汽车电子功能安全设计方法的研究

吴丹丹

摘要：随着当前社会经济的发展，汽车制造速度在不断的加快，汽车安全成为汽车在设计中需要解决的首要问题，本文就汽车电子功能安全设计与方法进行阐述。

关键词：汽车；电子功能；安全设计

电子控制系统是汽车的重要组成部分，在设计的过程中要充分考虑其安全性。

一、汽车电控系统功能安全设计要求

（一）功能安全危害分析与风险评估

提出了确定功能安全等级（ASIL）的方法，安全等级范围是A、B、C、D，其中ASILA安全等级最低，ASILD安全等级最高。在整车和系统电子设计时，需要确定所设计项目的范围。基于项目定义，确定项目的安全目标，避免不合理的风险。ASIL使用3个参数进行评估，分别是：危险对驾驶员或其他交通参与人员造成伤害的严重程度S，危险所在工况的发生概率E，危险涉及的驾驶员和其他交通参与人员及時采取控制行动避免特定伤害的能力C。S分为0～3级，如表1所示，S0代表无伤害，S3代表危及生命的重伤或致命伤；E分为0～4级，E0代表工况不可能发生，E4代表工况是常见的；C分0～3级，C0代表完全可控，C3代表非常难于控制。对于每一个识别到的危险，按评估风险等级（即汽车安全完整性等级），其中QM表示与安全无关。

（二）功能安全系统设计

系统级产品功能安全设计要求包括产品开发的启动、技术安全要求中的规范、系统设计、项目集成、安全验证、功能安全评估、生产发布。在启动产品开发和定义技术安全要求后，进行系统设计。在系统计过程中建立系统架构，将技术安全要求分配给硬件和软件，并且，如果适用，也可应用其它技术。同时，细化技术安全要求，并添加来自系统架构的要求，包括软硬件接口的要求。根据架构的复杂性，可以逐步得出子系统的需求。开发后，集成硬件和软件要素并测试以形成一个相关项，然后，将该相关项集成在整车上。一旦在整车层面完成了系统集成，进行安全确认以提供与安全目标相关的功能安全证据。

（三）功能安全软硬件设计

在系统功能安全设计时，需要制定软硬件接口HIS要求，分析确定的不同功能安全等级，在进行具体软件和硬件设计时也要有具体要求。总体来说，硬件功能安全设计体现了不同安全等级的定量要求，硬件功能安全要求包括硬件产品开发的启动、硬件安全规格的要求、硬件设计、硬件架构指标、对由于硬件随机失效引起的违反安全目标进行评估、硬件集成和测试。软件功能安全要求包括软件级产品开发的启动、软件安全要求的规格、软件架构设计、软件单元设计与执行、软件单元测试、软件集成和测试、软件安全要求的验证。（见表1、表2）

二、汽车电子电气系统的功能安全

（一）功能安全

功能安全是相对于本质安全的一个概念。利用设计手段移除系统的危险源，使得系统或其部件即使发生故障也不会造成危险的安全事故，就是本质安全。与本质安全不同，功能安全不追求系统绝对无危险源，而是通过其功能来抑制事故的风险。如果在设计交叉路口时，采用立交桥的方案，就是本质安全，因为移除了火车与汽车碰撞事故的危险源。如果设计时采用阻拦器和信号灯的方案，就是功能安全，因为该设计并未移除碰撞事故的危险源，而是通过添加别的功能来减少甚至完全杜绝事故的发生。

如果所有系统都能移除危险源，做到本质安全，自然是非常理想的。但是实际开发过程中，有些系统是非常复杂性的，例如汽车电子电气系统，想要完全剔除危险源是很难实现的，因此就要借助功能安全的设计思想，对系统添加安全功能，来降低由于系统失效导致安全事故的可能性。因此，功能安全近年来受到越来越多的重视。功能安全关注系统故障后的行为，而不是系统的原有功能或性能。以EPS系统为例，扭矩传感器信号是决定电机助力大小的主要因素，如果扭矩传感器发生故障，扭矩信号偏离实际值较大，则可能导致助力力矩异常，车辆发生违背驾驶员意愿的自主转向现象，这是EPS系统的一个功能安全风险。

（二）功能安全标准

从20世纪70年代起，欧美国家已开始利用系统工程的理论解决安全相关问题，并制定法规和标准来控制由于技术缺陷和人为错误导致的安全风险。

在IEC61508的基础上，国际标准化组织（ISO）针对汽车应用的特殊性制定了ISO26262（RoadvehicleFunctionalsafety，道路车辆功能安全标准），并于2011年11月正式颁布。ISO26262涵盖功能安全相关整体开发的各个过程（包括规划、设计、验证和确认等），该标准根据危险分析和风险评估将系统或其组成部分划分A、B、C、D四个汽车安全完整性等级，安全等级依此升高。

三、结束语

综上所述，在当前汽车发展的过程中，要不断提升电子功能的安全设计，保证汽车的运行安全。

参考文献：

[1]杨国，青厉蒋.基于ISO26262功能安全标准的汽车电子系统测试方法[J].电子产品世界，2013（4）.