本文首先介紹功能安全的概念及 ISO26262的由來,然后解讀 ISO 26262 的內(nèi)容和關(guān)鍵概念,最后分析 ISO26262的應(yīng)用方法。
1 功能安全的概念及 ISO 26262 由來
功能安全是指避免由系統(tǒng)功能性故障導(dǎo)致的 不可接受的風(fēng)險(xiǎn)。功能安全關(guān)注系統(tǒng)故障后的行 為,而不是系統(tǒng)的原有功能或性能。以采用電子 節(jié)氣門的發(fā)動(dòng)機(jī)管理系統(tǒng)為例,加速踏板位置傳 感器信號(hào)是發(fā)動(dòng)機(jī)輸出轉(zhuǎn)矩主要決定因素,若該 傳感器發(fā)生故障使其指示位置大于實(shí)際位置,則 可能導(dǎo)致發(fā)動(dòng)機(jī)輸出轉(zhuǎn)矩過大,造成車輛發(fā)生非 駕駛員期望的加速,這是發(fā)動(dòng)機(jī)管理系統(tǒng)的一個(gè) 功能安全風(fēng)險(xiǎn)。從設(shè)計(jì)上采取措施,使加速踏板 傳感器故障發(fā)生時(shí)發(fā)動(dòng)機(jī)轉(zhuǎn)矩仍然可控,則提高 了發(fā)動(dòng)機(jī)管理系統(tǒng)的安全性。
20 世紀(jì) 90 年代,德國(guó)、美國(guó)相繼頒布了功能安全相關(guān)標(biāo)準(zhǔn)( DINV 19250 和 ISA S 84. 01) ,在 此基礎(chǔ)之上,國(guó)際電工協(xié)會(huì)( IEC) 于 2000 年頒布 了關(guān)于電子、電氣和可編程電子系統(tǒng) ( E/E/PE)的功能安全國(guó)際標(biāo)準(zhǔn) IEC 61508。IEC 61508 一經(jīng)頒布就得到了廣泛采用,在它的基礎(chǔ)上,各個(gè)工業(yè)應(yīng)用領(lǐng)域的標(biāo)準(zhǔn)也陸續(xù)出臺(tái)。
然而,起源于過程工業(yè)領(lǐng)域的 IEC61508 并不完全適用于汽車工業(yè),例如: 它沒有考慮汽車工業(yè) 的分布式開發(fā)模式; 它定義了一個(gè)與汽車工業(yè)不同的生命周期( 測(cè)試在產(chǎn)品發(fā)布后進(jìn)行); 它的量化要求( 如失效率) 沒有考慮大規(guī)模批量生產(chǎn)的情況。隨著安全相關(guān)的電子電氣系統(tǒng)在汽車上的廣泛應(yīng)用,汽車工業(yè)對(duì)電子電氣系統(tǒng)功能安全標(biāo)準(zhǔn)的需求也越來越迫切。因此,國(guó)際標(biāo)準(zhǔn)化組織( ISO) 在 IEC 61508 的基礎(chǔ)上,制定了專門針對(duì)汽車電子電氣系統(tǒng)的功能安全標(biāo)準(zhǔn),即 ISO26262。
2 ISO 26262 的內(nèi)容簡(jiǎn)介
ISO26262 為汽車電子電氣系統(tǒng)的整個(gè)生命周期中與功能安全相關(guān)的工作流程和管理流程提 供了指導(dǎo)。在 ISO26262 中,定義了汽車安全生命周期,汽車安全完整性等級(jí)( ASIL) 兩個(gè)關(guān)鍵概念,對(duì)這兩個(gè)關(guān)鍵概念的理解是解讀 ISO26262 的基礎(chǔ)。
2. 1 汽車安全生命周期
圖 1 展示了 ISO26262 中定義的汽車安全生命周期,包含了從概念設(shè)計(jì)、產(chǎn)品開發(fā)到批產(chǎn)后各階段的主要安全活動(dòng)。
