符合ISO 26262要求的汽车起停系统功能安全开发

符合ISO26262要求的汽车起停系统功能安全开发刘佳熙于世涛郭辉联合汽车电子有限公司，上海201206【摘要】介绍了符合ISO26262要求的汽车起停系统功能安全开发的相关内容，包括针对起停系统的危害分析和风险评估，并分析了根据ISO26262过程开发的功能安全和技术安全概念和标准要求的验证、确认和认可过程。【ABSTRACT】RELATEDCONTENTOFFUNCTIONALSAFETYDEVELOPMENTOFANAUTOMOTIVESTARTANDSTOPSYSTEMISPRESENTED，INCLUDINGHAZARDANALYSISANDRISKASSESSMENTOFSTARTANDSTOPSYSTEM，FUNCTIONALSAFETYANDTECHNICALSAFETYCONCEPTSDEVELOPEDBYISO26262METHODOLOGIES，ANDVERIFICATION，VALIDATIONANDCONFIRMATIONPROCEDURESACCORDINGTOSTANDARDREQUIREMENTS【关键词】标准起停系统功能安全汽车DOI103969JISSN10074554201404140引言先进的现代汽车上，电子电气系统控制着驱动系统、行驶稳定性系统、驾驶员辅助系统等与安全相关的应用。未来，可以预见由于功能创新和需求增加，电子电气系统的复杂性将继续提升。由系统性和随机硬件失效导致的安全风险将随系统复杂性提高而增加，而社会及公众对汽车产品的安全性要求则越来越高。为解决这一矛盾，国际标准组织已经发布了关于汽车电子电气系统功能安全的国际标准ISO26262，将ISO26262引进成为国标的工作也正在有序进行。ISO26262发布后开发的汽车电子电气产品必需满足该标准的要求。ISO26262提供了汽车电子电气产品功能安全开发的过程和方法论。文献对ISO26262涉及的内容已经进行讨论，包括标准内容解析、流程建立方法、ASIL评估及安全目标制定以及若干设计概念，但鲜有符合ISO26262要求的实际产品开发收稿日期2014一O1一叭本文为上海市汽车工程学会2013年优秀论文。上海汽车201404案例。本文介绍符合ISO26262要求的汽车起停系统实际工程应用，包含功能安全相关的概念开发和系统设计，以及依据ISO26262标准的验证、确认和认可过程。本文首先简要介绍关于建立符合ISO26262要求的过程体系的经验；然后介绍汽车起停系统的危害分析和风险评估；再次介绍根据ISO26262方法开发的汽车起停系统的功能安全概念和技术安全概念实际案例；最后介绍根据ISO26262要求对汽车起停系统功能安全开发进行的验证、确认和认可1建立符合ISO26262要求的过程建立符合ISO26262要求的过程体系是可以声明产品符合ISO26262要求的前提条件。ISO26262提供了一个完整的汽车安全生命周期，并在其中的每个阶段要求执行必要的安全活动及输出相应的工作产品。产品的安全性包括安全概念和59具体技术设计，是执行上述安全活动的结果。由工作产品和相关证明组成的安全案例，最终成为产品符合ISO26262要求的证明。ISO26262在整个安全生命周期中要求100余个工作产品，对标准实施者是一个挑战。然而，汽车行业在过程体系方面已有良好的基础，例如CMMI和ASPICE等；ISO26262采用的V模型开发过程也是汽车电子行业最常用的开发过程。因此，实施ISO26262的有效方式是在企业已建立的过程体系基础上，加入ISO26262的重要工作产品，将安全生命周期融人产品生命周期当中。如此不但能够降低实施ISO26262的成本，同时也保证功能安全活动得到有效执行。以下描述的汽车起停系统功能安全开发即在根据上述原则建立的过程体系中得以实现。在以上对象定义的基础之上，即可根据ISO26262提供的方法对起停系统进行危害分析和风险评估。在汽车行业的分布式开发模式中，危害分析和风险评估应为汽车生产商OEM的责任。OEM应当将危害分析和风险评估的结果提供给供应商，作为项目输入，并作为输出确认的标准之一。