本文首先介紹功能安全的概念及 ISO26262的由來,然后解讀 ISO 26262 的內容和關鍵概念,最后分析 ISO26262的應用方法。
1 功能安全的概念及 ISO 26262 由來
功能安全是指避免由系統功能性故障導致的 不可接受的風險。功能安全關注系統故障后的行 為,而不是系統的原有功能或性能。以采用電子 節氣門的發動機管理系統為例,加速踏板位置傳 感器信號是發動機輸出轉矩主要決定因素,若該 傳感器發生故障使其指示位置大于實際位置,則 可能導致發動機輸出轉矩過大,造成車輛發生非 駕駛員期望的加速,這是發動機管理系統的一個 功能安全風險。從設計上采取措施,使加速踏板 傳感器故障發生時發動機轉矩仍然可控,則提高 了發動機管理系統的安全性。
20 世紀 90 年代,德國、美國相繼頒布了功能安全相關標準( DINV 19250 和 ISA S 84. 01) ,在 此基礎之上,國際電工協會( IEC) 于 2000 年頒布 了關于電子、電氣和可編程電子系統 ( E/E/PE)的功能安全國際標準 IEC 61508。IEC 61508 一經頒布就得到了廣泛采用,在它的基礎上,各個工業應用領域的標準也陸續出臺。
然而,起源于過程工業領域的 IEC61508 并不完全適用于汽車工業,例如: 它沒有考慮汽車工業 的分布式開發模式; 它定義了一個與汽車工業不同的生命周期( 測試在產品發布后進行); 它的量化要求( 如失效率) 沒有考慮大規模批量生產的情況。隨著安全相關的電子電氣系統在汽車上的廣泛應用,汽車工業對電子電氣系統功能安全標準的需求也越來越迫切。因此,國際標準化組織( ISO) 在 IEC 61508 的基礎上,制定了專門針對汽車電子電氣系統的功能安全標準,即 ISO26262。
2 ISO 26262 的內容簡介
ISO26262 為汽車電子電氣系統的整個生命周期中與功能安全相關的工作流程和管理流程提 供了指導。在 ISO26262 中,定義了汽車安全生命周期,汽車安全完整性等級( ASIL) 兩個關鍵概念,對這兩個關鍵概念的理解是解讀 ISO26262 的基礎。
2. 1 汽車安全生命周期
圖 1 展示了 ISO26262 中定義的汽車安全生命周期,包含了從概念設計、產品開發到批產后各階段的主要安全活動。
功能安全的概念設計必須與整個系統的概念 設計同步進行。在概念設計階段,要基于系統定義和系統初步架構,分析可能存在的功能安全風險并評估風險的等級。然后根據功能安全風險定義安全目標和針對每個安全目標的功能安全概 念。
在產品開發階段,ISO26262 按汽車工業中常用的 V 型開發流程定義相關安全活動: V 型的左 側是技術安全需求(功能安全概念的技術實現途徑) 的制定、系統設計; V 型的右側是系統集成、安全確認和發布。硬件和軟件的開發也遵循相似的小 V 型開發流程。
在批產之后的階段,需要提供必要的文檔及 方法,以保證在生產、售后服務和報廢等環節中,安全目標不被破壞。同時,需要監控售后產品,發現有違背安全目標的案例要采取相應措施。
2. 2 汽車安全完整性等級( ASIL)
IEC 61508 中通過失效概率的方式定義了安全完整性等級( SIL) ,但在汽車領域應用實踐中,只有隨機硬件失效可以通過統計數據評估失效概率,軟件失效難以量化評估。因此,ISO 26262 中根據汽車行業的特點定義了 ASIL。
IEC 61508 中通過失效概率的方式定義了安全完整性等級( SIL) ,但在汽車領域應用實踐中,只有隨機硬件失效可以通過統計數據評估失效概率,軟件失效難以量化評估。因此,ISO 26262 中根據汽車行業的特點定義了 ASIL。
