南京航空航天大學金城學院車輛工程系 盧 靜
功能安全標準ISO26262在汽車電子電器開發(fā)中的應用
南京航空航天大學金城學院車輛工程系 盧 靜
功能安全標準ISO26262是汽車業(yè)界繼品質(zhì)和環(huán)境后,專門面向電子電器部件安全性的國際標準。歐美和韓日廠商在該領域已經(jīng)有了較深的積累,而我國的廠商在該領域還處于摸索階段。本文論述了ISO26262標準指定的背景,該標準的核心的功能安全級別ASIL的推導過程,以及標準對不同ASIL等級的系統(tǒng)的方法要求。
功能安全;ISO26262;汽車電子電器
本文介紹了功能安全標準ISO26262的制定背景和主要內(nèi)容,從核心內(nèi)容的功能安全管理、過程管理和支持過程三個方面分別進行了論述。在此基礎上,對功能安全等級ASIL的推導方法,以及標準對不同ASIL等級的指導方法進行了深入的論述和舉例說明。
從汽車行業(yè)規(guī)格的歷史動向上可以看出,繼品質(zhì)和環(huán)境后,安全成為汽車行業(yè)第三個標準要求。
ISO26262建立在電子電氣及可編程器件功能安全基本標準IEC61508之上,專門為汽車行業(yè)定制,用于汽車行業(yè)中特定的電氣器件、電子設備、可編程電子器件等專門用于汽車領域的部件,旨在提高汽車電子、電氣產(chǎn)品功能安全的國際標準。[1]
ISO26262從2005年起正式開始制定,于2011年11月正式頒布,成為國際標準。功能安全標準ISO26262適用于安裝在最大總質(zhì)量不超過3.5噸的量產(chǎn)乘用車上的包含一個或多個電子電器系統(tǒng)的與安全相關的系統(tǒng)。而特殊用途車輛(例如為殘疾駕駛者設計的車輛)不包含在適用范圍內(nèi)。[2]
預計在2018年將發(fā)布下一代功能安全標準,屆時商用車和摩托車也很有可能被定義在適用范圍內(nèi)。
中國也正在積極進行相應國標的制定,目前意見征求稿已經(jīng)公開,預計2016年末將正式發(fā)布相應的道路測量功能安全國家標準。
ISO26262標準分為10個章節(jié):術語的定義(術語集);功能安全管理;概念階段;產(chǎn)品開發(fā)(系統(tǒng)層面);產(chǎn)品開發(fā)(硬件層面);產(chǎn)品開發(fā)(軟件層面);生產(chǎn)和運行;支持過程;ASIL指向、安全目標的分析;ISO26262指南等。為汽車安全提供了整個生命周期(管理、開發(fā)、生產(chǎn)、經(jīng)營、服務、報廢)的流程,并在這些生命周期階段中提供必要的支持。該標準涵蓋功能性安全方面的整體開發(fā)過程(包括需求規(guī)劃、設計、實施、集成、驗證、確認和配置)。[3]
功能安全標準的核心分為三個部分,分別是:
第二章 功能安全的管理:包含內(nèi)容有質(zhì)量與功能安全管理體系構(gòu)筑,安全文化和功能安全管理人才的培養(yǎng),以及各工程配備功能安全管理者。
第三至七章 過程管理:包含V字型開發(fā)過程的執(zhí)行、特別是上游驗證的強化,工程階段的詳細化和可追溯,以及風險分析和故障檢出工程設計等。
支持過程:包含OEM與供應商之間接口的明確化,變更管理和構(gòu)成管理,以及開發(fā)過程使用的工具等。
ISO 26262標準根據(jù)安全風險程度,把對系統(tǒng)劃分由A到D的安全完整性等級ASIL(Automotive Safety Integrity Level)劃分為四個等級,分別是A、B、C、D。A為最低級別,D為最高級別,需要最苛刻的安全需求。在核心過程的部分,標準對每個級別需要達到的功能安全活動,做了詳細的劃分。因此,OEM和供應商首先需要明確自己的產(chǎn)品的所屬的功能安全等級。
功能安全等級由三個象限定義,分別是受害嚴重程度、發(fā)生的概率和可控性。可由以下公式表示:
ASIL = S(Severity) & E(Exposure) & C(Controllability)
