目录
1、概述
作为一个软件人员,前前后后做了好几个功能安全的项目,包含一些汽车级别ISO26262的,工业级别IEC61508/ISO13849的,但是总是在软件的角度去编辑文档类架构设计、软件需求、详细设计,设计并实现功能安全代码等,但是其实对功能安全的理解比较表层,所以以拥抱AI的方式去理解,检索有关功能安全之前模糊不清的地方,记录下来当学习笔记。
2、什么是汽车电子的功能安全?
汽车电子功能安全是指确保汽车电子系统在设计、开发、生产和维护过程中具有适当的安全性能,旨在确保汽车电子电气系统的功能性和安全性,从而避免因系统故障而导致的不合理风险,具体来说,它涉及如何确保即使在系统发生随机硬件失效或系统性失效时,安全系统也能正确运行,避免造成人员伤害、死亡、环境污染或设备财产损失。汽车电子功能安全是基于国际标准ISO 26262(以及对应的国标GB/T34590)构建,对功能安全进行了明确定义,即防止由于电子电气系统故障而引发的潜在风险。
目前全中文的国标也是有的,对标ISO26262
很经典的一个图示如下
个人经常看的是6.产品开发:软件层面
对上面的话,由于之前不是从全局去把握看的,所以对各个阶段做什么理解不深的
2.1、设计阶段做什么?
系统理论分析:采用系统理论过程分析(STPA)等方法,从整体上分析系统的功能和可能存在的风险。
失效模式与影响分析(FMEA):识别系统中可能的失效模式及其对系统功能的影响,为后续的安全设计提供依据。
故障树分析(FTA):通过构建故障树来分析系统故障的原因和传播路径,帮助设计更可靠的安全机制。
功能安全概念开发:根据危害分析和风险评估(HARA)的结果,定义产品的功能安全目标和安全要求,并将其分配到系统架构设计中。
2.1.1、设计阶段都需要哪些开发人员参与?
既然知道了设计阶段需要做这些,那么还有一个问题,这些都需要哪些开发人员参与呢?
1、功能安全经理
职责:负责规划和管理与ISO 26262标准实施相关的所有活动,包括制定功能安全计划,明确项目的安全目标、时间表、资源分配以及工作产品的管理等。
参与方式:协调不同团队之间的工作,确保各个部门在功能安全方面的工作方向一致且符合标准要求。
2、功能安全工程师
职责:进行危害分析与风险评估(HARA)工作,参与安全需求的定义和分解工作,在开发过程中,负责安全机制的设计和实施监督。
参与方式:协助系统工程师一起完成技术安全概念/要求开发,制定系统要素和接口实施安全机制的技术安全要求。
3、系统工程师
职责:从系统层面理解和整合安全需求,将安全需求与系统的功能需求、性能需求等其他需求进行统筹考虑,构建满足多方面要求的汽车E/E系统架构。
参与方式:在系统集成与测试工作中,确保在系统集成过程中安全机制的有效性。
4、软件工程师
职责:在软件开发过程中遵循ISO 26262标准的要求,依据安全需求进行软件的需求分析、设计、编码和测试工作。
参与方式:采用安全的编码规范,参与软件的安全测试工作,包括单元测试、集成测试和系统测试中的安全相关测试内容。
5、硬件工程师
职责:根据ISO 26262标准的要求进行硬件设计,确保硬件组件的设计满足安全需求,包括硬件的可靠性、故障容限等方面的要求。
参与方式:参与硬件的安全性设计,如采用冗余设计、硬件故障检测与诊断电路等安全机制。
6、质量保证人员
职责:建立和执行质量管理计划,确保ISO 26262标准的要求在项目的各个阶段得到有效执行。
参与方式:制定质量标准、检查流程和评审制度,对项目中的工作产品进行质量审查。
2.3、开发阶段做什么?
