在產(chǎn)品開發(fā)階段，ISO26262 標(biāo)準(zhǔn)劃分出了系統(tǒng)、硬件和軟件部分。在系統(tǒng)開發(fā)部分，需要考慮系統(tǒng)的初始架構(gòu)以及各種設(shè)計(jì)邊界條件，結(jié)合系統(tǒng)層級(jí)的安全分析，更新系統(tǒng)架構(gòu)，并定義出分配給硬件和軟件的技術(shù)安全需求。在硬件和軟件開發(fā)階段，整體的開發(fā)流程參照 V 模型執(zhí)行。以軟件為例，在 V 模型的左半邊，基于上游的軟件技術(shù)安全需求以及軟硬件接口規(guī)范文檔，軟件安全需求被定義出來(lái)，并和非安全相關(guān)的功能需求一起，作為軟件架構(gòu)設(shè)計(jì)的輸入。在軟件架構(gòu)設(shè)計(jì)階段，需要對(duì)架構(gòu)進(jìn)行驗(yàn)證（方法如：仿真、數(shù)據(jù)流分析等），并執(zhí)行軟件安全分析，再針對(duì)分析的結(jié)果定義并落實(shí)合理的安全措施。在詳細(xì)設(shè)計(jì)階段，每一個(gè)軟件單元的接口和內(nèi)部邏輯被設(shè)計(jì)，并遵循編碼規(guī)范開發(fā)成代碼。V 模型的右半邊主要是針對(duì) V 模型左半邊活動(dòng)的驗(yàn)證，通常會(huì)包括靜態(tài)的代碼分析和測(cè)試活動(dòng)。在測(cè)試活動(dòng)中，需要根據(jù)需求的 ASIL 等級(jí)使用相對(duì)應(yīng)的測(cè)試用例定義方法和測(cè)試方法。需要強(qiáng)調(diào)的是，ASIL 等級(jí)要求越高，它對(duì)應(yīng)的設(shè)計(jì)、歸檔和測(cè)試驗(yàn)證等環(huán)節(jié)所推薦的技術(shù)手段就越嚴(yán)苛。通過這樣的方法，可以合理規(guī)避可能由人為引入的系統(tǒng)性失效。在軟件和硬件被開發(fā)出來(lái)之后，需要將它們集成在一起，并在系統(tǒng)層級(jí)和相關(guān)項(xiàng)層級(jí)參照具體的需求和需求的 ASIL 等級(jí)執(zhí)行相應(yīng)的測(cè)試驗(yàn)證手段。

除此以外，ISO26262 標(biāo)準(zhǔn)還定義一些支持性流程（如：變更管理、配置管理等），來(lái)輔助功能安全開發(fā)活動(dòng)的合理有序執(zhí)行。標(biāo)準(zhǔn)還包含了功能安全審核的流程定義，來(lái)對(duì)功能安全開發(fā)的產(chǎn)物進(jìn)行驗(yàn)收， 并確認(rèn)產(chǎn)品是否滿足量產(chǎn)的要求。

2.  ISO21448 汽車預(yù)期功能安全標(biāo)準(zhǔn)

ISO21448 作為ISO26262 的補(bǔ)充，它填補(bǔ)了ISO26262 中關(guān)于自動(dòng)駕駛領(lǐng)域的功能安全分析的空缺。SOTIF（Safety Of The Intended Functionality ）的誕生也是 ADAS 與自動(dòng)駕駛普及大背景下的必然結(jié)果，它是預(yù)防不合理風(fēng)險(xiǎn)的一道防線。

ISO21448 預(yù)期功能安全標(biāo)準(zhǔn)重點(diǎn)關(guān)注的是 “預(yù)期的功能” 的安全性，即滿足預(yù)期設(shè)計(jì)要求的功能所具有的安全水平，將設(shè)計(jì)不足、性能局限導(dǎo)致的風(fēng)險(xiǎn)控制在合理可接受的范圍內(nèi)。由于自動(dòng)駕駛車輛運(yùn)行場(chǎng)景條件的復(fù)雜性和未知性，自動(dòng)駕駛功能即使?jié)M足設(shè)計(jì)要求，仍可能存在大量的安全運(yùn)行風(fēng)險(xiǎn)。如何避免預(yù)期的功能所引發(fā)的安全風(fēng)險(xiǎn)，即為預(yù)期功能安全。

從安全性和已知性角度，將車輛運(yùn)行場(chǎng)景分為已知安全場(chǎng)景、已知不安全場(chǎng)景、未知不安全場(chǎng)景和未知安全場(chǎng)景 4 個(gè)區(qū)域，如圖 4.1-2 所示。在開發(fā)之初，區(qū)域 2 和區(qū)域 3 的比例較高，SOTIF 技術(shù)通過對(duì)

