面向服務架構的汽車功能安全開發研究

【摘要】為實現面向服務架構（SOA）的整車功能安全開發，在分析SOA特點的基礎上，結合ISO 26262標準，建立基于SOA的汽車功能安全正向開發流程，提出了基于功能的概念開發階段和基于架構的系統開發階段的功能安全設計方法：在概念開發階段，面向產品能力導出功能安全需求，定義產品能力的功能安全等級；在系統開發階段，基于軟件組件架構、物理部署等實現技術安全需求的進一步導出與分配。

關鍵詞：功能安全 面向服務架構 電子電氣架構 正向開發流程

中圖分類號：U461.91" "文獻標志碼：A" "DOI： 10.20104/j.cnki.1674-6546.20240276

Research of Automotive Functional Safety Development for Service Oriented Architecture

Yang Xuezhu， Li Jun， Chen Hongxu， Li Haixia

（Global Ramp;D Center， China FAW Corporation Limited， Changchun 130013）

【Abstract】In order to realize the development of vehicle functional safety based on Service Oriented Architecture （SOA）， the forward development process for automotive functional safety based on SOA is established combining with the ISO 26262 standard. The functional safety design methods of function-based concept phase and architecture-based system development are proposed. On the one hand， for the concept development phase， the functional safety requirements are derived based on the product capabilities， and the function safety class of product capabilities is defined. On the other hand， for the system development phase， the technical safety requirements are derived and distributed based on the software component architecture and physical deployment.

Key words： Functional safety， Service Oriented Architecture （SOA）， Electrical and/or Electronic （E/E） architecture， Forward development process

【引用格式】 楊雪珠， 李軍， 陳虹旭， 等. 面向服務架構的汽車功能安全開發研究[J]. 汽車工程師， 2024（10）： 16-22.

YANG X Z， LI J， CHEN H X， et al. Research of Automotive Functional Safety Development for Service Oriented Architecture[J]. Automotive Engineer， 2024（10）： 16-22.

1 前言

隨著智能化、網聯化、電動化和共享化的快速推進，汽車功能日益復雜，軟件的快速迭代推動著汽車電子電氣架構由傳統的“面向信號”到“面向服務”開發方式的轉變。傳統架構下軟件與硬件高度耦合，存在硬件資源不能充分共用、新功能開發周期長等問題[1]。近年來，各大整車制造商積極推出基于面向服務架構（Service-Oriented Architecture，SOA）的平臺[2]。

SOA提供了一種架構設計理念，定義了可通過服務接口復用軟件組件的方法[3-4]，結合以高性能計算平臺為核心的集中型電子電氣架構，SOA將成為“軟件定義汽車”和“數據驅動服務”的重要技術基礎。

自ISO 26262《道路車輛 功能安全》發布以來，國內外整車企業及相關高校圍繞汽車電子電氣系統的功能安全設計與驗證展開了積極研究[5-10]。目前，針對功能安全開發的研究多以技術實現為主，較少探討SOA的功能安全開發方案。

面向傳統架構的功能安全開發通常圍繞單一電子控制單元（Electronic Control Unit，ECU）進行，由于軟、硬件的高度耦合，功能安全需求或技術安全需求可以較快速地分配至軟、硬件層級，進行功能安全開發設計。然而，SOA平臺下功能安全開發存在新的挑戰。首先，功能安全設計會對電子電氣架構開發進行約束與補充，為保證產品的研發周期，需要將汽車功能安全開發統一到架構開發過程；其次，SOA將硬件能力抽象為服務的形式，從而實現軟、硬件解耦，在新架構平臺下，需要合理定義相關項、優化概念階段對系統層級的輸出產物，以適應面向服務的架構設計理念；進一步，SOA軟件上的松耦合增強了對服務接口安全等級的適配性要求，硬件上的靈活部署在一定程度上受限于硬件固有安全等級能力，SOA低耦合、可復用的設計思想實現了功能的快速更新和復用，但這也給系統層面的技術安全需求在軟、硬件間的分配提出了挑戰。

