汽车电子功能安全设计与测试方法的研究

　　2.1 功能安全危害分析与风险评估

　　提出了确定功能安全等级(ASIL)的方法，安全等级范围是A、B、C、D，其中ASILA安全等级最低，ASILD安全等级最高。在整车和系统电子设计时，需要确定所设计项目的范围。基于项目定义，确定项目的安全目标，避免不合理的风险。ASIL使用3个参数进行评估，分别是：危险对驾驶员或其他交通参与人员造成伤害的严重程度S，危险所在工况的发生概率E，危险涉及的驾驶员和其他交通参与人员及时采取控制行动避免特定伤害的能力C。S分为0～3级，如表1所示，S0代表无伤害，S3代表危及生命的重伤或致命伤;E分为0～4级，如表2所示，E0代表工况不可能发生，E4代表工况是常见的;C分为0～3级，如表3所示，C0代表完全可控，C3代表非常难于控制。对于每一个识别到的危险，按表4评估风险等级(即汽车安全完整性等级)，其中QM表示与安全无关。

　　2. 2 功能安全系统设计

　　系统级产品功能安全设计要求包括产品开发的启动、技术安全要求中的规范、系统设计、项目集成和测试、安全验证、功能安全评估、生产发布。如图2所示。

　　在启动产品开发和定义技术安全要求后，进行系统设计。在系统设计过程中建立系统架构，将技术安全要求分配给硬件和软件，并且，如果适用，也可应用其它技术。同时，细化技术安全要求，并添加来自系统架构的要求，包括软硬件接口的要求。根据架构的复杂性，可以逐步得出子系统的需求。开发后，集成硬件和软件要素并测试以形成一个相关项，然后，将该相关项集成在整车上。一旦在整车层面完成了系统集成，进行安全确认以提供与安全目标相关的功能安全证据。

　　2 3 功能安全软硬件设计

　　如图2所示，在系统功能安全设计时，需要制定软硬件接口HIS要求，根据表4分析确定的不同功能安全等级，在进行具体软件和硬件设计时也要有具体要求。总体来说，硬件功能安全设计体现了不同安全等级的定量要求，如表5和表6所示。硬件功能安全要求包括硬件产品开发的启动、硬件安全规格的要求、硬件设计、硬件架构指标、对由于硬件随机失效引起的违反安全目标进行评估、硬件集成和测试。