ISO26262在汽车上自动挡位指示器的应用

ISO26262在汽车上自动挡位指示器的应用

专栏作者 | 介绍

• 作者：刘晓菲，惠州市德赛西威汽车电子股份有限公司；
• 质量管理体系工作有10年的经验，熟练掌握IATF 16949、ISO 9001、ISO14001、ISO45001等质量管理体系；
• 功能安全领域的专家，有超过4年的项目工作及咨询评估经验，相关培训课程讲师；
• 在A-SPICE、CMMI、嵌入式系统开发和测试领域有丰富的经验；
• 有SEPG建立的丰富经验，在企业内部过程改进方面提供最优的方案；
• 为企业内多个国内外项目进行项目管理；
• 负责成本核算、评估和项目策划。

本文摘要

ISO26262是保证量产乘用车上电子电气产品功能安全的重要标准。挡位指示器是提示驾驶员挡位信息的产品。本文论述了功能安全标准ISO26262在汽车上自动挡位指示器上的应用。

注：正文共3600+字，预计阅读时间10分钟...

正    文

ISO26262是由国际标准化组织于2011年制定的适用于道路车辆上特定的由电子、电气和软件组成的安全相关系统在生命周期的所有活动。针对自动驾驶板块，提供了安全系统，安全硬件和安全软件的基础，其目的是检测到潜在的危险情况，从而启动保护或纠正装置，以防止发生危险事件或提供缓解措施以减少危险事件的后果、安全的运行整车。ISO26262在2018年12月份已经升级为第二版。挡位指示器作为汽车电子重要的电子电气设备，必须符合功能安全的要求。

挡位指示器（外观如图1所示），其功能是根据CAN总线发送的挡位的信息和手动挡位开关的硬线信号进行PRND，M+，M-的LED灯指示。主机厂制定了整车级的功能安全目标SG1：避免非预期的降档导致的减速【ASIL B】，SG2：避免错误的挡位显示【ASIL A】。主机厂将安全目标拆解为功能安全要求FSR分配给自动挡位指示器ECU。

图1：自动挡位指示器外观

自动挡位指示器的整个产品开发流程，必须完全符合ISO26262的开发流程阶段2（功能安全管理）阶段4（产品开发，系统层面），阶段5（产品开发，硬件层面），阶段6（产品开发，软件层面），阶段7（生产和运行），阶段8（支持过程）（图2所示）。首先建立功能安全团队，由有资质的同事担任功能安全经理。

功能安全经理首先与主机厂沟通功能安全需求FSR，然后签订开发接口协议DIA，之后建立安全计划，将每个安全活动都指定给相关负责人。在整个项目开发过程中，功能安全经理根据安全计划监控整个开发过程中的安全活动的实施情况，并阶段性的更新安全档案，提供证据证明产品是符合功能安全要求的。

图2：功能安全开发流程

在自动挡位显示器首先要进行系统层面的开发，由系统功能安全工程师定义技术安全要求，安全机制和系统架构设计。根据ISO26262的技术安全要求，需要制定故障诊断措施和故障响应措施。

针对主机厂的功能安全要求，系统功能安全工程师根据初步系统架构的设计，找到系统中失效会违反功能安全要求的模块。根据安全等级选择相应的安全机制。

以供电模块为例，因为功能安全最高要求为ASIL B，所以对于电源输出需要进行过压和欠压失效的诊断。对于单片机需要进行内部供电过压欠压诊断，内存功能安全相关的数据进行保护等。针对接收从CAN总线发过来的挡位信息，单片机需要对CAN总线的故障进行诊断。针对外部硬线的输入信号，单片机需要进行双通道读取，进行相互校验比较。单片机对外部显示的LED进行状态回读。上电时对LED进行自检等安全机制。系统功能安全工程师将所有的技术安全要求分配到系统的架构，形成系统设计文档和技术安全概念。所有的系统层级的技术安全要求需要与客户的功能安全要求形成追溯关系。每一条需求都有唯一的需求编号，ASIL，状态和验收准则。系统安全工程师还会根据系统架构进行安全分析FMEA，确保技术安全要求的实施和分配是充分的。系统功能安全专家会对技术安全要求和系统设计进行评审。系统测试工程师根据技术安全要求的验收标准，制定系统层级的测试用例，待软硬件准备好后，进行系统测试验证技术安全要求的实施。

