汽車功能安全標準于2011年作為ISO標準正式頒布,此后,汽車業界開始采納應用該標準。
雖然標準的采納是自愿的,但在這樣的背景和趨勢之下,無論是汽車廠商還是零部件供應商,為了滿足ISO 26262的要求,要盡快調整體制,完善規章制度,構筑基于規格的生產流程,并由負責ISO 26262認證的第三方機構進行認證。
接下來,讓我們一起來看看ISO 26262到底是什么!
功能安全
什么是功能安全?所謂的“功能安全”,就是通過安全功能和安全措施來避免不可容許的功能風險的技術總稱。功能安全(Function Safety)的“功能”指的是監控受控對象和控制器的安全裝置起的作用。通常我們將計算機作為安全裝置,如果控制器發生故障,則該計算機將會關閉受控對象,并向用戶發出危險警告。安全裝置所實現的這種安全性作用,被稱為“功能安全”。功能安全可以說是通過使用計算機等的安全裝置所設計出的安全措施。
但是,在這里不得不提醒大家,安全本身并不是通過增加某種電子安全設備來保證的,而是通過“去除”導致危險發生的設計或機械故障的安全機制來保證。這種安全機制被稱為“本質安全”。
舉個栗子,這是一個非常經典的例子:
比如在鐵路道口,我們常常有這樣的危險顧慮,就是有人或者車輛進入到了鐵道入口,和火車相撞,導致死亡。“本質安全”就是從根本上避免危險的措施,把危險源直接“除掉”,方法是可以把這個鐵道道口改為立交橋。但是在某些情況或某些制約下,不能把鐵道道口“除掉”,自然就會想到附加一個安全設施,這就是功能安全。因為某些制約,不得不設置鐵路道口,但大家還要想避免這樣的交通事故,那怎么辦呢?這是功能安全。
歐美已經頒布了成套的功能安全相關產品指令和設計標準,并深入到各個領域,在核電行業、石油、化工、電廠等過程工業,工業機器、電梯扶梯、智能電網、家電軟件評估、汽車行業、醫療軟件評估領域廣泛應用。
這里,我們只談汽車功能安全。
功能安全制定的歷程
功能安全標準化的運動起源于20世紀90年代。
上世紀70年代開始,隨著各種現代化及其的使用,以及工業生產過程的自動化程度越來越高,以電氣、電子、可編程電子產品的大量應用為標志的現代化控制系統越來越多的滲透到各個領域,參與著各種控制過程。
但是,工業文明在給人類帶來利益的同時,也帶來了災難。由于系統設計不合理、設備元器件故障或失效、軟件系統的故障導致的事故、人身傷害、環境污染,越來越頻繁的危及著我們的生命安全和賴以生存的環境。
人們開始認識到,必須采取措施,用標準和法規來規范領域內安全相關系統的使用,使技術在安全的框架內發展,使人類既能盡可能享受新技術帶來的安全和舒適,同時又能掌控危險。功能安全標準研究從此展開。
然而,安全控制系統或設備執行安全功能時的可靠性問題,限制了用戶使用新技術的積極性。由于沒有公認的評價體系,制造商很難說服用戶使用新技術,尤其在關系人身財產安全的重要領域使用新技術。另外,不同行業對安全要求的不同,也限制了安全設備的產業化生產規模。制造商迫切需要一個公認的標準來建立一個與用戶對接的公共平臺。
于是,2000年5月,國際電工委員會正式發布了IEC61508標準,名為《電氣/電子/可編程電子安全相關系統的功能安全》。
IEC61508中,系統中的安全設備(減少風險的手段)由中繼控制器或PLC(Programmable logic控制器)等設備構成,我們把安全設備將實現其安全功能的可靠性的概率稱為安全完整性水平,即SIL(Safety Integrity Level)。換句話說,基于這個等級標準,即,如果與構成安全系統的部件的故障率低,則由此構成的整個安全系統的故障率也是低的。
但是,有一種觀點認為,在SIL定義中加入概率因素并不合適的。為什么不合適呢?那是因為功能安全標準不僅涉及了硬件部分,還涉及了軟件部分。僅論硬件故障發生的概率,除了初始故障和損耗故障以外,偶發故障基本是隨機發生的,如果把設計錯誤分開,那么加入概率因素是非常合適的。與此相對的軟件故障可不是隨機的了,所以軟件故障(bug)是很難去計算其發生的概率的。例如,如果軟件的設計中混入了bug,只要其發生路徑和條件具備,那么故障的發生概率就是百分百!