綜上，本文提出基于SOA的功能安全正向開發流程，從基于功能的概念開發階段和基于架構的系統開發階段兩方面說明SOA的功能安全設計方法，以實現SOA與功能安全開發的有機結合，為SOA的整車功能安全開發提供有益參考。

2 面向服務的架構開發

SOA通過標準化服務接口，提供松耦合、易擴展的服務機制，為整車開發提供了更靈活的功能分配、更快速的功能迭代能力。

2.1 服務定義

SOA將整車的不同功能及硬件能力抽象為服務，各服務間通過標準化接口相互訪問、擴展和組合[1]。服務可劃分為3個層級[11]：

a. 元服務。元服務為底層最小服務單元，汽車傳感器、執行器等基本接口可封裝為元服務，實現車輛硬件基礎能力被上層服務調用。

b. 基礎服務。基礎服務在元服務層級之上，可以調用元服務，也可被更上層服務調用，例如“環境感知”基礎服務調用了“車輛狀態”元服務、“雷達等傳感器信息”元服務。

c. 應用服務。應用服務為最高層級服務，可以實現更多用戶場景的應用。元服務和基礎服務強調了架構的靈活性，應用服務更多地強調功能本身。

2.2 SOA軟件架構設計

根據高層級服務調用低層級服務、低層級服務不能調用高層級服務這一原則，建立SOA軟件分層架構，如圖1所示。

傳感器與執行器控制管理層實現了整車的硬件能力以元服務形式被上層調用，通過訪問標準化服務接口實現車輛功能的軟、硬件解耦。高層級的軟件模塊除滿足不同層級間的軟件調用關系外，還具有模塊內高內聚、模塊間松耦合的特性，從而有效發揮SOA可重用、易集成等優勢。

3 SOA功能安全正向開發流程

3.1 ISO 26262標準

ISO 26262提供了汽車安全生命周期，并為產品開發的不同階段提供過程參考模型。

針對汽車電子電氣系統的開發，通過采用如圖2所示的“V”模型開發流程，ISO 26262為與車輛安全相關的系統、軟件、硬件的安全設計與安全確認提供了指導。

3.2 基于SOA的功能安全正向開發流程

基于SOA的汽車正向開發流程如圖3所示：

a. 以用戶需求為導向，基于用戶場景定義整車功能，功能安全開發針對每個用例（Use Case，UC）分析功能失效時的危害事件，進行危害分析與風險評估（Hazard Analysis and Risk Assessment，HARA）得到該用例下危害事件的汽車安全完整性等級（Automotive Safety Integration Level，ASIL）和安全目標（Safety Goal，SG），迭代更新到功能定義文檔。

b. 功能設計階段基于每個用例提取出功能對系統的需求，即產品能力（Product Capability，PC），該階段將車輛的E/E架構抽象為邏輯架構，得到PC時序圖，在功能安全概念開發階段，以該用例的PC時序圖作為相關項初始架構，分析PC的失效或PC間交互的失效是否違背相應的安全目標，從而得出功能安全需求（Functional Safety Requirements，FSR），分配給功能安全相關的PC。

c. 基于SOA軟件架構的系統設計階段以PC時序圖為基礎，定義軟件組件（Software Components，SWC）架構、設計SWC服務接口和SWC內部軟件模塊，其中SWC架構設計滿足如圖1所示的軟件分層架構。

在功能安全系統開發階段，首先基于功能安全相關PC選擇應用服務、基礎服務和元服務；根據SWC服務架構進行安全分析，得到技術安全需求（Technical Safety Requirements，TSR），增加安全機制保證架構設計滿足功能安全要求，新增的功能安全相關SWC及接口迭代更新到SWC架構設計中。

d. 物理部署階段通過定義軟、硬件接口（Hardware-Software Interface，HSI）規范完成安全機制SWC服務接口的實現，根據硬件網絡拓撲，將SWC部署到中央計算平臺、區域控制器和ECU中。功能安全開發根據SWC架構和物理部署，進一步分配TSR到軟件、硬件要素，導出軟件安全需求（Software Safety Requirements，SSR）和硬件安全需求（Hardware Safety Requirements，HSR）。