在自动挡位显示器的技术安全要求评审完成后，可以进行硬件层面的开发。由硬件功能安全工程师针对系统层面分配给硬件的安全要求，进行硬件安全需求定义。根据硬件初步架构设计，进行硬件层级的安全分析，以确保硬件安全要求是充分的。硬件安全功能安全工程师还需要进行硬件设计。原理图和BOM清单出来以后，硬件功能安全工程师还会利用功能安全分析工具Safe office对元器件的失效率进行计算。根据硬件和系统实施的安全机制进行硬件架构度量的计算，证明自动挡位显示器能够满足主机厂提出的ASIL B的单点故障度量，和潜伏故障度量指标。同时进行随机硬件导致违反安全目标的失效率的计算，证明自动挡位显示器能够满足主机厂提出的ASIL B的总体失效率的要求。硬件功能安全工程师需要针对硬件安全需求进行硬件集成测试，证明其硬件安全要求已经得到实施且结果是满足要求的。硬件所有相关文档都需要被功能安全专家进行确认评审。

在自动挡位显示器的硬件设计完成后，可以进行软件层面的开发。软件功能安全工程师针对系统分配给软件的需求，进行软件功能安全需求的开发。根据软件安全需求进行软件架构设计。软件功能安全工程师还需要针对软件架构设计进行软件功能安全分析，分析软件模块的失效对功能安全的影响，进一步提出软件层级的安全机制。根据软件架构设计，再进一步完成软件单元设计。根据软件开发流程的定义，再执行软件单元的验证测试，软件架构层级的验证测试和软件需求的验证测试。根据ASIL B的项目要求，软件需要执行单元层级的语句覆盖率，分支覆盖率测试。这些需要专门的软件测试工具TESSY完成。在执行软件需求的验证测试时，需要在将控制器网络在环和整车环境下进行测试。软件所有相关文档都需要被功能安全专家进行确认评审。

在自动挡位显示器进行生产层面的开发，功能安全经理指派系统功能安全工程师，硬件工程师和软件工程师对生产提出明确的功能安全需求。硬件工程师将功能安全相关的硬件测试点和测试标准输入给负责生产下线测试的同事。生产测试同事负责转化为自动测试脚本执行生产下线测试。负责生产规划的同事按照ISO26262第7部分生产的要求进行管理。功能安全经理负责监控其执行。生产发布之后，功能安全经理仍需要对售后数据进行监控，如果有安全相关的事故，需要进行分析确认下一步行动计划。

功能安全经理在整个项目开发过程中，还需要实施支持过程。通过需求管理工具对功能安全需求进行管理，上下游的追溯。项目开发过程中实施配置管理，将功能安全相关的输出产物纳入到配置项管理中。支持过程中对软件工具的评估和鉴定，功能安全经理将负责进行工具收集和组织工具鉴定。对于软件组件的鉴定，功能安全经理指定软件功能安全工程师负责和进行结果检查。对于硬件组件的鉴定，功能安全经理指定硬件功能安全工程师负责和进行结果检查。

通过整个项目的功能安全流程和技术措施的实施，自动挡位指示器可以满足主机厂的功能安全要求。功能安全经理将在安全档案里面列举相应的证据证明其符合性。

整个功能安全应用实施过程中，因涉及前后关键逻辑，功能安全要求，需要协调参与人员行动一致性，规划评审顺序不好则将事倍功半。

功能安全应用是系统工程，实施过程中相关模块领导的支持作用是前提条件，参与人员的目标认同感为要素，以此为基础搭建框架团队，一致性行动将是成功应用的关键。

 文末彩蛋之Q&A：

Q: 非预期减速和换挡指示没有关系，实际上档位显示没必要做到B级，主机厂提出fsc，理论上也应该由主机厂完成hara得出asil等级，但，实际交流过程中，供应商可以参与到hara分析。毕竟，主机厂也不见得经验充分。

A: 这个主要是看主机厂，主机厂是从整车系统级进行HARA分析，在SG分解过程中，主机厂将挡位显示定义为ASIL B，作为供应商，可以在前期报价阶段依据FSC输入初步分析并与主机厂沟通，但并不是每一个主机厂都接受供应商的意见，我们最终还是以主机厂要求做。

文中也提到最高做到ASIL B就够了。

国内车厂往往会让供应商协助HARA分析，甚至输出FSC，一条龙服务，但是一般合资厂和海外车厂在功能安全方面还是有专业团队，他们会维护整车分析情况，很少会因为整车中某个供应商的分析讨论而变动，经过最终分析后，在不违背功能安全标准的情况下，供应商端也会按照客户要求做的！