基于ISO26262功能安全标准的汽车电子系统测试方法_中_杨国青

基于ISO26262的车辆电子电气系统故障注入测试方法尚世亮;王雷雷;赵向东【摘要】基于IS026262《道路车辆功能安全》标准,以车辆电子稳定性控制系统(ESC)的故障注入测试为例,依据车辆安全完整性等级(ASIL),定义了诊断覆盖率要求及相应的传感器典型失效模式,设计出适用于菊花链式CAN总线架构的故障注入电路,编写测试案例及评估准则并进行了实车测试.结果表明,所设计的测试方法能够对车辆电子电气系统相关安全机制进行有效验证,且可对系统进行功能安全评估.【期刊名称】《汽车技术》【年(卷),期】2015(000)012【总页数】4页(P49-51,58)【关键词】电子电气系统;故障注入;功能安全评估【作者】尚世亮;王雷雷;赵向东【作者单位】泛亚汽车技术中心有限公司;泛亚汽车技术中心有限公司;泛亚汽车技术中心有限公司【正文语种】中文【中图分类】U463.6随着汽车电控技术的发展，车载电子电气系统应用日益广泛，但车载电子电气系统在为乘员提供极大便利的同时，因系统潜在失效导致的危害风险也大大增加。

2011年ISO26262《道路车辆功能安全》标准发布实施，该标准基于危害分析和风险评估定义了汽车安全完整性等级（ASIL），用其表征车辆系统潜在失效所导致的危害程度。

但在该标准中仅列举了推荐的验证测试方法名称，未提供具体的测试案例或评估准则，这给汽车企业特别是国内整车企业执行该标准造成了困难。

为此，本文以车辆电子稳定性控制系统（ESC）为例，介绍一种基于总线的故障注入测试方法，为如何依照标准进行功能安全验证测试和评估提供借鉴。

ISO26262《道路车辆功能安全》标准中的ASIL共分为A、B、C、D 4个等级，其中ASIL D为最高等级。

依照ASIL等级，该标准定义了贯穿车辆系统全生命周期的一系列要求，同时强调将功能安全验证测试作为检验系统是否满足既定安全要求的重要手段。

该标准对功能安全验证测试的要求涉及流程和技术两方面。

基于iso 26262的驱动电机系统功能安全概念设计及
测试
一、安全分析：
1.失效模式及影响分析（FMEA）：采用FMEA分析方法，通过设计过程中的威胁源进行功能安全风险识别，根据风险等级对系统设计细节和实现进行相应的优化，并建立不安全的报警机制。

2.安全状态：基于潜在不安全状态识别技术，实时地检测驱动电机系统运行时的状态，及时发现错误构成信息，及时通知，避免风险。

3.失效诊断与故障容错：采用故障树分析（FTA）技术，详细识别系统的失效模式和失效影响，并避免系统发出报警后出现危害性故障，设计相应的预防措施，避免系统出现不安全漏洞。

4.少数安全方法：采用关联性故障排除算法（CFEA），统一管理多种类型的安全信号，快速诊断出潜在的安全问题，使得系统达到安全可靠。

二、功能安全测试：
1.对系统文件进行安全性测试：利用软件安全性测试方法，进行模块化测试，使
系统文件达到安全性要求。

2.对功能安全指标进行测试：对功能安全指标实施测试，包括冗余备份、控制冗余、单元保护和实验性测试，依据ISO 26262的规范设计出功能安全指标，测试系统安全性。

3.进行安全性测试：利用Monte-Carlo法计算安全阀值，并设置可信认证机制，实施抗攻击性测试，提高系统的安全性能。

4.模拟实验：根据系统性能要求，进行仿真实验评价，以验证系统安全要求及现有设计正确性，满足安全性结论及回归测试。

汽车电子功能安全标准ISO26262解析（三）——硬件部分汽车电子功能安全标准ISO26262解析（三）——硬件部分原创pianpian_zct 最后发布于2017-12-29 13:09:34 阅读数13865 收藏展开1. The necessary activities and processes for the product development at the hardware level include:(1) the hardware implementation of the technical safety concept;(2) the analysis of potential hardware faults and their effects;(3) the coordination with software development.为了满足ISO26262，硬件方面需要做的工作包括：(1) 功能安全概念的硬件实现；(2) 潜在硬件失效及后果分析；(3) 与软件开发协同合作。

2. 硬件功能安全相关工作：硬件功能安全方面相关工作包括：(1) 5.5 initiation of product development at the hardware level: 启动硬件设计具体包括哪些工作包？目的是决定并计划硬件设计每个阶段的功能安全活动。

