功能安全标准ISO26262在汽车电子电器开发中的应用

南京航空航天大学金城学院车辆工程系 卢 静

功能安全标准ISO26262在汽车电子电器开发中的应用

南京航空航天大学金城学院车辆工程系 卢 静

功能安全标准ISO26262是汽车业界继品质和环境后，专门面向电子电器部件安全性的国际标准。欧美和韩日厂商在该领域已经有了较深的积累，而我国的厂商在该领域还处于摸索阶段。本文论述了ISO26262标准指定的背景，该标准的核心的功能安全级别ASIL的推导过程，以及标准对不同ASIL等级的系统的方法要求。

功能安全；ISO26262；汽车电子电器

1.引言

本文介绍了功能安全标准ISO26262的制定背景和主要内容，从核心内容的功能安全管理、过程管理和支持过程三个方面分别进行了论述。在此基础上，对功能安全等级ASIL的推导方法，以及标准对不同ASIL等级的指导方法进行了深入的论述和举例说明。

2.ISO26262制定的背景

从汽车行业规格的历史动向上可以看出，继品质和环境后，安全成为汽车行业第三个标准要求。

ISO26262建立在电子电气及可编程器件功能安全基本标准IEC61508之上，专门为汽车行业定制，用于汽车行业中特定的电气器件、电子设备、可编程电子器件等专门用于汽车领域的部件，旨在提高汽车电子、电气产品功能安全的国际标准。［1］

ISO26262从2005年起正式开始制定，于2011年11月正式颁布，成为国际标准。功能安全标准ISO26262适用于安装在最大总质量不超过3.5吨的量产乘用车上的包含一个或多个电子电器系统的与安全相关的系统。而特殊用途车辆（例如为残疾驾驶者设计的车辆）不包含在适用范围内。［2］

预计在2018年将发布下一代功能安全标准，届时商用车和摩托车也很有可能被定义在适用范围内。

中国也正在积极进行相应国标的制定，目前意见征求稿已经公开，预计2016年末将正式发布相应的道路测量功能安全国家标准。

ISO26262标准分为10个章节：术语的定义（术语集）；功能安全管理；概念阶段；产品开发（系统层面）；产品开发（硬件层面）；产品开发（软件层面）；生产和运行；支持过程；ASIL指向、安全目标的分析；ISO26262指南等。为汽车安全提供了整个生命周期（管理、开发、生产、经营、服务、报废）的流程，并在这些生命周期阶段中提供必要的支持。该标准涵盖功能性安全方面的整体开发过程（包括需求规划、设计、实施、集成、验证、确认和配置）。［3］

功能安全标准的核心分为三个部分，分别是：

第二章 功能安全的管理：包含内容有质量与功能安全管理体系构筑，安全文化和功能安全管理人才的培养，以及各工程配备功能安全管理者。

第三至七章 过程管理：包含V字型开发过程的执行、特别是上游验证的强化，工程阶段的详细化和可追溯，以及风险分析和故障检出工程设计等。

支持过程：包含OEM与供应商之间接口的明确化，变更管理和构成管理，以及开发过程使用的工具等。

3.功能安全等级的导出方法

ISO 26262标准根据安全风险程度，把对系统划分由A到D的安全完整性等级ASIL（Automotive Safety Integrity Level）划分为四个等级，分别是A、B、C、D。A为最低级别，D为最高级别，需要最苛刻的安全需求。在核心过程的部分，标准对每个级别需要达到的功能安全活动，做了详细的划分。因此，OEM和供应商首先需要明确自己的产品的所属的功能安全等级。

功能安全等级由三个象限定义，分别是受害严重程度、发生的概率和可控性。可由以下公式表示：

ASIL = S（Severity） & E（Exposure） & C（Controllability）

按照受害严重程度的定义表，受害严重程度分成四个等级，分别是S0、S1、S2和S3。S0代表事故发生不会导致受伤，如汽车撞到路边的围栏；S1代表事故发生会导致轻微和中度受伤，如汽车与低速行驶车辆的前方或后方碰撞；S2代表事故发生会导致不致命的重伤，如汽车转弯时与行人发生碰撞；最高级的S3代表事故发生会导致致命伤害，如汽车行驶中与中高速乘用车发生侧面碰撞。

按照场景发生概率的定义表，发生概率分成E0到E4五个等级。E0代表事故本身不会发生；E1代表超低概率，约3年会发生1次；E2代表低概率，约1年会发生一次；E3代表中度概率，约1个月会发生1次；E4代表高度概率，几乎每次驾驶都会发生。

按照可控性定义表，事故发生的可控制程度分成C0至C3四个等级。C0代表一般可控，如广播音量突然变化；C1代表可轻易控制，如驾驶中座椅位置调节故障；C2代表通常可以控制，如紧急刹车时的ABS故障；C3代表控制困难和失控，如高速行驶中安全气囊误爆。

标准中，功能安全等级ASIL的定义表由严重度、发生概率和可控度三个维度构成。根据每个维度的等级，可以找到相应的ASIL等级。如某产品的失效严重度：S3，失效发生概率：E2，可控度：C2，我们可以定位到该产品的功能安全等级为ASIL：B。在实际的工作中，在危害分析和风险评估HARA阶段，通过对危险事项和场景的假设，可由该表推导出产品的功能安全等级ASIL。

4.基于ASIL等级的要求

ISO26262针对不同的ASIL等级的系统，对整个流程的各个阶段，制定了方法。对于每种方法，应用相关方法的推荐等级取决于系统的ASIL等级，通常分为三类。

“++”表示对于指定的ASIL等级，高度推荐该方法；

“+”表示对于指定的ASIL等级，推荐该方法；

“○”表示对于指定的ASIL等级，未推荐或反对该方法；

Table 1 软件架构设计验证方法

表1是软件架构设计的验证方法，标准指定了共计7种方法。其中设计走查是最基本的验证方法，ASIL等级为A的系统必须要执行，而其他等级的系统需用其他方法验证。对设计中的动态部分进行仿真是较高级别的要求，它要求为软件架构的动态部分使用可执行的模型，ASIL等级为D的系统必须要使用该方法，而A级B级和C级系统，不必须使用该方法。

Table 2 软件单元测试方法

表2是软件单元的测试方法，标准指定了共计5种方法。其中基于需求的测试和接口测试是共通部分，所有等级的系统都需要使用这两种测试方法验证系统。而背靠背测试是比较复杂的测试方法，它依赖一种能模拟软件单元功能的模型，通常是Simulink模型进行仿真，并比对软件的执行结果和模型的执行结果的一致性，标准指定ASIL等级为C和D的系统使用该方法。

5.结论

本文主要介绍了功能安全标准ISO26262制定的背景和主要内容。重点论述了功能安全等级ASIL的导出方法，以及过程对不同ASIL等级的系统的要求和方法。并对以上内容进行案例分析，对于有计划导入ISO26262标准的组织具有指导性作用。

［1］朱叶，ZHU Ye.基于ISO26262的动力电池系统高压功能安全概念［J］汽车零部件，2013（10）.

［2］Joerg Weber Towards an Aspect Driven Approach for the Analysis，Evaluation and Optimization of Safety within theAutomotive Industry.SAE 2010-01-0208 2010.

［3］刘佳熙，郭，李君.汽车电子电气系统的功能安全标准IS026262［J］上海汽车，2011（10）2.Road Vehicles Functional Safety 2011.