硬件安全设计:采用容错机制(如时钟监控、看门狗等)、电磁兼容性设计(符合ISO 16750-3标准)以及选择可靠的汽车级芯片(如获得AEC-Q100认证的芯片)。
软件安全开发:采用分层式软件架构(如Classic AUTOSAR)隔离安全与非安全功能,利用形式化验证(如定理证明)和代码静态分析(如使用Coverity工具)等方法确保软件的可靠性。
技术安全概念开发:制定系统要素和接口的技术安全要求,包括功能、相关性、约束和属性等方面,确保系统架构设计和技术安全概念满足安全要求。
安全机制的裁剪:对关键芯片的安全机制进行裁剪,确定哪些是产品所必须用到的,哪些是可以裁剪的。
2.4、生产阶段做什么?
验证和确认:确保生产过程中的产品符合设计阶段的安全要求,包括硬件和软件的一致性验证。
生产计划和控制:涵盖安全相关的特殊特性,确保在生产过程中实现功能安全。
安全相关硬件要素的组装和拆卸:定义这些操作的指导说明,确保不会影响技术安全概念。
可追溯性:确保安全相关硬件要素的可追溯性,以便在出现问题时能够及时追溯和处理。
2.4、维护阶段做什么?
持续监控和更新:对已投入使用的汽车电子系统进行持续监控,及时发现并处理可能出现的故障或隐患。
维护说明:如果维护可能影响技术安全概念,应定义安全相关硬件要素的维护说明。
用户信息和培训:为用户提供必要的安全信息和培训,帮助他们正确理解和使用汽车电子系统。
报废处理:制定安全相关的报废处理流程,确保在产品生命周期结束时不会留下安全隐患。
3、汽车电子功能安全的目的
1 - 保障人身与财产安全
降低事故风险:汽车电子系统故障可能导致车辆失控、碰撞等事故,功能安全旨在通过预防、检测和控制故障,将事故风险降至可接受水平,保护驾乘人员和他人生命安全。
减轻事故后果:即使发生故障,功能安全措施如紧急制动、转向辅助等可帮助车辆尽快进入安全状态,减少人员伤亡和财产损失。
2 - 提升系统可靠性与稳定性
增强系统容错能力:通过设计冗余、故障诊断等机制,使汽车电子系统在部分组件失效时仍能正常运行或安全降级,提高系统可靠性。
确保系统长期稳定运行:随着汽车智能化发展,电子系统复杂度增加,功能安全通过规范开发流程和严格测试,确保系统在车辆全生命周期内稳定运行。
3 - 符合法规与行业标准
满足强制性标准要求:如ISO 26262等国际标准及各国法规,要求汽车制造商在产品开发中遵循功能安全规范,以确保车辆安全性能。
增强市场竞争力:符合功能安全标准的产品更具竞争力,有助于企业拓展市场、赢得客户信任。
4、汽车电子功能安全的等级划分
汽车电子功能安全的等级划分主要依据国际标准ISO 26262,该标准定义了汽车安全完整性等级(Automotive Safety Integrity Level,ASIL),用于衡量特定系统组件的风险。ASIL等级从低到高划分为QM、A、B、C、D五个等级,其中ASIL D为安全等级最高.
