導入車輛功能安全標準ISO 26262經驗分享:電動車用馬達控制系統之軟體安全需求規格發展

摘要：ISO 26262車輛功能安全標準已漸漸被台灣車輛產業重視，此標準主要針對安裝於車輛內之電機電子系統，基於系統性或隨機性失效所引發之意外作防範或避免。此標準涵蓋的範圍頗廣，包含系統之整個生命週期，從概念產生，發展過程、生產、運作，直到除役退出市場均在標準規範內。其中，ISO 26262極為強調每個發展過程前必須訂定之安全需求，標準內定義了安全需求所擁有之階級架構以及該有的屬性。基本上，台灣車輛產業於制定安全需求方面經驗不足，公開的文獻也鮮少提供實例供參考，因此本文旨在提供工業技術研究院於此方面的一些經驗分享與實例，希望能降低國內產業導入ISO 26262之難度。本文聚焦於推導應用於一純電動車輛之馬達控制系統相關之軟體安全需求。

Abstract: ISO 26262 – “Road Vehicles – Functional Safety” is widely regarded as the “state-of-the-art” safety standard exclusively for the automotive industry that proactively addresses potential accidents due to systematic and random failures in the electrical/electronic system. The standard essentially encompasses the entire lifecycle of a product starting from conception through the development process, production, operation, service and the eventual decommissioning. In particular, a critical aspect of the safety philosophy championed by the standard is the specification of safety requirements prior to the start of each development phase of the product. ISO 26262 specifically defines the hierarchical structure of safety requirements and the corresponding properties they should inherit. In general, the practice of requirement engineering in Taiwan’s automotive industry is often of poor quality. Hence this paper attempts to provide some reference examples to encourage experience sharing on the specification of safety requirements in practice. The paper focuses on the derivation of software safety requirements related to a motor control system intended for a pure electric vehicle.

關鍵詞：ISO 26262 車輛功能安全標準、馬達控制系統、電動車

Keywords：ISO 26262 Automotive Functional Safety Standard, Motor Control System, Electric Vehicle

前言
ISO 26262車輛功能安全標準於2011年發佈，至今已被公認為國際間最為尖端（state-of-the-art）之車輛系統功能安全規範，此標準範圍涵蓋安裝於量產型3500公斤以下客車內之電機電子系統之整個生命週期，包含初期安全概念、系統開發階段，一直到後端生產、運作，直到除役退出市場。ISO 26262由十個部分（parts）構成，除了第一與第十部分外，其餘第二至第九部分皆包含相關生命週期必須被滿足的需求。其中，系統之軟體發展流程需基於如圖1所示之V型模型，標準內第六部分（ISO 26262-6 [1]）清楚說明設計軟體架構前必須把軟體安全需求先制定好，可以預見軟體架構之設計必須考量並滿足這些軟體安全需求。換句話說，軟體安全需求之訂定為ISO 26262頗重要的一環，足以影響軟體架構的設計走向。此外，標準也明確要求軟體安全需求必須能夠被追溯至上層之安全需求，如闡述於標準第三部分（ISO 26262-3）與第四部分（ISO 26262-4）之規範。雖然台灣車輛工業普遍推行V型模型發展模式，然而設計需求工程之操作仍有待加強，加上ISO 26262對於安全需求之制定有較嚴格的要求，工業技術研究院可提供此方面的一些經驗分享與實例，其中本文聚焦於本院機械所正依據ISO 26262發展應用於電動車輛之馬達控制系統。