汽车电子功能安全技术和标准概览

为了提高电子电气控制器的安全性能，制定一套可行的安全技术标准迫在眉睫，经过业内专家的积极参与，国际电工委员会（International Electrotechnical Commission－IEC）在 1998 年颁布了 IEC61508-功能安全标准。

1、历史背景

功能安全ADAS系统功能安全培训课程的概念首先起源于 20 世纪 60-70 年代的航空领域和核技术领域。到了 20 世纪 70-80 年代时，由于当时在世界范围内，尤其是石油化工领域多次发生爆炸或污染

泄露事情。事故发生的主要原因是因为控制系统相关安全功能失效导致的，而造成功能失效的很重要的一点是由于电子／电气／可编程控制器产品自身安全功能的不完善。

为了提高电子电气控制器的安全性能，制定一套可行的安全技术标准迫在眉睫，经过业内专家的积极参与，国际电工委员会（International Electrotechnical Commission－IEC）在 1998 年颁布了 IEC61508-功能安全标准。

2、相关安全标准

IEC61508- 功能安全标准是很多行业通用的国际基础安全标准，在不同领域得到了发展和应用。比如在过程控制行业的 IEC61511 标准，在核电领域的 IEC61513 标准。还有就是专门针对道路车辆功能安全的 ISO26262 标准。

ISO26262 是 IEC61508 标准在汽车行业中的具体应用，2009 年出版初稿，2011 年 11 月正式颁布。ISO26262 的核心价值在于，它可以通过系统的功能安全研发管理流程，以及针对汽车电子控制器系统／硬件／软件的系统化验证和确认方法，保证电子系统的安全功能在面对各种严酷条件时不失效，从而保证驾驶员和路人的安全。

ISO 26262 为汽车安全提供规范和推荐做法（如判定汽车安全完整性等级 ASIL），ADAS系统功能安全培训课程贯穿了产品的整个生命周期（指管理－开发－生产－运行－服务－停运的全过程）。其框架如下：

如上图所示，ISO26262 分为 10 个部分，分别是：

• Part 1：定义，

• Part 2：功能安全管理，

• Part 3：概念阶段，

• Part 4：产品研发：系统级，

• Part 5：产品研发：硬件级

• Part 6：产品研发：软件级，

• Part 7：生产和操作，

• Part 8：支持过程，

• Part 9：基于ASIL 安全和导向分析，

• Part 10：ISO26262 导则。

从技术上来说，随着汽车技术的发展，车载电子控制器的数量日益增多，比如某些豪车上有上百个控制器，几千个 can 信号，保证其安全的重要性不言而喻。

另外，从法律上来说，这也是必要的，如德国的相关法规还规定假如失效的产品达到了当前最新的技术是可以免责的。因此贯彻 ISO26262 的标准不仅可以提升安全性能和产品内在价值，也提升产品的竞争力。

3、功能安全的定义

3.1 本质安全与功能安全

为了了解功能安全的概念，先得熟悉下 和「本质安全」和「功能安全」的概念。

假如以铁道的路口为例，比较一下基于两种安全概念的避免路口事故的方法。这里避免路口事故就是安全目标，为了实现这个目标，可进行如下操作：

首先，如果把铁道路口撤掉，直接改造成立交桥的形式，让火车和汽车都走各自的路，这样就不会发生人或者车辆横穿铁道口的事故了。像这样，根据系统的特性把危险源直接除掉的方法是「本质安全」。

其次，假如我们在铁道路口设置信号灯和道口自动栏杆，当火车来临时前闪红灯，同时将栏杆放下，避免行人或者车辆通过。像这样通过栏杆的拦截功能及预警灯来抑制事故风险的技术叫做「功能安全」ADAS系统功能安全培训课程。在这里信号灯和自动栏杆一种安全机制（Safety Mechanism）。理想的情况是不管什么场合都采用 「本质安全」，但事实上，在很多场合里，由于系统自身的原因，不可能把危险源除掉。特别是像车载电控系统这样非常复杂的电子化系统，以上所述的本质安全很难被实现和应用。因此我们只能采用功能安全，它的目的就是在本质安全无法达到时，尽可能的通过增加安全机制去提高安全等级，实现安全目标。

3.2 电子控制器的功能安全

对于汽车而言，可将汽车看成一个「机器人」，驾驶员给这个「机器人」发送信号，比如踩踏板加油，汽车收到命令然后执行：电喷系统增加喷油，发动机输出扭矩增加，实现车辆加速。

对于传统汽车而言，它的结构简单，且大多数命令都是通过机械方式来实现的，如老式汽车的机械式节气门等，其失效的可预见性大；而现在汽车，其电子电气化增强，驾驶员的指令会先转换成相关信号，然后这些信号传递给控制器的处理芯片，然后最终驱动相关的执行器来执行，其失效的可预见性大大降低。

