基于ISO26262开发汽车电子电气产品的一般性实践

2021-11-03欧阳娟

电子技术与软件工程 2021年18期

关键词：框图危组层级

欧阳娟

（博世汽车部件（长沙）有限公司湖南省长沙市 410100）

随着国家制定2030年实现碳达峰，2060年实现碳中和目标。在此背景下进一步推动了新能源汽车普及的速率。其中新能源汽车主要有两大技术趋势：

（1）乘用车趋向于选用纯电动汽车技术。

（2）商用车趋向于选用氢燃料电池技术。

新能源汽车新涌入互联网公司等IT 玩家，汽车的功能为解决人们的出行需求已不再能满足人们的需求，而自动驾驶，智能座舱，人工智能等新技术逐渐受到人们的青睐。由此带来汽车的电子电气子系统从以前的几百突然急剧增加到几千。而如何确保让如此多的电子电器子系统从功能上实现安全，功能安全标准（ISO26262）就成为电子电气子系统开发过程中强有力的保障。

1 功能安全需求定义

根据ISO26262-3:2018 得知，电子电气子系统的开发首先需要站在整车的角度对子系统进行危害及风险分析（Hazard and Risk Analysis, H&R），通过H&R 分析，我们就可以得到ASIL（Automotive Safety Integration Level, ASIL）等级，ASIL 等级由严重度（Severity, S），发生概率（Exposure, E），可控度（Controllability, C）三个参数共同决定。即ASIL = f(S,E,C)。以安全气囊为例阐述依据ISO26262-3 得到的H&R 结果。如表1、表2、表3 所示。

基于表2 的结果，我们就可以得出安全目标。对于同一个ASIL 等级可以有多个安全目标，至少是一个安全目标。

2 系统概念设计

以安全气囊为例，如图1 所示，安全气囊子系统主要由控制单元，气囊，传感器三部分组成。控制单元不断地检测传感器信号并处理和计算，一旦符合气囊弹开条件，则控制单元发出指令使气囊弹开。

图1：安全气囊子系统结构框图及ASIL 分解

表1：安全气囊功能异常分析

表2：安全气囊H&R

表3：ASIL 评级表

通过通读ISO26262 标准中的内容，不难发现ISO26262 广泛地接受各种分析工具以使得设计人员可以设计出功能安全地产品。主要的工具有：

（1）框图。

（2）相关失效分析（DFA）。

（3）失效模式影响和诊断分析（FMEDA）。

ISO26262 传达出的一个比较重要的理念就是尽量设计简洁的系统。因此框图就起到了一个很好的作用：

（1）虚拟的框图明确定义每个子模块的功能，通过框图让设计人员思考整个系统的完整性比设计本身更重要。

按照IPI评分标准，将NHL分为高危组17例（20.2%）、中危组30例（35.7%）和低危组37例（44.1%）。高危组、中危组和低危组SUVmax分别为 14.24±6.11、9.22±6.09和 8.24±5.00，高危组SUVmax明显高于中危组和低危组（P值均＜0.01），而SUVmax在中危组和低危组间的差异无统计学意义（P＞0.05）。

（2）基于框图可以做概念性的安全分析，尤其对于信号流的分析。

图1 是一个用用框图方法的简单例子。一个简单的原则就是框图的层级不超过4 层。

对于DFA 和FMEDA 本文就不在赘述。