智能网联汽车网关系统功能安全设计

高 捷， 宋锦刚

（江苏财经职业技术学院， 江苏 淮安 223003）

随着智能网联汽车的快速发展，其电子电气系统将变得愈加复杂，与此同时，对其各种功能的安全性要求也日益提高。因此，国际标准组织在IEC61508标准的基础上制定并颁布了功能安全国际标准ISO 26262《Road vehicles-Functional safety》。该标准针对于汽车中安全相关电子电气系统，它定义了汽车电子电气系统产品功能安全开发的过程和方法论，旨在有效保障愈加复杂的汽车电子电气系统下的高度安全性。为此，本文首先建立基于ISO 26262的智能网联汽车网关系统功能安全的开发流程，然后阐述了基于危害分析与风险评估的功能失效危害及风险评估方法，通过该方法进一步确定了智能网联汽车网关系统的功能安全目标，并在此基础上展开了网关系统的功能安全概念设计，最后给出了网关系统的设计方案。

1 智能网联汽车网关系统功能安全开发流程的建立

建立符合ISO 26262功能安全标准要求的过程体系是开展汽车电子电气系统功能安全开发的首要条件。该标准制定了汽车在整个生命周期中与安全相关的各项活动。它涵盖了在整个安全生命周期中，从需求定义到概念设计，再到产品开发，包括系统层面开发、硬件开发、软件开发，一直到最终的生产和运营的所有阶段，保证了即使车辆中与安全相关的电子系统发生功能性失效时的系统安全性。

实施ISO 26262功能安全标准的最有效方式是将该标准所提出的开发流程和方法与汽车企业已经建立的产品开发流程相融合，将安全生命周期管理融入到整个产品的生命周期当中，把该标准所要求的重要工作产品加入到汽车产品开发的交付物清单中，这样能够保证功能安全活动得到有效执行。基于上述原则并结合汽车企业实际情况，建立的智能网联汽车网关系统功能安全的开发流程，如图1所示。

图1 功能安全开发流程

2 智能网联汽车网关系统的危害分析与风险评估

ISO 26262标准中提出并定义了一种功能失效的危害分析与风险评估方法 （Hazard Analysis & Risk Assessment，HARA），该方法得到了广泛的应用，通过该方法首先对汽车电子电气系统的功能安全风险进行评估分析，并在此基础上通过对危害事件的严重度S （Severity）、暴露率E （Exposure）和可控性C （Controllability）这3个因子进行识别和分类，最终确定各功能安全风险项的汽车安全完整性等级（Automotive Safety Integration Level，ASIL），如表1所示。

表1 严重度S、 暴露率E、 可控性C的等级分类

其中，严重度S是指在可能发生潜在危害场景中对一个或者多个人员的伤害严重程度的预估；暴露率E是人员处于某种运行场景下，如果发生所分析的失效模式导致危害的概率；可控性C是指通过所涉及人员 （驾驶员，乘客或者车辆外部的邻近人员）的及时反应，避免特定的伤害或者损伤的能力。最后该评估方法依据风险级别矩阵表确定汽车安全完整性等级（ASIL）。如表2所示，ASIL等级由A—D，等级越高表示危害事件的风险性越高。

表2 风险等级判定依据

其中，A、B、C、D 分别代表ISO 26262标准中的功能安全等级ASIL A、ASIL B、ASIL C、ASIL D。QM （Quality Management）代表质量管理，表示在产品开发中，只要按照质量管理体系的要求进行系统或产品功能开发就能够满足要求，不需要增加额外的安全相关设计。

安全目标 （Safety Goal，SG）本质上是汽车电子电气系统最高层面 （整车层）的安全需求，它是基于危害分析和风险评估得到的。ISO26262标准要求为每一个危害事件确定一个安全目标，并继承危害事件的汽车安全完整性ASIL等级。安全目标应该表述为功能性需求。通过以上危害分析与风险评估，能够导出网关系统的危害事件相应的安全目标，并最终确定网关系统的功能安全目标，如表3所示。

表3 功能安全目标

3 智能网联汽车网关系统功能安全概念设计

在进行系统开发时，功能安全开发的概念设计阶段需要确定系统功能安全需求 （Functional Safety Requirements，FSR），并最终在系统设计中实现。对于上一阶段所确定的每一个功能安全目标，既可以对应于一个功能安全需求，也可以对应于多个功能安全需求。系统开发时应根据项目特点选择合适的技术方案。本设计所确定的网关功能安全概念主要指标如表4所示。

表4 功能安全需求

其中，FSR01、FSR02、FSR05、FSR06对应于功能安全目标SG_01；FSR03，FSR07，FSR09对应于功能安全目标SG_02；FSR04、FSR08对应于功能安全目标SG_03；FSR10对应于功能安全目标SG_04。

4 智能网联汽车网关系统的设计

4.1 智能网联汽车网关系统的功能定义

在智能网联汽车中，网关系统是车内网络的数据交互中枢，它可以在汽车的各功能域 （动力系统域、底盘系统域、车身域、信息娱乐域、智能驾驶域等）之间以及不同类型网络之间安全可靠地交互和处理各种类型数据；网关系统同时也是连接不同类型网络的接口装置，综合了路由器和交换机的功能。在智能网联汽车中，网关系统的主要功能定义如表5所示。

表5 网关系统功能定义

4.2 智能网联汽车网关系统功能架构

网关系统主要包括MCU芯片、电源管理模块、看门狗模块、Flash数据存储单元、CAN/CAN FD接口模块、Ethernet以太网接口模块等几部分，其功能架构如图2所示。

图2 网关系统功能框架

MCU是整个网关系统的运算中心和控制核心，为了保证整个网关系统能够达到功能安全ASILD的要求，MCU需要采用满足功能安全ASILD的微处理器芯片。同时，针对系统的软件功能需求，按照满足功能安全的目标的要求，对各软件功能模块进行分区，将网络通信、网络路由、网络管理等功能模块划分到功能安全ASILD的功能分区，将数据管理、文件管理等功能模块划分到功能安全ASIL B的功能分区。最终确保整个网关系统能够满足功能安全ASILD的系统设计目标。

电源管理模块主要负责将车辆的电源合理地分配给网关系统内部的各工作模块，同时它还对各模块的电源功耗，工作状态进行实时监控；看门狗模块实时对MCU的程序运行状态进行监控，保证MCU能够正常运行；Flash数据存储单元用于保存网关系统在运行时所需要的各种数据和程序文件。CAN/CAN FD接口模块主要由多路CAN/CAN FD收发器芯片及其外围电路组成，它与CAN控制器 （通常集成于MCU内部）相连接，是网关系统的CAN/CAN FD数据的收发通道。Ethernet以太网接口模块主要由以太网交换机芯片和多路以太网PHY芯片组成，它是板载的以太网交换机，能够支持100Base-T1和100Base-TX以太网标准，是网关系统的Ethernet以太网数据收发通道。

5 结语

本文系统地介绍了在智能网联汽车中网关系统功能安全的设计流程和方法，并利用该设计流程和方法，在网关系统的设计开发过程中系统地展开功能安全开发。按照设计流程的要求对网关系统进行危险分析和风险评估，进一步得出网关系统的功能安全目标。在此基础上针对该功能安全目标展开了网关系统的功能安全设计和系统设计，并最终保证该网关系统的设计能够达到ISO 26262功能安全标准的要求。