按照受害嚴重程度的定義表,受害嚴重程度分成四個等級,分別是S0、S1、S2和S3。S0代表事故發(fā)生不會導致受傷,如汽車撞到路邊的圍欄;S1代表事故發(fā)生會導致輕微和中度受傷,如汽車與低速行駛車輛的前方或后方碰撞;S2代表事故發(fā)生會導致不致命的重傷,如汽車轉(zhuǎn)彎時與行人發(fā)生碰撞;最高級的S3代表事故發(fā)生會導致致命傷害,如汽車行駛中與中高速乘用車發(fā)生側(cè)面碰撞。
按照場景發(fā)生概率的定義表,發(fā)生概率分成E0到E4五個等級。E0代表事故本身不會發(fā)生;E1代表超低概率,約3年會發(fā)生1次;E2代表低概率,約1年會發(fā)生一次;E3代表中度概率,約1個月會發(fā)生1次;E4代表高度概率,幾乎每次駕駛都會發(fā)生。
按照可控性定義表,事故發(fā)生的可控制程度分成C0至C3四個等級。C0代表一般可控,如廣播音量突然變化;C1代表可輕易控制,如駕駛中座椅位置調(diào)節(jié)故障;C2代表通??梢钥刂?,如緊急剎車時的ABS故障;C3代表控制困難和失控,如高速行駛中安全氣囊誤爆。
標準中,功能安全等級ASIL的定義表由嚴重度、發(fā)生概率和可控度三個維度構(gòu)成。根據(jù)每個維度的等級,可以找到相應的ASIL等級。如某產(chǎn)品的失效嚴重度:S3,失效發(fā)生概率:E2,可控度:C2,我們可以定位到該產(chǎn)品的功能安全等級為ASIL:B。在實際的工作中,在危害分析和風險評估HARA階段,通過對危險事項和場景的假設,可由該表推導出產(chǎn)品的功能安全等級ASIL。
ISO26262針對不同的ASIL等級的系統(tǒng),對整個流程的各個階段,制定了方法。對于每種方法,應用相關方法的推薦等級取決于系統(tǒng)的ASIL等級,通常分為三類。
“++”表示對于指定的ASIL等級,高度推薦該方法;
“+”表示對于指定的ASIL等級,推薦該方法;
“○”表示對于指定的ASIL等級,未推薦或反對該方法;
Table 1 軟件架構(gòu)設計驗證方法
表1是軟件架構(gòu)設計的驗證方法,標準指定了共計7種方法。其中設計走查是最基本的驗證方法,ASIL等級為A的系統(tǒng)必須要執(zhí)行,而其他等級的系統(tǒng)需用其他方法驗證。對設計中的動態(tài)部分進行仿真是較高級別的要求,它要求為軟件架構(gòu)的動態(tài)部分使用可執(zhí)行的模型,ASIL等級為D的系統(tǒng)必須要使用該方法,而A級B級和C級系統(tǒng),不必須使用該方法。
Table 2 軟件單元測試方法
表2是軟件單元的測試方法,標準指定了共計5種方法。其中基于需求的測試和接口測試是共通部分,所有等級的系統(tǒng)都需要使用這兩種測試方法驗證系統(tǒng)。而背靠背測試是比較復雜的測試方法,它依賴一種能模擬軟件單元功能的模型,通常是Simulink模型進行仿真,并比對軟件的執(zhí)行結(jié)果和模型的執(zhí)行結(jié)果的一致性,標準指定ASIL等級為C和D的系統(tǒng)使用該方法。
本文主要介紹了功能安全標準ISO26262制定的背景和主要內(nèi)容。重點論述了功能安全等級ASIL的導出方法,以及過程對不同ASIL等級的系統(tǒng)的要求和方法。并對以上內(nèi)容進行案例分析,對于有計劃導入ISO26262標準的組織具有指導性作用。
[1]朱葉,ZHU Ye.基于ISO26262的動力電池系統(tǒng)高壓功能安全概念[J]汽車零部件,2013(10).
[2]Joerg Weber Towards an Aspect Driven Approach for the Analysis,Evaluation and Optimization of Safety within theAutomotive Industry.SAE 2010-01-0208 2010.
[3]劉佳熙,郭,李君.汽車電子電氣系統(tǒng)的功能安全標準IS026262[J]上海汽車,2011(10)2.Road Vehicles Functional Safety 2011.