输入：完善后的项目计划、完善前的安全计划、完善后的集成测试计划输出：完善后的安全计划(2) 5.6 specification of hardware safety requirements: 定义硬件功能安全需求输入：安全计划、安全概念、系统设计说明书、硬件软件接口说明输出：硬件安全需求(包括测试和验证标准)、完善的硬件软件接口说明、硬件安全需求验证报告如何定义硬件功能安全需求，使用什么工具软件，模板如何？They are derived from the technical safety concept and system design specification.硬件功能安全需求来源于系统安全概念和系统设计文档。

功能安全标准ISO26262在汽车电子电器开发中的应用卢静【摘要】功能安全标准ISO26262是汽车业界继品质和环境后,专门面向电子电器部件安全性的国际标准.欧美和韩日厂商在该领域已经有了较深的积累,而我国的厂商在该领域还处于摸索阶段.本文论述了ISO26262标准指定的背景,该标准的核心的功能安全级别ASIL的推导过程,以及标准对不同ASIL等级的系统的方法要求.【期刊名称】《电子世界》【年(卷),期】2016(000)020【总页数】2页(P124-125)【关键词】功能安全;ISO26262;汽车电子电器【作者】卢静【作者单位】南京航空航天大学金城学院车辆工程系【正文语种】中文本文介绍了功能安全标准ISO26262的制定背景和主要内容，从核心内容的功能安全管理、过程管理和支持过程三个方面分别进行了论述。

在此基础上，对功能安全等级ASIL的推导方法，以及标准对不同ASIL等级的指导方法进行了深入的论述和举例说明。

从汽车行业规格的历史动向上可以看出，继品质和环境后，安全成为汽车行业第三个标准要求。

ISO26262建立在电子电气及可编程器件功能安全基本标准IEC61508之上，专门为汽车行业定制，用于汽车行业中特定的电气器件、电子设备、可编程电子器件等专门用于汽车领域的部件，旨在提高汽车电子、电气产品功能安全的国际标准。

［1］ISO26262从2005年起正式开始制定，于2011年11月正式颁布，成为国际标准。

功能安全标准ISO26262适用于安装在最大总质量不超过3.5吨的量产乘用车上的包含一个或多个电子电器系统的与安全相关的系统。

而特殊用途车辆（例如为残疾驾驶者设计的车辆）不包含在适用范围内。

［2］预计在2018年将发布下一代功能安全标准，届时商用车和摩托车也很有可能被定义在适用范围内。

中国也正在积极进行相应国标的制定，目前意见征求稿已经公开，预计2016年末将正式发布相应的道路测量功能安全国家标准。

基于ISO 26262 功能安全标准的测试系统测试方法(上)
摘要：本文针对汽车电子产品功能安全要求，从测试的角度详细分析
了ISO 26262 标准中的具体要求，包括ISO 26262 对测试流程的规定，对硬件集成和测试的规定，对软件集成和测试的规定，以及对产品集成和测试的规定。

ISO26262 标准概述
功能安全标准(ISO26262)是从电子、电气及可编程器件功能安全基本标
准IEC61508[1]派生出来的，主要定位在汽车行业中特定的电气器件、电子设
备、可编程电子器件等专门用于汽车领域的部件，旨在提高汽车电子、电气产
品功能安全的国际标准[2] 。

