智能網(wǎng)聯(lián)汽車網(wǎng)關(guān)系統(tǒng)功能安全設(shè)計

高 捷， 宋錦剛

（江蘇財經(jīng)職業(yè)技術(shù)學(xué)院， 江蘇 淮安 223003）

隨著智能網(wǎng)聯(lián)汽車的快速發(fā)展，其電子電氣系統(tǒng)將變得愈加復(fù)雜，與此同時，對其各種功能的安全性要求也日益提高。因此，國際標準組織在IEC61508標準的基礎(chǔ)上制定并頒布了功能安全國際標準ISO 26262《Road vehicles-Functional safety》。該標準針對于汽車中安全相關(guān)電子電氣系統(tǒng)，它定義了汽車電子電氣系統(tǒng)產(chǎn)品功能安全開發(fā)的過程和方法論，旨在有效保障愈加復(fù)雜的汽車電子電氣系統(tǒng)下的高度安全性。為此，本文首先建立基于ISO 26262的智能網(wǎng)聯(lián)汽車網(wǎng)關(guān)系統(tǒng)功能安全的開發(fā)流程，然后闡述了基于危害分析與風險評估的功能失效危害及風險評估方法，通過該方法進一步確定了智能網(wǎng)聯(lián)汽車網(wǎng)關(guān)系統(tǒng)的功能安全目標，并在此基礎(chǔ)上展開了網(wǎng)關(guān)系統(tǒng)的功能安全概念設(shè)計，最后給出了網(wǎng)關(guān)系統(tǒng)的設(shè)計方案。

1 智能網(wǎng)聯(lián)汽車網(wǎng)關(guān)系統(tǒng)功能安全開發(fā)流程的建立

建立符合ISO 26262功能安全標準要求的過程體系是開展汽車電子電氣系統(tǒng)功能安全開發(fā)的首要條件。該標準制定了汽車在整個生命周期中與安全相關(guān)的各項活動。它涵蓋了在整個安全生命周期中，從需求定義到概念設(shè)計，再到產(chǎn)品開發(fā)，包括系統(tǒng)層面開發(fā)、硬件開發(fā)、軟件開發(fā)，一直到最終的生產(chǎn)和運營的所有階段，保證了即使車輛中與安全相關(guān)的電子系統(tǒng)發(fā)生功能性失效時的系統(tǒng)安全性。

實施ISO 26262功能安全標準的最有效方式是將該標準所提出的開發(fā)流程和方法與汽車企業(yè)已經(jīng)建立的產(chǎn)品開發(fā)流程相融合，將安全生命周期管理融入到整個產(chǎn)品的生命周期當中，把該標準所要求的重要工作產(chǎn)品加入到汽車產(chǎn)品開發(fā)的交付物清單中，這樣能夠保證功能安全活動得到有效執(zhí)行?；谏鲜鲈瓌t并結(jié)合汽車企業(yè)實際情況，建立的智能網(wǎng)聯(lián)汽車網(wǎng)關(guān)系統(tǒng)功能安全的開發(fā)流程，如圖1所示。

圖1 功能安全開發(fā)流程

2 智能網(wǎng)聯(lián)汽車網(wǎng)關(guān)系統(tǒng)的危害分析與風險評估

ISO 26262標準中提出并定義了一種功能失效的危害分析與風險評估方法 （Hazard Analysis & Risk Assessment，HARA），該方法得到了廣泛的應(yīng)用，通過該方法首先對汽車電子電氣系統(tǒng)的功能安全風險進行評估分析，并在此基礎(chǔ)上通過對危害事件的嚴重度S （Severity）、暴露率E （Exposure）和可控性C （Controllability）這3個因子進行識別和分類，最終確定各功能安全風險項的汽車安全完整性等級（Automotive Safety Integration Level，ASIL），如表1所示。

表1 嚴重度S、 暴露率E、 可控性C的等級分類

其中，嚴重度S是指在可能發(fā)生潛在危害場景中對一個或者多個人員的傷害嚴重程度的預(yù)估；暴露率E是人員處于某種運行場景下，如果發(fā)生所分析的失效模式導(dǎo)致危害的概率；可控性C是指通過所涉及人員 （駕駛員，乘客或者車輛外部的鄰近人員）的及時反應(yīng)，避免特定的傷害或者損傷的能力。最后該評估方法依據(jù)風險級別矩陣表確定汽車安全完整性等級（ASIL）。如表2所示，ASIL等級由A—D，等級越高表示危害事件的風險性越高。

表2 風險等級判定依據(jù)

其中，A、B、C、D 分別代表ISO 26262標準中的功能安全等級ASIL A、ASIL B、ASIL C、ASIL D。QM （Quality Management）代表質(zhì)量管理，表示在產(chǎn)品開發(fā)中，只要按照質(zhì)量管理體系的要求進行系統(tǒng)或產(chǎn)品功能開發(fā)就能夠滿足要求，不需要增加額外的安全相關(guān)設(shè)計。

安全目標 （Safety Goal，SG）本質(zhì)上是汽車電子電氣系統(tǒng)最高層面 （整車層）的安全需求，它是基于危害分析和風險評估得到的。ISO26262標準要求為每一個危害事件確定一個安全目標，并繼承危害事件的汽車安全完整性ASIL等級。安全目標應(yīng)該表述為功能性需求。通過以上危害分析與風險評估，能夠?qū)С鼍W(wǎng)關(guān)系統(tǒng)的危害事件相應(yīng)的安全目標，并最終確定網(wǎng)關(guān)系統(tǒng)的功能安全目標，如表3所示。