功能安全的概念設(shè)計(jì)必須與整個(gè)系統(tǒng)的概念 設(shè)計(jì)同步進(jìn)行。在概念設(shè)計(jì)階段,要基于系統(tǒng)定義和系統(tǒng)初步架構(gòu),分析可能存在的功能安全風(fēng)險(xiǎn)并評(píng)估風(fēng)險(xiǎn)的等級(jí)。然后根據(jù)功能安全風(fēng)險(xiǎn)定義安全目標(biāo)和針對(duì)每個(gè)安全目標(biāo)的功能安全概 念。
在產(chǎn)品開發(fā)階段,ISO26262 按汽車工業(yè)中常用的 V 型開發(fā)流程定義相關(guān)安全活動(dòng): V 型的左 側(cè)是技術(shù)安全需求(功能安全概念的技術(shù)實(shí)現(xiàn)途徑) 的制定、系統(tǒng)設(shè)計(jì); V 型的右側(cè)是系統(tǒng)集成、安全確認(rèn)和發(fā)布。硬件和軟件的開發(fā)也遵循相似的小 V 型開發(fā)流程。
在批產(chǎn)之后的階段,需要提供必要的文檔及 方法,以保證在生產(chǎn)、售后服務(wù)和報(bào)廢等環(huán)節(jié)中,安全目標(biāo)不被破壞。同時(shí),需要監(jiān)控售后產(chǎn)品,發(fā)現(xiàn)有違背安全目標(biāo)的案例要采取相應(yīng)措施。
2. 2 汽車安全完整性等級(jí)( ASIL)
IEC 61508 中通過失效概率的方式定義了安全完整性等級(jí)( SIL) ,但在汽車領(lǐng)域應(yīng)用實(shí)踐中,只有隨機(jī)硬件失效可以通過統(tǒng)計(jì)數(shù)據(jù)評(píng)估失效概率,軟件失效難以量化評(píng)估。因此,ISO 26262 中根據(jù)汽車行業(yè)的特點(diǎn)定義了 ASIL。
IEC 61508 中通過失效概率的方式定義了安全完整性等級(jí)( SIL) ,但在汽車領(lǐng)域應(yīng)用實(shí)踐中,只有隨機(jī)硬件失效可以通過統(tǒng)計(jì)數(shù)據(jù)評(píng)估失效概率,軟件失效難以量化評(píng)估。因此,ISO 26262 中根據(jù)汽車行業(yè)的特點(diǎn)定義了 ASIL。
ASIL 在概念設(shè)計(jì)階段通過對(duì)功能安全風(fēng)險(xiǎn)的評(píng)估中得到。如果系統(tǒng)的功能安全風(fēng)險(xiǎn)越大,對(duì)應(yīng)的安全要求就越高,則具有更高等級(jí)的 ASIL。ASIL 分為 A、B、C、D 4 個(gè)級(jí)別,ASIL D 為最高汽車安全完整性等級(jí),對(duì)功能安全的要求最高。
ISO 26262 中定義的 ASIL 使用 3 個(gè)參數(shù)進(jìn)行評(píng)估,分別是: 危險(xiǎn)對(duì)駕駛員或其他交通參與人員造成傷害的嚴(yán)重程度 S,危險(xiǎn)所在工況的發(fā)生概率E,危險(xiǎn)涉及的駕駛員和其他交通參與人員及時(shí)采取控制行動(dòng)避免特定傷害的能力C。S 分為 0~ 3級(jí),S0 代表無傷害,S3 代表危及生命的重傷或致命傷; E 分為 0~ 4 級(jí),E0 代表工況不可能發(fā)生,E4代表工況是常見的; C 分為 0~ 3 級(jí),C0 代表完全可控,C3 代表非常難于控制。對(duì)于每一個(gè)識(shí)別到的危險(xiǎn),按表 1 評(píng)估風(fēng)險(xiǎn)等級(jí)( 即汽車安全完整性 等級(jí)) ,其中 QM 表示與安全無關(guān)。
