

功能安全；ISO26262；汽車電子電器

1.引言

本文介紹了功能安全標準ISO26262的制定背景和主要內容，從核心內容的功能安全管理、過程管理和支持過程三個方面分別進行了論述。在此基礎上，對功能安全等級ASIL的推導方法，以及標準對不同ASIL等級的指導方法進行了深入的論述和舉例說明。

2.ISO26262制定的背景

從汽車行業規格的歷史動向上可以看出，繼品質和環境后，安全成為汽車行業第三個標準要求。

ISO26262建立在電子電氣及可編程器件功能安全基本標準IEC61508之上，專門為汽車行業定制，用于汽車行業中特定的電氣器件、電子設備、可編程電子器件等專門用于汽車領域的部件，旨在提高汽車電子、電氣產品功能安全的國際標準。［1］

ISO26262從2005年起正式開始制定，于2011年11月正式頒布，成為國際標準。功能安全標準ISO26262適用于安裝在最大總質量不超過3.5噸的量產乘用車上的包含一個或多個電子電器系統的與安全相關的系統。而特殊用途車輛（例如為殘疾駕駛者設計的車輛）不包含在適用范圍內。［2］

預計在2018年將發布下一代功能安全標準，屆時商用車和摩托車也很有可能被定義在適用范圍內。

中國也正在積極進行相應國標的制定，目前意見征求稿已經公開，預計2016年末將正式發布相應的道路測量功能安全國家標準。

ISO26262標準分為10個章節：術語的定義（術語集）；功能安全管理；概念階段；產品開發（系統層面）；產品開發（硬件層面）；產品開發（軟件層面）；生產和運行；支持過程；ASIL指向、安全目標的分析；ISO26262指南等。為汽車安全提供了整個生命周期（管理、開發、生產、經營、服務、報廢）的流程，并在這些生命周期階段中提供必要的支持。該標準涵蓋功能性安全方面的整體開發過程（包括需求規劃、設計、實施、集成、驗證、確認和配置）。［3］

功能安全標準的核心分為三個部分，分別是：

第二章 功能安全的管理：包含內容有質量與功能安全管理體系構筑，安全文化和功能安全管理人才的培養，以及各工程配備功能安全管理者。

第三至七章 過程管理：包含V字型開發過程的執行、特別是上游驗證的強化，工程階段的詳細化和可追溯，以及風險分析和故障檢出工程設計等。

支持過程：包含OEM與供應商之間接口的明確化，變更管理和構成管理，以及開發過程使用的工具等。

3.功能安全等級的導出方法

ISO 26262標準根據安全風險程度，把對系統劃分由A到D的安全完整性等級ASIL（Automotive Safety Integrity Level）劃分為四個等級，分別是A、B、C、D。A為最低級別，D為最高級別，需要最苛刻的安全需求。在核心過程的部分，標準對每個級別需要達到的功能安全活動，做了詳細的劃分。因此，OEM和供應商首先需要明確自己的產品的所屬的功能安全等級。

功能安全等級由三個象限定義，分別是受害嚴重程度、發生的概率和可控性。可由以下公式表示：

ASIL = S（Severity） & E（Exposure） & C（Controllability）

按照受害嚴重程度的定義表，受害嚴重程度分成四個等級，分別是S0、S1、S2和S3。S0代表事故發生不會導致受傷，如汽車撞到路邊的圍欄；S1代表事故發生會導致輕微和中度受傷，如汽車與低速行駛車輛的前方或后方碰撞；S2代表事故發生會導致不致命的重傷，如汽車轉彎時與行人發生碰撞；最高級的S3代表事故發生會導致致命傷害，如汽車行駛中與中高速乘用車發生側面碰撞。

按照場景發生概率的定義表，發生概率分成E0到E4五個等級。E0代表事故本身不會發生；E1代表超低概率，約3年會發生1次；E2代表低概率，約1年會發生一次；E3代表中度概率，約1個月會發生1次；E4代表高度概率，幾乎每次駕駛都會發生。

按照可控性定義表，事故發生的可控制程度分成C0至C3四個等級。C0代表一般可控，如廣播音量突然變化；C1代表可輕易控制，如駕駛中座椅位置調節故障；C2代表通常可以控制，如緊急剎車時的ABS故障；C3代表控制困難和失控，如高速行駛中安全氣囊誤爆。

標準中，功能安全等級ASIL的定義表由嚴重度、發生概率和可控度三個維度構成。根據每個維度的等級，可以找到相應的ASIL等級。如某產品的失效嚴重度：S3，失效發生概率：E2，可控度：C2，我們可以定位到該產品的功能安全等級為ASIL：B。在實際的工作中，在危害分析和風險評估HARA階段，通過對危險事項和場景的假設，可由該表推導出產品的功能安全等級ASIL。

4.基于ASIL等級的要求

ISO26262針對不同的ASIL等級的系統，對整個流程的各個階段，制定了方法。對于每種方法，應用相關方法的推薦等級取決于系統的ASIL等級，通常分為三類。

“++”表示對于指定的ASIL等級，高度推薦該方法；

“+”表示對于指定的ASIL等級，推薦該方法；

“○”表示對于指定的ASIL等級，未推薦或反對該方法；

Table 1 軟件架構設計驗證方法

表1是軟件架構設計的驗證方法，標準指定了共計7種方法。其中設計走查是最基本的驗證方法，ASIL等級為A的系統必須要執行，而其他等級的系統需用其他方法驗證。對設計中的動態部分進行仿真是較高級別的要求，它要求為軟件架構的動態部分使用可執行的模型，ASIL等級為D的系統必須要使用該方法，而A級B級和C級系統，不必須使用該方法。

Table 2 軟件單元測試方法

表2是軟件單元的測試方法，標準指定了共計5種方法。其中基于需求的測試和接口測試是共通部分，所有等級的系統都需要使用這兩種測試方法驗證系統。而背靠背測試是比較復雜的測試方法，它依賴一種能模擬軟件單元功能的模型，通常是Simulink模型進行仿真，并比對軟件的執行結果和模型的執行結果的一致性，標準指定ASIL等級為C和D的系統使用該方法。

5.結論

本文主要介紹了功能安全標準ISO26262制定的背景和主要內容。重點論述了功能安全等級ASIL的導出方法，以及過程對不同ASIL等級的系統的要求和方法。并對以上內容進行案例分析，對于有計劃導入ISO26262標準的組織具有指導性作用。

［1］朱葉，ZHU Ye.基于ISO26262的動力電池系統高壓功能安全概念［J］汽車零部件，2013（10）.

［2］Joerg Weber Towards an Aspect Driven Approach for the Analysis，Evaluation and Optimization of Safety within theAutomotive Industry.SAE 2010-01-0208 2010.

［3］劉佳熙，郭，李君.汽車電子電氣系統的功能安全標準IS026262［J］上海汽車，2011（10）2.Road Vehicles Functional Safety 2011.