淺談汽車(chē)ISO 26262安全標準架構及分解

　　汽車(chē)上電子/電氣系統數量不斷的增加，一些高端豪華轎車(chē)上有多達70多個(gè)ECU（Electronic Control Unit電子控制單元），其中安全氣囊系統、制動(dòng)系統、底盤(pán)控制系統、發(fā)動(dòng)機控制系統以及線(xiàn)控系統等都是安全相關(guān)系統。當系統出現故障的時(shí)候，系統必須轉入安全狀態(tài)或者轉換到降級模式，避免系統功能失效而導致人員傷亡。失效可能是由于規范錯誤人為原因的錯誤、環(huán)境的影響等等原因引起的。為了實(shí)現汽車(chē)上電子/電氣系統的功能安全設計，道路車(chē)輛功能安全標準 ISO 26262于2011年正式發(fā)布，為開(kāi)發(fā)汽車(chē)安全相關(guān)系統提供了指南，該標準的基礎是適用于任何行業(yè)的電子/電氣/可編程電子系統的功能安全標準IEC 61508。

　　ISO 26262標準中對系統做功能安全設計時(shí)，前期重要的一個(gè)步驟是對系統進(jìn)行危害分析和風(fēng)險評估，識別出系統的危害并且對危害的風(fēng)險等級——ASIL等級（Automotive Safety Integration Level，汽車(chē)安全完整性等級）進(jìn)行評估。ASIL有四個(gè)等級，分別為A，B，C，D，其中A是最低的等級，D是最高的等級。然后，針對每種危害確定至少一個(gè)安全目標，安全目標是系統的最高級別的安全需求，由安全目標導出系統級別的安全需求，再將安全需求分配到硬件和軟件。ASIL等級決定了對系統安全性的要求，ASIL等級越高，對系統的安全性要求越高，為實(shí)現安全付出的代價(jià)越高，意味著(zhù)硬件的診斷覆蓋率越高，開(kāi)發(fā)流程越嚴格，相應的開(kāi)發(fā)成本增加、開(kāi)發(fā)周期延長(cháng)，技術(shù)要求嚴格。ISO 26262中提出了在滿(mǎn)足安全目標的前提下降低ASIL等級的方法——ASIL分解，這樣可以解決上述開(kāi)發(fā)中的難點(diǎn)。

　　本文首先介紹了ISO 26262標準中的危害分析和風(fēng)險評估階段中的ASIL等級確定方法，然后介紹了ASIL分解的原則，并輔以實(shí)例進(jìn)行說(shuō)明。

　　2. 危害分析和風(fēng)險評估

　　依據ISO 26262標準進(jìn)行功能安全設計時(shí)，首先識別系統的功能，并分析其所有可能的功能故障（Malfunction），可采用的分析方法有HAZOP，FMEA、頭腦風(fēng)暴等。如果在系統開(kāi)發(fā)的各個(gè)階段發(fā)現在本階段沒(méi)有識別出來(lái)的故障，都要回到這個(gè)階段，進(jìn)行更新。功能故障在特定的駕駛場(chǎng)景下，才會(huì )造成傷亡事件，比如近光燈系統，其中一個(gè)功能故障就是燈非預期熄滅，如果在漆黑的夜晚行駛在山路上，駕駛員看不清道路狀況，可能會(huì )掉入懸崖，造成車(chē)毀人亡；如果此功能故障發(fā)生在白天就不會(huì )產(chǎn)生任何的影響。所以進(jìn)行功能故障分析后，要進(jìn)行情景分析，識別與此故障相關(guān)的駕駛情景，比如：高速公路超車(chē)、車(chē)庫停車(chē)等。分析駕駛情景建議從公路類(lèi)型：比如國道、城市道路、鄉村道路等；路面情況：比如濕滑路面、冰雪路面、干燥路面；車(chē)輛狀態(tài)：比如轉向、 超車(chē)、制動(dòng)、加速等；環(huán)境條件：比如：風(fēng)雪交加、夜晚、隧道燈；交通狀況：擁堵、順暢、紅綠燈等；人員情況：不如乘客、路人等幾個(gè)方面去考慮。功能故障和駕駛場(chǎng)景的組合叫做危害事件（hazard event）， 危害事件確定后，根據三個(gè)因子——嚴重度（Severity）、暴露率（Exposure）和可控性（Controllability）評估危害事件的風(fēng)險級別——ASIL等級。其中嚴重度是指對駕駛員、乘員、或者行人等涉險人員的傷害程度；暴露率是指人員暴露在系統的失效能夠造成危害的場(chǎng)景中的概率；可控性是指駕駛員或其他涉險人員能夠避免事故或傷害的可能性。這三個(gè)因子的分類(lèi)在表1中給出。