ASIL 在概念設計階段通過對功能安全風險的評估中得到。如果系統的功能安全風險越大,對應的安全要求就越高,則具有更高等級的 ASIL。ASIL 分為 A、B、C、D 4 個級別,ASIL D 為最高汽車安全完整性等級,對功能安全的要求最高。
ISO 26262 中定義的 ASIL 使用 3 個參數進行評估,分別是: 危險對駕駛員或其他交通參與人員造成傷害的嚴重程度 S,危險所在工況的發生概率E,危險涉及的駕駛員和其他交通參與人員及時采取控制行動避免特定傷害的能力C。S 分為 0~ 3級,S0 代表無傷害,S3 代表危及生命的重傷或致命傷; E 分為 0~ 4 級,E0 代表工況不可能發生,E4代表工況是常見的; C 分為 0~ 3 級,C0 代表完全可控,C3 代表非常難于控制。對于每一個識別到的危險,按表 1 評估風險等級( 即汽車安全完整性 等級) ,其中 QM 表示與安全無關。
ISO26262 為以上 3 個參數的評定提供了指 導,下面以發動機管理系統為例進行說明。首先,識別發動機管理系統的可能故障及其影響: 發動 機管理系統的一個可能故障是控制發動機輸出過大的轉矩,其影響是造成非駕駛員期望的車輛加速; 其次,確定已識別故障可導致危險的工況,例如: 工況為車輛高速轉彎、接近失穩; 最后,按ISO26262 的指導分別評定 S、E、C 級別: 上述工況下 加速,將導致車輛失穩并與其他車輛或路邊設施相撞,可能造成人員死亡,S 評為 3; 上述工況的發 生概率相對較低,E 可評為 2; 車輛失穩后,駕駛員幾乎無法進行有效控制避免傷害,C 可評為 3; 按 表 1,ASIL 為 B( 僅為示例,不代表標準明確要求或實際工程應用) 。
系統的 ASIL 等級越高,ISO 26262 對設計方法、安全技術、測試方法以及需要達到的技術指標的要求越嚴格,開發流程和工作產品的審核和確認也越嚴格。
3 ISO 26262的應用
ISO26262 為功能安全相關的開發提供了方法論,將保證汽車電子電氣系統的安全性,減少安全事故的發生,產生巨大的社會效益; 與此同時,安全相關的投訴和召回事件的減少也將為汽車企業和供應商帶來經濟效益。然而,ISO 26262 涉及汽車電子電氣系統的整個安全生命周期及其管理 過程,滿足該標準對汽車企業及供應商來說必將是巨大的挑戰。為滿足 ISO26262,必須在公司安 全文化、工作流程制定、產品設計與開發等方面進行持續的改進。
3. 1公司安全文化
在公司組織內部建立和保持安全文化是 ISO26262 標準的要求,也是促進功能安全有效實現的前提條件。在具有良好安全文化的公司中: 安全 應具有最高優先級; 獎勵系統應支持和鼓勵功能安全的有效成果,處罰為取捷徑而危及安全和質量的行為。
3. 2 工作流程制定
ISO26262 對一個完整的汽車安全生命周期定義了安全活動要求。同時,ISO 26262 標準中規定組織內部應建立、執行和保持特定的流程,以滿足標準的各項要求。
ISO26262 對一個完整的汽車安全生命周期定義了安全活動要求。同時,ISO 26262 標準中規定組織內部應建立、執行和保持特定的流程,以滿足標準的各項要求。
在一個公司內部為每一個標準單獨設立一個 流程是不現實的,一個可行的方案是將包括 ISO26262 在內的所有標準融合為公司內部流程,工程師僅需要按照內部流程工作,即可滿足所有標準。
舉例來講,安全計劃是 ISO26262 要求的重要流程步驟和工作產品,在公司內部流程中,安全計劃可以不是一個獨立的文檔,而是標準項目計劃的一部分,可以在已有的質量評審中增加相關問題,對其進行檢查。
3. 3 產品設計與開發系統的功能安全性主要決定于產品設計。
在產品設計和開發階段即采取措施,盡可能減少甚至避免系統性失效和隨機硬件失效,是提高功能 安全最有效和最經濟的方法,也是使產品滿足 ISO26262 的必要條件。