綜上，面向SOA的功能安全開發流程可以總結為基于功能的概念開發階段（包括HARA分析與功能安全需求分析）和基于架構的系統開發階段（包括技術安全需求分析與軟、硬件安全需求分配），覆蓋了從功能定義落地到物理部署的汽車SOA正向開發流程。

4 SOA的功能安全開發

4.1 基于功能的概念開發階段

4.1.1 危害分析與風險評估

SOA架構的頂層功能定義針對每個功能進行用戶場景的詳細分析，提取終端用戶對該功能的UC，HARA分析根據UC和車型性能等內容，分析功能異常導致整車層面的危害事件，通過對危害事件的評估確定該UC下的SG及ASIL。該階段下功能安全開發活動流程如圖4所示，以“提供驅動扭矩”功能為例，定義的用例圖如圖5所示，對應的安全目標如表1所示。

通過構建用例與安全目標的聯系，建立了功能安全目標與用戶需求和系統開發間的雙向追溯關系。

4.1.2 功能安全概念

根據對UC的分析結果進行功能設計，在這一階段整車的E/E架構抽象為不同邏輯的子系統，PC向上承接功能實現，向下傳遞給邏輯子系統。采用PC時序圖描述“D擋行駛”用例，如圖6所示。

PC時序圖反映了系統的邏輯架構，本文以此作為概念階段的相關項初始架構，通過安全分析對SG提出相應的FSR，并將其分配到各PC，同時更新PC的ASIL，表2列出了SG1的部分FSR及PC分配關系，該階段功能安全開發活動流程如圖7所示。

不同于傳統功能安全開發對系統架構的定義，PC描述了系統高層級的功能能力，它并不涉及具體的物理架構，以便于不同車型間的復用。因此，在這一階段得到的FSR并不具備指導系統設計的能力，即不具備ASIL分解的能力，FSR將作為該PC屬性的一部分，隨著SWC對PC的繼承關系而進一步細化。

4.2 基于架構的系統開發階段

4.2.1 技術安全概念

為實現PC，需要系統從下至上定義硬件抽象元服務、平臺基礎服務、應用服務。每個服務對應一個或多個SWC。因此，應基于PC時序圖定義SWC架構和設計SWC服務接口，最后根據網絡拓撲將SWC部署到具體的物理架構中。以“提供驅動扭矩功能-D擋行駛”的PC設計為例，根據表2得到功能安全需求及如圖8所示的SWC架構，得到功能安全需求部署如表3所示。

根據SWC架構及部署視圖，通過故障樹分析（Fault Tree Analysis，FTA）或失效模式與影響分析（Failure Mode and Effect Analysis，FEMA）識別當前架構設計中的風險點，增加安全機制保證系統架構設計滿足功能安全需求，即開展技術安全概念開發。如果沒有合適的SWC提供安全機制，新增SWC及其接口確認后更新到SWC部署視圖。技術安全概念階段的功能安全開發活動如圖9所示。

4.2.2 技術安全需求分配

進一步，在由SWC架構部署到物理架構的過程中，完成SWC服務接口的實現、SWC到硬件的映射部署，實現軟硬分離。SWC架構和物理架構確立后，根據硬件選型，分配TSR到軟件、硬件和HSI，部分技術安全需求分配情況如表4所示。

綜上所述，SOA開發流程下功能安全控制流程如圖10所示，SOA架構下的功能安全開發實現了基于功能的功能安全概念（Functional Safety Concept，FSC）和基于架構的技術安全概念（Technical Safety Concept，TSC）開發：FSC開發面向產品能力，確保安全目標、PC和FSR之間的追溯關系；TSC開發基于SWC架構、物理架構與硬件選型，實現軟件解耦與軟、硬件分離。

