汽车功能安全

01、功能安全的定义

“功能安全”的定义为：不存在由于电子/电气系统而导致的不合理、不可接受的风险。也就是说，当电子/电气系统发生故障后，汽车仍然能够处于安全行驶状态，不会导致不可控的危险。

功能安全的概念初步形成于上个世纪60年代。到20世纪70-80年代时，世界范围内发生了多起由于相关控制系统功能失效而导致的爆炸或严重污染物泄露事件。例如：1979年3月28日美国宾夕法尼亚州三哩岛核电站由于通向蒸汽发生器的阀门非正常关闭而导致的核泄漏问题和1986年4月26日前苏联乌克兰基辅背部切尔诺贝利核电站由于压力管式石墨慢化沸水反应堆（RBMK）的设计缺陷导致、尤其是控制棒的设计缺陷所导致的核电站爆炸事故，成为首例被国际核事件分级表评为第七级事件的特大事故。

这些事故的发生很大程度上都是由于功能失效和设计缺陷而引起的。人们逐渐意识到，必须采取措施，通过法律法规来规避设计缺陷，从而减少由于功能失效而导致的危险事故发生的频率。功能安全标准的研究便从此开始。

02、功能安全的相关标准

关于功能安全的研究从20世纪70年代就已经开始了。第一个与安全相关的标准诞生于20世纪70年代的德国，是关于锅炉/燃烧器启停控制技术的。

1994年5月，德国TÜV SÜD集团的技术专家技术针对测量和控制设备出现的安全性问题，颁布了DIN V 19250标准。1996年2月，美国国家标准委员会针对过程工业安全仪表系统的安全性问题，颁布了ANSI_ ISA-84.01《过程工业安全仪表系统的应用》标准，首次提出了安全完整性水平的概念。2000年5月，国际电工委员会正式发布了IEC 61508标准，即《电子/电气/可编程电子安全系统的功能安全》。

此后，各行业在IEC61508的基础上，针对各自行业制定了相应领域的功能安全标准。比如，针对汽车工业的道路车辆功能安全标准 ISO26262，针对机械工业的 IEC62061，针对过程工业的 IEC61511，针对铁路安全的 EN50129，针对家电行业的 IEC60730，针对现场总线的 IEC61784，针对核工业领域的 IEC61513，针对医疗设备领域的 IEC62304……
图1 功能安全相关标准

与此同时，为了促进国内汽车电子产业的发展，国家标准委员会于2012年开始着手准备道路车辆功能安全标准的制定工作并于2012年8月完成立项。2017年11月14日，国家标准委员会正式发布GB/T34590 《道路车辆 功能安全》标准，并于2018年5月1日正式实施。2018年12月，《道路车辆 功能安全》标准 ISO26262第二版正式发布。相对于 ISO26262第一版而言，第二版做了一些修改和完善——适用范围从最初的“重量不超过3.5t的乘用车”扩展到了“卡车、乘用车、公交车和摩托车”；此外还增加了半导体层面的安全开发指南。

03、功能安全的开发流程

为了避免由于电子/电气系统失效而引起的系统失效，ISO26262 从管理、研发、生产、运行、服务、拆解及改装等方面提供了汽车全生命周期的开发流程和规范。

其开发流程如下图所示：

图2 ISO26262产品开发流程

3.1 系统级产品开发
为了避免不合理及不可控风险的发生，系统及产品开发过程中要设置安全机制来维持汽车的安全状态，主要包括：安全状态的切换、故障容错时间间隔的设置、应急操作时间间隔的设置和维持车辆安全状态的措施。

在系统设计时应考虑以下几个问题：①系统设计的可验证性；②软、硬件的可实现性；③系统集成中执行测试的能力。

3.2 硬件级产品开发

对于每一个安全相关的硬件和零件，在确定的安全目标下都应该考虑以下几个因素：①安全故障；②单点故障；③多点故障。

单点故障是指在一个单元中，没有被安全机制所覆盖并且会直接导致违反安全目标的硬件故障；潜在故障是指在多点故障检测时间间隔内不能被安全机制检测出来、也不能被驾驶员识别的多点故障，其本质是多点故障。

硬件体系结构的评价指标主要有三个，即：单点故障指标，潜在故障指标和随机硬件失效率。其对应的具体指标如下图所示：

图3 单点故障指标

图4 潜在故障指标

图5 随机硬件失效率指标

3.3 软件级产品开发

软件体系设计的目标主要是设计软件体系结构以实现软件安全需求和校验软件体系结构。

在软件体系开发的过程中，应考虑以下几个因素：①软件架构设计的可验证性；②配置软件的适用性；③软件单元的设计和实施的可行性；④软件集成测试中的软件体系结构的可测试性；⑤软件体系结构设计的可维护性。为了减少由于软件部分过度复杂而造成的故障，软件设计应按照如下原则进行设计：①模块化；②封装性；③简单化。

最后，要进行软件系统的集成测试和验证，主要包括模型在环测试、软件在环测试、处理器在环测试和硬件在环测试。