正因为现代汽车随着电子电气化的程度越来越高，其整车的安全性很大程度就取决于电子控制器的安全性，比如发动机控制器 ECU，变速箱控制器 TCU，车辆稳定性控制器 ESP 等等。而且电子控制器失效的可预见性非常低，比如芯片／电路受外界干扰等，这很难预料什么情况会出问题。 因此必须考虑电子控制器失效了会怎么办的问题。

3.3 功能安全考虑的角度

针对电子控制器失效了怎么办这个问题，首先得确定一个角度。比如极端高温情况下的 ECU 自燃，爆炸等这种系统本身带来的风险，这种风险不在功能安全的考虑范围内。

从产品安全的角度来说，可将其安全分为传统安全以及由电子/电气功能安全，传统安全包括：与触电、火灾、烟雾、热、辐射、毒性、易燃性、反应性、腐蚀性、能量释放等相关的危害和类似的危害，除非危害是直接由电子电气安全相关系统的故障行为而引起的。传统安全不在功能安全的考虑范围之内。ADAS系统功能安全培训课程

根据国际上知名的安全协会的定义，比如英国的 MISARA（The Motor Industry Software Reliability Association 汽车工业软件可靠性协会），比如德国的德国 VDA 协会（VDA（Verband der Automobilindutrie）德国汽车工业协会）他们是从车辆可控性的角度对功能安全提出要求。而 IEC-61508 强调从人身安全（还可以考虑设备安全）角度提出需求。

因此从车辆可控性和人身安全两个层面上考虑功能安全就有了着陆点。比如考虑是不是有非驾驶员期望的加速等，而非驾驶员期望的减速其实是降低了安全边界，但车辆扔被驾驶员控制着。这就是为什么 ECU 不对相关控制器的减扭做监控的原因。

3.4 ISO26262中对功能安全的定义

ISO 26262 是专门用作提升汽车电子电气产品功能安全的国际标准，它派生于电子、电气及可编程器件功能安全基本标准 IEC61508。那 26262 是如下定义功能安全这个概念的：

English definition:absence of unreasonable risk due to hazards caused by malfunctioning behavior of E/E systems；

没有由电子、电气系统故障行为导致的危险所引起的不合理风险。

我们来分解下这段话：

A.没有风险：absence of risk

B.没有不合理风险：unreasonable

C.没有由电子、电气系统故障行为导致的危险所引起的不合理风险

其中的关键词是不合理风险，什么是不合理风险呢，比如车辆行驶时安全气囊蹦出来了，这是不合理风险，这是功能安全需要避免的问题。

总体来说，功能安全是指避免由系统功能性故障导致的不可接受的风险。它关注的是系统发生故障之后的行为，而不是系统的原有功能或性能。因此功能安全的目的就是当系统发生故障后，将系统进入安全的可控模式，避免对人身、财产造成伤害。

4、ASIL汽车安全完整性等级

4.1 危险事件的确定

对电子控制器 ECU 来说，引起失效主要是两个方面：软件和硬件。

软件失效：比如没有考虑分母可能为 0；变量公式定义错误，导致精度丢失；

硬件失效：如下图所示可以分为传感器失效；ECU 硬件失效（比如 CPU 或者 RAM/ROM 失效）；执行器失效；

依据 ISO 26262 标准进行功能安全设计时，首先识别系统的功能，并分析其所有可能的功能故障（Malfunction）或失效，可采用的分析方法有 HAZOP，FMEA、头脑风暴等。

功能故障在特定的驾驶场景下才会造成伤亡事件，比如近光灯系统，其中一个功能故障就是灯非预期熄灭，如果在漆黑的夜晚行驶在山路上，驾驶员看不清道路状况，可能会掉入悬崖，造成车毁人亡；如果此功能故障发生在白天就不会产生任何的影响。

所以进行功能故障分析后，要进行情景分析，识别与此故障相关的驾驶情景，比如：高速公路超车、车库停车等。分析驾驶情景建议从公路类型（国道，高速），路面情况，（湿滑、冰雪）；车辆状态（转向、 超车、制动、加速等），环境条件（风雪雨尘、夜晚、隧道灯），人员情况（乘客、路人）等几个方面去考虑。功能故障和驾驶场景的组合叫做危害事件（hazard event）。

危害事件确定后，根据三个因子——严重度（Severity）、暴露率（Exposure）和可控性（Controllability）评估危害事件的风险级别——也就是 ASIL 等级。