4.1、划分依据
严重性(Severity):指危险事件所导致伤害或损失的潜在严重性,分为S0(无伤害)到S3(危及生命/致命伤害)四个等级
暴露率(Exposure):指在操作条件下,人员暴露于危险当中的可能性,分为E0(极不可能)到E4(极有可能)五个等级
E0仅是在风险评估中的一些建议项,当暴露风险为E0时,无需考虑ASIL等级。
E1和E2的区分,主要是看车辆在目标市场合理、正常的使用情况。
可控性(Controllability):指驾驶员或其他涉险人员能够避免事故或伤害的可能性,分为C0(一般可控)到C3(不可控)四个等级。
按照以上划分并进行组合相加得到5个ASIL等级(QM,A,B,C,D),原则是:
基本可控C0的组合不考虑;
无伤害S0的组合不考虑;
其余组合相加:
等于7分为ASIL A
等于8分为ASIL B
等于9分为ASIL C
等于10分为最高等级ASIL D
ASIL A、B、C、D都是与功能安全相关的(Safety Relevant Function),其余的得分安全评定为QM,代表与安全无关的功能(Non Safety Relevant Function)。
例如D的计算是S3 + E4 + C3 其中的 3+4+3 =10也就是D了。
等级含义:
QM(Quality Management):表示该组件没有安全要求,但为了提高产品质量,通常仍建议遵守标准的质量管理流程。
ASIL A:风险级别最低,对功能安全的要求相对较低。
ASIL B:风险级别和功能安全要求高于ASIL A。
ASIL C:风险级别和功能安全要求高于ASIL B。
ASIL D:风险级别最高,对功能安全的要求也最为严格。
4.2、ASIL等级确定举例
以EPB(Electrical Park Brake,电子手刹)的驻车功能为例。
当驻车时,驾驶员通过按钮或者其它方式触发制动请求,EPB在汽车的后轮上施加制动力,以防止汽车出现非期望的滑行。该系统的危害有:非期望的制动失效、非期望的制动启动。相同的危害在不同场景下风险是不一样的,因此需要对不同的场景进行分析。
为了简化问题,这里我们仅对“非预期制动失效”这种功能故障进行风险评估。下表给出了EPB风险评估表,在该表中,我们考虑的驾驶场景是车停在斜坡上,驾驶员不在车上。如果驾驶员在车上的话,驾驶员可通过踩刹车控制汽车滑行,可控性增加,那么所评估的ASIL等级会比表中的ASIL D低,但是对于同一个安全目标,如果评估的ASIL等级不同的话,要选择ASIL等级最高的那个。
通过以上分析,得出EPB系统的安全目标为:防止制动失效,ASIL等级为D。
4.3、ASIL等级意义
ASIL等级决定了对系统安全性的要求,ASIL等级越高,对系统的安全性要求越高,为实现安全付出的代价越高,意味着硬件的诊断覆盖率越高,开发流程越严格,相应的开发成本增加、开发周期延长、技术要求更严格。下表是ASIL等级评估对照表,可以看出,如果安全等级到达D级,则意味着整个系统范围内单点故障率不超过1%。
5、汽车电子功能安全的实现
汽车电子功能安全的实现是一个系统工程,需要从多个方面进行综合考虑和实施。以下是其主要的实现途径和措施:
遵循ISO 26262标准:该标准为汽车电子系统的功能安全提供了全面规范,涵盖了从设计到生产和维护的整个生命周期
风险评估与管理:通过确定汽车安全完整性等级(ASIL)来评估风险,并设定相应的安全目标。
安全机制的设计:包括错误修正代码(ECC)、循环冗余校验(CRC)、硬件冗余、内建自我测试(BIST)等,以诊断失效或控制失效,从而达成或维持安全状态。
