纪宏岩，崔书超，孙灿，张进明

（北京汽车研究总院有限公司，北京　101300）

基于ISO 26262的道路车辆功能安全开发流程解读

纪宏岩，崔书超，孙灿，张进明

（北京汽车研究总院有限公司，北京101300）

ISO 26262定位于汽车领域的电子电器部件，旨在提高汽车电子、电气产品的功能安全。解读ISO 26262标准的目的是使人们更好地理解安全的相关功能，并尽可能明确地对它们进行解释，同时为避免潜在风险提供了可行性的方法和流程。ISO 26262为汽车安全提供了一个生命周期的理念，它从管理到开发、生产、经营、维护直至报废等阶段都提供了必要的技术和管理支持。

ISO 26262；功能安全；风险评估；电子电器架构

安全是未来汽车发展面临的首要问题之一，汽车的新功能不仅仅在辅助驾驶范围，还有车辆动态控制和主动被动的安全系统等日益触及的安全工程领域。随着系统复杂性的提高、软件和机电设备的应用，来自系统失效和随机硬件失效的风险也日益增加，在汽车开发领域迫切需要先进的开发流程和技术来保证汽车的使用安全。在这样的背景下，ISO组织在2011年11月份正式颁布了和汽车相关的功能安全标准ISO 26262［1］。

功能安全早在2000年就已经有了相关标准IEC 61508，它是国际电工委员会发布的《电气／电子／可编程电子安全系统的功能安全》，IEC 61508是针对所有电气／电子／可编程电子系统，没有局限在某一个行业。后来，随着各自行业的发展，慢慢地衍生出了很多行业相关的功能安全标准。比如，过程工业的IEC 61511、机械工业的IEC 62061、核电的IEC 61513等，而ISO 26262就是专注于汽车领域的功能安全标准［2］。

1　ISO 26262协议介绍

制定道路车辆功能安全标准的目的是使工程师或者用户对安全相关功能有一个好的理解，并对出现的潜在风险进行解释，同时为避免这些风险提供了具有可行性的方法和流程。

采用ISO 26262能够确保汽车零部件从最开始就是在高安全等级下生产。该标准能够用于建立一个安全的管理体系，使得该体系满足国际认可的最佳实践和风险管理的最新方式，从而提高供应商或者主机厂的竞争优势。汽车生产商则应将ISO 26262的符合性作为考核零部件和潜在电气电子组件供应商的标准。

ISO 26262是一个多部分组成的标准，为实现道路用车在电子电气系统中的功能性安全定义出要求并提供指南。该标准被认为是实现道路用车的功能性安全的最佳实践框架。

道路车辆功能安全标准ISO 26262共分为10章，分别从功能安全管理、概念、系统级研发、软硬件的研发、生产和操作等方面对产品的整个生命周期进行了规范和要求，从而使得产品在各个生命周期都比较完善地考虑了其安全功能。如图1所示。

2　车辆功能安全的开发流程

ISO 26262的开发流程首先是从项目定义开始的。项目定义就是对所研发项目的一个描述，其包括了项目的功能、接口、环境条件、法规要求、危险等内容，也包括项目的其他相关功能、系统和组件决定的接口、边界条件等［3］。

2.1概念开发

根据项目是新产品研发或者既有产品更改决定后续的流程，称之为安全生命周期初始化。如果是既有产品更改，就要对产品进行影响分析，影响分析的结果决定整个生命周期中的哪些流程可以省略，不用考虑。

安全生命周期初始化之后，首先进行危害分析和风险评估。一个项目的ASIL等级就是通过这个阶段确定下来的。ASIL全称是车辆安全完整性等级，标准中用A、B、C、D4个级别来规定项目或者单元所需的ISO 26262要求以及安全措施，来避免不合理的残余风险，D代表最大严格度，A代表最小严格度［4］。一旦项目的ASIL等级确定下来，项目的后续所有开发流程及开发方法都要按照相应的ASIL等级要求进行开发，因此这个阶段在功能安全开发的整个流程中至关重要。

危害分析和风险评估时，要充分考虑发生危害时汽车所在驾驶情景的暴露率、交通参与者对事故的可控性以及危害对交通参与者造成伤害的严重程度。通过这3个指标确定项目的ASIL等级，同时为每一个风险设立安全目标，并根据项目的ASIL等级给安全目标确定合适的ASIL等级。

接下来的功能安全概念的环节要考虑系统的基本架构，将由安全目标得到的整体安全需求分配到项目的元素中去，同时具体和细化定位到每个项目元素中的功能安全要求。超出边界条件的系统和其他技术可以作为功能安全概念的一部分来考虑。对其他技术的应用和外部措施的要求不在ISO 26262考虑的范围之内［5］。

2.2系统级开发

有了具体的安全需求之后，接下来就是进行系统级开发了。可以从安全需求得到技术安全要求规范，系统级开发的过程基于V模型的开发流程。

在V模型的左边首先是“系统级产品开发的启动”，这个环节主要是依据实际情况更新项目计划和安全计划，还需要创建测试计划、确认计划和评估计划；接下来要明确技术安全需求规范，技术安全需求规范是从功能安全要求和系统或者单元的架构设计中得到的，在这个规范里主要描述了识别和控制系统自身故障，以及其它系统故障的机制、安全状态的达到或保持措施、警示和降级方案的措施等。有了技术安全需求规范之后，就进入到了系统设计阶段。系统设计阶段主要完成这几项工作：上述各项安全措施如何实现、进一步细化系统架构、借助安全分析的安全设计验证（FMEA，FTA）、明确硬件和软件的接口规范等。系统设计之后就进入到了具体的硬件设计和软件设计阶段。

