基于ISO26262的車道保持輔助的功能安全概念設計

王俊明， 周宏偉

(長安汽車股份有限公司 智能化研究院， 重慶 401120)

0 引 言

汽車自動化及自動駕駛是汽車行業未來發展的趨勢，世界各國對該領域的研究如火如荼，先后開展了很多自動駕駛汽車的相關道路試驗，取得了豐碩的成果[1]。目前各國都已經給出了汽車自動化和自動駕駛發展規劃，各大車企、汽車相關科研機構和組織對自動駕駛的發展階段定義基本趨同，包括美國汽車工程師學會SAE(society of automotive engineers)、美國國家公路交通安全管理局NHTSA(national highway traffic safety administration)、歐洲博世(Bosch)、中國汽車工程學會以及以長安汽車為代表的一批車企等，主要劃分如下階段：無自動駕駛(Level 0)、具有指定功能自動駕駛(Level 1)、具有復合功能的自動駕駛(Level 2)、具有限制條件的無人駕駛(Level 3)、完全自動駕駛(Level 4)。而目前主流的技術水平均處于Level 1和Level 2的階段，即輔助自動駕駛階段，只有像谷歌等極少數公司的技術已經進入Level 4階段[2]。

自動駕駛的實現依靠的是越來越復雜的電子電氣系統的集成和控制，基于電子電氣系統的功能安全問題漸漸凸顯出來，成為汽車自動化過程中首當其沖需要解決的關鍵問題之一，為此國際標準化組織(ISO)專門推出了ISO26262——道路車輛功能安全標準，來為整個生命周期中與功能安全相關的工作流程和管理流程提供指導[3]。

電子電氣系統的開發設計越來越多將功能安全作為考慮的因素，所有滿足功能安全標準ISO26262設計的電子電氣系統和子系統，最初的設計依據均來自于頂層分析，即功能安全概念階段的分析成果，因此合理的概念設計至關重要。

目前應用ISO26262標準開發設計實用功能系統的較多[4-6]，對自動化各個階段的功能系統尤其是自動駕駛輔助系統的研究應用相對較少，現有研究主要是ISO26262標準的整體應用[7]，專門針對功能安全概念的研究文獻屈指可數，可見此階段還未引起研究人員足夠的重視。以長安汽車在研自動駕駛輔助系統功能之一車道保持系統為例，設計出符合功能安全標準ISO26262的電子電氣系統安全設計的具體執行方法，闡述了詳細的內容和步驟，為開展后續系統設計和軟硬件設計提供輸出成果，并為其他技術人員開展相關系統的功能安全概念設計提供指導。

1 ISO26262簡介

ISO26262是IEC61508對電子電氣系統在道路車輛方面的功能安全要求的具體應用，適用于道路車輛上特定的由電子、電氣和軟件組件組成的安全相關系統在安全生命周期內的所有活動[8]。

圖1表述了基于功能安全的產品生命開發周期，包括概念階段、產品開發和生產發布之后3個階段。

1)概念階段：包括相關項定義(Part 3-5)、安全生命周期啟動(Part 3-6)、危害分析和風險評估(Part 3-7)、功能安全概念(Part 3-8)四部分內容。根據產品的功能定義開發相關項定義，并啟動產品安全開發生命周期，后以相關項定義為基礎進行HARA分析，得出產品的功能安全目標和ASIL等級，再進行概念分析得出功能安全要求及對應的ASIL等級。

圖1 安全生命周期Fig. 1 Safety lifecycle

2)產品開發：基于概念階段分析得出的功能安全要求，得出具體的技術安全要求，包括系統層(Part 4)、硬件層(Part 5)和軟件層(Part 6)的技術安全要求，并指導各個層級的設計開發；產品設計開發完成后，需要通過功能安全確認(Part 4-9)和功能安全評估(Part 4-10)才能允許產品生產發布(Part 4-11)。其中，安全確認除了對功能安全要求的所有交付物進行確認，還包括支撐概念階段分析的控制能力的假設、外部措施的使用及其他技術的應用。產品開發過程中應該同步定義產品的生產計劃(Part 7-5)和運行計劃(Part 7-6)。

3)生產發布之后：基于產品的生產計劃和運行計劃，執行基于功能安全要求的的生產、運行、服務和報廢過程(Part 7-6和Part 7-6)的活動。上述活動中若有修改的情況，則應返回到對應的生命周期階段進行迭代。