持续的测试和验证:在整个开发过程中采用V模型,确保每一步骤都有相应的测试步骤,以验证和确认系统的安全性。
其实也可以从以下方面进行考虑:
5.1、开发流程
危害分析与风险评估(HARA):识别系统中可能存在的安全风险,并根据ISO 26262标准的ASIL等级(汽车安全完整性等级)进行评估。
安全需求定义:根据评估的风险,定义系统应满足的安全要求和设计准则。
系统设计:在系统设计阶段,考虑如何在系统架构中融入安全机制,以满足安全需求。
硬件和软件开发:硬件和软件的开发都要遵循相应的功能安全要求,确保在设计和实现阶段考虑安全性。
验证与确认(V&V):通过仿真、测试等方式验证安全功能的正确性,确保其在各种工况下的正常运行。
5.2、技术措施
系统功能安全技术:在系统层面设计安全的架构,实现各种防护机制,如对输出增加独立的监测,发现错误时有效切断输出。
硬件功能安全技术:在硬件设计上考虑功能安全技术要求,如功能实现电路与安全机制电路之间的电气独立性,冗余设计之间的物理独立性,以及选择经过第三方安全认证的元器件。
软件功能安全技术:在软件设计与实现上进行功能安全防护,如采用防御性编程,对入参类型、边界值进行检查,故障时采用恢复技术,对关键安全功能相关内容进行内存保护,以及对软件任务进行时间保护和顺序监测。
5.3、管理措施
功能安全管理:确保在车辆电子电气系统的整个生命周期内管理功能安全,包括制定功能安全计划、定义角色和职责,以及进行审计以确保合规性。
变更管理:在系统变更时,进行充分的评估和测试,确保变更不会对功能安全产生负面影响。
5.4、验证与确认
仿真测试:在虚拟环境中对系统进行仿真测试,以验证其在各种工况下的功能安全性能。
硬件在环(HIL)测试:通过硬件在环测试系统,对实际硬件组件在模拟环境中的功能安全性能进行测试。
软件在环(SIL)测试:对软件组件在模拟环境中的功能安全性能进行测试,确保软件的正确性和可靠性。
实车测试:在实际车辆上进行测试,验证系统在真实环境中的功能安全性能。
6、汽车电子功能安全的意义
1 - 保障乘员安全
降低事故风险:汽车电子系统故障可能导致车辆失控、制动失效等严重后果。功能安全通过在系统设计中融入防护机制,如对输出增加独立监测,发现错误时有效切断输出,从而降低因系统故障引发事故的风险,保障车内乘员安全。
提升应对能力:在紧急情况下,功能安全设计的电子系统能够更可靠地辅助驾驶员,如自动刹车系统在检测到前方障碍物且驾驶员未及时反应时自动启动刹车,为乘员提供额外的安全保障。
2 - 确保系统可靠运行
提高电子系统稳定性:汽车电子系统复杂且相互关联,功能安全通过严格的设计规范和测试流程,确保各系统在各种工况下稳定运行,减少因电子系统故障导致的车辆异常。
增强系统容错能力:采用冗余设计等技术,使系统在部分组件故障时仍能维持基本功能。如关键信号传输采用双通道冗余,当一个通道故障时,另一个通道可保证信号正常传输,确保系统可靠运行。
3 - 提升汽车整体性能和质量
优化系统设计:功能安全要求促使汽车制造商和零部件供应商在设计阶段充分考虑安全性,优化系统架构和功能分配,提升汽车电子系统的整体性能和质量。
促进技术进步:为满足功能安全标准,汽车电子技术不断创新和发展,如更先进的传感器、更可靠的微控制器等,推动汽车电子技术升级,提升汽车智能化和自动化水平。
4 - 增强用户信任和市场竞争力
树立品牌形象:严格遵循功能安全标准的汽车品牌,能向消费者传递对安全的重视,树立良好品牌形象,增强消费者对品牌的信任和认可。
满足法规和市场需求:随着汽车安全法规日益严格和消费者对安全性能的关注度不断提高,满足功能安全标准成为汽车进入市场和获得竞争优势的关键因素。
7、哪些法规对汽车功能安全有明确要求?
