ISO 26262国际安全规范简介及其应用_safety decomposition 安全

汽车电子电气系统的功能安全需求-ISO 26262国际安全规范简介及其应用

中文摘要

　　近年来，汽车电子产业开始发现系统失效的问题，一旦发生失效，就有可能导致乘客生命安全受到威胁，而车辆厂商也将面临官司赔偿与商誉受损的巨大风险。为防止系统失效的发生，必须有一套严谨且可靠的开发流程来让系统开发工程师依循，因此车辆领域专家们开始着手开发车辆领域的功能安全标准，ISO 26262便在此环境与需求下应运而生。

　　在ISO 26262标准中，以功能安全管理（Management of functional safety）、汽车产品设计开发的安全生命周期（Safety lifecycle）及分析定义汽车安全完整性等级（Automotive Safety Integrity Level, ASIL）为主要规范。此标准以项目定义及风险分析来评估系统所需达到的ASIL安全等级目标。本文将介绍ISO 26262标准所规范的系统功能安全的开发概念，并以一个微控制器分析案例来展示ISO 26262在实际设计上的应用。

关键词（Key Words）

汽车电子；功能安全；安全生命周期（Vehicular Electronics; Functional Safety; ISO 26262）

１．前言

　　ISO 26262:（Road vehicles – Functional Safety）[1]是在IEC 61508 标准的基础上，以道路车辆电子及电气系统应用产业的角度，具体规范汽车电子安全系统从开发到使用的安全生命周期的技术与管理要求。此标准特色如下：

• 提供一个车辆安全生命周期（设计、生产、运转、维修、报废），并根据电子/电气系统的开发类别（新开发、衍生、修改、重用）在各生命周期阶段内支持必要的活动；
• 提供汽车的具体风险基础评估，以确定风险等级（车辆安全完整性等级，ASIL），如图1；
• 利用车辆安全完整性等级（ASIL）规范具体项目的必要安全设计要求，以达到可接受的安全等级；
• 提供所需的确认措施，以确保足够和可以接受的安全程度能够被达成。

　　ISO 26262 涵盖了从管理、开发、生产、经营、服务维修至报废回收，每个阶段均规定了执行的方法与步骤。ISO 26262 采用安全程度等级ASILs （Automotive Safety Integrity Levels）来评判系统需要符合的功能安全程度。ASIL等级程度由ASIL A至ASIL D，其中以等级A为最低，等级D为最高。ASIL等级越高，其系统功能安全要求及目标就越严格。

　　此规范由IEC 61508[2]为基础，针对车辆电子及电机系统的功能安全进行修改，从而规范化的产品设计开发流程是以V模型设计验证模型来呈现。
下列为ISO 26262安全流程的各章节名称[1]：

Part 1 : 名词解释（Vocabulary）

Part 2 : 功能安全管理（Management of functional safety）

Part 3 : 概念阶段 （Concept phase）

Part 4 : 产品开发：系统层级（Product development: system level）

Part 5 : 产品开发：硬件子系统层级（Product development: hardware level）

Part 6 : 产品开发：软件子系统层级（Product development: software level）

Part 7 : 生产与操作使用（Production and operation）

Part 8 : 支援流程（Supporting processes）

Part 9 : ASIL等级界定与安全达成度的分析（ASIL-oriented and safety-oriented analyses）

Part 10 : ISO 26262 指南（Guideline）

　　而在这些章节中，又以三大阶段为主要重点，如图2所示：

1. 概念阶段：以Part 3为主，其中包括项目定义（Item definition）、安全生命周期初始化（Initiation of the safety lifecycle）、危害分析与风险评估（Hazard analysis & risk assessment）和功能安全概念（Functional safety concept）。建立初步系统架构及功能，并对其以安全分解（Safety decomposition）[3]的观念来进行车辆层级（Vehicle level）、系统层级（System level）及子系统层级（Sub-System level）的风险分析，借此定义系统所需达到的安全目标（Safety goal），最后需列出有效的安全机制（Safety mechanism），若此系统分析结果没有达到该有的安全目标，则需要加入安全机制来进行安全等级的改善。
2. 产品开发阶段： 以Part 4、Part 5和Part 6为主，分为系统层级（System level）、硬件层级（Hardware level）和软件层级（Software level）。根据前阶段的架构分析及安全机制来进行系统的设计与验证。在测试验证的部分，规范中列举出各ASIL等级所需的测试方法。
3. 生产、运作阶段：以Part 7、Part 8为主，旨在规范产品生产、操作规划、在生产前确认相关功能安全需求均被设计与实施、组装与制造的需求开发与执行以及产品销售后续服务的SOP（Start Of Production）流程。

２．SEooC 概念介绍与汽车微控制器硬件设计

　　ISO 26262 汽车安全标准无疑是台湾想要发展生产汽车微控制器必须要拿到的入场券，而此标准也提供了台湾相关产业可依循的方针。想要导入ISO 26262安全规范，必须先清楚了解想要开发产品的定位。台湾IC产业的基础雄厚，最有可能朝向微控制器芯片（Micro-Controller Unit，MCU）发展，在汽车电子产业中，属于二级供货商（Tier 2）。