ISO26262 从2005 年11 月起正式开始制定，经历了大约6 年左右的时间，已于2011 年11 月正式颁布，成为国际标准。

中国也正在积极进行相应国标的
制定。

ISO26262 主要内容包括：
●提供了汽车生命周期(管理，研发，生产，运行，服务，拆解)和生命
周期中必要的改装活动。

●提供了决定风险等级的具体风险评估方法(汽
车安全综合等级，ASILs[5] )。

●使用ASILs 方法来确定获得可接受的残
余风险的必要安全要求。

●提供了确保获得足够的和可接受的安全等级的
有效性和确定性措施。

功能安全受研发过程(包括具体要求，设计，执行，整合，验证，有效性
和配置)，生产过程和服务流程以及管理流程的影响。

安全事件总是和通常的功能和质量相关的研发活动及产品伴随在一起。

ISO26262 强调了研发活动和产品的安全相关方面。

收稿日期：２０１９－１０－１７基金项目：天津市交通运输科技发展计划项目（２０１８－２７）作者简介：刘凌飞（１９９３ ），女，硕士研究生，研究方向为新能源汽车与汽车电子控制技术㊂Ｅ⁃ｍａｉｌ：ｌｉｕｌｉｎｇｆｅｉ１１３０＠１６３ ｃｏｍ㊂ＤＯＩ：１０ １９４６６／ｊ ｃｎｋｉ １６７４－１９８６ ２０１９ １１ ００７基于ＩＳＯ２６２６２标准的ＢＭＳ（ＡＳＩＬＣ）功能安全设计刘凌飞１，李小鹏１，徐征１，沈圣智２（１．天津职业技术师范大学汽车与交通学院，天津３００２２２；２．天津动核芯科技有限公司，天津３００３５０）摘要：随着新能源汽车的发展逐步趋于电气化和智能化，其电子控制器的数量不断增加，电子控制器的功能安全成为影响新能源汽车安全性的首要问题㊂旨在将标准ＩＳＯ２６２６２－３：２０１８的开发要求，应用到动力电池管理系统的功能安全开发中㊂通过对动力电池的管理系统进行功能和结构分析，结合应用场景和危险辨识分析得到系统的潜在危害，提出了电池管理系统（ＢＭＳ）的安全目标及功能安全需求㊂根据动力电池过放危害，进行危害分析与风险评估以确定ＢＭＳ的汽车完整性等级（ＡＳＩＬ），并提出了一种分解其ＡＳＩＬ以降低开发成本的方法㊂关键词：新能源汽车；ＢＭＳ；ＩＳＯ２６２６２标准；ＡＳＩＬ中图分类号：Ｕ４６９㊀㊀文献标志码：Ｂ㊀㊀文章编号：１６７４－１９８６（２０１９）１１－０３０－０４ＦｕｎｃｔｉｏｎａｌＳａｆｅｔｙＤｅｓｉｇｎｏｆＢＭＳ（ＡＳＩＬＣ）ＢａｓｅｄｏｎＩＳＯ２６２６２ＳｔａｎｄａｒｄＬＩＵＬｉｎｇｆｅｉ１，ＬＩＸｉａｏｐｅｎｇ１，ＸＵＺｈｅｎｇ１，ＳＨＥＮＳｈｅｎｇｚｈｉ２（１．ＳｃｈｏｏｌｏｆＡｕｔｏｍａｔｉｏｎａｎｄＴｒａｎｓｐｏｒｔａｔｉｏｎ，ＴｉａｎｊｉｎＵｎｉｖｅｒｓｉｔｙｏｆＴｅｃｈｎｏｌｏｇｙａｎｄＥｄｕｃａｔｉｏｎ，Ｔｉａｎｊｉｎ３００２２２，Ｃｈｉｎａ；２．ＴｉａｎｊｉｎＤｏｎｇＨｅＸｉｎＴｅｃｈｎｏｌｏｇｙＣｏ．，Ｌｔｄ．，Ｔｉａｎｊｉｎ３００３５０，Ｃｈｉｎａ）Ａｂｓｔｒａｃｔ：Ａｓｔｈｅｄｅｖｅｌｏｐｍｅｎｔｏｆｎｅｗｅｎｅｒｇｙｖｅｈｉｃｌｅｓｇｒａｄｕａｌｌｙｂｅｃｏｍｅｓｅｌｅｃｔｒｉｆｉｅｄａｎｄｉｎｔｅｌｌｉｇｅｎｔ，ｔｈｅｎｕｍｂｅｒｏｆｅｌｅｃｔｒｏｎｉｃｃｏｎｔｒｏｌｌｅｒｓｉｓｉｎｃｒｅａｓｉｎｇ，ｔｈｅｆｕｎｃｔｉｏｎａｌｓａｆｅｔｙｏｆｔｈｅｅｌｅｃｔｒｏｎｉｃｃｏｎｔｒｏｌｌｅｒｉｓｔｈｅｆｉｒｓｔｐｒｏｂｌｅｍｔｏａｆｆｅｃｔｔｈｅｓａｆｅｔｙｏｆｎｅｗｅｎｅｒｇｙｖｅｈｉｃｌｅｓ．ＡｉｍｓｔｏａｐｐｌｙｄｅｖｅｌｏｐｍｅｎｔｒｅｑｕｉｒｅｍｅｎｔｓｏｆＩＳＯ２６２６２－３：２０１８ｔｏｔｈｅｆｕｎｃｔｉｏｎａｌｓａｆｅｔｙｄｅｖｅｌｏｐｍｅｎｔｏｆｐｏｗｅｒｂａｔｔｅｒｙｍａｎａｇｅｍｅｎｔｓｙｓｔｅｍｓ．