车载ECU功能安全工程实践汽车电子

ISO26262标准的术语在PART1中按照音序顺序进行了详细描述，表2-1只列出了本文需要用到的基本概念。

表2-1:VCU功能安全项目术语

3功能安全概念开发

VCU功能安全项目只进行了概念（ISO26262PART3）、系统（ISO26262PART4）、硬件（ISO26262PART5）和软件（ISO26262PART6）阶段的开发，本章整理概念阶段的工作内容，系统和软件的工作将分别在第4章和第5章整理。

3.2HARA分析

HARA分析的输出物是《危害分析和风险评估报告》。

3.2.1危害分析

表3-2为危害分析示例。

表3-2:危害分析示例

①如表3-3和图3-1所列

表3-3:危害分析引导字说明

图3-1:危害分析引导字图示

3.2.2风险评估

表3-4:风险评估示例

3.2.3计算过程

表3-5、表3-6、表3-7和表3-8分别列出与ASIL等级确定的知识点。

表3-5:严重度等级

表3-6:关于运行场景的暴露概率等级

表3-7:可控性等级

表3-8:ASIL等级确定

3.2.4安全目标

应为具有ASIL等级的每个危害事件确定一个安全目标，该ASIL等级从危害分析和风险评估中得出。如果所确定的安全目标是类似的，可将其合并为一个安全目标。

表3-9为安全目标示例。

表3-9:安全目标示例

3.3功能安全概念

功能安全概念包含以下内容。

3.3.1安全分析

针对每个安全目标，对系统的初始架构进行安全分析，找出影响安全目标的子系统故障，作为后续导出功能安全需求的依据。安全分析工具可以是FTA或FMEA，图3-2为采用FTA方法的示例。