ISO26262標準共分十章，在產品開發生命周期中，第一、二、八、九、十章適用整個周期，第三、四、五、六、七章則需要遵循設計開發的先后順序。第三章概念階段的工作成果是后面所有開發工作的基礎，直接決定著接下來產品開發關于功能安全要求的執行質量，因此非常重要。

2 概念階段

2.1 相關項定義

對相關項進行定義和描述，及其與環境和其它相關項的依賴性和相互影響，包括其功能、邊界接口、環境條件、法規要求和危害等，方便設計開發人員能夠充分理解相關項，為后續階段的活動提供支持。

車道保持輔助(lane-keeping assistance，LKA)是部分自動化階段的輔助駕駛功能，駕駛員無意識偏離車道時，能夠監測并主動糾偏。對其進行相關項定義應包括如下內容：

2.1.1 功能邏輯

圖2是LKA功能的功能架構及邊界圖，在功能開啟后，LKA通過CAN網絡搜集各個要素(Element)提供的相關信息，部分詳細如下：

Element 1：提供開關信息

Element 2：提供車速信息

Element 3：提供發動機轉速信息

Element 4：提供方向盤轉角信息

Element 5：提供外界溫度信息

Element X：接收ECU指令并執行顯示

Element Y：接收ECU指令并執行轉向

……：其他輸入和輸出信息

所有信息經過LKA的ECU處理，判斷出車輛車輪外邊緣距車道線的距離是否滿足糾偏要求，并輸出相應指令給執行要素(如Element X和Element Y)，在需要的時候將車輛糾偏回正常車道內。

相關項定義中的工作模式和條件應該盡量包含系統實際工作時所有的模式及其依據的條件，考慮到開發之初設計的不完全成熟，故允許后續的改進和更新。如表1為LKA系統具有的工作模式及對應的條件。

表1 系統工作模式及條件Table 1 System working modes and conditions

圖2 功能架構及邊界Fig. 2 Function architecture and boundary diagram

2.1.2 邊界接口

定義相關項與其他相關項和環境之間的交互作用和相互影響、功能在所涉及的系統和要素間的分配等。如圖2，通過邊界線將系統的組件和要素劃分成兩部分，邊界內的要素與系統直接相關、會影響系統功能實現，如Element 1系統開關，其開閉觸發狀態直接決定系統能否開始工作，因此需要劃歸邊界內；邊界外的要素與系統間接相關、會影響系統性能，如提供外界溫度信號的Element 5，其提供的信息作為處理器算法的補償，準確性僅影響處理器計算偏差的大小，不會影響系統本身功能的使用，因此需要劃歸邊界外；此外有些要素可能具有不同的功能，在系統工作時參與多種角色，既提供輸入信息，又擔負ECU指令信息顯示或執行的任務，或者同時負責其他系統的相關角色，若無法在邊界架構圖中畫出，則需要在相關項定義中明確描述。

接口定義包括機械接口和因邊界線劃分要素的系統內部要素接口和外部要素接口，此外系統要素間、要素與總線間的通信也應該定義明確。

2.1.3 環境條件

本節需要定義系統運行環境，如溫度、海拔、濕度、振動、電磁干擾等；系統運行要求，如工作電壓、電流等；其他的限制條件。若不明確可以不用定義。表2列舉了LKA系統運行的環境條件。

表2 LKA系統運行的環境條件Table 2 Environment conditions of LKA system operation

LKA系統在以上要求的環境條件限制內出現的失效屬于功能安全的范疇，超出以上環境條件功能安全不再保證有效。如環境溫度大于NN°C，系統可能無法正常工作；攝像頭被遮擋，系統也無法正常工作；其他的限制條件如大雨大雪天氣也會影響系統的正常工作等。

2.1.4 法規要求

應明確列舉相關項系統功能符合哪些法律法規、國家標準和國際標準。如LKA功能滿足的法規包括ECE R10.05、ISO 7637、GB/T 18655等，詳細可以定義到滿足相關法規的具體章節。

2.1.5 危害定義

本節需要定義相關項系統已知的失效模式和危害，造成的潛在后果，包括系統要素、軟硬件失效對系統造成的危害。如LKA系統依靠攝像頭提供精確的車道線信息，若攝像頭出現故障，需要系統關閉并響應相應提示，系統恢復需要維修或更換攝像頭至正常。