　　ASIL等級的確定基于這三個(gè)影響因子，表2中給出了ASIL的確定方法，其中D代表最高等級， A代表最低等級，QM表示質(zhì)量管理（Quality Management），表示按照質(zhì)量管理體系開(kāi)發(fā)系統或功能就足夠了，不用考慮任何安全相關(guān)的設計。確定了危害的ASIL等級后，為每個(gè)危害確定至少一個(gè)安全目標，作為功能和技術(shù)安全需求的基礎。

　　表2 ASIL等級確定

　　下面以EPB（Electrical Park Brake）系統為例介紹如何進(jìn)行危害分析和風(fēng)險評估。

　　EPB較傳統的駐車(chē)制動(dòng)器，除了駐車(chē)功能，還有動(dòng)態(tài)起步輔助功能、緊急制動(dòng)功能以及自動(dòng)駐車(chē)功能等。這里我們以駐車(chē)功能為例，當駐車(chē)時(shí)，駕駛員通過(guò)按鈕或其它方式發(fā)出制動(dòng)請求，EPB系統在汽車(chē)的后輪上施加制動(dòng)力，以防止車(chē)非預期滑行。該系統的危害有：非預期制動(dòng)失效、非預期制動(dòng)啟動(dòng)。相同的危害在不同的場(chǎng)景下的風(fēng)險是不一樣的，所以我們要對不同的駕駛場(chǎng)景進(jìn)行分析。為了簡(jiǎn)化問(wèn)題，這里我們僅對”非預期制動(dòng)失效”這種功能故障進(jìn)行風(fēng)險評估。表3給出了EPB風(fēng)險評估表，在該表中我們考慮的駕駛場(chǎng)景是車(chē)停在斜坡上，駕駛員不在車(chē)上。如果駕駛員在車(chē)上的話(huà)，駕駛員可通過(guò)踩剎車(chē)控制汽車(chē)滑行，可控性增加，那么所評估的ASIL等級會(huì )比表中的ASIL D低，但是對于同一個(gè)安全目標，如果評估的ASIL等級不同的話(huà)，要選擇ASIL等級最高的那個(gè)。

　　通過(guò)以上分析，得出EPB系統的安全目標為：防止制動(dòng)失效，ASIL等級為D。

　　3. ASIL分解原則

　　通過(guò)上節介紹的危害分析和風(fēng)險評估，我們得出系統的安全目標和相應的ASIL等級，從安全目標可以推導出開(kāi)發(fā)階段的安全需求，安全需求繼承安全目標的ASIL等級。如果一個(gè)安全需求分解為兩個(gè)冗余的安全需求，那么原來(lái)的安全需求的ASIL等級可以分解到兩個(gè)冗余的安全需求上。因為只有當兩個(gè)安全需求同時(shí)不滿(mǎn)足時(shí)，才導致系統的失效，所以冗余安全需求的ASIL等級可以比原始的安全需求的ASIL等級低。ISO 26262標準的第9章給出了ASIL分解的原則，如圖1所示。

　　分解后的ASIL等級后面括號里是指明原始需求的ASIL等級，比如ASIL D等級分解為ASIL C（D）和ASILA（D）等，因為集成和需求的驗證仍然依據其原始的ASIL等級。ASIL 分解可以在安全生命周期的多個(gè)階段進(jìn)行，比如功能安全概念、系統設計、硬件設計、軟件設計階段。而且ASIL等級可以分多次進(jìn)行，比如ASIL D等級分為ASIL C（D）和ASILA（D），ASIL C（D）還可以繼續分解為 ASIL B（D）和ASIL A（D ）。

