[发明专利]汽车功能安全的过度设计预防方法

说明书

本发明提供一种汽车功能安全的防过度设计方法，所述方法包括：根据ISO 26262‑2018确定失效模式以及相应的安全机制；根据FMEA确定失效模式及影响分析的分析值，其中，所述分析值包括严重度(S)、发生度(O)、检测度(D)以及行动优先级(AP)；基于所述分析值，指定汽车安全完整性等级(ASIL)的等级和诊断覆盖率；基于ASIL等级和诊断覆盖率，在ISO 26262‑2018中选择所述安全机制；以及验证并确认汽车功能安全设计，其中，S值的范围为1‑10，O值的范围为1‑10，D值的范围为1‑10，AP包括高、中、低，其中S值、O值和D值越大，AP越高，则失效模式的影响越大，ASIL的等级越高，诊断覆盖率越大。

技术领域

本申请涉及汽车功能安全的过度设计，具体地，涉及汽车功能安全的过度设计预防方法。

背景技术

随着汽车上电子/电气系统数量不断的增加，一些高端豪华轿车上面就有多达70多个ECU(Electronic Control Unit，电子控制单元)，其中安全气囊系统、制动系统、底盘控制系统、发动机控制系统以及线控系统等都是安全相关系统。汽车智能化程度越高，电子、电气系统越复杂，对功能安全的要求也到了前所未有的高度。然而，对于汽车上电子/电气系统的功能安全设计，汽车行业内缺乏统一的标准。

早在2000年5月，国际电工委员会就正式发布了电气和电子部件行业相关标准IEC61508，IEC 61508是电气、电子和可编程电子安全相关系统的国际标准。该标准为设备制造商提供了基于生命周期概念的电气、电子和可编程安全系统的规范、起草和操作指南。IEC 61508-2010于2010年作为第二版公布，它规定了确保系统的设计、实施、操作和维护以提供所需安全完整性等级(SIL)的要求，根据系统应用中涉及的风险定义了四个SlL。IEC61508已经使用多年，以在大多数应用领域中执行安全功能。

由于IEC 61508是一个通用的标准，对于汽车电子/电气系统不是特别适应。汽车电子/电气系统的快速发展给IEC 61508带来了较大的挑战，因此有必要针对汽车电子领域形成特定的标准，由此道路车辆功能安全标准ISO 26262于2011年正式发布，以满足汽车电子/电气系统领域的特定需求。随着技术的不断改进，在ISO 26262-2011第一版应用过程的经验基础上，国际标准化组织ISO对其进行了评估并基于第一版形成了第二版ISO 26262-2018。ISO 26262为汽车安全提供了一个生命周期(管理、开发、生产、经营、服务、报废)理念，并在这些生命周期阶段中提供必要的支持。该标准涵盖功能性安全方面的整体开发过程(包括需求规划、设计、实施、集成、验证、确认和配置)。

此外，美国汽车工业行动集团(AIAG)和德国汽车工业协会(VDA)都公布了相应的失效模式及影响分析(FMEA)。FMEA是在产品设计阶段和过程设计阶段，对构成产品的子系统、零件，对构成过程的各个工序逐一进行分析，找出所有潜在的失效模式，并分析其可能的影响，并按每一个失效模式的严重程度,检测难易程度以及发生频度予以分类的一种归纳分析方法。FMEA能够容易、低成本地对产品或过程进行修改，从而减轻事后危机的修改，并且找到能够避免或减少这些潜在失效发生的措施。

由于汽车电子/电气系统复杂度、软件内容和机电一体化程度的不断提高，系统失效和随机硬件失效的风险也越来越大。当系统出现故障的时候，系统必须转入安全状态或者转换到降级模式，避免系统功能失效而导致人员伤亡。因此，为了实现汽车上电子/电气系统的功能安全，普遍存在对汽车功能安全的过度设计问题。不仅在汽车行业，在其他行业也存在针对系统安全问题的过度设计问题。然而，迄今为止却没有出现一种针对系统安全问题的防过度设计方法。

发明内容

本发明的目的在于提供一种汽车功能安全的过度设计预防方法，进一步地，提出匹配汽车安全完整性等级(ASIL)的改进后的汽车功能安全设计方法，确定汽车功能安全设计的具体工作。根据本发明所述方法，在考虑汽车功能安全设计时，能够消除汽车功能安全的过度设计，并因此消减汽车功能安全设计的成本。