然而，不同OEM确定的危害分析和风险评估结果可能有所差异，另外供应商在进行预研或先期项目时，也可能无法获得OEM的正式输入，在这种情况下，供应商可以根据合理的假设进行分析，开发平台解决方案。表1列出了针对汽车起停系统危害分析和风险评估的部分内容，由于ISO26262提供的风险评估方法是定性的，所以对同一危害最终得出的ASIL可能不一致，供应商可以权衡多种因素以确定平台解决方案。2起停系统的危害分析和风险评估表1汽车起停系统的危害分析和风险评估汽车起停系统以降低燃油消耗为目的，在临时停车时自动关闭发动机，起步时再自动控制发动机起动。汽车起停系统属于电子电气系统，其故障可能导致对驾驶员的伤害，因此应按照ISO26262要求进行功能安全开发。功能安全开发的第一步是对起停系统这一开发对象进行适当的定义和描述。如图1所示，汽车起停系统包括传感器、控制功能和执行器。其主要控制功能一般集成于发动机管理系统；执行器是起动电机；起停系统的传感器可能直接连接于发动机控制器，也可能连接于其它控制器，其它控制器与发动机控制器之间经过CAN传递信息。60发动机控制器其他控制器L图1起停系统结构简图M危害工况QMASILAASILBAS1LCASILD交通路口等待行人通过非期使用档位进行坡望的道驻车自动有行人的停车场00起动密闭车库，乘客在车中睡着非期高速路行驶0望的转弯行驶自动停机根据危害分析和风险评估，起停系统的安全目标可确定为避免非期望的发动机起动及由此导致的车辆运动ASILB；对应的安全状态为终止发动机起动。根据起停系统的对象定义和表1中涉及的工况，安全目标可具体解释为避免传动链结合时自动起动发动机；避免驾驶员不在座位时自动起动发动机。3起停系统的功能安全概念功能安全概念是功能安全开发的输入，可以上海汽车201404冒一一一一一一一一懈使用安全分析方法支持功能安全概念的开发活动，以得到完整和有效的功能安全概念。常用的安全分析方法包括失效模式及影响分析FMEA、故障树分析FTA等。如图2是在汽车起停系统初步架构假设图1基础上进行的故障树分析FTA节选。根据故障树分析的结果，可以为汽车起停系统开发功能安全概念，如表2所示。对于配备手动变速器的汽车起停系统，本文假设功能要求在空档或离合器处于底位时，可根据功能需要自动启动发动机；对于配备自动变速器的汽车起停系统，本文假设功能要求为在PND档均可进行自动起停。图2汽车起停系统概念阶段的故障树分析4起停系统的技术安全概念和系统设计在系统开发阶段，技术安全概念确定了功能安全需求的技术解决方案，并最终实现于系统设计中。对于同一个功能安全需求，可能有不同的技术实现方案，即产生不同的技术安全需求，例如对表2中FSR3，可以选择在空档位置具有独立传感源的传感器，也可以使用单路信号传感器并在空档位置另外设置触点开关，甚至可以使用发动机转速和车速的关系作为空档位置的冗余信号来源。系统开发者应当根据项目特点选择合适的技术方案。如图3所示为本文提出的起停系统功能安全系统设计简图。其中对于手动变速器，离合器位置传感器和空档传感器采用了带有冗余传感源的传感器，并在软件中进行校验，满足了FSR14的要求。对于自动变速器，由变速器控制器保证档上海汽车201404表2汽车起停系统的功能安全概念FTA中编号功能安全需求ASIL系统元素的故障离合器位置传感器在离合器离合器位FSR1底位具有冗余独立的信号ASILB置传感器手动变速器对离合器底位冗余信号进行发动机FSR2ASILB校验控制器空档传感器的空档位置信号FSR3具有冗余独立的信号手动ASILB空档传传感器变速器感器故障FSR4对空档位置冗余信号进行校ASILB发动机验控制器变速器控制器保证档杆位置变速器FSR5信号PND的完整性ASILB控制器自动变速器驾驶员在座判断根据独立冗发动机FSR6ASILB余信号控制器信号传递CAN途径中的FSR7经CAN传递的信息受冗余AS】LB信息的保护节点故障信号处理FSR8发动机控制器中对安全相关ASILB发动机软件BUG软件采用软件冗余控制器控制软件冗余软件分别位于互补干涉发动机BUGFSR9AS1LB的软件分区控制器控制器硬FSR1O发动机控制器具有自检测机ASILB发动机件故障制控制器发动机控起动电机FSR11由独立冗余的两个继电器驱ASILB制器启动驱动故障动启动电机电机驱动杆信号完整性，并通过CAN协议中的数据冗余校验字节共同保证传输通道的完整性，满足FSR5和FSR7的要求。