ISO26262 為以上 3 個(gè)參數(shù)的評(píng)定提供了指 導(dǎo),下面以發(fā)動(dòng)機(jī)管理系統(tǒng)為例進(jìn)行說明。首先,識(shí)別發(fā)動(dòng)機(jī)管理系統(tǒng)的可能故障及其影響: 發(fā)動(dòng) 機(jī)管理系統(tǒng)的一個(gè)可能故障是控制發(fā)動(dòng)機(jī)輸出過大的轉(zhuǎn)矩,其影響是造成非駕駛員期望的車輛加速; 其次,確定已識(shí)別故障可導(dǎo)致危險(xiǎn)的工況,例如: 工況為車輛高速轉(zhuǎn)彎、接近失穩(wěn); 最后,按ISO26262 的指導(dǎo)分別評(píng)定 S、E、C 級(jí)別: 上述工況下 加速,將導(dǎo)致車輛失穩(wěn)并與其他車輛或路邊設(shè)施相撞,可能造成人員死亡,S 評(píng)為 3; 上述工況的發(fā) 生概率相對(duì)較低,E 可評(píng)為 2; 車輛失穩(wěn)后,駕駛員幾乎無法進(jìn)行有效控制避免傷害,C 可評(píng)為 3; 按 表 1,ASIL 為 B( 僅為示例,不代表標(biāo)準(zhǔn)明確要求或?qū)嶋H工程應(yīng)用) 。
系統(tǒng)的 ASIL 等級(jí)越高,ISO 26262 對(duì)設(shè)計(jì)方法、安全技術(shù)、測(cè)試方法以及需要達(dá)到的技術(shù)指標(biāo)的要求越嚴(yán)格,開發(fā)流程和工作產(chǎn)品的審核和確認(rèn)也越嚴(yán)格。
3 ISO 26262的應(yīng)用
ISO26262 為功能安全相關(guān)的開發(fā)提供了方法論,將保證汽車電子電氣系統(tǒng)的安全性,減少安全事故的發(fā)生,產(chǎn)生巨大的社會(huì)效益; 與此同時(shí),安全相關(guān)的投訴和召回事件的減少也將為汽車企業(yè)和供應(yīng)商帶來經(jīng)濟(jì)效益。然而,ISO 26262 涉及汽車電子電氣系統(tǒng)的整個(gè)安全生命周期及其管理 過程,滿足該標(biāo)準(zhǔn)對(duì)汽車企業(yè)及供應(yīng)商來說必將是巨大的挑戰(zhàn)。為滿足 ISO26262,必須在公司安 全文化、工作流程制定、產(chǎn)品設(shè)計(jì)與開發(fā)等方面進(jìn)行持續(xù)的改進(jìn)。
3. 1公司安全文化
在公司組織內(nèi)部建立和保持安全文化是 ISO26262 標(biāo)準(zhǔn)的要求,也是促進(jìn)功能安全有效實(shí)現(xiàn)的前提條件。在具有良好安全文化的公司中: 安全 應(yīng)具有最高優(yōu)先級(jí); 獎(jiǎng)勵(lì)系統(tǒng)應(yīng)支持和鼓勵(lì)功能安全的有效成果,處罰為取捷徑而危及安全和質(zhì)量的行為。
3. 2 工作流程制定
ISO26262 對(duì)一個(gè)完整的汽車安全生命周期定義了安全活動(dòng)要求。同時(shí),ISO 26262 標(biāo)準(zhǔn)中規(guī)定組織內(nèi)部應(yīng)建立、執(zhí)行和保持特定的流程,以滿足標(biāo)準(zhǔn)的各項(xiàng)要求。
ISO26262 對(duì)一個(gè)完整的汽車安全生命周期定義了安全活動(dòng)要求。同時(shí),ISO 26262 標(biāo)準(zhǔn)中規(guī)定組織內(nèi)部應(yīng)建立、執(zhí)行和保持特定的流程,以滿足標(biāo)準(zhǔn)的各項(xiàng)要求。
在一個(gè)公司內(nèi)部為每一個(gè)標(biāo)準(zhǔn)單獨(dú)設(shè)立一個(gè) 流程是不現(xiàn)實(shí)的,一個(gè)可行的方案是將包括 ISO26262 在內(nèi)的所有標(biāo)準(zhǔn)融合為公司內(nèi)部流程,工程師僅需要按照內(nèi)部流程工作,即可滿足所有標(biāo)準(zhǔn)。