Ｔｈｒｏｕｇｈｔｈｅｆｕｎｃｔｉｏｎａｌａｎｄｓｔｒｕｃｔｕｒａｌａｎａｌｙｓｉｓｏｆｔｈｅｂａｔｔｅｒｙｍａｎａｇｅｍｅｎｔｓｙｓｔｅｍｏｆｔｈｅｐｏｗｅｒｂａｔｔｅｒｙ，ｃｏｍｂｉｎｅｄｗｉｔｈｔｈｅｓｃｅｎｅａｎａｌｙｓｉｓａｎｄｈａｚａｒｄｉｄｅｎｔｉｆｉｃａｔｉｏｎｔｏｄｅｒｉｖｅｔｈｅｐｏｔｅｎｔｉａｌｈａｚａｒｄｏｆｔｈｅｓｙｓｔｅｍ，ｔｈｅｓａｆｅｔｙｏｂｊｅｃｔｉｖｅｓａｎｄｆｕｎｃｔｉｏｎａｌｓａｆｅｔｙｒｅｑｕｉｒｅｍｅｎｔｓｏｆｔｈｅｂａｔｔｅｒｙｍａｎａｇｅｍｅｎｔｓｙｓｔｅｍ（ＢＭＳ）ｗｅｒｅｐｒｏｐｏｓｅｄ，ａｎｄｔｈｅｈａｚａｒｄｗａｓｂａｓｅｄｏｎｔｈｅｏｖｅｒ⁃ｄｉｓｃｈａｒｇｅｏｆｔｈｅｐｏｗｅｒｂａｔｔｅｒｙ．Ｈａｚａｒｄａｎａｌｙｓｉｓａｎｄｒｉｓｋａｓｓｅｓｓｍｅｎｔｏｆｏｖｅｒ⁃ｄｉｓｃｈａｒｇｅｏｆｐｏｗｅｒｂａｔｔｅｒｙｔｏｄｅｔｅｒｍｉｎｅｔｈｅａｕｔｏｍｏｔｉｖｅｓａｆｅｔｙｉｎｔｅｇｒａｔｉｏｎｌｅｖｅｌ（ＡＳＩＬ）ｏｆＢＭＳａｎｄｐｒｏｐｏｓｅａｗａｙｔｏｄｅｃｏｍｐｏｓｅｉｔｓＡＳＩＬｔｏｒｅｄｕｃｅｄｅｖｅｌｏｐｍｅｎｔｃｏｓｔｓ．Ｋｅｙｗｏｒｄｓ：Ｎｅｗｅｎｅｒｇｙｖｅｈｉｃｌｅ；Ｂａｔｔｅｒｙｍａｎａｇｅｍｅｎｔｓｙｓｔｅｍ（ＢＭＳ）；ＩＳＯ２６２６２Ｓｔａｎｄａｒｄ；Ａｕｔｏｍｏｔｉｖｅｓａｆｅｔｙｉｎｔｅｇｒａｔｉｏｎｌｅｖｅｌ（ＡＳＩＬ）０㊀引言随着汽车上电子／电气（Ｅ／Ｅ）系统的复杂性不断提高，系统失效和随机硬件失效的风险也不断增加㊂据不完全统计，截至２０１９年上半年，由于动力蓄电池所引发的电动汽车自燃事故已高达４０余起㊂动力蓄电池系统作为新能源汽车的能源系统，承担能量的存储与释放，其内部的电子控制器的功能安全直接影响动力蓄电池的安全性㊂为提高汽车的安全性，针对汽车功能安全，国际标准化组织ＩＳＯ于２０１８年发布了第二版ＩＳＯ２６２６２道路车辆功能安全标准［１］㊂电池管理系统（ＢａｔｔｅｒｙＭａｎａｇｅｍｅｎｔＳｙｓｔｅｍ，ＢＭＳ）作为动力蓄电池的核心电子控制器，在其系统功能安全设计过程中应用ＩＳＯ２６２６２标准要求，将有利于提高其安全性㊂本文作者根据ＩＳＯ２６２６２标准中的危害分析和风险评估方法，介绍了汽车完整性等级（ＡｕｔｏｍｏｔｉｖｅＳａｆｅｔｙＩｎｔｅｇｒａｔｉｏｎＬｅｖｅｌ，ＡＳＩＬ）的确定方法，介绍了ＡＳＩＬ分解的原则，并以ＢＭＳ的等级确定及分解为示例进行介绍㊂１㊀道路车辆功能安全标准ＩＳＯ２６２６２２０１８年基于ＩＥＣ６１５０８安全相关电气／电子／可编程电子系统功能安全，ＩＳＯ２６２６２被制定㊂它是针对公路车辆内的电子／电气系统的汽车开发行业标准［１］，包括了汽车电子电气在安全生命周期的开发过程中与安全相关的所有活动的要求㊂从而确保具备安全功能的电子产品的性能，在车辆使用过程中，即使出现功能性失效的情况，车辆也不会发生危险㊂ＩＳＯ２６２６２：２０１８标准体系由１２个子标准组成，其中Ｒｏａｄｖｅｈｉｃｌｅｓ：Ｆｕｎｃｔｉｏｎａｌｓａｆｅｔｙ：Ｐａｒｔ１２是针对摩托车定制的［１］㊂Ｐａｒｔ１ Ｐａｒｔ１１的内容如图１所示，其中第４㊁５㊁６部分，兼容 Ｖ 形开发流程图［４］，其结构框图如图１所示㊂图１㊀ＩＳＯ２６２６２：２０１８标准结构依据ＩＳＯ２６２６２标准进行功能安全设计时，需要进行危害分析和风险评估㊂根据系统的功能，可采用ＨＡＺＯＰ㊁ＦＭＥＡ㊁头脑风暴等方法，结合故障可能会出现的情景进行功能故障分析㊂功能故障和驾驶场景的组合称作危害事件㊂危害事件确定后，依据严重度㊁暴露率和可控性评估危害事件的风险级别 