驾驶员是否在座位可以通过安全带扣开关、车门开关的组合逻辑判断，避免了单个传感器失效造成安全机制失效，满足了FSR6的要求。发动机控制器具有满足FSR9要求的、由智能看门狗支持的自检测机制。利用自检测机制，可以在控制器中划分互不干涉的软件分区1和2。对功能安全需求FSR89，FSR1213进行ASIL分解，分解后的QMB需求由非安全相关功能软件分区1实现，ASILB安全需求由安全相关功能软件分区2实现，可以证明软件分区1和2在软件角度上是相互独立的。这样既保证了控制功能以ASILB等级的完整性实现了安全需求，又限制了安全相关软件的规模，降低了开发工作量和成本。61最后，根据FSR11，设计了两个继电器驱动起动电机。嚣蜜藏一一一发动机控制嚣电懋曼F“一MCU硬件故障保护器全带扣开关L2欺件分区1QMBBL驱动一车门开关董L掳JJ一；一J拍裕L敞件分区2ASILBB宙望。L及校验L功能9L匿一、ISO26262要求若干重要的工作产品经过具有独立性人员的认可，包括功能安全评估。然而，独立性与认可能力具有负相关性，因为独立性往往意味着缺乏设计相关的具体知识。ISO26262并未要求认可必须由第三方独立机构进行，起停系统相关的认可工作即可依据ASIL要求由具有相关能力和合适独立性的公司内部人员或客户进行。、6结语二蔓二手动变速器相关配置L二I自动变速器相关配置图3起停系统功能安全系统设计简图5根据ISO26262要求的验证、确认和认可根据ISO26262要求的验证、确认和认可是确保产品满足ISO26262的重要步骤。验证包括回顾和测试，目的是确保工作产品满足相关的需求。在设计阶段，针对起停系统的安全需求、安全功能设计、安全功能实现和编码等，均按照公司内部的相关工作指导书进行回顾。在测试阶段，首先按照ISO26262的测试覆盖率要求，对起停系统的软件模块进行测试；其次，将起停功能集成于系统中，进行集成测试。集成测试包括根据表2需求的测试项目，另外还进行故障插入测试，例如屏蔽图3中软件分区1中的安全相关功能，插入传感器故障，测试软件分区2是否能够实现安全需求。安全确认的目的是证明安全目标和功能安全概念对于对象的功能安全是合适的，并且安全目标在车辆层级中已经正确和完整地实现。由于OEM是安全目标和功能安全概念的拥有者，并负责最终的批产车辆集成，进行安全确认应当是OEM的责任。然而，公司仍有必要进行内部的安全确认，本文起停系统的内部安全确认由独立于开发部门的车辆匹配部门进行，相关工程师以安全目标和功能安全需求为基础，对起停系统进行独立于设计者角度的黑箱测试。62ISO26262为汽车电子电气系统的功能安全开发提供了过程指导和方法论。根据ISO26262进行功能安全开发，可以获得合适和完整的功能安全概念和相关设计，从而提高产品安全性和竞争力。ISO26262提供了客户和供应商在功能安全方面共同工作和沟通的平台，重要的是开始实践标准并持续改进，本文描述了符合ISO26262ASILB要求的汽车起停系统功能安全开发范例，可作为在实际开发中实施ISO26262的参考。参考文献1刘佳熙，郭辉，李君汽车电子电气系统的功能安全标准ISO26262J上海汽车，2011102还宏生汽车设计中的安全要求及ISO26262标准J汽车零部件，2012103REINHOLDHAMANN，JARGENSAULER，STEFANKRISOETA1APPLICATIONOFISO26262INDISTRIBUTEDDEVELOPMENTISO26262INREALITYJSAE20091758，200914SRBASTIENCHRISTIAENS，JUERGENOGRZEWALLA，STEFANPISEHINGERFUNCTIONALSAFETYFORHYBRIDANDELECTRICVEHICLESJSAE2012010032，201215徐秀华，陈勇，罗大国等ISO26262概念设计阶段在自动变速箱控制系统中的应用J汽车与安全，201266文凯，夏珩，裴锋等基于ISO26262的电动四驱混合动力系统功能安全概念设计J