前言
DMS 检测驾驶员疲劳、分心等状态,直接影响行车安全。作为安全相关系统,DMS 需符合 ISO 26262 功能安全标准,确定适当的 ASIL 等级。
一、ISO 26262 概述
1.1 标准目的
| 目的 |
说明 |
| 安全生命周期 |
提供汽车安全生命周期框架 |
| 风险管理 |
基于风险的 ASIL 分类 |
| 系统性方法 |
防止软件错误导致人身伤害 |
1.2 标准结构
| 部分 |
内容 |
| Part 1-2 |
词汇、功能安全管理 |
| Part 3 |
概念阶段 |
| Part 4-6 |
系统、硬件、软件开发 |
| Part 7-10 |
生产、支持过程 |
二、ASIL 等级
2.1 等级划分
| 等级 |
说明 |
| ASIL D |
最高安全完整性要求 |
| ASIL C |
高安全完整性要求 |
| ASIL B |
中等安全完整性要求 |
| ASIL A |
低安全完整性要求 |
| QM |
质量管理,无安全要求 |
2.2 ASIL 确定因素
| 因素 |
说明 |
| 严重度(S) |
伤害的严重程度 |
| 暴露度(E) |
危险场景发生的概率 |
| 可控性(C) |
驾驶员避免伤害的能力 |
2.3 评估矩阵
| S |
E |
C |
ASIL |
| S3 |
E4 |
C3 |
D |
| S3 |
E4 |
C2 |
C |
| S3 |
E3 |
C3 |
C |
| … |
… |
… |
… |
三、DMS 的 ASIL 分析
3.1 潜在危险
| 危险 |
说明 |
| DMS 漏检 |
未检测到疲劳驾驶员,导致事故 |
| DMS 误报 |
误报警导致驾驶员分心 |
| DMS 故障 |
系统故障导致无法检测 |
3.2 危险分析示例
场景:DMS 未能检测到疲劳驾驶员
| 因素 |
分析 |
| 严重度(S) |
S3(危及生命) |
| 暴露度(E) |
E3(中等概率) |
| 可控性(C) |
C2/C3(部分可控) |
| ASIL |
B 或 C |
3.3 不同功能的 ASIL
| DMS 功能 |
典型 ASIL |
| 疲劳检测 |
ASIL B |
| 分心检测 |
ASIL B |
| L3 接管准备度 |
ASIL C/D |
| CPD 儿童检测 |
ASIL B |
四、ASIL 要求
4.1 开发方法
| 要求 |
ASIL B |
ASIL C |
ASIL D |
| 编码规范 |
MISRA C |
MISRA C |
MISRA C + 严格验证 |
| 测试覆盖 |
分支覆盖 |
MC/DC 覆盖 |
MC/DC + 修改条件覆盖 |
| 设计验证 |
审查 |
审查 + 分析 |
审查 + 分析 + 形式化 |
4.2 硬件要求
| 要求 |
ASIL B |
ASIL C |
ASIL D |
| 诊断覆盖 |
60% |
90% |
99% |
| 单点故障 |
低 |
中 |
高 |
| 潜伏故障 |
低 |
中 |
高 |
4.3 安全机制
| 机制 |
说明 |
| 看门狗 |
检测软件挂起 |
| 内存保护 |
检测内存错误 |
| ECC |
检测数据错误 |
| 冗余计算 |
双核锁步 |
五、DMS 功能安全架构
5.1 安全目标
| 安全目标 |
说明 |
| SG1 |
DMS 应检测驾驶员疲劳状态 |
| SG2 |
DMS 应在检测到危险状态时发出警报 |
| SG3 |
DMS 应在故障时进入安全状态 |
5.2 安全状态
| 故障类型 |
安全状态 |
| 摄像头故障 |
降级模式,发出故障警报 |
| AI 模型故障 |
保守策略,提高检测灵敏度 |
| 通信故障 |
本地缓存,延迟上传 |
5.3 功能安全架构图
1
2
3
4
5
| 摄像头 → 图像处理 → AI 推理 → 状态判断 → 警报输出
↑ ↑ ↑ ↑
看门狗 内存检查 模型校验 通信检查
↓ ↓ ↓ ↓
故障检测 → 安全状态 → 故障警报
|
六、认证流程
6.1 认证步骤
| 步骤 |
内容 |
| 1 |
危险分析和风险评估(HARA) |
| 2 |
安全目标定义 |
| 3 |
功能安全概念(FSC) |
| 4 |
技术安全概念(TSC) |
| 5 |
软硬件开发 |
| 6 |
集成测试 |
| 7 |
安全验证 |
| 8 |
认证审核 |
6.2 认证机构
| 机构 |
说明 |
| TÜV SÜD |
德国认证机构 |
| SGS |
瑞士认证机构 |
| exida |
功能安全专业机构 |
七、对 IMS 开发的启示
7.1 ASIL 规划
| 阶段 |
ASIL 目标 |
| P0 |
QM(快速原型) |
| P1 |
ASIL B(量产准备) |
| P2 |
ASIL C(高安全要求) |
7.2 开发流程
| 要求 |
说明 |
| 需求管理 |
使用 DOORS/Jama 等工具 |
| 配置管理 |
Git + 分支策略 |
| 代码规范 |
MISRA C/C++ |
| 测试覆盖 |
MC/DC 覆盖 |
| 文档化 |
完整的开发文档 |
7.3 工具链认证
| 工具 |
认证要求 |
| 编译器 |
IEC 61508 认证 |
| 静态分析 |
ISO 26262 认证 |
| 测试工具 |
ISO 26262 认证 |
总结
ISO 26262 功能安全对 DMS 的核心要求:
- ASIL 等级:根据危险分析确定
- 开发方法:符合 ASIL 要求的开发流程
- 安全机制:检测和响应故障
- 认证审核:第三方认证机构审核
- 文档化:完整的安全档案
对于 IMS 开发,功能安全是量产的必要条件。
参考来源:
发布日期: 2026-04-10