　　但是ASIL 分解的一個(gè)最重要的要求就是獨立性，如果不能滿(mǎn)足獨立性要求的話(huà)，冗余單元要按照原來(lái)的ASIL等級開(kāi)發(fā)。所謂的獨立性就冗余單元之間不應發(fā)生從屬失效（Dependent Failure），從屬失效分為共因失效（Common Cause Failure）和級聯(lián)失效（Cascading Failure） 兩種。共因失效是指兩個(gè)單元因為共同的原因失效，比如軟件復制冗余，冗余單元會(huì )因為同一個(gè)軟件bug導致兩者都失效，為了避免該共因失效，我們采用多種軟件設計方法。級聯(lián)失效是指一個(gè)單元失效導致另一個(gè)單元的失效，比如一個(gè)軟件組件的功能出現故障，寫(xiě)入另一個(gè)軟件組件RAM中，導致另一個(gè)軟件組件的功能失效，為了控制該級聯(lián)失效，我們采用內存管理單元，可以探測到非法寫(xiě)入RAM的情況。

　　下面以一個(gè)例子介紹ASIL 分解的過(guò)程。

　　假設功能F，其輸入信號為S1，S2，S3，這三個(gè)信號分別測量不同的物理量，是相互獨立的，經(jīng)過(guò)ECU內部的邏輯運算后，發(fā)送觸發(fā)信息給執行器Actuator，功能F的架構示意圖如圖2所示。假設經(jīng)過(guò)危害分析和風(fēng)險評估后，功能F的ASIL等級為ASIL D，安全目標為避免非預期觸發(fā)執行器。那么功能F的各個(gè)部分繼承ASIL等級，即傳感器、ECU、執行器都需要按照ASIL D 等級開(kāi)發(fā)，如圖3所示。

　　經(jīng)過(guò)進(jìn)一步的分析發(fā)現，當速度V》閾值時(shí)，非預期觸發(fā)執行器，才能造成危險。那么我們在功能F的架構中，加入一個(gè)安全機制，安全機制的功能是當檢測到速度V大于閾值時(shí)，不允許觸發(fā)執行器。那么功能F的架構變?yōu)槿鐖D4所示。

　　圖4 加入安全機制后的架構

　　功能F和安全機制是冗余安全需求，同時(shí)來(lái)滿(mǎn)足安全目標，因此可以將功能F原來(lái)的ASIL等級在這兩個(gè)需求上進(jìn)行分解，分解為ASIL D（D）和QM（D），分解后的ASIL等級如圖5所示。

　　圖5 ASIL分解后架構示意圖

　　原來(lái)的傳感器S1、S2、S3按照QM開(kāi)發(fā)，速度傳感器按照ASIL D開(kāi)發(fā)，ECU里面的軟件，原來(lái)的邏輯按QM開(kāi)發(fā)，安全機制的邏輯按照ASIL D開(kāi)發(fā)，不同ASIL等級的軟件存在于一個(gè)ECU內，為了保證軟件之間的獨立性，保證兩者之間不相互影響，需要考慮內存保護機制，合適的調度屬性來(lái)保證存儲空間和CPU時(shí)間的獨立性，這樣會(huì )增加軟件開(kāi)發(fā)的很多成本。那么我們進(jìn)一步采取硬件上的分離來(lái)保證獨立性，我們選擇一個(gè)成本很低的簡(jiǎn)單的芯片（比如PGA， Programmable Gate Array）來(lái)運行安全機制中的軟件（如圖6所示）。需要注意的是PGA要使用獨立的電源和時(shí)鐘。

　　圖6 改進(jìn)的ASIL分解后架構示意圖

　　經(jīng)過(guò)分解后，按照ASIL D開(kāi)發(fā)的功能邏輯簡(jiǎn)單，使得開(kāi)發(fā)變得簡(jiǎn)單，整體成本也得以降低。

　　4. 結論

　　本文以EPB為例介紹了ISO 26262標準中安全目標及其ASIL等級確定的方法，安全目標的ASIL等級被開(kāi)發(fā)階段安全需求繼承，如果安全需求的ASIL等級高，那么需要進(jìn)行ASIL分解以降低ASIL等級，本文以實(shí)例介紹了ASIL分解的原則和步驟。ASIL分解并沒(méi)有在ISO 26262中被強制要求執行，但是我們可以通過(guò)對系統進(jìn)行分析、進(jìn)而對系統架構進(jìn)行調整，實(shí)現ASIL分解，可以解決因ASIL等級高而帶來(lái)的開(kāi)發(fā)成本、開(kāi)發(fā)周期和技術(shù)要求等方面的問(wèn)題。