汽车完整性等级（ＡＳＩＬ）㊂其中，严重度是驾驶员㊁乘员或者行人等涉险人员在危害事件中遭受伤害的程度；暴露率是指人员处于失效系统所致的危害场景中的概率；可控性是指驾驶员或其他涉险人员通过相应的应急措施，避免事故或伤害的可能性㊂这３个因子的分类及等级评定如表１所示㊂ＡＳＩＬ设置有４个等级，如表２所示㊂其中Ｄ等级的级别最高㊁Ａ等级最低；ＱＭ表示质量管理，表示只需按照质量管理体系进行系统或功能的开发，不再需要考虑其他安全相关的设计［２］㊂ＡＳＩＬ等级越高，意味着对系统安全性的要求越高㊂表１㊀严重度㊁暴露率㊁可控性分类㊀㊀㊀㊀㊀㊀严重度㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀暴露率㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀可控性㊀㊀㊀㊀㊀㊀㊀等级描述等级描述等级描述Ｓ０无伤害Ｅ１很低的概率（＜１％）Ｃ０完全可控（＞９９％驾驶员）Ｓ１轻度和中度伤害Ｅ２低概率（１％）Ｃ１简单可控（＞９９％驾驶员）Ｓ２严重伤害（有生还可能）Ｅ３中度概率（１％ １０％）Ｃ２一般可控（＞９９％驾驶员）Ｓ３致命伤害Ｅ４高概率（＞１０％）Ｃ３很难控制（＜９９％驾驶员）表２㊀ＡＳＩＬ等级确定严重性等级危险可能性等级可控性等级Ｃ１Ｃ２Ｃ３Ｓ１Ｅ１ＱＭＱＭＱＭＥ２ＱＭＱＭＱＭＥ３ＱＭＱＭＡＥ４ＱＭＡＢＳ２Ｅ１ＱＭＱＭＱＭＥ２ＱＭＱＭＡＥ３ＱＭＡＢＥ４ＡＢＣＳ３Ｅ１ＱＭＱＭＱＭＥ２ＱＭＡＢＥ３ＡＢＣＥ４ＢＣＤ可将风险Ｒ描述为危险事件的功能函数Ｆ㊂风险Ｒ与危害事件的发生频率ｆ㊁通过人的及时反应而避免损害或损伤的可控性Ｃ以及潜在的严重程度Ｓ有关，其函数可表示为Ｒ＝Ｆ（ｆ，Ｃ，Ｓ）（１）式中ｆ是危害事件的暴露率Ｅ发生概率λ的函数㊂发生的频率ｆ由以下２个因素确定：（１）需要考虑危害事件的发生频繁度和危害事件涉及的人数，该因素可用危害事件的暴露率Ｅ来代替㊂（２）可能导致危险事件的产品故障率λ，该因素受限于硬件随机故障和系统性故障㊂其表达式如式（２）所示㊂ｆ＝Ｅλ（２）２㊀ＢＭＳ的等级评定２ １㊀市场车型定位ＢＭＳ是保护动力电池的使用安全和使用寿命的控制系统㊂通常具有上电自检，对电压㊁电流㊁温度数据进行采样监测，均衡管理，绝缘监控，状态估计（ＳＯＣ㊁ＳＯＨ等），高压回路控制，故障诊断，通信，热管理等功能［３］㊂ＢＭＳ需时刻监控电池的状态，通过检测单体电池的电压㊁电流及温度值，估算动力电池的ＳＯＣ㊁ＳＯＨ等值，以确定动力电池的安全状态㊂ＢＭＳ内部的逻辑计算与控制策略可以防止电池出现过度充电和过度放电的现象，缓解电池组的不一致性，提高电池的利用率［４］，保障动力蓄电池的使用安全㊂动力电池系统的ＢＭＳ控制模块，可分为数据采集与数据通信㊁处理模块，如图２所示㊂该系统由一个主控单元和多个从控单元组成，其中从控单元主要负责单体电压信号采集与均衡处理，主控单元主要负责数据的运算处理㊁系统高压通断㊁热管理及与ＶＣＵ进行信息交互等㊂图２㊀电动汽车的动力电池系统２ ２㊀ＢＭＳ的危害分析与风险评估对ＢＭＳ进行危害分析与风险评估时，可将ＢＭＳ作为一个独立单元，在不考虑其他整车要素的情况下进行㊂首先要对ＢＭＳ的功能及结构进行分析，可以采用概念阶段所定义的安全生命周期的方法来定义ＢＭＳ的工作环境和工作状况㊂根据ＢＭＳ的工作状态，分析其失效或故障状态下可能发生的危害㊂针对ＢＭＳ的危害至少确定一个安全目标，再根据ＢＭＳ的安全目标确定其ＡＳＩＬ等级㊂安全目标是最高层面的安全要求，也是危害分析和风险评估的结果［１］㊂结合ＢＭＳ在动力电池系统中的工作状态，ＢＭＳ电子控制器的危险动作主要包含过充㊁过放㊁低温充电㊁过度冷却／加热㊁接触器非正常断开／接合㊁过流等㊂以ＢＭＳ失效为例，该危险事件的危害有：（１）在行驶过程中，ＢＭＳ失效出现电池过放，引起电池组内部短路和电池