图3-2:FTA安全分析示例

3.3.2功能安全需求

根据安全分析的结果，针对每个安全目标导出相应的功能安全需求。表3-10为功能安全需求的编写示例。

表3-10:功能安全需求示例

3.3.3外部系统功能安全需求

3.3.4报警和降级

表3-13为报警和降级的编写示例。

表3-13:报警和降级示例

3.3.5功能安全需求汇总和分配

表3-14为功能安全需求汇总和分配示例。

表3-14:功能安全需求汇总和分配示例

3.3.6功能安全架构

根据所提出的FSR，更新系统架构，并将功能安全需求分配到架构的模块上去，从而使得系统的架构满足功能安全需求。

4功能安全系统开发

功能安全系统阶段的工作包括技术安全需求、技术安全概念、系统架构设计规范和软硬件接口规范等。

4.1技术安全需求

表4-1为技术安全需求示例。

表4-1:技术安全需求示例

4.2软硬件接口规范

软硬件接口规范包含以下内容。

4.2.1操作模式

图4-1:操作模式转换图示例

表4-2:操作模式示例

表4-3:操作模式转换条件示例

4.2.2配置参数

4.2.3独立性要求

表4-4为AURIX-TC275的描述内容（部分）。

表4-4:AURIX-TC275独立性要求描述

4.2.4相互免干扰

表4-5为AURIX-TC275的描述内容（部分）。

表4-5:AURIX-TC275相互免干扰描述

4.2.5输入输出

描述ECU级别的硬件信号与MCU的端口/引脚和软件输入/输出变量之间的关系，表4-6为其示例。

表4-6:AURIX-TC275软硬件接口输入输出示例

4.2.6中断

表4-7:AURIX-TC275软硬件接口中断示例

4.2.7内存分配

表4-8:AURIX-TC275软硬件接口内存分配示例

4.2.8访问机制

描述硬件设备间的访问机制（Serial，parallel，slave，master/slave），表4-9为其示例。

表4-9:软硬件接口访问机制示例

4.2.9硬件诊断

描述硬件的诊断特性和响应的安全机制及软件的实现，表4-10为其示例。

表4-10:软硬件接口硬件诊断示例

表4-11:软硬件接口硬件诊断示例

4.3技术安全概念

4.3.1系统功能描述

系统功能如表4-12所列，文档中需要对每项功能进行详细描述。

表4-12:系统功能描述示例

4.3.2系统初始架构设计

设计VCU整体初始系统架构并按照表4-13、表4-14和表4-15分别进行功能、外部接口和内部接口描述。

表4-13:VCU初始架构功能描述示例

表4-14:VCU外部接口描述示例

表4-15:VCU内部接口描述示例

4.3.3基于系统初始架构的安全分析

（1）功能安全目标

表4-16为功能安全目标的设计示例。

表4-16:功能安全目标设计示例

（2）功能失效列表

根据功能安全目标提炼出功能失效列表，这是进行安全分析的基础，如表4-17所列。

表4-17:功能失效列表示例

（3）顶事件安全分析

使用与图4-2类似的FTA进行安全分析，输出表4-18所示的单点故障和潜伏故障列表。

图4-2:FTA安全分析示例

表4-18:单点故障和潜伏故障列表示例

4.3.4安全机制设计

分别设计单点故障和潜伏故障的安全机制，参见表4-19和表4-20。

表4-19:单点故障安全机制设计示例

表4-20:潜伏故障安全机制设计示例

4.3.5其他

5功能安全软件开发

5.1软件安全需求

5.1.1需求列表

表5-1为软件需求列表的示例。

表5-1:软件需求列表示例

5.1.2模式转换

主要用于描述当前系统不同行为模式（例如上电模式、下电模式、运行模式、故障模式等）及各个行为模式的功能，模式之间的切换条件等。

5.1.3功能描述

对软件功能进行详细描述，表5-2为功能描述示例。

表5-2:软件安全需求功能描述示例

5.1.4设计约束

表5-3:软件安全需求设计约束示例

5.2软件架构设计

软件架构设计以层次结构的形式表示软件架构要素以及他们的交互方式。描述了静态方面，如软件组件之间的接口；动态方面，如进程序列和时序行为。

5.2.1软件架构总体描述以及分层视图

本项目的软件架构基于AUTOSAR架构开发，应用层开发方式为基于模型设计（MBD），底层购买自第三方（ETASAUTOSAR）。

VCU软件架构如图5-1所示。

图5-1:VCU软件架构图

5.2.2软件组件设计

分别描述软件架构中各组件的组件描述、组件图和接口描述等，表5-4、图5-2、表5-5和表5-6分别为对应的示例。

表5-4:组件概览示例

图5-2:软件组件图示例

表5-5:软件组件数据接口描述示例

表5-6:软件组件函数接口描述示例

5.2.3动态行为

动态行为常见的描述方式有以下三种：时序图（SequenceDiagram）、活动图（ActivityDiagram）和交互纵览图（InteractionOverviewDiagram）。动态行为描述的对象基于系统级功能列表，对其功能进行描述。

图5-3为动态行为图示例。

图5-3:动态行为图示例

5.2.4任务调度和任务分配

描述系统所有任务的调度策略及任务划分，抢占属性，调度周期和优先级等。任务划分时，需考虑便于实现不同ASIL等级之间的免干扰性。

5.2.5资源预估

计算CPU在不同调度周期（如：1ms、5ms、10ms、100ms、1s）的使用率以及软件系统所用到RAM空间、FLASH空间、EEPROM空间的分配方案。

5.2.6资源冲突和控制流监控

所有存储在同一个字节中的全局标志应视为共享资源，对于有共享资源冲突的使用需要保护。

本步制定在资源冲突和控制流监控时的安全机制。

5.3软件单元设计和实现

软件单元设计和实现的目的是按照软件架构设计、设计准则和所分配的支持软件单元实施和验证的软件要求，进行软件单元设计；并实现所定义的软件单元。

5.3.1软件功能简述

描述软件单元实现的功能。

5.3.2组件源码文件

罗列程序文件名称及其实现的功能，表5-7为组件源码文件示例。

表5-7:组件源码文件示例

5.3.3静态框图

可以通过约定的方式展示组件静态框图，包括组件内单元的结构关系及单元之间的接口，且保持整个组件设计与架构中组件定义保持一致。图5-4为静态框图示例。

图5-4:软件单元静态框图示例

5.3.4单元接口

描述单元间输入、输出信息，或使用表格的形式展示，也可单独管理接口信息，参见数据字典。表5-8为软件单元接口示例。

表5-8:软件单元接口示例

5.3.5动态行为

基于SWC在架构设计中的动态行为及要求实现的软件功能需求及非功能需求，描述组件内单元之间的动态行为；动态行为描述可以采用时序图、状态机等形式进行。图5-5为软件单元动态行为示例。

