【原】车载软件架构 —— 功能安全与基础软件

车载软件架构 —— 功能安全与基础软件

我是穿拖鞋的汉子，魔都中坚持长期主义的工程师。

老规矩，分享一段喜欢的文字，避免自己成为高知识低文化的工程师：

“

在最艰难的时候，自己就别去幻想太远的将来，只要鼓励自己过好今天就行了！这世间有太多的猝不及防，有些东西根本不配占有自己的情绪，人生就是一场体验，请君尽兴！

”

本文主要讲述如下内容，介绍电子电气架构中汽车以太网诊断路由汇总：

-> ISO26262 汽车电子功能安全标准

-> 结论

随着汽车 E/E 架构演化、汽车控制器及软件的复杂度都在呈指数级递增。为保障汽车的安全，满足智能化、网联化的安全保障需要，汽车的功能安全标准也在不断地发展完善中。目前功能安全领域，行业内主要遵循的是 ISO 26262 和 ISO 21448 两大标准。

ISO 26262 是道路车辆功能安全国际标准。内容主要涵盖汽车系统、软件、硬件等方面的安全完整性，强调在汽车产品的开发过程中如何避免、预防、探测、降低或消除风险。

ISO 21448 是汽车预期功能安全标准。内容主要围绕自动驾驶车辆的功能局限性（含设计不足和性能局限），在复杂环境影响和人员合理误用的情况下，避免或降低车辆潜在的安全风险。

本文概要介绍道路车辆功能安全国际标准 ISO26262 和预期功能安全国际标准 ISO21448，旨在为汽车行业的从业者认识、了解、深入研究功能安全和预期功能安全提供参考。

ISO26262 汽车电子功能安全标准

现行 ISO26262 标准是国际标准化组织 2018 年发布的第二版，它定义了汽车电子电气系统整个生命周期内功能安全相关的活动。该标准一共分 12 个部分，如下图所示，其中包含了功能安全管理、开发、生产、运行、服务、报废等多个环节，并在第 12 部分提供了标准在具体项目中如何应用的指引性说明：

ISO 26262的内容包括：

-> Part 1：定义术语

-> Part 2：功能安全管理

-> Part 3：概念阶段

-> Part 4：产品开发：系统层面

-> Part 5：产品开发：硬件层面

-> Part 6：产品开发：软件层面

-> Part 7：生产、运行、服务和报废

-> Part 8：支持过程

-> Part 9：基于ASIL和安全的分析

-> Part 10：ISO 26262导则

-> Part 11：半导体应用指南

ISO26262 标准提出了 ASIL（即汽车安全完整性等级，分为 A、B、C、D 四个级别，其中D为最高级）的概念，它会影响到产品开发阶段中各种技术手段的推荐程度。ISO26262 标准定义的功能安全活动从相关项定义开始，对功能安全产品开发的范围进行定义，明确产品所要实现的基本功能以及所适用的法律法规等。相关项定义是后续危害分析与风险评估的重要输入。通过危害分析与风险评估活动，相关项的安全目标被定义出来。同时，每一个安全目标都会对应一个 ASIL 等级，它将被继承到下游的各级需求和设计产物中。

在功能安全概念设计阶段，根据安全目标和初步的相关项层级系统架构，结合安全分析的手段（如：故障树分析），将定义出分配给相关项中每一个架构元素（比如 : 控制器）的功能安全需求及对应的 ASIL 等级。架构元素的功能安全需求及 ASIL 等级是接下来产品开发的主要输入。

在产品开发阶段，ISO26262 标准划分出了系统、硬件和软件部分。在系统开发部分，需要考虑系统的初始架构以及各种设计边界条件，结合系统层级的安全分析，更新系统架构，并定义出分配给硬件和软件的技术安全需求。在硬件和软件开发阶段，整体的开发流程参照 V 模型执行。以软件为例，在V模型的左半边，基于上游的软件技术安全需求以及软硬件接口规范文档，软件安全需求被定义出来，并和非安全相关的功能需求一起，作为软件架构设计的输入。在软件架构设计阶段，需要对架构进行验证（方法如：仿真、数据流分析等），并执行软件安全分析，再针对分析的结果定义并落实合理的安全措施。

在详细设计阶段，每一个软件单元的接口和内部逻辑被设计，并遵循编码规范开发成代码。V 模型的右半边主要是针对 V 模型左半边活动的验证，通常会包括静态的代码分析和测试活动。在测试活动中，需要根据需求的 ASIL 等级使用相对应的测试用例定义方法和测试方法。需要强调的是，ASIL 等级要求越高，它对应的设计、归档和测试验证等环节所推荐的技术手段就越严苛。

通过这样的方法，可以合理规避可能由人为引入的系统性失效。在软件和硬件被开发出来之后，需要将它们集成在一起，并在系统层级和相关项层级参照具体的需求和需求的 ASIL 等级执行相应的测试验证手段。除此以外，ISO26262 标准还定义一些支持性流程（如：变更管理、配置管理等），来辅助功能安全开发活动的合理有序执行。标准还包含了功能安全审核的流程定义，来对功能安全开发的产物进行验收，并确认产品是否满足量产的要求。

结论

011年11月15日，ISO 26262 标准正式颁布。2018年，ISO 26262正式上路。

在这一领域，欧洲、日本应用ISO 26262要早于国内，美国则推出SAE J2980标准。技术咨询公司在和国内OEM合作时会要求引入功能安全。国际汽车厂商（宝马、通用、福特等）、汽车零部件供应商（博世、德尔福等）早已采用该标准开发安全相关的电子电器产品，应用在汽车的开发。

ISO 26262涉及汽车电子电气系统的整个安全生命周期及其管理过程，满足该标准对汽车企业及供应商来说必将是巨大的挑战。为满足ISO 26262，必须在公司安全文化、工作流程制定、产品设计与开发等方面进行持续的改进。

ISO26262标准暂时没有出现官方层面的强制执行要求，但该标准的执行，将减少因为电子器件失效造成的交通事故和降低潜在召回风险，所以目前国际大型车企非常重视ISO26262标准的应用和推广。

遗憾的是，目前国内汽车电子领域的专用功能安全标准尚属空白，虽然部分意识比较超前的民族品牌企业也关注ISO26262标准的制定和发展，然而，有些企业在接触功能安全之后，遇到重重困难后选择了放弃。

功能安全工程师的人才缺口也不断扩大，相应的薪资水平也在随之增长，一名资深的功能安全专家，年薪可达百万。

你心动不？

搁笔分享完毕！

愿你我相信时间的力量

做一个长期主义者！