在EPS开发中遵循ISO 26262标准

原文链接： EPS開発におけるISO 26262対応への取組み

在EPS开发中遵循ISO 26262标准

1 引言

ISO 26262是2011年11月作为国际标准发布的汽车功能安全标准。该标准的目标是应用于总重量在3,500公斤以内的量产的乘用车的电子/电气（E/E）系统。

KYB正在开发的电动助力转向系统（EPS）系统，负责作为汽车三大基本功能之一的“转向”（注1），所要求的安全水平也非常高。因此，确保系统的安全性是开发中最重要的任务。

在本报告中，我们报告了在EPS开发中遵守ISO 26262的努力。

注1：“行驶，转向，停止”三个功能。

2 ISO 26262标准的概要

2.1标准化的背景

高度功能化和复杂化的电子电气系统对汽车的影响越来越大，一个很小的电子元件的故障也可能会导致严重的事故。现在分散式开发已经成为主流，在全球化采购体系中，只是每个公司各自对应的话，对于整个汽车的安全的保障是有限的。

作为对策，制定了全球共通化的安全指标的ISO 26262。

2.2功能安全的概念

术语“功能安全”是英文“Functional Safety”的中文译文，标准中被定义为“由于E/E系统的功能不全的行为而引起危险（注2），这样的不合理风险不存在”。也就是说，要求将车载E/E系统的故障风险降低到社会可接受的水平。

注2：危险事件。

另外，对于“即使功能或部件已经出现故障，安全机构也能确保系统的安全性”的概念，这与正确动作所要求的品质是不同的概念。

2.3标准的构成

ISO 26262术语集，由包含指南在内的全部10个部分组成，与开发直接相关的过程是从第3部分的概念阶段开始的（图1）。第3部分中提出的概念（车辆）等级的安全要求，被传达到产品开发阶段。在产品开发阶段，传达的安全要求按照第4部分的系统等级、第5部分的硬件等级和第6部分的软件等级的顺序逐步详细化，设计活动是为了达到这些安全要求而实施的。

第三部分是车辆级别的活动，所以一般是汽车制造商来实施。负责系统设计的KYB，主要对应范围是第四部分。之后的第五部分和第六部分，往往会要求合作伙伴公司进行开发。

图1与开发直接相关的流程

2.4要求的安全等级和ASIL

E/E系统所要求的安全等级由ASIL定义（注3），从开发到生产，直到销毁都有影响，管理贯穿于整个车辆生命周期。由系统的功能不全引起的每个危险，由表1中所示的三个指标来评估，并且按“A”到“D”的四个ASIL等级分类（图2）。
注3）Automotive Safety Integrity Level的缩写。汽车安全完整性等级的意思。

图2 ASIL等级和风险，要求的安全性

E/E系统的开发，要求按照ASIL等级对应的过程，实现安全功能性能和质量目标等基准。

表1 ASIL的决定指标

指标	说明
严重度	功能不全引起的障碍（重伤、轻伤等）
暴露率	动作状况的频率（高速行驶的状况等）。
可控性	规避危险的可能性（规避驾驶人员的所有的危险等）。

EPS系统的典型危害之一是自动转向（注4）。如果在车辆行驶期间发生自动转向，则驾驶员难以控制车辆的行驶方向，这增加了发生车道偏离和重大事故的风险。出于这个原因，根据顾客的需要， EPS系统的开发适用于要求最高的ASIL D.
注4）不管驾驶员的意愿如何，对车的方向盘的控制将被擅自切断。

3制定符合ISO 26262的过程

3.1标准要求的过程

为了实现功能安全，组织必须制定出，为了进行正确开发的开发过程。除了符合标准的功能安全过程之外，作为其基础的质量管理过程（以下简称QMS），如ISO 9001和ISO/TS 16949也是被要求的。

3.2活动方针的构造

在总公司所属的岐阜北工厂的开发中，我们一直在运行符合ISO/TS 16949的QMS。为了明确遵守标准的问题，我们首先分析了现有QMS与ISO 26262之间的差距。在岐阜北工厂开发的大部分产品都是基于液压技术的机械产品，E/E系统的开发并不多。因此，现有的QMS主要集中在机械产品的开发上，从E/E系统，尤其是软件开发的角度来看，显然是不够的。

