产品动态-凯发官方首页

        随着道路车辆的系统复杂性提高，来自系统失效和随机硬件失效的风险也日益增加，在汽车开发领域迫切需要先进的开发流程和技术来保证汽车的使用安全，iso组织在2011年11月份正式颁布了和汽车相关的功能安全标准iso26262。其实早在2000年，就有了功能安全的相关标准iec61508 ，是国际电工委员会发布的《电气/电子/可编程电子安全系统的功能安全》。iec61508是针对所有行业的所有电气/电子/可编程电子系统。iso26262则源于iec61508，并定位于汽车领域的电子电气部件，旨在提高汽车电子、电气产品功能安全，iso26262为汽车安全提供了一个生命周期的理念，它从管理到开发、生产、经营、维护直至报废这些阶段都提供了必要的技术和管理的支持。

图1 iso26262 道路车辆功能安全模型

        iso26262标准分为10章，分别从功能安全管理、概念、系统级研发、软硬件的研发、生产和操作等方面对产品的整个生命周期进行了规范和要求,从而使得产品在生命周期的各个阶段都比较完善的考虑了功能安全。本文就对安全生命周期中各主要过程进行描述：

        1、iso26262开发过程首先从相关项定义（item definition）开始，相关项定义就是对所研发对象的一个描述，包括了研发对象（item，可能是一个系统或系统的组合）的功能，接口，环境条件，法规要求，危险等内容，也包括相关项的其他相关功能，系统和组件的接口和边界条件等。

        2、接下来要根据相关项是新产品研发还是既有产品更改，来决定后续的过程，该过程叫做安全生命周期初始化。如果是既有产品更改，就要对产品进行影响分析，影响分析的结果决定整个生命周期中的哪些过程可以省略，哪些过程必须执行。

        3、之后要进行危害分析和风险评估。危害分析和风险评估时要充分考虑发生危害时汽车所在驾驶情景的暴露率，交通参与者对事故的可控性以及危害对交通参与者造成伤害的严重程度，通过这三个指标确定相关项的asil等级。同时为每一个风险设立安全目标，并根据项目的asil等级给安全目标确定合适的asil等级。

        4、接下来的功能安全概念环节，要考虑系统基本架构，将由安全目标得到的整体安全需求分配到相关项的元素中去，同时具体和细化定位到每个相关项元素中的功能安全要求。超出边界条件的系统和其他技术可以作为功能安全概念的一部分来考虑。但对其他技术的应用和外部措施的要求不在iso26262考虑的范围之内。

        5、有了安全需求之后，要进行系统级开发。可以从安全需求导出技术安全要求规范，系统级开发过程是基于v模型的开发过程。v模型左侧首先是“系统级产品开发的启动”，这个环节主要是依据实际情况更新项目计划和安全计划，还需要创建测试计划、确认计划和评估计划；接下来要明确技术安全需求规范，技术安全需求规范是从功能安全要求和系统/单元的架构设计中得到的，该规范主要描述了识别和控制系统自身故障以及其它系统故障的机制、安全状态的达到或保持措施、警示和降级方案的措施；之后就进入到了系统设计阶段，该阶段主要完成这几项工作：上述各项安全措施如何实现、进一步细化系统架构、借助安全分析的安全设计验证（fmea，fta）、明确硬件和软件的接口规范等；系统设计之后进入到具体的软硬件设计阶段，后文详细介绍；系统级开发v模型右侧的过程首先是项目集成和测试，该阶段测试所设计的安全功能是否满足技术安全需求，每个安全需求都应该被验证，并且要选用asil相关的测试方法；之后进行安全确认，安全确认可以由公司内部的研发工程师开展，主要是在整车层面确认系统设计是否能够完全实现安全目标和安全需求；安全确认之后是安全评估，一般由第三方开展，通过评估来确认是否所有工作都正确、完整的开展了，并且安全等级是否达到了相应asil的要求；安全评估完成之后是生产发布，该阶段需要制定生产和操作计划，对产品的生产、操作、服务和报废的相关要求。通过这些相关的计划和要求以及规章制度保证产品在生产和使用环节满足功能安全的要求。

图2 系统级功能安全开发过程

        6、硬件级产品开发也要遵循v模型概念。首先是硬件级产品研发启动，该阶段根据相关项的大小及复杂程度，来计划和确定该阶段的活动和支持过程；随后确定硬件安全需求规范，软、硬件安全需求规范都是由系统阶段的技术安全需求规范拆分得到的；根据硬件安全需求规范进行硬件设计，硬件设计包括硬件架构设计和硬件详细设计，硬件架构设计需表示出所有硬件组件及彼此间的关联。且应清楚描述出硬件安全需求和硬件组件之间的关系，详细设计是指在电气原理图级别上的设计，表示出零部件间的相互关联；接下来是计算硬件的量化指标，分别包括单点故障指标、潜在故障指标和随机硬件失效率等硬件的三个评价指标；前两个指标表示安全功能的能力，可以简单理解为安全机制的优劣，指标越高，所设计的安全机制越好；后一个指标表示硬件可靠性，指标越高可以理解为安全机制越耐用。对于不同asil等级的产品三个指标的要求是不同的，因此在该阶段需要计算一下量化指标，看看是否满足相应的asil等级的要求；硬件设计的阶段就是进行硬件集成与测试，主要测试设计的硬件是否能够实现预期的功能。

        7、硬件级产品开发同时，软件级产品开发也应符合v模型思想，软件级产品与传统开发流程相比多了软件安全需求规范和验证软件安全需求两个环节。软件安全需求规范也是从技术安全需求规范而来，至于验证软件安全需求这个环节，iso26262规定了硬件在环、搭建电子控制器网络环境和实车测试等严格的测试环境的要求。除此之外，对于软件架构设计、软件单元设计和实现、软件单元测试、软件集成和测试这四个环节，iso26262也规定必须要根据具体的asil等级选用不同的设计和测试方法。本文对于具体的开发细节不做更详细的说明。

图3 软件开发流程

        以上这些过程就是道路车辆电子电气系统在设计开发过程中考虑功能安全情况下的一些关键步骤。整个开发过程中，还需要考虑一系列的过程管理的内容，比如需求管理、配置管理、变更管理、文档管理等，本文也不再详述。

        iso26262标准就是在上述过程中，将每个阶段所必须考虑的措施、方法和具体技术要求都逐一落实，通过过程和技术两方面的共同约束才可以设计、制造出满足功能安全要求的安全产品。