7.1、国际标准
ISO 26262:是针对汽车零部件中关键电气和电子(E/E)系统的功能安全标准,基于IEC 61508制定。该标准提供了规范及推荐做法,贯穿了产品从概念开发到报废的整个生命周期,详细介绍了如何为系统或组件指定可接受的风险等级,并提供验证要求和确认方法,以确保实现有效且可接受的安全水平。
ISO/SAE 21434:是针对道路车辆的网络安全工程标准,要求在考虑到已确定的风险的同时实施流程和程序,确保所有电气系统,尤其是数据处理电子系统在汽车整个产品生命周期中的安全,直至其废弃。
7.2、国内法规
GB/T 34590系列:修改采用国际标准ISO 26262-2011,针对汽车电子电气安全相关系统,提出了电控系统在全生命周期(设计、开发、生产、运行、报废)内的功能安全要求,可有效降低由于汽车电子电气系统的随机硬件失效和系统性失效所带来的风险。
GB 38031-2020《电动汽车用动力蓄电池安全要求》:增加了功能安全的相关要求,对电动汽车用动力蓄电池的安全性能进行规范,确保其在使用过程中的功能安全。
GB 18384-2020《电动汽车安全要求》:同样对电动汽车的安全要求进行了规定,涵盖功能安全相关内容,保障电动汽车的整体安全性。
GB 17675-2021《汽车转向系统基本要求》:对汽车转向系统的功能安全提出了明确要求,确保转向系统在各种工况下的安全性和可靠性。
GB/T 39901-2021《乘用车自动紧急制动系统(AEBS)性能要求及试验方法》:规定了乘用车自动紧急制动系统的性能要求和试验方法,其中包含了功能安全的相关内容,以确保该系统在紧急情况下能够可靠地发挥作用。
GB/T 39323-2020《乘用车车道保持辅助(LKA)系统性能要求及试验方法》:对乘用车车道保持辅助系统的性能进行了规范,涉及功能安全要求,保证系统在辅助驾驶过程中的安全性。
GB 44495-2024《汽车整车信息安全技术要求》:作为中国发布的一项强制性国家标准,专门针对汽车整车的信息安全管理要求,尤其是智能网联汽车。虽然主要关注信息安全,但与功能安全也有一定关联,因为信息安全的保障有助于提高整个汽车系统的功能安全性。
8、软件与硬件方面都需要注意哪些细节呢?
8.1、软件方面
软件安全需求(SWSR):SWSR源于分配至软件组件的技术安全要求(TSR),是软件相关TSR在软件层面的进一步细化。除了与安全机制相关的SWSR外,还需要充分考虑非安全机制相关的SWSR,如软件运行相关基础软件、车载和非车载测试相关功能、软件修改功能、软硬件接口规范要求等。
软件架构设计:软件架构应能够承载软件安全需求,遵循适当分层、限制软件组件规模和复杂度、限制接口规模、组内高内聚、组间低耦合等原则。此外,不同或非ASIL等级软件组件开发需满足按最高ASIL等级或要素共存FFI等原则之一。
软件开发与编码:在编码过程中,需要对编程语言采用安全编码规范,满足编程语言的安全子集要求,如采用C语言时需引用Misra C安全编程规范,避免由语言本身引入缺陷。同时,所采用的编译器也有要求,对于直接影响源代码和最终可执行文件的编译器,需要达到最高等级的鉴定要求。
软件验证与确认:软件集成的验证是为了证明软件架构设计的符合性、软硬件接口的符合性、已定义的功能和特性、支持功能的足够资源、安全分析得到的安全措施的有效性等。
8.2、硬件方面
硬件安全需求:硬件安全需求主要用于保证控制器内部硬件故障的安全机制的安全要求。需要定量地实施对硬件架构指标的评估,以及由于偶发硬件故障而导致的随机失效率的评估。
硬件选型与设计:对于高安全等级要求的系统,如ASIL-D等级,主要芯片应达到相应的安全等级,并选用具有功能安全认证资料包的产品。此外,还需要选择承载电源监控、ECU错误监控、看门狗等功能的芯片。
硬件冗余与监控:为满足关键输出量计算的独立性,必须采用两路独立的传感器,避免由单路传感器所带来的共因失效。同时,ECU需要采用冗余校验机制确保计算的正确性,并通过监控通道独立计算和比较结果,若不一致则进入安全模式。
硬件验证与确认:硬件集成和验证的目的是确保硬件安全要求实施的完整性和正确性,以及硬件在环境和运行应力因素下的耐用性和鲁棒性。
9、汽车电子功能安全主要针对哪些系统?