舉例來講,安全計(jì)劃是 ISO26262 要求的重要流程步驟和工作產(chǎn)品,在公司內(nèi)部流程中,安全計(jì)劃可以不是一個(gè)獨(dú)立的文檔,而是標(biāo)準(zhǔn)項(xiàng)目計(jì)劃的一部分,可以在已有的質(zhì)量評(píng)審中增加相關(guān)問題,對(duì)其進(jìn)行檢查。
3. 3 產(chǎn)品設(shè)計(jì)與開發(fā)系統(tǒng)的功能安全性主要決定于產(chǎn)品設(shè)計(jì)。
在產(chǎn)品設(shè)計(jì)和開發(fā)階段即采取措施,盡可能減少甚至避免系統(tǒng)性失效和隨機(jī)硬件失效,是提高功能 安全最有效和最經(jīng)濟(jì)的方法,也是使產(chǎn)品滿足 ISO26262 的必要條件。
系統(tǒng)性失效往往由產(chǎn)品設(shè)計(jì)缺陷導(dǎo)致。在設(shè)計(jì)中應(yīng)用演繹的和歸納的分析方法,是及早識(shí)別 并避 免 潛在 系 統(tǒng) 性 失 效 行 之 有 效 的 途 徑。ISO26262要求所有功能安全相關(guān)的設(shè)計(jì)均需采用 歸納分析方法,如失效模式和影響分析( FMEA) ;并要求具有 ASILC 和 D 的功能安全相關(guān)設(shè)計(jì)還 需采用演繹分析方法,如故障樹分析( FTA) 。除此之外,重用久經(jīng)實(shí)踐驗(yàn)證并受信任的設(shè)計(jì)、安全架構(gòu)和標(biāo)準(zhǔn)接口等,也是避免系統(tǒng)性失效的有效途徑。ISO 26262 鼓勵(lì)重用受信任的設(shè)計(jì)原則,并規(guī)定對(duì)于具有 ASILD 的系統(tǒng),棄用受信任的設(shè)計(jì)原則的決定需要論證。
隨機(jī)硬件失效是指由系統(tǒng)中某一個(gè)或幾個(gè)元 器件的隨機(jī)故障導(dǎo)致的失效,是功能安全風(fēng)險(xiǎn)另一個(gè)主要來源。ISO 26262 制定了量化指標(biāo),如表2 、 3 ,用 以 評(píng) 價(jià) 系 統(tǒng) 在 此 方 面 的 安 全 性 。 產(chǎn)品 硬 件 設(shè)計(jì)必須達(dá)到要求的指標(biāo),才能滿足 ISO26262 要求。
硬件架構(gòu)指標(biāo)主要用于衡量硬件架構(gòu)的合理 性。其中單點(diǎn)故障指標(biāo)等于除單點(diǎn)故障和殘余故障之外的故障占所有故障的比率。以前文所述發(fā)
動(dòng)機(jī)管理系統(tǒng)為例,假設(shè)對(duì)于加速踏板傳感器沒有任何診斷和安全機(jī)制,加速踏板傳感器信號(hào)線與電源短接將被視為加速踏板完全踩下,直接導(dǎo) 致車輛發(fā)生非駕駛員期望的加速。如此,該故障即成為一個(gè)單點(diǎn)故障,將導(dǎo)致低的單點(diǎn)故障指標(biāo),可能無法達(dá)到 ASILB 的要求。提高單點(diǎn)故障指標(biāo)的一個(gè)方法是設(shè)計(jì)診斷功能,例如設(shè)計(jì)加速踏 板傳感器信號(hào)線對(duì)電源短路的診斷。由于診斷功能具有一定的覆蓋率,在某些工況下可能不能檢查到目標(biāo)故障,該單點(diǎn)故障未被診斷功能覆蓋的部分將成為殘余故障。因此,設(shè)計(jì)診斷功能可以降低單點(diǎn)故障指標(biāo),但作用有限。降低單點(diǎn)故障指標(biāo)的另外一種方法是設(shè)計(jì)冗余概念,如設(shè)計(jì)兩 個(gè)獨(dú)立的加速踏板傳感器,使其信號(hào)可相互校驗(yàn)。如此,兩個(gè)傳感器同時(shí)發(fā)生故障才可能導(dǎo)致失效發(fā)生,單點(diǎn)故障轉(zhuǎn)化為多點(diǎn)故障( 此處為兩點(diǎn)故 障),單點(diǎn)故障指標(biāo)得到了提高。