　　在ISO 26262的规范中，微控制器芯片的安全性需求（Safety Requirement）是由一级供货商（Tier 1）根据其应用的风险评估来制定，并提供给芯片开发商，后者再依照安全性需求来研发微控制器芯片。然而目前台湾汽车电子产业中缺乏一级供货商，微控制器芯片开发商若不想依靠国外一级供货商提供安全性需求的相关规格，ISO 26262还提供了另外一条可行的开发流程，称之为SEooC （Safety Element out of Context），其流程图如下图3所示[4]：

　　在缺乏一级供货商的情况下，ISO 26262规范允许二级供货商自行假设其应用，并扮演一级供货商的角色：包括产品定义、根据执行风险评估（Hazard Analysis and Risk Assessment，HARA）来决定其应用的车辆安全完整性等级（ASIL）、制定系统层级的安全目标（Safety Goal）和功能安全需求（Functional Safety Requirement, FSR）以及功能安全技术实现需求（Technical Safety Requirement, TSR）等。根据TSR就可以再进一步制定出硬件安全需求（Hardware Safety Requirement, HSR），工程师就可以依据HSR来开发微控制器芯片。（但需特别注意的是，制定的所有安全目标以及安全需求都须经过第三方单位的认证。）

３．ISO 26262安全性验证方法

　　为了实现具有高可靠度/安全性的汽车电子系统，势必要在系统的设计中加入安全机制（Safety Mechanism）来避免系统失效时造成危害。然而加入什么样的安全机制，如何才能让安全机制发挥最大的效用，不能仅凭研发工程师的主观认定，必须通过一套以系统的分析方法来制定安全机制的设计方针。所以安全性分析（Safety Analysis）也是ISO 26262规范中非常重要的一项要求，而当微控制器芯片的ASIL要求在等级B以上时，也必须通过安全性分析来验证是否能够达成预期的ASIL要求。

　　上图4为常见的汽车电子产品的V模型开发流程。由图4可知，安全分析主要从芯片研发初期时就必须进行，才能为安全机制的设计提供最好的依据。在ISO 26262规范中建议的安全分析方法主要有FMEA（Failure Mode and Effect Analysis）、FTA（Fault Tree Analysis）以及FMEDA（Failure Mode Effect and Diagnostic Analysis）三种。

　　三种分析方法都有其不同的目的，FMEA主要是用于列出MCU内组件有哪些可能的失效模式，以及这些失效模块对MCU的影响；FTA则是列出导致MCU失效的原因主要是由于哪个/哪些组件出错所导致；而FMEDA主要是用来分析不同的安全机制对于各种不同的组件失效模式的有效性。针对MCU硬件设计的开发商来说，FMEDA尤其重要，因为在ISO 26262规范中，FMEDA是用来评判MCU硬件能否达到ASIL要求的主要依据之一。第4章将会有MCU FMEDA的实例展示。

3.1 ISO 26262软件安全性验证方法

　　ISO 26262标准对软件的设计与测试验证在Part6单元有详细描述。因为汽车领域有其特殊的开发需求，如控制系统的基于模型开发与规格验证等。汽车电子开发流程常用V模型流程来描述，如图5所示。从系统的需求通过建模分析来生成系统设计规格，并通过工具如CarSim或dSPACE来验证确认设计规格是否满足需求。进而再配置安全功能到硬件或软件的设计上。

　　软件的验证从基于模型的软件验证到源代码的静态分析（Static Analysis），以及动态分析（Dynamic Analysis）来验证软件设计的安全性。静态分析常用MISRA C or C++来检查是否违背安全设计法则，常见的动态分析包括白盒测试（White Box testing）和比对测试（Back-to-Back testing），如图6所示。

　　软件的测试度量（Metrics）标准要求须符合单元测试涵盖（Coverage）如语句（Statement）、分支（Branch）、修订的条件/判定覆盖（Modified Condition/Decision Coverage以及集成测试（Integration Test），如功能涵盖率（Function Coverage）、呼叫功能涵盖率（Call Coverage），如图7所示。

４．汽车微控制器实例展示

　　图8是资通所自主研发的汽车微控制器架构图，其主要应用为电动车马达的控制，故此微控制器须能符合高安全性的要求。在此我们将此微控制器的安全性要求设为ASIL D。而根据表1可知其各项相关参数的量化标准。

表1 ISO 26262 ASIL量化標準

　　表1中SPFM是Single Point Fault Metrics的缩写，代表的是对于单点错误的容错能力。而LFM则是Latent-multiple-point Fault Metrics 的缩写，代表的则是对于多点错误的容错能力。最后PMHF则是Probabilistic Metrics for Hardware Failure的缩写，即所谓的硬件失效率，单位为FIT（Failure In Time）。下表2是图8汽车微控制器在未加入安全机制前的硬件失效率。