4.2 ASIL等级

ASIL 等级的定义是为了对失效后带来的风险进行评估和量化以达到安全目标，其全称是 Automotive Safety Integration Level-- 汽车安全完整性等级。这个概念来源于 IEC61508，其通过失效概率的方式定义了安全完整性等级（SIL）。但是在汽车界只有硬件随机失效可以通过统计数字评估失效概率，软件失效却难以量化，因此 26262 根据汽车的特点定义了 ASIL。

如上节所述 ASIL 的评定，一般是在产品概念设计阶段对系统进行危害分析和风险评估，识别出系统的危害，如果系统的安全风险越大，对应的安全要求级别就越高，其具有的ASIL的等级也越高。ASIL 分为 QM，A、B、C、D 五个等级，ASIL D 是最高的汽车安全完整性等级，对功能安全的要求最高。

4.3 危险分析和风险评定

对于汽车系统，特定危险的风险决定于以下三个因素：

A.危险事件所导致伤害或损失的潜在严重性 （Severity of failure, S）

B.指人员暴露在系统失效能够造成危害的场景中的概率 OR 理解为危险事件可能发生的驾驶工况的可能性 （probability of exposure, 简称 E）

C.危险所涉及的驾驶员和其它交通人员通过及时的反应避免特定伤害或损失的能力 （controllability, 简称 C）

然后分别将严重性 S、可能性E和可控性 C 分成 4 个等级，如下表所示，其中 QM 代表与安全无关：

按照以上的划分并进行组合相加得到 5 个 ASIL 等级（QM，A，B，C，D），原则是：

A. 基本可控 C0 的组合不考虑；

B. 无伤害 S0 的组合不考虑；

C. 其余组合相加等于 7 分为 ASIL A，等于 8 分为 ASIL B，等于 9 分为 ASIL C，等于 10 分为最高等级 ASIL D；ASIL A、B、C、D 都是与功能安全相关的（Safety Relevant Function）

D. 其余的得分安全评定为 QM，代表与安全无关的功能（Non Safety Relevant Function）

下面举几个例子进行说明：

EPB（Electrical Park Brake）电子手刹

以电子手刹的驻车功能为例，当驻车时，驾驶员通过按钮或者其他方式触发制动请求，EPB 在汽车的后轮上施加制动力，以防止车非期望的滑行。该系统的危害有非期望的制动失效，非期望的制动启动。相同的危害在不同场景下风险也是不一样的，因此也要对不同场景进行分析。分析如下表所示：

得出了 EPB 系统的安全目标为：防止非期望的制动，ASIL 等级为 D

根据上面的分析，不难得出其它例子的 ASIL 等级，比如：

4.4 功能安全目标的分解

通过上危害分析和风险评估，我们得出系统或功能的安全目标和相应的 ASIL 等级，当 ASIL 等级确定之后，就需要对每个评定的风险确定安全目标，安全目标是最高级别的安全需求。安全目标确定以后就需要在系统设计，硬件，软件等方面进行设计和实施，验证。

从安全目标可以推导出开发阶段的安全需求，安全需求继承安全目标的 ASIL 等级。如果一个安全需求分解为两个冗余的安全需求，那么原来的安全需求的 ASIL 等级可以分解到两个冗余的安全需求上。因为只有当两个安全需求同时不满足时，才导致系统的失效，所以冗余安全需求的 ASIL 等级可以比原始的安全需求的 ASIL 等级低。ISO 26262 标准的第 9 章给出了 ASIL 分解的原则。ISO 26262 中提出了在满足安全目标的前提下降低 ASIL 等级的方法——ASIL 分解，这样可以解决上述开发中的难点。

ASIL 分解的一个最重要的要求就是独立性，如果不能满足独立性要求的话，冗余单元要按照原来的 ASIL 等级开发。所谓的独立性就冗余单元之间不应发生从属失效（Dependent Failure），从属失效分为共因失效（Common Cause Failure）和级联失效（Cascading Failure）两种。共因失效是指两个单元因为共同的原因失效，比如软件复制冗余，冗余单元会因为同一个软件 bug 导致两者都失效，为了避免该共因失效，我们采用多种软件设计方法。级联失效是指一个单元失效导致另一个单元的失效，比如一个软件组件的功能出现故障，写入另一个软件组件 RAM 中，导致另一个软件组件的功能失效。

具体降解的方法如下所示，比如应按照下列之一对一个 ASIL D 的要求进行分解：

1) 一个 ASIL C(D) 的要求和一个 ASIL A(D) 的要求；

2) 一个 ASIL B(D) 的要求和一个 ASIL B(D) 的要求；

3) 一个 ASIL D(D) 的要求和一个 QM(D) 的要求，

其它 ASIL 等级分解可如下图所示：