2.2 啟動安全生命周期

安全生命周期啟動需要確定本相關項系統是新的開發還是對現有相關項系統進行修改，或是對現有相關項系統的重用。新的相關項開發需要繼續進行下一步危害分析和風險評估，對現有相關項進行修改需要評估修改部分對相關項的影響并進行影響分析，對現有相關項系統的重用需要集成和沿用與現有相關項安全相關的文檔。討論的LKA系統為新開發的相關項，故對修改相關項和重用相關項內容不做描述。

2.3 HARA分析

危害分析和風險評估(hazard analysis and risk assessment，HARA)。其目的是對功能潛在故障進行識別并對其產生的危害進行分類，確定功能安全目標并制定相應的措施以避免系統功能不合理的風險。

HARA分析流程如圖3，根據相關項定義，通過潛在危害識別確定整車級危害，然后通過ASIL分析確定每一個整車級危害的ASIL等級，最后確定相關危害的安全目標，并輸出功能安全概念。

圖3 HARA分析流程Fig. 3 HARA analysis procedure

2.3.1 確定整車級危害

目前確定整車級危害使用較多的方法有危害和可操作性分析HAZOP(hazard and operability analysis)、頭腦風暴、預先危險性分析PHA(preliminary hazard analysis)等，相對來講，HAZOP分析系統性、完善性和結構性較好；頭腦風暴和其他PHA方法在場景分析的準確性和全面性方面，依賴分析人員具備豐富的經驗、專業知識等因素，導致分析效果不穩定[9-11]。因此LKA功能的危害分析采用HAZOP分析方法。

HAZOP提供了12種失效模式，通過對每種失效模式的分析準確全面的找出潛在危害，包括過度、不足、失效、衰減、間歇性、無規律、震蕩、錯誤、相反、延時、無響應。

表3是LKA功能的HAZOP分析表，對LKA功能應該分析上述12種失效，確定每種失效導致的整車級危害，并確定需要考慮的多種運行環境，給出可能的控制措施，最后將所有屬于危害事件的整車級危害匯總，以進行后續分析。

2.3.2 確定ASIL等級

汽車安全完整性等級(automobile safety integrity levers，ASIL)。ASIL等級是通過暴露度、嚴重度、可控性三個維度影響因子的分析確定，共分ASILA、B、C、D、QM 5個等級，其中QM等級屬于質量管理范疇，不在功能安全考慮之內。

1)暴露度。對車輛運行工況和駕駛環境的評估。可以通過運行工況占車輛生命運行周期時間比例或者發生頻率來確定。暴露度等級定義和分類見表4。

表3 LKA功能的HAZOP分析Table 3 HAZOP analysis of LKA function

表4 暴露度等級定義Table 4 Exposure level definition

2)嚴重度。相關項系統功能在特定的環境條件下發生失效，由潛在危險造成人員傷害的嚴重程度，包括對本車和其他道路使用車輛的駕駛員、乘員以及路上行人的傷害等。嚴重度等級定義和分類見表5。

3)可控性。評估駕駛者或其它道路使用者當危害發生時對危險情況的控制并能避免傷害的概率。嚴重度等級定義和分類見表6。

對HAZOP分析確定的整車級危害繼續進行ASIL分析，分析每一個危害的E、S、C等級，并根據表8確定每一個整車級危害的ASIL等級。本節以LKA功能發生誤糾偏和糾偏不足兩個整車級危害為例說明HARA分析過程和ASIL等級確定，詳見表7。

表5 嚴重度等級定義Table 5 Severity level definition

表6 可控性等級定義Table 6 Controllability level definition

表7 HARA分析Table 7 HARA analysis

2.3.3 確定安全目標

針對駕駛員能感知的整車級危害，從管管人員角度提出為避免危害需要達到的目標，是頂層的功能安全需求。應該為每一個整車級危害確定一個安全目標。可以合并所有整車級危害中類似的安全目標，其ASIL等級為相應危害分析中ASIL最高的等級。表9為通過表7的HARA分析確定的LKA功能的安全目標及對應的ASIL等級。