系統性失效往往由產品設計缺陷導致。在設計中應用演繹的和歸納的分析方法,是及早識別 并避 免 潛在 系 統 性 失 效 行 之 有 效 的 途 徑。ISO26262要求所有功能安全相關的設計均需采用 歸納分析方法,如失效模式和影響分析( FMEA) ;并要求具有 ASILC 和 D 的功能安全相關設計還 需采用演繹分析方法,如故障樹分析( FTA) 。除此之外,重用久經實踐驗證并受信任的設計、安全架構和標準接口等,也是避免系統性失效的有效途徑。ISO 26262 鼓勵重用受信任的設計原則,并規定對于具有 ASILD 的系統,棄用受信任的設計原則的決定需要論證。
隨機硬件失效是指由系統中某一個或幾個元 器件的隨機故障導致的失效,是功能安全風險另一個主要來源。ISO 26262 制定了量化指標,如表2 、 3 ,用 以 評 價 系 統 在 此 方 面 的 安 全 性 。 產品 硬 件 設計必須達到要求的指標,才能滿足 ISO26262 要求。
硬件架構指標主要用于衡量硬件架構的合理 性。其中單點故障指標等于除單點故障和殘余故障之外的故障占所有故障的比率。以前文所述發
動機管理系統為例,假設對于加速踏板傳感器沒有任何診斷和安全機制,加速踏板傳感器信號線與電源短接將被視為加速踏板完全踩下,直接導 致車輛發生非駕駛員期望的加速。如此,該故障即成為一個單點故障,將導致低的單點故障指標,可能無法達到 ASILB 的要求。提高單點故障指標的一個方法是設計診斷功能,例如設計加速踏 板傳感器信號線對電源短路的診斷。由于診斷功能具有一定的覆蓋率,在某些工況下可能不能檢查到目標故障,該單點故障未被診斷功能覆蓋的部分將成為殘余故障。因此,設計診斷功能可以降低單點故障指標,但作用有限。降低單點故障指標的另外一種方法是設計冗余概念,如設計兩 個獨立的加速踏板傳感器,使其信號可相互校驗。如此,兩個傳感器同時發生故障才可能導致失效發生,單點故障轉化為多點故障( 此處為兩點故 障),單點故障指標得到了提高。
潛伏故障指標等于安全故障和非潛伏故障占 多點故障的比率。在上例中,如果診斷功能故障,可能不會被檢測到或被駕駛員察覺,在這種情況下如果發生短路,將導致安全風險。該診斷功能的故障可視為潛伏故障。與單點故障指標相同,設計 冗 余 、診斷 等 安 全 機 制 ,可減 少 潛 伏 故 障 ,提高潛伏故障指標。
高的硬件架構指標表明系統具有好的安全架 構,但并不一定代表系統足夠安全。如上例中的冗余概念,如果兩只傳感器的失效率都很高,那么系統仍可能無法滿足表 3 中隨機硬件失效率指標 的要求。ISO 26262 規定隨機失效率考慮單點故障、殘余故障和雙點故障,在硬件元件本身失效率的基礎上,考慮診斷和監控技術覆蓋率,可得出該隨機失效率指標。因此,降低該指標需要結合低失效率的硬件和高診斷覆蓋率的安全機制。
ISO26262 是針對汽車電子電氣系統的功能安全標準,是 IEC61508 在汽車行業中的應用。該標準定義了完整的汽車安全生命周期,提供了一 套方法用于評估汽車安全完整性等級 ASIL,并基 于 ASIL 定義了用于實現安全目標的安全活動要求。作為 ISO 組織發布的國際標準,其實施將規范汽車電子電氣系統的功能安全相關開發,為保 障汽車安全提供幫助,將產生相應的社會和經濟效益。
同時,ISO26262 的實施也帶來巨大的挑戰:整車廠商和供應商要在公司安全文化、工作流程制定和產品設計與開發等方面進行持續改進,以 滿足 ISO26262 要求,提高產品的安全性與競爭力。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