包着火㊂（２）高速行驶过程中，高压回路被切断，导致车辆失去动力［２］㊂（３）车辆充电时，由于ＢＭＳ失效不能保护动力电池，发生过充现象等㊂高速行驶㊁充电是每天都会发生的事情㊂对于不同的失效危害可采取相应的措施，如车辆失去动力后，驾驶员可依靠惯性将车辆驶离主车道，将车辆停靠在路边等待维修处理；车辆充电时着火，驾驶员及乘客可通过门窗逃生等，以保障车辆上人员的生命安全㊂即使危害相同，在不同场景下发生的风险也是不同的，所以需要对不同的驾驶场景进行针对性分析㊂为了简化问题，文中仅对 高速行驶过程中，ＢＭＳ失效引发电池组过放 这种功能故障进行风险评估㊂根据以上分析，ＢＭＳ风险评估结果如表３所示㊂驾驶场景是正常道路高速行驶㊂对于同一个安全目标，如果出现评估的ＡＳＩＬ等级不同时，要选择最高的ＡＳＩＬ评定值㊂城市工况低速行驶时，其ＡＳＩＬ的等级会比高速行驶的评定等级低㊂通过以上分析，得出ＢＭＳ系统的安全目标为防止电池过放，ＡＳＩＬ等级为Ｃ㊂安全目标确定后，即可确定ＢＭＳ在系统级别的安全需求，安全需求需继承安全目标的ＡＳＩＬ等级，并分配至ＢＭＳ的硬件和软件设计中㊂根据ＢＭＳ的ＡＳＩＬＣ的等级要求，在其硬件及软件的开发设计过程中，需要继承ＡＳＩＬＣ等级的设计需求㊂表３㊀ＢＭＳ风险评估评估项结果及描述可控性分类说明驾驶员可将车辆驶离主车道并停车，通过车门㊁车窗逃生分类值Ｃ３严重度分类说明电池组着火，对行人及驾驶员造成严重伤害分类值Ｓ２暴露率分类说明高速㊁加速行驶每天都会发生分类值Ｅ４ＡＳＩＬＣ３　ＢＭＳ的ＡＳＩＬ分解ＩＳＯ２６２６２规定，应为每一个安全目标定义至少一项功能安全需求，每条功能安全需求从相关的安全目标继承最高的ＡＳＩＬ，然后将功能安全需求分配给相关项㊂由于在实际的生产过程中需要考虑生产成本，ＡＳＩＬ的等级越高生产成本越高［５］㊂为了降低安全目标的实施成本，可将一个高ＡＳＩＬ等级的安全目标分解为两个相互独立的较低级的安全目标㊂ＩＳＯ２６２６２标准的第９部分中提出了在满足安全目标的前提下降低ＡＳＩＬ等级的ＡＳＩＬ分解方法［１］㊂３ １㊀ＡＳＩＬ的分解原则如果将一个安全需求分解为两个冗余的安全需求，则原来的安全需求的ＡＳＩＬ等级可以分解到两个冗余的安全需求上［１］㊂由于只有当两个安全需求同时不达标时，才会引发系统失效，所以冗余安全需求的ＡＳＩＬ等级可以比原始的ＡＳＩＬ等级低㊂ＡＳＩＬ分解时，分解对象应具有独立性，否则冗余单元需遵循原始的等级进行开发［１］㊂下面介绍ＢＭＳ的ＡＳＩＬ分解过程㊂假设ＢＭＳ的功能实现过程中，将传感器测量到的电压㊁电流及温度信号作为ＢＭＳ的输入信号，分别记为Ｓ１㊁Ｓ２㊁Ｓ３㊂这３个输入信号是由相互独立的传感器分别检测出的㊂ＭＣＵ将运算后的输入信号，转化为触发信息并发送给执行器㊂其功能的架构示意如图３所示㊂假设经过危害分析和风险评估后，ＢＭＳ的ＡＳＩＬ等级为ＡＳＩＬＣ，安全目标为避免非预期触发执行器，那么ＢＭＳ的各个部分均继承ＢＭＳ的ＡＳＩＬ，即传感器㊁ＭＣＵ㊁执行器都需要按照ＡＳＩＬＣ的等级开发，如图３所示㊂图３㊀ＡＳＩＬ等级在ＢＭＳ功能架构上的分配ＡＳＩＬ的分解可以在功能安全概念㊁系统设计㊁硬件设计㊁软件设计阶段等多个阶段进行㊂在将一个高ＡＳＩＬ分解为几个较低级的ＡＳＩＬ部分时，分解部分的括号里的字母为原始需求的ＡＳＩＬ等级㊂例如ＡＳＩＬＣ等级分为ＡＳＩＬＢ（Ｃ）和ＡＳＩＬＡ（Ｃ）两个分部分，或者ＡＳＩＬＣ等级还可以分解为ＡＳＩＬＣ（Ｃ）和ＡＳＩＬＱＭ（Ｃ）等，如图４所示㊂ＡＳＩＬ等级可分多次进行分解，比如ＡＳＩＬＣ分解为ＡＳＩＬＢ（Ｃ）和ＡＳＩＬＡ（Ｃ），ＡＳＩＬＢ（Ｃ）还可以分解为ＡＳＩＬＢ（Ｃ）和ＱＭ（Ｃ）［１］，如图５所示㊂图４㊀ＡＳＩＬＣ分解原理图５㊀ＡＳＩＬＢ分解原理３ ２㊀ＢＭＳ的ＡＳＩＬ分解以预防过放功能为例，在动力电池运行过程中，为了防止动力电池出现过放现象，可以通过ＢＭＳ计算出动力电池的ＳＯＣ，并判断ＳＯＣ值是否在安全范围内［４］㊂如果电池的ＳＯＣ过低，就存在电池过放的趋势，需要将该信息发送给其他控制单元，以提示整车做出对应措施㊂除此之外，当ＢＭＳ检测到电池处于深度放电的状态时，可以断开高压回路，以阻断放电电流㊂因此，为达到防止电池组中的一个或多个电池深度放电的安全目标，需要达到以下安全需求：（１）确定电池组的ＳＯＣ并传达给其他控制器㊂如果电池组的ＳＯＣ不在规定的操作范围内，系统需要跟踪到电池的能量流并做出反应㊂此外，如果超出了电池组ＳＯＣ的限定值，则应将该信息传达到车辆的其他系统㊂（２）如果检测到深度放电状态，则应在较短的时间内切断放电电流㊂为保护电池免受损坏并防止深度放电（深度放电可使电池内部短路并导致热事件和火灾）引起的危险后果，如果检测到深度放电状态，系统应切断放电电流㊂根据以上需求分析，结合ＢＭＳ的工作环境及ＢＭＳ与内㊁外部部件之间的联系进行需求分配㊂假设动力电池的负载只有驱动电机，那么ＢＭＳ需要实现与电池组及电力电子控制单元之间的交流，即处理电池组内电芯的数据，接收电力电子控制单元的信息，根据数据进行决策判断㊂因此，可将ＢＭＳ的安全目标分解为断开高压回路和负载需求降为零，且这两个功能安全需求是相互独立的㊂将ＢＭＳ的ＡＳＩＬＣ等级分别分配至ＢＭＳ及其他电力电子控制器的功能需求，分解情况如图６所示㊂图６㊀预防过放目标的ＡＳＩＬ分解经过分解后，较高的ＡＳＩＬＣ的ＢＭＳ安全目标，被分解为按照ＡＳＩＬＢ（Ｃ）等级设计的ＢＭＳ功能安全需求及按照ＡＳＩＬＡ（Ｃ）等级设计的电力电子控制器㊂通过对功能安全需求的分配与分解，使得ＢＭＳ功能逻辑及开发变得简单，整体成本得以降低㊂４㊀结语以ＢＭＳ为例介绍了ＩＳＯ２６２６２标准中安全目标及其ＡＳＩＬ等级确定的方法㊂如果产品的安全需求的ＡＳＩＬ等级较高，成本高，可通过ＡＳＩＬ分解以降低ＡＳＩＬ等级，降低生产成本㊂在分解的过程中，遵循安全目标的ＡＳＩＬ等级在被开发阶段的安全需求继承的原则㊂以ＢＭＳ预防过放为例，介绍了ＡＳＩＬ的分解原则和步骤㊂通过对功能及结构进行分析，对系统的架构进行调整，实现了ＡＳＩＬ的分解㊂为针对ＡＳＩＬ等级高而带来的开发成本高㊁开发周期长及技术要求高等方面的问题，提供了一种解决方法㊂参考文献：［１］ＲｏａｄＶｅｈｉｃｌｅｓＦｕｎｃｔｉｏｎａｌＳａｆｅｔｙ：ＩＳＯ／ＤＩＳ２６２６２［Ｓ］．ＧｅｎｅｖａＩＥＣ，２０１８．［２］朱叶．基于ＩＳＯ２６２６２的动力电池系统高压功能安全概念［Ｊ］．汽车零部件，２０１３（１０）：９７－１００．ＺＨＵＹ．ＨｉｇｈｖｏｌｔａｇｅｆｕｎｃｔｉｏｎａｌｓａｆｅｔｙｃｏｎｃｅｐｔａｂｏｕｔｂａｔｔｅｒｙｓｙｓｔｅｍｂａｓｅｄｏｎＩＳＯ２６２６２ｐｅｒｓｐｅｃｔｉｖｅ［Ｊ］．ＡｕｔｏｍｏｂｉｌｅＰａｒｔｓ，２０１３（１０）：９７－１００．［３］李晓宇．电动汽车电池管理系统测试平台的研制［Ｄ］．哈尔滨：哈尔滨工业大学，２０１３．［４］印凯．基于功能安全的ＢＭＳ设计方法及其可靠性的研究［Ｄ］．上海：上海交通大学，２０１７．［５］彭忆强，芦文峰，邓鹏毅，等．新能源汽车 三电 系统功能安全技术现状分析［Ｊ］．西华大学学报（自然科学版），２０１８，３７（１）：５４－６１．ＰＥＮＧＹＱ，ＬＵＷＦ，ＤＥＮＧＰＹ，ｅｔａｌ．Ａｎａｌｙｓｉｓｏｆｓｔａｔｅｏｆｔｈｅａｒｔｆｏｒｎｅｗｅｎｅｒｇｙｖｅｈｉｃｌｅｆｕｎｃｔｉｏｎａｌｓａｆｅｔｙｔｅｃｈｎｏｌｏｇｉｅｓ［Ｊ］．ＪｏｕｒｎａｌｏｆＸｉｈｕａＵｎｉｖｅｒｓｉｔｙ（ＮａｔｕｒａｌＳｃｉｅｎｃｅＥｄｉｔｉｏｎ），２０１８，３７（１）：５４－６１．。