图5-5:软件单元动态行为示例

5.3.6变量定义

描述本组件或某单元内部的局部变量、标定量、常量、宏、复合数据等；也可单独管理接口信息，参见数据字典。表5-9为变量定义示例。

表5-9:软件单元变量定义示例

5.3.7配置项设计

描述可在线配置和离线配置的配置项，离线指修改参数后再次编译，在线是通过诊断服务的方式进行配置项修改。表5-10为配置项设计示例。

表5-10:软件单元配置项设计示例

5.3.8函数单元设计

对软件单元所含各函数的函数原型、输入输出参数、返回值、功能描述、设计思路、实现方法等逐一说明。

5.4软件单元验证

本步提供证据证明软件单元设计满足分配的软件要求且适合于实施，验证安全分析得出的安全措施得到适当实施，提供证据证明所实现的软件单元符合单元设计，并满足根据所需的ASIL等级分配的软件要求。

5.4.1软件验证计划和策略

表5-11、表5-12、表5-13和表5-14分别为软件验证计划（SoftwareVerificationPlan）、软件单元测试范围（SoftwareUnitTestScope）、测试工具列表及环境（TestToolListandEnvironment）和软件单元验证策略（SWUnitTest）的示例。

表5-11:软件验证计划示例

表5-12:软件单元测试范围示例

表5-13:测试工具列表及环境示例

表5-14:软件单元验证策略示例

5.4.2软件单元测试用例和报告

表5-15为软件单元测试用例和报告的示例。

表5-15:软件单元测试用例和报告示例

5.4.3软件模型和代码静态验证报告

表5-16和表5-17分别为软件模型和代码静态验证报告的示例。

表5-16:软件模型静态验证报告示例

表5-17:软件代码静态验证报告示例

5.5软件集成和验证

本步定义集成步骤并集成软件要素，直至嵌入式软件完全集成；验证是确保软件架构层面的安全分析得出的已定义的安全措施得到适当实施。

5.5.1软件集成

软件集成的方法应定义和描述将各个软件单元分层集成到软件组件中的步骤，直到整个嵌入式软件全部被集成。

对于AUTOSAR工具链方式设计的车载嵌入式软件而言，软件集成主要包括基础软件模块间的集成以及基础软件与应用层软件的集成。

5.5.2集成测试范围

表5-18为软件集成测试范围示例。

表5-18:软件集成测试范围示例

5.5.3集成测试报告

与软件单元测试报告格式相同。

6功能安全基础软件核心工作梳理

下面列出VCU功能安全项目基础软件的主要工作。

6.1概念阶段

6.2系统阶段

功能安全系统阶段基础软件的工作如表6-1所列。

表6-1:系统阶段基础软件工作

6.3软件阶段

功能安全软件阶段基础软件的工作如表6-2所列。

表6-2:软件阶段基础软件工作

7项目总结

7.1标准与项目

功能安全规范只是一份指导性文档，学会满足功能安全的汽车电子设计方法离不开具体项目的工程实践，这个过程可以在专业咨询公司的指导下进行。

7.2文档与程序工程

功能安全设计不仅仅是编写文档，而是借助文档制定安全目标、设计安全机制、再通过软硬件设计满足车辆安全性需求。最终输出的程序需要在经过HIL、实车测试验证后满足量产要求。

7.3能力要求

功能安全不是一门单独的技术，而是软硬件设计的拓展和升华。

7.4功能安全认证

最后聊一下车辆功能安全工程师考试。具备高含金量的功能安全证书考试具有较高的难度和巨大的题量（据说没有中国考生能做完题），并且考察的内容涉及到标准的各个章节（含术语、概念、系统、硬件、软件、生产等）。做项目肯定有分工，但如果想考证的话，标准各部分的重点知识要尽量多的掌握。