針對這個問題,對IEC 61508重新修訂制定了ISO 26262標準。2011年11月,ISO 26262正式頒布。
ISO 26262 不同于 IEC 61508,它“不是一個可靠性標準”,它并沒有為可接受失效概率設定準確的數字。ISO 26262基于概率論的定量危害分析僅限適用于硬件,其次,基于目標產品的使用條件和使用方法,針對整個系統進行危害分析和風險評估,識別出系統危害并對危害的風險等級——ASIL等級(Automotive Safety Integration Level,汽車安全完整性等級)進行評估。IEC 61508定義了安全完整性等級 (SIL),而 ISO 26262 則定義了汽車安全完整性等級 (ASIL)。
ASIL有四個等級,分別為A,B,C,D,其中A是最低的等級,D是最高的等級。然后,針對每種危害確定至少一個安全目標,安全目標是系統的最高級別的安全需求,由安全目標導出系統級別的安全需求,再將安全需求分配到硬件和軟件。ASIL等級決定了對系統安全性的要求,ASIL等級越高,對系統的安全性要求越高,為實現安全付出的代價越高,意味著硬件的診斷覆蓋率越高,開發流程越嚴格,相應的開發成本增加、開發周期延長,技術要求嚴格。
ISO 26262是什么
ISO 26262是針對汽車電子的功能安全標準。
車載電子系統,即車輛所搭載的電子設備和計算機(包括軟件),是ISO 26262的直接認證目標對象。在今年頒布的第二版ISO 26262中,車輛對象范圍還擴大到了到巴士、卡車、兩輪車輛。
ISO 26262的目的是確保“安全”,為了實現這個目的,不僅要考慮ISO26262直接針對的電子系統,還要考慮構成電子系統的其他元件是否安全。此外,還必須明確ISO 26262的應用場景,從整體上確保車載電子系統的安全性。
圖1為ISO 26262的體系結構
ISO 26262的內容包括:
Part 1:定義術語
Part 2:功能安全管理
Part 3:概念階段
Part 4:產品開發:系統層面
Part 5:產品開發:硬件層面
Part 6:產品開發:軟件層面
Part 7:生產、運行、服務和報廢
Part 8:支持過程
Part 9:基于ASIL和安全的分析
Part 10:ISO 26262導則
Part 11:半導體應用指南
Part 1是定義標準中使用的術語的詞匯表。
Part 2中的功能安全管理定義了涉及安全相關系統開發的組織和人員應滿足的要求。
在Part 3概念階段,ISO 26262給出去了災害分析和風險評估的要求。主要做三件事:項目定義、安全生命周期初始化、災害分析和風險評估。
在Part 3中獲得的安全需求,將在技術安全中詳細說明,并分解在Part 4系統層面的安全設計中。然后,根據硬件和軟件層面的開發安全要求(Part 5和6)進行系統集成,最后對系統級功能安全進行測試驗證。
在開發階段,完成系統級產品設計后,將技術安全需求規范分解到相應的軟硬件技術安全需求規范里,進而開展軟硬件級產品設計,而在硬件層面(Part 5),必要的活動和產品開發過程包括技術安全概念的硬件實現、潛在的硬件故障及影響分析、與軟件開發的協調。
在Part6的軟件層面開發中,通過V字模型流程,遵循技術安全概念,實施軟件安全要求的導出、軟件架構設計、軟件單體設計和細化。并在此基礎上實施編碼,完成編碼后,進行軟件單元測試,軟件集成(模塊組合)和集成測試,以及軟件安全要求的驗證。
Part 7規定了直到廢棄前的批量生產、服務、市場監管的安全要求。
Part 8規定了對供應商的開發委托要求,所要支持的系統過程(安全要求的管理、配置管理、變更管理、驗證、書面化),以及軟件工具認證、軟件組件認證、硬件組件規定與認證有關的要求,對多個過程進行橫向參與。
Part 9提供了關于ASIL認定和技術分析方法的指導,并且與第8部分一樣,涉及多個流程。
Part 10是作為Part1~9的補充,對特定項目的解說及事例的指南。
盡管對于 Part 5對于硬件層面已經有相關說明,但是關于半導體層面的要求還是有限的。因此,Part 11針對半導體技術應用,提供了相應的指導,
關于新版ISO 26262的解讀,可查看文章:【標準 | 分析解讀】ISO 26262 第二版深入解讀,或者參加牛喀網在7月27,28日舉辦的:系統功能安全開發實踐技術培訓。
ASIL
在ISO 26262中,ASIL是危害的風險等級的指標。
依據ISO 26262標準進行功能安全設計時,首先對系統的功能進行逐個分析,識別系統所有的危害,然后依據三個因子(S\E\C)來評估危害的風險級別。
嚴重度(Severity)
嚴重度是指一旦風險成為現實,對駕駛員、乘員、或者行人等涉險人員的傷害程度。比如電子鎖故障就比剎車故障的嚴重程度低。
嚴重性用SX表示,X取值可以是0/1/2/3,級別從低到高,級別越高,傷害越嚴重。S0無傷害;S1輕微或有限傷害;S2嚴重或危及生命的傷害(可生還);S3危及生命的傷害(有死亡可能)或致命傷害;
| 風險 | S0 | S1 | S2 | S3 |
| 內容 | 沒有傷害 | 輕度或中度傷害 | 重度或危及生命(還有生存的可能性) | 威脅生命安全(幾乎沒有生還的可能) |
暴露率(Exposure)
暴露率,描述風險出現時,人員暴露在系統的失效能夠造成危害的場景中的概率。基于目標危險事件的情景,根據道路環境、天氣、車輛周六的情況、失去等等來判斷該指標。比如底盤出現異響比乘員座椅故障暴露率低。
暴露率,用EX表示, X取值從0至4,共5個等級。E0是幾乎不肯能暴露于危險中,E4是可能性極高。
| 風險 | E0 | E1 | E2 | E3 | E4 |
| 內容 | 沒有可能 | 可能性非常低 | 可能性低 | 有一半的可能 | 可能性高 |
可控性(Controllability)
可控性,描述風險出現時,駕駛員或其他涉險人員能夠避免事故或傷害的可能性。比如,輪胎緩慢漏氣比剎車失靈可控性高。
可控性,用CX表示,最低C0可控,最高C3幾乎不可控,共4個級別。
| 風險 | C0 | C1 | C2 | C3 |
| 內容 | 可控 | 簡單可控 | 一般可控 | 幾乎不可控 |
ASIL等級的確定基于S、E、C這三個影響因子,下表中給出了ASIL的確定方法,其中D代表最高等級,A代表最低等級,QM表示質量管理(Quality Management),表示按照質量管理體系開發系統或功能就足夠了,不用考慮任何安全相關的設計。確定了危害的ASIL等級后,為每個危害確定至少一個安全目標,作為功能和技術安全需求的基礎。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