　　由表2可知，其硬件失效率高达725，与ASIL-D的要求还有很大的差距。分析此差距是加入安全机制时非常必要的事前工作，可以让设计者在决定采用何种安全机制时能够有所依据，尽量避免不适当设计的产生。为了达成ASIL-D的要求，势必要加入安全机制（Safety Mechanism）来提升微控制器的安全性，而ISO 26262对于ASIL-D的硬件设计有非常高的要求（如表1），任何克服故障的方法都必须有赖于故障的侦测与诊断机制。一般来说，诊断机制的故障诊断率越高，也代表微控制器的安全性越高。

　　因此高安全性反映在硬件设计上即代表安全机制需要非常高的故障诊断率（Diagnostic Coverage，DC）。DC值在ISO 26262中可分为high（99%）、medium（90%）、与low（60%）三种等级，表3列出ISO 26262 part 5 所提供的微控制器安全机制参考设计，这些安全机制都具有99%的DC值，欲达成ASIL-D的要求，建议加入这些具有高故障诊断率的安全机制到微控制器设计中。

表3 MCU Failure Rate

　　下图9是参考上表3之后，将图8微控制器进一步改良之后的架构图。比较图8与图9可以发现，加入安全机制后整体架构图的改变。为了验证加入的安全机制，可以使微控制器的整体故障率达到ASIL-D的要求，在此我们采用了FMEDA方法来分析，下表4 是针对此架构所进行的FMEDA的部分结果展示[4]。

　　根据FMEDA的分析结果，改良后的微控制器的硬件失效率可降至9.45FITs，已符合ASIL D的< 10 FITs的要求。由上述实例展示可知，为了要达成高安全性微控制器的设计，在架构设计时就必须将安全性的议题纳入考虑。这无疑会使原有的设计周期所需花费的时间变长，也会增加额外的人力与软硬件投入。然而因为汽车微控制器芯片与人身生命安全有重大关联，这些投资是不可避免的。若将来台湾的IC设计产业想扩大汽车电子产品的市场，势必要将以往只考虑成本与出货时间的观念加以调整。

５．结论

　　在本文中，针对汽车电子产业目前主要依循的功能安全规范ISO 26262，提供了整体概念与其核心精神的介绍。另外针对ISO 26262中较为特别的SEooC设计概念也有所涉及。针对软件安全性设计的部分，则是介绍了其测试项目以及与V模型开发流程之间的整合关系。最后则是利用资通所本身所开发的微控制器作为展示案例，说明ISO 26262安全标准的实际应用。本文最主要的目的是让国内相关产业界能够对ISO 26262有初步认识，并且分享作者针对功能安全设计的研究成果与心得，期望能对国内汽车电子产业提供有用的参考数据。

参考文献

[1] "ISO 26262 Road vehicles - Function Safety," ed: International Organization for Standardization, 2011.
[2] “International Standard IEC 61508: Functional Safety of Electrical/Electronic/Programmable Electronic Safety Related Systems”. IEC, Geneva.www.iec.ch
[3] Andrea Piovesan, John Favaro, “Experience with ISO 26262 ASIL Decomposition”, Automotive SPIN, Milano, 2011.
[4] 吕昆龙, “遵循ISO 26262规范车用MCU可靠度/安全性达标”, 新通讯2015 年4 月号170 期

作者简介

吕昆龙
信息与通讯研究所/生医与工业积体电路技术组/车用电子设计应用部/工程师。AFSP（Automotive Functional Safety Professional）Certification from SGS-TÜV。专长为容错架构设计、可靠度模型、错误注入与可靠度验证、功能安全性分析与设计。
E-mail: sone@itri.org.tw

张国梁
SGS功能安全主任及台湾区负责人，AFSE（Automotive Functional Safety Expert）Certification from SGS-TÜV，专长为医疗与汽车电子软件功能安全分析验证。
E-mail: Jeff-tw.Chang@sgs.com

黄立仁
信息与通讯研究所/生医与工业积体电路技术组/组长。AFSP（Automotive Functional Safety Professional）Certification from SGS-TÜV。专长为模拟/混和讯号IC设计、车规IC设计、功能安全性分析与设计、超大型积电电路测试。
E-mail: lrhuang@itri.org.tw

 

纪坤明
信息与通讯研究所/生医与工业积体电路技术组/车用电子设计应用部/资深工程师兼副经理。专长为数字VLSI设计、EDA设计流程整合、功能安全性分析与设计。
E-mail: digo@itri.org.tw

 
张雍昌
信息与通讯研究所/生医与工业积体电路技术组/车用电子设计应用部/ 工程师。AFSP（Automotive Functional Safety Professional）Certification from SGS-TÜV。专长为芯片网络容错架构设计、功能安全性分析与设计。
E-mail: ycchangs@itri.org.tw

杨智仁
信息与通讯研究所/生医与工业积体电路技术组/车用电子设计应用部/ 工程师。AFSP（Automotive Functional Safety Professional）Certification from SGS-TÜV。专长为微控制器容错架构设计、功能安全性分析与设计、软硬件协同验证。
E-mail: Jeff.Yang@itri.org.tw