表8 ASIL等級確定Table 8 ASIL level determination

注：若出現S0、E0、C0情況，則無需分配ASIL等級。

表9 HARA分析安全目標和ASIL等級Table 9 HARA analysis safety goal and ASIL level

2.4 功能安全概念

功能安全概念源于功能安全目標，包括安全狀態、安全需求、安全需求在相關項架構要素的分配，明確一定的安全措施與安全機制。具體包括：故障檢測和失效緩解方法；過渡到安全狀態及故障容忍時間間隔；容錯機制，即一個故障發生時不會直接導致違反安全目標(S)并保持該功能在安全狀態；故障監測與報警；從不同功能發送過來的多個請求中選擇最適當的控制要求執行的仲裁邏輯；如圖4功能安全概念各狀態變換的時間間隔定義。

圖4 功能安全概念各狀態與時間關系Fig. 4 Status relatimship in FSC

功能安全概念需要通過以下3個方面展開：

1)安全狀態的提出。安全狀態是系統或功能不存在任何由于系統導致的不能接受的風險的一種狀態，包括功能正常的運行、執行、操作狀態、功能故障后的降級反應、功能故障后關閉并報警。本例LKA系統在發生故障時，在現有功能本身上述3種機制均無法達到有效的安全狀態，故無對應的有效安全狀態。

2)FSR的提出。功能安全需求(functional safety requirement，FSR)。應基于安全目標和安全狀態，并考慮初步的架構與邊界范圍來提出安全需求(如圖2)，通過表10列舉出系統要素及其功能，為每一個要素編號。

為每一個安全目標至少提出一條安全需求。以下述LKA系統的安全目標為例：

安全目標：避免誤糾偏(ASIL D)。

具體的分析過程見表11。

安全需求的ASIL等級分解和分配依據本節3)部分的規則，故障容忍時間間隔需要在后續的設計過程中通過技術安全需求提出。

ISO26262要求其他相關內容在功能安全概念中明確(如果具有)，包括：可用的駕駛模式；緊急操作時間；轉換成安全狀態的條件；駕駛員和其他處于危害中的人員的假設行為；避免危害的外部措施。

表10 系統要素及其功能列表Table 10 System elements and function list

表11 安全目標為避免誤糾偏的安全需求分解Table 11 Safety requirement decomposition from safety goal of avoiding unintended rectifying lane deviation

3)ASIL等級要素的分配和分解。基于安全目標提出具體的安全需求，將安全需求分配到具體的系統要素。系統要素包括子系統和零部件，通過分配ASIL等級確定其具體的安全需求。多個等級分配給同一要素，需選取最高的ASIL等級作為該要素的功能安全等級。

當分配給某一要素的ASIL等級過高，導致技術實現難度增加或成本增加等問題，就需要采用ASIL分解方法實現“降級”，以滿足開發和安全的綜合要求。被“降級”分配的要素之間功能相互冗余且具備獨立性。分解規則如表12。

表12 ASIL等級分解規則Table 12 ASIL ratings decomposition rules

基于初步架構圖和安全需求分解和要素分配，將分配ASIL等級的要素重新編號，繪制完善的安全架構圖，如圖5。

圖5 完善的安全架構Fig. 5 Developed safety architecture

基于完善的安全架構圖，通過安全需求的分解和要素的分配，得出安全要素需求匯總表，如表13。本部分安全需求為功能安全概念階段的最終輸出物，是后續系統設計、軟硬件設計的基礎。

表13 安全要素需求匯總Table 13 Summary of safety elements requirements

3 結 論

1)根據功能安全標準ISO26262第三章概念階段的內容，設計出標準應用具體方法，給出了設計步驟和分析過程。

2)應用設計的方法對車道保持輔助(LKA)進行案例分析，得出符合ISO26262標準的分析成果。

3)所設計的方法為ISO26262標準在概念階段的設計應用提供了借鑒，為其他自動化系統開展功能安全概念設計提供了方法指導。

4)所設計的方法目前已應用在長安汽車多個駕駛輔助系統的設計開發中，如自適應巡航(automatic cruise control，ACC)、車道偏離預警(lane depart warning，LDW)、自動緊急制動(automatic emergency brake，AEB)、自動泊車輔助(automatic parking assist，APA)等，為相關產品開發提出了功能安全要求，系統全面地找出導致產品失效的原因并針對性的施加措施，能夠有效降低產品的非預期失效風險，極大的提高了產品的安全性。