系统级开发的V模型右边的流程首先是项目集成和测试。这主要是测试所设计的安全功能是否满足技术安全需求，每个安全需求都应该被验证，并且要选用ASIL相关的测试方法［6］。项目在集成和测试之后，就要进行安全确认，安全确认可以由公司内部的研发工程师开展，主要是站在整车层面确认系统设计是否能够完全实现最初的安全目标和安全需求。安全确认之后是安全评估，安全评估一般是找第三方进行，通过评估来确认是否所有工作都正确、完整地开展了，并且安全等级是否达到了相应ASIL的要求。安全评估完成之后，最后一个阶段就是产品发布。在这一阶段需要制定生产和操作计划，以及对产品的生产、操作、服务和拆解的相关要求。通过这些相关的计划和要求以及规章制度，保证产品在生产和使用环节满足功能安全的要求。

2.3硬件开发

系统级开发之后，硬件级的产品开发也要符合V模型概念。V模型左边的第1个环节是硬件级产品研发的启动。这个过程主要是计划活动，根据项目的大小和复杂程度，来计划和确定这个阶段的活动和支持过程。然后确定硬件安全需求规范，软、硬件安全需求规范都是由系统阶段的技术安全需求规范拆分得到的。根据硬件安全需求规范，要进行硬件设计，硬件设计包括硬件架构设计和硬件详细设计。

硬件架构设计应表示出所有硬件组件及彼此间的关联，并且要实现规定的硬件安全需求。应该清楚地描述出硬件安全需求和硬件组件之间的关系，可充分信赖的硬件组件可以考虑复用。在硬件架构设计时，还应考虑安全相关硬件组件失效的非功能因素。比如：振动、水、尘、EMI等。硬件详细设计是指在电气原理图级别上的设计，应表示出硬件组件的零部件间的相互关联。

接下来是计算硬件的量化指标，在功能安全开发的过程中有3个指标是可以量化的，分别是单点故障指标、潜在故障指标和随机硬件失效率。前2个指标表示的是所设计的安全功能的能力，也可以简单理解为安全机制的优劣，指标越高，表示所设计的安全机制越好。最后一个指标表示硬件的可靠性，这个指标越高，可以简单理解为安全机制越耐用。对于不同ASIL等级的产品，这3个指标的要求是不同的，因此在这个阶段需要计算一下量化指标，看看是否满足相应的ASIL等级要求。

在硬件设计的最后阶段就是进行硬件集成与测试，主要测试设计的硬件是否能够实现预期的功能。

2.4软件开发

在硬件级的产品开发的同时，软件级的产品开发也应符合V模型思想，软件级产品与传统开发流程相比，多了软件安全需求规范和验证软件安全需求2个环节。软件安全需求规范也是从技术安全需求规范而来，至于验证软件安全需求这个环节，ISO 26262规定了硬件在环、搭建电子控制器网络环境和实车测试等严格的测试环境的要求。除此之外，对于软件架构设计、软件单元设计和实现、软件单元测试、软件集成和测试这4个环节，ISO 26262也规定必须要根据具体的ASIL等级选用不同的设计和测试方法。

3　总结

道路车辆功能安全标准ISO 26262就是通过上述的这些流程阶段，以及每个阶段所必须考虑的措施、方法和具体技术的要求，将各个阶段的要求和如何满足要求的措施都进行逐一落实，通过流程和技术两方面的共同约束才可以设计、制造出满足功能安全要求的安全产品。

［1］刘佳熙，郭辉，李君.汽车电子电气系统的功能安全标准ISO 26262［J］.上海汽车，2011（10）：57-61.

［2］袁兰秀.汽车电子电气系统功能安全标准ISO26262的几点探讨［J］.科技资讯，2013（8）：245-245.

［3］尚世亮，王雷雷，赵向东.基于ISO 26262的车辆电子电气系统故障注入测试方法［J］.汽车技术，2015（12）：49-51，58.

［4］张东.EPS控制器的可靠性优化及其基于ISO 26262的正向开发［D］.吉林大学，2015.

［5］还宏生.汽车设计中的安全要求及ISO 26262标准［J］.汽车零部件，2012（10）：41-43.

［6］王丹，周晓翠，雍建军.CMMI及ISO 26262标准在汽车电子软件开发中的部署［J］.电子技术与软件工程，2015（21）：72-74.

（编辑杨景）

Understanding of Vehicles Functional Safety Development Process Based on ISO 26262

JI Hong-yan，CUI Shu-chao，SUN Can，ZHANG Jin-ming
（BAIC Motor Technology Centre，Beijing 101300，China）

ISO26262 is making for improving functional safety of the electronic components in the automotive field.The interpretation of the ISO26262 helps people better understand safety related functions，and provides methods and process to avoid the potential risks.ISO26262 provides a life cycle concept for automobile safety，which includes necessary technical and managerial support for management，development，production，operation and maintenance.

ISO 26262；functional safety；risk assessment；electrical structure

U472.7

A

1003-8639（2016）07-0057-03

2016-03-15

纪宏岩（1982-），男，黑龙江铁力人，硕士，工程师，从事汽车电器开发工作；崔书超（1988-），男，河南平顶山人，硕士，工程师，从事汽车网络开发工作。