9.1、安全关键系统
制动系统:如防抱死制动系统(ABS)、电子制动分配系统(EBA)等,确保在各种路况下车辆能够安全、稳定地减速或停车。
转向系统:包括电动助力转向系统(EPS)、主动转向系统等,保证转向的精准性和可靠性。
高级驾驶辅助系统(ADAS):如自适应巡航控制(ACC)、车道保持辅助(LKA)、自动紧急制动(AEB)等,辅助驾驶员提高行车安全性和舒适性。
自动驾驶系统:在自动驾驶模式下,对车辆的感知、决策和控制等环节进行安全监控和管理,确保自动驾驶功能的安全性。
9.2、车身电子系统
车身控制器(BCM):负责控制车身的各种电气设备,如车灯、雨刮器、座椅加热等,确保这些设备的正常运行和安全性。
车门控制器(DCM):管理车门的开闭、锁止等功能,防止因车门异常开启或关闭导致的安全问题。
仪表娱乐系统:包括仪表盘显示、车载信息娱乐系统等,确保驾驶者能够准确获取车辆状态信息,同时防止娱乐系统故障对车辆安全运行造成干扰。
9.3、动力系统
发动机控制系统:对发动机的燃油喷射、点火时机、进气量等进行精确控制,保证发动机的性能和安全性。
变速箱控制系统:实现自动或手动换挡的平顺性和可靠性,防止因换挡故障导致的车辆失控。
新能源汽车系统:如电池管理系统(BMS)、车载充电系统(OBC)等,确保电池的安全使用和充电过程的安全。
9.4、底盘系统
悬挂系统:包括电子悬挂系统等,调节车辆的行驶姿态,提高行驶稳定性。
电子稳定系统(ESP):通过监测车辆的行驶状态,自动调整车辆的制动力和驱动力,防止车辆侧滑等危险情况。
9.5、网络与通信系统
车联网系统:包括车辆与外界的通信(V2X),如车辆与车辆(V2V)、车辆与基础设施(V2I)等通信,确保通信的安全性和可靠性。
车载网络系统:如CAN总线、LIN总线、以太网等,保证车辆内部各电子控制单元之间的数据传输安全和稳定。
10、都有哪些功能安全认证机构?
10.1、国际知名认证机构
TÜV SÜD:作为国际认可的ISO 26262检测机构,TÜV SÜD是全球功能安全领域的领先专家之一,其功能安全认证项目(FSCP)在全球范围内得到广泛认可。
SGS:作为国际知名的检验、鉴定、测试和认证机构,SGS提供包括ISO 26262在内的多种认证服务,其在汽车功能安全领域拥有丰富的经验和专业的技术团队。
TÜV 莱茵:TÜV 莱茵在汽车检测和认证领域一直处于领先地位,为汽车制造商和零部件供应商提供一站式解决方案,涵盖ISO 26262等功能安全标准。
DNV:DNV提供一系列服务帮助公司采用ISO 26262标准,包括培训、人员认证、准备情况评估、评分评估和确认措施等。
EXIDA:EXIDA是全球认可的认证机构,获得美国和欧盟认证机构的认证,提供包括ISO 26262在内的多种功能安全认证服务。
TÜV 北德:TÜV 北德与LHP Engineering Solutions合作,提供ISO 26262培训和认证服务。
10.2、行业协会
德国汽车工业协会(VDA):VDA在汽车行业具有较高的声誉和影响力,能够为会员单位提供ISO 26262认证服务,并提供技术支持和培训服务。
美国汽车工程师协会(SAE):SAE在汽车工程领域具有重要地位,其提供的ISO 26262认证服务有助于会员单位提升产品质量和安全性。
10.3、专业第三方检测机构
中国质量认证中心(CQC):CQC是国内最大、国际领先的综合性认证检测机构之一,于2019年推出车辆功能安全和ASPICE技术服务项目,提供道路车辆功能安全认证。
中国汽车技术研究中心(CATARC):作为国内专业的汽车检测机构,CATARC在汽车功能安全领域具有较高的专业性和权威性,能够为国内企业提供ISO 26262认证服务。
提示:想出口,需要经过国际认证的才行!
扫一扫
1083
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