已知場(chǎng)景及用例的評(píng)估，發(fā)現(xiàn)系統(tǒng)設(shè)計(jì)不足，將區(qū)域 2 轉(zhuǎn)化為區(qū)域 1，并證明區(qū)域 2 的殘余風(fēng)險(xiǎn)足夠低；針對(duì)區(qū)域 3，SOTIF 技術(shù)基于真實(shí)場(chǎng)景及用例測(cè)試、隨機(jī)輸入測(cè)試等，發(fā)現(xiàn)系統(tǒng)設(shè)計(jì)不足，將區(qū)域 3 轉(zhuǎn)化為區(qū)域 2，同時(shí)基于統(tǒng)計(jì)數(shù)據(jù)和測(cè)試結(jié)果，間接證明區(qū)域 3 的風(fēng)險(xiǎn)控制到合理可接受的水平。由此 , 實(shí)現(xiàn)對(duì)已知和未知風(fēng)險(xiǎn)的合理控制，完成自動(dòng)駕駛車輛系統(tǒng)的安全提升和發(fā)布。

圖4.1-2 自動(dòng)駕駛運(yùn)行場(chǎng)景分類及SOTIF開發(fā)、驗(yàn)證和發(fā)布演進(jìn)

自動(dòng)駕駛系統(tǒng)安全風(fēng)險(xiǎn)的一個(gè)主要來(lái)源是未知不安全場(chǎng)景區(qū)域，對(duì)其無(wú)法定義需求，也難以量化評(píng)價(jià)， 這成為全球自動(dòng)駕駛安全開發(fā)領(lǐng)域的痛點(diǎn)，ISO21448 標(biāo)準(zhǔn)在此背景下誕生并于 2022 年 6 月發(fā)布，為此痛點(diǎn)提供方法支持。

ISO21448 標(biāo)準(zhǔn)給出了 SOTIF 開發(fā)流程，如圖 4.1-3 所示，其中圓圈的序號(hào)代表標(biāo)準(zhǔn)原文各章節(jié)號(hào)：

圖4.1-3 SOTIF活動(dòng)流程示意圖

4.1.2  功能安全軟件架構(gòu)

1.  E-GAS 安全架構(gòu)思想

汽車功能安全旨在把電子電氣系統(tǒng)失效而導(dǎo)致的人身危害風(fēng)險(xiǎn)控制在合理范圍內(nèi)。下圖 4.1-4 是常見的電子電氣系統(tǒng)硬件構(gòu)成圖，一個(gè)電子電氣系統(tǒng)的構(gòu)成要素，除了圖中可見的硬件外，也包含圖中不可見的軟件。

圖4.1-4 常用電子電氣硬件系統(tǒng)

電子電氣系統(tǒng)的失效，既包含由于軟硬件設(shè)計(jì)錯(cuò)誤引起的系統(tǒng)性失效，也包含由隨機(jī)硬件故障引起的失效。根據(jù)系統(tǒng)架構(gòu)，需要設(shè)計(jì)各種安全機(jī)制去預(yù)防和探測(cè)功能故障，并能夠在故障發(fā)生時(shí)，避免或者降低危害的發(fā)生。這就需要一個(gè)強(qiáng)壯的功能安全軟件架構(gòu)來(lái)管理和控制這些安全機(jī)制，降低功能安全整體開發(fā)難度。

目前，E-GAS（Standardized E-Gas Monitoring Concept for Gasoline and Diesel Engine Con- trol Units）無(wú)疑是當(dāng)前使用最為廣泛的一個(gè)安全軟件架構(gòu)方案。雖然 E-GAS 最初只是針對(duì)汽 / 柴油發(fā)動(dòng)機(jī)管理系統(tǒng)而提出的安全架構(gòu)方案，但是經(jīng)過簡(jiǎn)單的適配，也可以用于車身系統(tǒng)，變速箱系統(tǒng)以及新能源的三電系統(tǒng)等，具有非常良好的擴(kuò)展性，應(yīng)用非常廣泛。

下圖 4.1-5 是 E-GAS 的三層軟件架構(gòu)設(shè)計(jì)方案，從上到下，軟件分為 Level1~3 總共三層，Level1 是功能實(shí)現(xiàn)層（function level），Level2 是功能監(jiān)控層（function monitoring level），Level3 是控制器監(jiān)控層（controller monitoring level）。該架構(gòu)形成了很好的分層監(jiān)視框架，并有效實(shí)現(xiàn)了功能安全分解， 通常采用 QM（ASIL X）+ ASIL X（ASIL X）的安全分解策略，即將功能實(shí)現(xiàn)軟件（Level1）按照 QM 等級(jí)開發(fā)，功能冗余軟件或安全措施（Level2、Level3）按照最高的要求等級(jí) ASIL X（ASIL X）進(jìn)行開發(fā)， 這樣可以有效降低功能軟件的安全開發(fā)成本。

圖4.1-5 E-GAS三層監(jiān)視架構(gòu)方案

(1) Level1 功能實(shí)現(xiàn)層

Level1 是功能實(shí)現(xiàn)層，完成具體的功能實(shí)現(xiàn)，比如對(duì)于電機(jī)控制器來(lái)說(shuō)，這一層實(shí)現(xiàn)了將請(qǐng)求的扭矩轉(zhuǎn)換為電機(jī)的扭矩輸出。