表3 功能安全目標

3 智能網(wǎng)聯(lián)汽車網(wǎng)關(guān)系統(tǒng)功能安全概念設(shè)計

在進行系統(tǒng)開發(fā)時，功能安全開發(fā)的概念設(shè)計階段需要確定系統(tǒng)功能安全需求 （Functional Safety Requirements，F(xiàn)SR），并最終在系統(tǒng)設(shè)計中實現(xiàn)。對于上一階段所確定的每一個功能安全目標，既可以對應(yīng)于一個功能安全需求，也可以對應(yīng)于多個功能安全需求。系統(tǒng)開發(fā)時應(yīng)根據(jù)項目特點選擇合適的技術(shù)方案。本設(shè)計所確定的網(wǎng)關(guān)功能安全概念主要指標如表4所示。

表4 功能安全需求

其中，F(xiàn)SR01、FSR02、FSR05、FSR06對應(yīng)于功能安全目標SG_01；FSR03，F(xiàn)SR07，F(xiàn)SR09對應(yīng)于功能安全目標SG_02；FSR04、FSR08對應(yīng)于功能安全目標SG_03；FSR10對應(yīng)于功能安全目標SG_04。

4 智能網(wǎng)聯(lián)汽車網(wǎng)關(guān)系統(tǒng)的設(shè)計

4.1 智能網(wǎng)聯(lián)汽車網(wǎng)關(guān)系統(tǒng)的功能定義

在智能網(wǎng)聯(lián)汽車中，網(wǎng)關(guān)系統(tǒng)是車內(nèi)網(wǎng)絡(luò)的數(shù)據(jù)交互中樞，它可以在汽車的各功能域 （動力系統(tǒng)域、底盤系統(tǒng)域、車身域、信息娛樂域、智能駕駛域等）之間以及不同類型網(wǎng)絡(luò)之間安全可靠地交互和處理各種類型數(shù)據(jù)；網(wǎng)關(guān)系統(tǒng)同時也是連接不同類型網(wǎng)絡(luò)的接口裝置，綜合了路由器和交換機的功能。在智能網(wǎng)聯(lián)汽車中，網(wǎng)關(guān)系統(tǒng)的主要功能定義如表5所示。

表5 網(wǎng)關(guān)系統(tǒng)功能定義

4.2 智能網(wǎng)聯(lián)汽車網(wǎng)關(guān)系統(tǒng)功能架構(gòu)

網(wǎng)關(guān)系統(tǒng)主要包括MCU芯片、電源管理模塊、看門狗模塊、Flash數(shù)據(jù)存儲單元、CAN/CAN FD接口模塊、Ethernet以太網(wǎng)接口模塊等幾部分，其功能架構(gòu)如圖2所示。

圖2 網(wǎng)關(guān)系統(tǒng)功能框架

MCU是整個網(wǎng)關(guān)系統(tǒng)的運算中心和控制核心，為了保證整個網(wǎng)關(guān)系統(tǒng)能夠達到功能安全ASILD的要求，MCU需要采用滿足功能安全ASILD的微處理器芯片。同時，針對系統(tǒng)的軟件功能需求，按照滿足功能安全的目標的要求，對各軟件功能模塊進行分區(qū)，將網(wǎng)絡(luò)通信、網(wǎng)絡(luò)路由、網(wǎng)絡(luò)管理等功能模塊劃分到功能安全ASILD的功能分區(qū)，將數(shù)據(jù)管理、文件管理等功能模塊劃分到功能安全ASIL B的功能分區(qū)。最終確保整個網(wǎng)關(guān)系統(tǒng)能夠滿足功能安全ASILD的系統(tǒng)設(shè)計目標。

電源管理模塊主要負責將車輛的電源合理地分配給網(wǎng)關(guān)系統(tǒng)內(nèi)部的各工作模塊，同時它還對各模塊的電源功耗，工作狀態(tài)進行實時監(jiān)控；看門狗模塊實時對MCU的程序運行狀態(tài)進行監(jiān)控，保證MCU能夠正常運行；Flash數(shù)據(jù)存儲單元用于保存網(wǎng)關(guān)系統(tǒng)在運行時所需要的各種數(shù)據(jù)和程序文件。CAN/CAN FD接口模塊主要由多路CAN/CAN FD收發(fā)器芯片及其外圍電路組成，它與CAN控制器 （通常集成于MCU內(nèi)部）相連接，是網(wǎng)關(guān)系統(tǒng)的CAN/CAN FD數(shù)據(jù)的收發(fā)通道。Ethernet以太網(wǎng)接口模塊主要由以太網(wǎng)交換機芯片和多路以太網(wǎng)PHY芯片組成，它是板載的以太網(wǎng)交換機，能夠支持100Base-T1和100Base-TX以太網(wǎng)標準，是網(wǎng)關(guān)系統(tǒng)的Ethernet以太網(wǎng)數(shù)據(jù)收發(fā)通道。

5 結(jié)語

本文系統(tǒng)地介紹了在智能網(wǎng)聯(lián)汽車中網(wǎng)關(guān)系統(tǒng)功能安全的設(shè)計流程和方法，并利用該設(shè)計流程和方法，在網(wǎng)關(guān)系統(tǒng)的設(shè)計開發(fā)過程中系統(tǒng)地展開功能安全開發(fā)。按照設(shè)計流程的要求對網(wǎng)關(guān)系統(tǒng)進行危險分析和風險評估，進一步得出網(wǎng)關(guān)系統(tǒng)的功能安全目標。在此基礎(chǔ)上針對該功能安全目標展開了網(wǎng)關(guān)系統(tǒng)的功能安全設(shè)計和系統(tǒng)設(shè)計，并最終保證該網(wǎng)關(guān)系統(tǒng)的設(shè)計能夠達到ISO 26262功能安全標準的要求。