基于ISO26262開發(fā)汽車電子電氣產(chǎn)品的一般性實踐

歐陽娟

（博世汽車部件（長沙）有限公司 湖南省長沙市 410100）

隨著國家制定2030年實現(xiàn)碳達(dá)峰，2060年實現(xiàn)碳中和目標(biāo)。在此背景下進(jìn)一步推動了新能源汽車普及的速率。其中新能源汽車主要有兩大技術(shù)趨勢：

（1）乘用車趨向于選用純電動汽車技術(shù)。

（2）商用車趨向于選用氫燃料電池技術(shù)。

新能源汽車新涌入互聯(lián)網(wǎng)公司等IT 玩家，汽車的功能為解決人們的出行需求已不再能滿足人們的需求，而自動駕駛，智能座艙，人工智能等新技術(shù)逐漸受到人們的青睞。由此帶來汽車的電子電氣子系統(tǒng)從以前的幾百突然急劇增加到幾千。而如何確保讓如此多的電子電器子系統(tǒng)從功能上實現(xiàn)安全，功能安全標(biāo)準(zhǔn)（ISO26262）就成為電子電氣子系統(tǒng)開發(fā)過程中強(qiáng)有力的保障。

1 功能安全需求定義

根據(jù)ISO26262-3:2018 得知，電子電氣子系統(tǒng)的開發(fā)首先需要站在整車的角度對子系統(tǒng)進(jìn)行危害及風(fēng)險分析（Hazard and Risk Analysis, H&R），通過H&R 分析，我們就可以得到ASIL（Automotive Safety Integration Level, ASIL）等級，ASIL 等級由嚴(yán)重度（Severity, S），發(fā)生概率（Exposure, E），可控度（Controllability, C）三個參數(shù)共同決定。即ASIL = f(S,E,C)。以安全氣囊為例闡述依據(jù)ISO26262-3 得到的H&R 結(jié)果。如表1、表2、表3 所示。

基于表2 的結(jié)果，我們就可以得出安全目標(biāo)。對于同一個ASIL 等級可以有多個安全目標(biāo)，至少是一個安全目標(biāo)。

2 系統(tǒng)概念設(shè)計

以安全氣囊為例，如圖1 所示，安全氣囊子系統(tǒng)主要由控制單元，氣囊，傳感器三部分組成。控制單元不斷地檢測傳感器信號并處理和計算，一旦符合氣囊彈開條件，則控制單元發(fā)出指令使氣囊彈開。

圖1：安全氣囊子系統(tǒng)結(jié)構(gòu)框圖及ASIL 分解

表1：安全氣囊功能異常分析

表2：安全氣囊H&R

表3：ASIL 評級表

通過通讀ISO26262 標(biāo)準(zhǔn)中的內(nèi)容，不難發(fā)現(xiàn)ISO26262 廣泛地接受各種分析工具以使得設(shè)計人員可以設(shè)計出功能安全地產(chǎn)品。主要的工具有：

（1）框圖。

（2）相關(guān)失效分析（DFA）。

（3）失效模式影響和診斷分析（FMEDA）。

ISO26262 傳達(dá)出的一個比較重要的理念就是盡量設(shè)計簡潔的系統(tǒng)。因此框圖就起到了一個很好的作用：

（1）虛擬的框圖明確定義每個子模塊的功能，通過框圖讓設(shè)計人員思考整個系統(tǒng)的完整性比設(shè)計本身更重要。

按照IPI評分標(biāo)準(zhǔn)，將NHL分為高危組17例（20.2%）、中危組30例（35.7%）和低危組37例（44.1%）。高危組、中危組和低危組SUVmax分 別 為 14.24±6.11、9.22±6.09和 8.24±5.00，高危組SUVmax明顯高于中危組和低危組（P值均＜0.01），而SUVmax在中危組和低危組間的差異無統(tǒng)計學(xué)意義（P＞0.05）。

（2）基于框圖可以做概念性的安全分析，尤其對于信號流的分析。

圖1 是一個用用框圖方法的簡單例子。一個簡單的原則就是框圖的層級不超過4 層。

對于DFA 和FMEDA 本文就不在贅述。

3 硬件設(shè)計

根據(jù)ISO26262，以控制單元設(shè)計為例，控制單元的設(shè)計框圖如圖2。

圖2：控制單元框圖

單點/多點失效分析：

根據(jù)ISO26262 的要求，硬件電路設(shè)計需滿足表4 的要求。

對于單點/多點失效分析，不是所有電路都需要進(jìn)行計算。主要針對對功能安全有影響的電路進(jìn)行分析。

λRF：固有失效率。

4 軟件設(shè)計

對于ASIL D 的系統(tǒng)，軟件開發(fā)所使用的所有軟件工具都必須符合ASIL D 的標(biāo)準(zhǔn)。

通常來說軟件開發(fā)遵循以下步驟：

4.1 架構(gòu)設(shè)計

一般來說架構(gòu)設(shè)計須遵從以下原則：

（1）軟件架構(gòu)可驗證，可維護(hù)。

（2）安全相關(guān)的功能可以落實到對應(yīng)的子單元。

（3）對于系統(tǒng)資源占用的評估（包括：CPU運(yùn)行時間，內(nèi)存占用，CPU 占用率，總線容量）。

4.2 單元設(shè)計

一般來說單元設(shè)計須遵從以下原則：

（1）簡潔性，避免不必要的復(fù)雜。

（2）可測試。

（3）可維護(hù)。

4.3 驗證

驗證主要有靜態(tài)分析和動態(tài)測試。靜態(tài)分析主要是代碼級別，目前有很多寫代碼的軟件自帶這類功能。動態(tài)測試是一個非常重要的手段檢驗代碼質(zhì)量以及可靠性。

5 測試及驗證

ISO26262 推薦使用V&V 方法從系統(tǒng)層級到硬件和軟件層級進(jìn)行驗證。如圖3 所示。

圖3：V&V 方法流程圖

V&V 方法很好的在每一個層級實現(xiàn)了閉環(huán)，設(shè)計通過測試來驗證，驗證通過結(jié)果指導(dǎo)設(shè)計。從左邊設(shè)計從上至下開展；而右邊驗證從下至上開展。驗證需要從系統(tǒng)中最小單元開始。根據(jù)V&V流程，可以很好地保證系統(tǒng)地可靠性和穩(wěn)定性。

6 結(jié)語

本文基于ISO26262 標(biāo)準(zhǔn)闡述了一套標(biāo)準(zhǔn)的一般性功能安全開發(fā)的流程和方法。該方法對于汽車電子電氣系統(tǒng)的開發(fā)具有普遍性和實用性，對于實際的工作具有重要的指導(dǎo)意義。為汽車推動智能化自動化在開發(fā)更加安全的系統(tǒng)提供一份指南。