因此，遵守ISO26262的新的“功能安全手册”，作为遵守标准的活动方针，以E/E的观点补充了现有的QMS，我们同时决定推进对定义了整体系统开发的“E/E开发要领”的构建。 图3显示了标准所需的过程与已构建的公司内部过程之间的关系。

图3标准要求的过程和已构建的公司内部过程

3.3 功能安全的结构

3.3.1 功能安全过程的结构

新定义的功能安全手册，规定了功能安全的活动的最高位置，
新定义的功能安全手册是处于功能安全活动最高级别的文档，接下来按顺序是定义具体的活动的 “规则/要领”、可交付成果的“形式/描述方法”和实际活动成果的“工作成果物”。这些构成了图4所示的金字塔结构。

图4功能安全过程的结构

3.3.2 E/E开发要领的结构

除了补充“现有QMS缺少的软件开发观点”之外，还包括功能安全手册的要求，以及定义了为了开发遵循功能安全的E/E系统所需的所有任务。对每项任务都要明确“开始和结束条件”、“输入和输出的文档”、“要执行的活动内容”和“角色和责任”。图5展示了已定义的E/E开发要领的一部分。

图5已定义的E/E开发要领

3.3.3技术检查讨论和指导原则的准备

为了执行标准的要求，除了理解标准特有的概念和手续之外，还需要做各种技术上的解释。 因此，成立了一个工作小组（以下简称WG）在部门内进行技术上的检查讨论，并以现有的EPS系统为主题，对标准实际要求的交付成果进行了检查讨论和准备。如前所述，KYB的活动主要集中在标准第4部分的系统设计上，但掌握上游车辆等级是怎样考虑的，对正确执行后续活动来说比较重要。因此，WG进行的活动的主要目标范围是第3部分和第4部分。

另一方面，为了让实际的开发人员正确、有效率地实施这个过程，支撑过程的应用的指导方针类的东西比较欠缺。通过将WG的活动成果注册为指导方针和检查清单，我们在准备能够做到有效率的开发的环境（图6）。

图6 WG的活动

3.4评估和过程改进

开发产品时遵循功能安全的目标是开发一个安全的系统。因此，将定义的过程应用于实际开发，以及检查证明这个过程是否有效的运行非常重要。

出于这个目的，我们将建立一个机制，对实际的开发项目中，过程的应用情况和成果物进行评价，并将结果反馈用于过程的改进（图7）。评价将基于规范要求的评估观点进行，为了保证的客观性，我们定期与外部的咨询公司合作进行实施。

此外，为了在公司内部进行客观评估，我们也在努力建立其他部门的评估制度和内部评估师的教育。

图７ 改进循环

3.5功能安全教育

负责功能安全相关职能的人员要正确理解和实践标准的要求。为此，教育机制也是重要的。KYB在公司内部创建功能安全教育的程序，并根据负责的业务内容定义必须接受的教育。对于实际的遵循功能安全的项目，项目负责人在任命实施人员时，要进行确认其“有必要的与功能安全有关业务的执行能力”的安全教育的接受记录。

4 需求管理工具的导入

从规范第3部分导出的安全需求，在后续的每个阶段都进行了详细化。这些安全需求并不是一成不变的，在实际开发中频繁的因为各种因素而产生变更。当需求发生变更时，对变更所影响的范围的审查是必要的，也有必要正确的确定可交付成果。因此，在该标准中，要求对安全需求和每个可交付成果的双向追溯信息进行管理。尽管这些信息可以通过使用“电子表格软件”等来管理，但是当要管理的信息量变得巨大，并且当信息间具有复杂的关系时存在限制。为了管理这些信息，需要一个称为需求管理工具的专用工具。图8展示了使用专用工具的需求管理图。

KYB现在推进导入需求管理工具，针对现场导入的使用规则的手册也在制定中。

图８ 基于专用工具的需求管理图

5结论

为了响应标准的发布，每个公司不只是遵循过程，新的安全功能和技术的开发也在加快进行中。标准所要求的安全性不是绝对的，而是随社会环境和技术进步而变化的。近来，随着将驾驶自动化的“自动驾驶车辆”的开发的盛行，预期对转向系统所需的安全功能也将发生很大变化。

为了应对这些环境变化，在利用已建立的过程的同时继续技术开发也是有必要的。

作者

石末郁人
1997年加入KYB公司。汽车零部件事业部转向技术部。从事电动助力转向的设计和开发。