简介

电子技术集成化的快速发展及其在汽车上的大量应用极大推动了汽车产业的发展，汽车对电子技术的依赖程度越来越高的同时，汽车电子电气产品所带来的安全问题越发重要，例如，因各种汽车电控系统软硬件故障而不断出现的汽车召回事件。国家政府部门、汽车整车及零部件企业和用户越来越关注产品的功能安全，在这样的背景下，迫切需要对汽车电子电气产品在设计、研发、检测试验和生产管理等诸多方面提出全新的功能安全要求，ISO26262道路车辆功能安全标准应运而生。 

目前，道路车辆功能安全国家标准也正在转化过程中。基于标准本身的要求，本文对汽车电子领域涉及到电控系统开发过程中的功能安全设计、测试、安全等级评估等内容和方法要求进行研究，为汽车电子功能安全技术的应用提供一些借鉴。

国内外标准化介绍

1. ISO26262标准发展简介

ISO26262是从电子、电气及可编程器件功能安全基本标准IEC61508派生出来的，主要定位在汽车行业中特定的电气器件、电子设备、可编程电子器件等专门用于汽车领域的部件。

ISO26262从2005年11月起正式开始制定，经历了大约6年左右的时间，已于2011年11月正式颁布，成为国际标准。

2. 道路车辆国标发展简介

道路车辆功能安全标准分为11个部分：术语、功能安全管理、概念阶段、产品开发-系统层、产品开发-硬件层、产品开发-软件层、生产和操作、支持过程、汽车安全完整性等级导向和安全导向分析、指南，具体架构如图1所示：

 图1 道路车辆功能安全标准架构

汽车电控系统功能安全设计要求

道路车辆功能安全标准从开发流程、管理方法、技术措施三个大方面提出了对汽车电控系统安全等级的要求。在产品开发阶段，ISO26262按汽车工业中常用的V型开发流程定义相关安全活动：V型的左侧是技术安全需求（功能安全概念的技术实现途径）的制定、系统/软件/硬件设计；V型的右侧是软硬件测试、系统集成测试。

1. 功能安全危害分析与风险评估

提出了确定功能安全等级(ASIL) 的方法，安全等级范围是A、B、C、 D，其中ASIL A安全等级最低，ASIL D安全等级最高。在整车和系统电子设计时，需要确定所设计项目的范围。基于项目定义，确定项目的安全目标，避免不合理的风险。ASIL使用 3个参数进行评估，分别是：危险对驾驶员或其他交通参与人员造成伤害的严重程度S，危险所在工况的发生概率E，危险涉及的驾驶员和其他交通参与人员及时采取控制行动避免特定伤害的能力C。S分为0～3级，如表1所示，S0代表无伤害，S3代表危及生命的重伤或致命伤；E分为0～4 级，如表2所示，E0代表工况不可能发生，E4代表工况是常见的；C分为 0～3级，如表3所示，C0代表完全可控，C3代表非常难于控制。对于每一个识别到的危险，按表4评估风险等级（即汽车安全完整性等级），其中 QM表示与安全无关。

表1 严重性S分级

表2 场景发生概率E分级

表3 可靠性C分级

2.功能安全系统设计

系统级产品功能安全设计要求包括产品开发的启动、技术安全要求中的规范、系统设计、项目集成和测试、安全验证、功能安全评估、生产发布。如图2所示。

在启动产品开发和定义技术安全要求后，进行系统设计。在系统设计过程中建立系统架构，将技术安全要求分配给硬件和软件，并且，如果适用，也可应用其它技术。同时，细化技术安全要求，并添加来自系统架构的要求，包括软硬件接口的要求。根据架构的复杂性，可以逐步得出子系统的需求。开发后，集成硬件和软件要素并测试以形成一个相关项，然后，将该相关项集成在整车上。一旦在整车层面完成了系统集成，进行安全确认以提供与安全目标相关的功能安全证据。

3.功能安全软硬件设计

如图2所示，在系统功能安全设计时，需要制定软硬件接口HIS要求，根据表4分析确定的不同功能安全等级，在进行具体软件和硬件设计时也要有具体要求。总体来说，硬件功能安全设计体现了不同安全等级的定量要求，如表5和表6所示。硬件功能安全要求包括硬件产品开发的启动、硬件安全规格的要求、硬件设计、硬件架构指标、对由于硬件随机失效引起的违反安全目标进行评估、 硬件集成和测试。

软件功能安全等级的定性要求，如图3所示。软件功能安全要求包括软件级产品开发的启动、软件安全要求的规格、软件架构设计、软件单元设计与执行、软件单元测试、软件集成和测试、软件安全要求的验证。

图3 软件功能安全设计要求

汽车电控系统安全等级验证评估要求

汽车电控系统功能安全等级的验证评估主要从测试验证和文档评审来确定。

1. 功能安全测试要求

功能安全测试分为软硬件测试、系统集成测试、整车集成测试。

软硬件测试主要针对软件和硬件设计的具体单元、功能模块进行确认实施，其中硬件测试主要是失效率的验证、功能的确认、EMC等性能测试，软件测试主要是单元模块测试、不同测试方法的覆盖。

系统集成测试主要是对不同安全等级对应的安全场景、故障反应时间、故障处理措施、安全状态的确认。

整车集成实施主要是在实车环境中依据危害分析和风险评估的结果进行各种故障注入测试，确认实车环境下各电控系统能够满足不同功能安全等级的要求。

2. 功能安全文档要求

根据功能安全标准的要求，在功能安全管理、概念阶段、产品系统设计、硬件设计、软件设计、生产发布、支持过程等环节，对应有诸多的功能安全工作成果。对于不同电控系统的设计需求，可以对这些工作成果即文档进行功能安全裁剪。按照标准要求，对这些文档进行审核确认。

3.功能安全等级评估

功能安全等级评估可以分为五个阶段完成：安全理念认可、功能/基本安全试验、硬件安全完整性分析与测试、软件安全性分析与测试、功能安全等级认定。

其中，安全理念认可包括安全管理计划审核、验证与确认计划审核、功能/安全需求规格说明书审核、安全相关的文档体系评估、产品生产质量管理文档评估、已采用的故障避免措施评估。功能/基本安全试验包括安全相关的EMC试验、环境试验、化学试验、故障注入测试、FMEDA分析、安全相关的功能测试等；硬件安全完整性分析与测试包括危险与风险分析、故障注入测试、系统建模与安全参数计算等。软件安全性分析与测试包括软件代码安全性分析、软件架构安全分析、软件测试工作完善性分析、HIL咨询测试、项目开发工具安全适用性分析。依据上述的评审，最终进行功能安全等级的确认。

结论

汽车上电子的元素越多，涉及到的安全隐患就会越大，道路车辆功能安全标准作为国际上各大整车企业和零部件企业共同推出的汽车电子安全设计开发标准，需要国内企业更好地去执行。

本文基于标准的理解，对汽车电控系统在功能安全等级概念分析、系统设计测试、软硬件设计测试各环节进行了技术应用方面的研究，并结合功能安全文档和测试要求，分析整理了符合功能安全等级的评估方法，为汽车电控系统功能安全设计开发提供了的一种技术应用途径。