经纬恒润SOA功能安全开发方案,助力车企软件定义汽车

面向服务的架构（Service Oriented Architecture, SOA）是一种从IT领域引入到汽车行业的开发范式，其设计思想是将车辆所具有的能力抽象成可调用的并具有标准接口的服务，通过标准化的服务接口、松耦合的服务机制以及可组合扩展的服务特性，结合未来汽车域导向型电子电气架构(Domain-Oriented)和区域导向型电子电气架构(Zone-Oriented)，应用SOA架构可实现业务过程(功能)的快速迭代与灵活重组，从而在减少整车研发周期的同时又可在量产之后为用户提供丰富的持续增值服务。

目前，国内外 OEM 已经逐步展开 SOA 技术预研，部分头部 OEM 甚至已经启动 SOA 架构下的量产车型研发，然而SOA的灵活重组对传统的功能安全开发（重点针对既定的E/E架构）带来严峻挑战。经纬恒润紧跟软件定义汽车发展趋势和市场需求，结合自身汽车电子产品研发和国内外咨询实践，探索并形成SOA从概念设计到正式投产的全栈功能安全咨询服务。

▎SOA架构Item Defintion开发

SOA架构下功能安全概念阶段开发，主要以E/E架构团队输出的功能定义文档与功能设计文档作为输入。在相关项定义（Item definition）的开发中，提取功能定义文档中的用户实例（Use case）描述相关项的工作原理与功能行为，并基于用户实例中的需求导出性能、可用性要求及操作和环境约束。提取功能设计文档中的时序图作为相关项的初始架构，提取状态机图作为运行模式与切换条件，以上内容帮助功能安全工程师充分的理解相关项从而展开后续的功能开发。

▎SOA架构危害分析与风险评估

危害分析与风险评估（HARA）基于相关项定义中提取的用户实例及执行器特性等内容，从状态机和执行器两个维度分析功能的失效，结合咨询团队100+量产项目经验所总结的场景库组合得到危害事件。经纬恒润安全团队引入MBSE方法，通过量化的计算模型和仿真相结合的方式，定量计算得到危害事件的严重度S与可控度C值，结合场景库中得到的暴露率E值，最终得到危害事件的ASIL等级并导出安全目标，迭代更新到功能定义文档中。

▎SOA架构概念层级开发

功能安全概念（FSC）基于相关项定义中提取的时序图，采用故障树分析（FTA）的方法，分析时序图中PC（Product Capability）的失效或PC之间交互的失效是否会违反相应的安全目标，若违反则设计对应的整车级安全策略（例如诊断并导入安全状态、冗余设计等）。通过与E/E架构团队的协同设计，确定功能安全设计过程中所引入的新的PC或PC之间接口的合理性及正确性，将上述功能安全策略更新到功能设计文档的时序图中。

▎SOA架构系统层级开发

功能安全系统阶段开发主要基于E/E架构团队的模块设计文档。技术安全概念（TSC）的主要分析对象是SWC的部署视图，即不同的SWC分别部署在中央控制器、区域控制器及与区域控制器相连的ECU中。同样通过故障树分析的方式确定当前系统架构设计中的薄弱点，增加安全机制保证系统架构设计满足功能安全的要求。新增的SWC及接口同样通过和架构团队讨论后确定并更新到SWC部署视图中。

经纬恒润于2008年成立功能安全小组，是国内较早从事功能安全技术研究的团队。作为功能安全国家标准委员会成员，参与了GB/T34590第一版、第二版起草工作及修订工作；作为芯片创新联盟核心成员，参与了车规级自主芯片功能安全标准制定。结合20余年汽车电子产品研发实践，功能安全咨询团队提供面向量产车型开发从概念设计到正式投产的全栈功能安全咨询服务。

目前，经纬恒润已经为戴姆勒、现代、菲亚特克莱斯勒、一汽红旗、一汽解放、东风、长安、上汽、吉利、长城、蔚来汽车、华人运通、合众汽车、岚图汽车、博格华纳、华域麦格纳等国内外主流客户提供了功能安全开发服务并得到客户广泛认可。未来，经纬恒润将紧跟软件定义汽车大势，坚持自主创新，为智能汽车安全发展保驾护航！

审核编辑：汤梓红