潛伏故障指標(biāo)等于安全故障和非潛伏故障占 多點(diǎn)故障的比率。在上例中,如果診斷功能故障,可能不會(huì)被檢測(cè)到或被駕駛員察覺,在這種情況下如果發(fā)生短路,將導(dǎo)致安全風(fēng)險(xiǎn)。該診斷功能的故障可視為潛伏故障。與單點(diǎn)故障指標(biāo)相同,設(shè)計(jì) 冗 余 、診斷 等 安 全 機(jī) 制 ,可減 少 潛 伏 故 障 ,提高潛伏故障指標(biāo)。
高的硬件架構(gòu)指標(biāo)表明系統(tǒng)具有好的安全架 構(gòu),但并不一定代表系統(tǒng)足夠安全。如上例中的冗余概念,如果兩只傳感器的失效率都很高,那么系統(tǒng)仍可能無法滿足表 3 中隨機(jī)硬件失效率指標(biāo) 的要求。ISO 26262 規(guī)定隨機(jī)失效率考慮單點(diǎn)故障、殘余故障和雙點(diǎn)故障,在硬件元件本身失效率的基礎(chǔ)上,考慮診斷和監(jiān)控技術(shù)覆蓋率,可得出該隨機(jī)失效率指標(biāo)。因此,降低該指標(biāo)需要結(jié)合低失效率的硬件和高診斷覆蓋率的安全機(jī)制。
ISO26262 是針對(duì)汽車電子電氣系統(tǒng)的功能安全標(biāo)準(zhǔn),是 IEC61508 在汽車行業(yè)中的應(yīng)用。該標(biāo)準(zhǔn)定義了完整的汽車安全生命周期,提供了一 套方法用于評(píng)估汽車安全完整性等級(jí) ASIL,并基 于 ASIL 定義了用于實(shí)現(xiàn)安全目標(biāo)的安全活動(dòng)要求。作為 ISO 組織發(fā)布的國(guó)際標(biāo)準(zhǔn),其實(shí)施將規(guī)范汽車電子電氣系統(tǒng)的功能安全相關(guān)開發(fā),為保 障汽車安全提供幫助,將產(chǎn)生相應(yīng)的社會(huì)和經(jīng)濟(jì)效益。
同時(shí),ISO26262 的實(shí)施也帶來巨大的挑戰(zhàn):整車廠商和供應(yīng)商要在公司安全文化、工作流程制定和產(chǎn)品設(shè)計(jì)與開發(fā)等方面進(jìn)行持續(xù)改進(jìn),以 滿足 ISO26262 要求,提高產(chǎn)品的安全性與競(jìng)爭(zhēng)力。
中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢,檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu),儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商,法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊,包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息,中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識(shí)。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)跟我們聯(lián)系刪除并致歉!