基于ISO26262的车辆电子电气系统故障注入测试方法随着汽车电子化程度的提高，车辆电子电气系统的可靠性和安全性也成为汽车制造商和用户关注的问题。

为了确保车辆电子电气系统的安全性和可靠性，国际标准化组织（ISO）制定了ISO26262标准，该标准为汽车电子系统提供安全性的规范和指导，并确保车辆电子电气系统具有适当的安全性规格和验证方法。

故障注入测试是一种测试方法，旨在模拟特定的故障情况并评估系统的响应。

在车辆电子电气系统开发中，故障注入测试是非常重要的一步，可以有效验证车辆电子电气系统是否符合ISO26262标准，同时也有助于提高系统的可靠性和安全性。

下面就介绍一种基于ISO26262的车辆电子电气系统故障注入测试方法。

第一步：确定故障模式和效果分析（FMEA）在故障注入测试之前，需要进行故障模式和效果分析（FMEA）。

这个步骤是识别车辆电子电气系统中的潜在故障模式和评估其可能的效果。

其目的是为了确定潜在的故障模式，并对这些故障模式进行分类和分析，以确定哪些故障对系统具有重大的安全风险。

对于每个潜在的故障，需要进行评估以确定其可能的效果，并确定如果发生这种故障，系统的响应如何。

第二步：确定故障注入点在进行故障注入测试之前，需要确定故障注入点。

故障注入点是指在车辆电子电气系统中通常处于接收或处理数据或信息的特定点。

这些点可以是传感器、控制器等。

通过注入故障，可以验证车辆电子电气系统的响应。

第三步：确定故障注入类型在确定故障注入点后，需要确定故障注入类型。

故障注入类型可以包括电气故障、软件故障、物理故障等。

对于每种类型的故障，需要定义注入故障的方法和过程。

第四步：制定测试计划制定测试计划是进行故障注入测试的关键步骤。

测试计划应包括要测试的故障模式、注入故障的类型、故障注入点、实施测试的设备、测试环境以及测试过程等方面。

测试计划应该是详细的，并明确故障模拟过程的每个阶段、测试依赖项和测试结果的评估方法。