汽車電子功能安全設(shè)計(jì)與測試方法的研究

　　2.1 功能安全危害分析與風(fēng)險(xiǎn)評估

　　提出了確定功能安全等級(ASIL)的方法，安全等級范圍是A、B、C、D，其中ASIL A安全等級最低，ASIL D安全等級最高。在整車和系統(tǒng)電子設(shè)計(jì)時(shí)，需要確定所設(shè)計(jì)項(xiàng)目的范圍?；陧?xiàng)目定義，確定項(xiàng)目的安全目標(biāo)，避免不合理的風(fēng)險(xiǎn)。ASIL使用3個(gè)參數(shù)進(jìn)行評估，分別是：危險(xiǎn)對駕駛員或其他交通參與人員造成傷害的嚴(yán)重程度S，危險(xiǎn)所在工況的發(fā)生概率E，危險(xiǎn)涉及的駕駛員和其他交通參與人員及時(shí)采取控制行動(dòng)避免特定傷害的能力C。S分為0～3級，如表1所示，S0代表無傷害，S3代表危及生命的重傷或致命傷;E分為0～4級，如表2所示，E0代表工況不可能發(fā)生，E4代表工況是常見的;C分為0～3級，如表3所示，C0代表完全可控，C3代表非常難于控制。對于每一個(gè)識別到的危險(xiǎn)，按表4評估風(fēng)險(xiǎn)等級(即汽車安全完整性等級)，其中QM表示與安全無關(guān)。

　　2. 2 功能安全系統(tǒng)設(shè)計(jì)

　　系統(tǒng)級產(chǎn)品功能安全設(shè)計(jì)要求包括產(chǎn)品開發(fā)的啟動(dòng)、技術(shù)安全要求中的規(guī)范、系統(tǒng)設(shè)計(jì)、項(xiàng)目集成和測試、安全驗(yàn)證、功能安全評估、生產(chǎn)發(fā)布。如圖2所示。

　　在啟動(dòng)產(chǎn)品開發(fā)和定義技術(shù)安全要求后，進(jìn)行系統(tǒng)設(shè)計(jì)。在系統(tǒng)設(shè)計(jì)過程中建立系統(tǒng)架構(gòu)，將技術(shù)安全要求分配給硬件和軟件，并且，如果適用，也可應(yīng)用其它技術(shù)。同時(shí)，細(xì)化技術(shù)安全要求，并添加來自系統(tǒng)架構(gòu)的要求，包括軟硬件接口的要求。根據(jù)架構(gòu)的復(fù)雜性，可以逐步得出子系統(tǒng)的需求。開發(fā)后，集成硬件和軟件要素并測試以形成一個(gè)相關(guān)項(xiàng)，然后，將該相關(guān)項(xiàng)集成在整車上。一旦在整車層面完成了系統(tǒng)集成，進(jìn)行安全確認(rèn)以提供與安全目標(biāo)相關(guān)的功能安全證據(jù)。

　　2 3 功能安全軟硬件設(shè)計(jì)

　　如圖2所示，在系統(tǒng)功能安全設(shè)計(jì)時(shí)，需要制定軟硬件接口HIS要求，根據(jù)表4分析確定的不同功能安全等級，在進(jìn)行具體軟件和硬件設(shè)計(jì)時(shí)也要有具體要求。總體來說，硬件功能安全設(shè)計(jì)體現(xiàn)了不同安全等級的定量要求，如表5和表6所示。硬件功能安全要求包括硬件產(chǎn)品開發(fā)的啟動(dòng)、硬件安全規(guī)格的要求、硬件設(shè)計(jì)、硬件架構(gòu)指標(biāo)、對由于硬件隨機(jī)失效引起的違反安全目標(biāo)進(jìn)行評估、硬件集成和測試。