5 結束語

面向服務架構是未來汽車電子電氣架構開發的核心，本文介紹了以用戶場景為驅動的汽車正向開發流程，并結合ISO 26262提出了面向服務架構的功能安全開發方案，覆蓋了從功能定義到物理部署的架構開發流程，為面向服務架構的汽車功能安全開發提供參考。

未來，隨著智能互聯技術的不斷發展，車端與云端的信息聯通，在SOA開放架構下建立功能安全開發的快速迭代能力，以應對車云一體化生態平臺帶來的功能安全挑戰，是后續的研究重點。

參考文獻

[1]" "魯濤. 基于SOA面向服務架構的正向開發方法在汽車中的應用研究[J]. 裝備制造技術， 2021（12）： 147-151.

LU T. Research on Application of the Automobile Industry Based on Service Oriented Architecture Forward Development Method[J]. Equipment Manufacturing Technology， 2021（12）： 147-151.

[2]" "付朝輝， 王華陽. 功能架構在電子電氣架構開發中的應用和實踐[J]. 汽車工程， 2021， 43（12）： 1871-1879.

FU Z H， WANG H Y. Application of Functional Architecture in Electrical Electronics Architecture Development[J]. Automotive Engineering， 2021， 43（12）： 1871-1879.

[3]" "ERL T. Service-Oriented Architecture： Concepts，" " " "Techno?logy， and Design[M]. Upper Saddle River， NJ， United States： Prentice Hall PTR， 2005.

[4]" "AUTOSAR. Adaptive Platform： R23-11[S/OL]. H?rgertsh?ausen， Germany： AUTOSAR， 2023. （2023-11-23）[2024-08-26]. https：//www.autosar.org/standards/adaptive-platform.

[5]" "BECKER C， YOUNT L， ROZEN-LEVY S， et al. Functional Safety Assessment of an Automated Lane Centering System： DOT HS 812 573[R]. Washington， DC， United States： National Highway Traffic Safety Administration， 2018.

[6]" WILHELM U， EBEL S， WEITZEL A. Functional Safety of Driver Assistance Systems and ISO 26262[M]// WINNER H， HAKULI S， LOTZ F， et al. Handbook of Driver Assistance Systems. Cham， Switzerland： Springer International Publishing， 2016： 109-131.

[7]" KRAMPE J， JUNGE M. Injury Severity for Hazard amp; Risk Analyses： Calculation of ISO 26262 S-Parameter Values from Real-World Crash Data[J]. Accident Analysis and Prevention， 2020， 138.

[8]" 尚世亮， 趙向東. ISO26262中可控性參數指標的建立方法[C]// 2015中國汽車工程學會年會. 上海： 中國汽車工程學會， 2015： 147-150.

SHANG S L， ZHAO X D. Method of Controllability Metric Definition in ISO26262[C]// 2015 China SAE Congress. Shanghai： China SAE， 2015： 147-150.

[9]" "童菲， 尚世亮， 熊志剛. 汽車系統功能安全架構的設計與發展展望[J]. 汽車文摘， 2019（5）： 12-17.

TONG F， SHANG S L， XIONG Z G. The Design and Development Perspectives of Functional Safety Architecture for Automotive Systems[J]. Automotive Digest， 2019（5）： 12-17.

[10] 卜純研. 面向路徑跟蹤控制功能安全的智能汽車多傳感器冗余定位策略[D]. 長春： 吉林大學， 2022.

BU C Y. Multi-Sensor Redundant Localization Strategy of Intelligent Vehicle for Path Tracking Control Functional Safety[D]. Changchun： Jilin University， 2022.

[11] 劉佳熙， 施思明， 徐振敏， 等. 面向服務架構汽車軟件開發方法和實踐[J]. 中國集成電路， 2021， 30（增刊1）： 82-88.

LIU J X， SHI S M， XU Z M， et al. Development Methodology and Practice of Automotive Software Based on Service Oriented Architecture[J]. China Integrated Circuit， 2021， 30（Z1）： 82-88.

（責任編輯 斛 畔）

修改稿收到日期為2024年8月16日。