1 功能安全标准介绍
  
  随着汽车工业的发展和人们对驾驶舒适性日益提高的要求,电子系统在汽车中的应用日趋广泛。从2005年至2010年,全球车用半导体市场以约每年8%的速度增长,到2015年达到300亿美元,预计2015年至2020年之间的年增长率约为6%,高于半导体行业预计的3%至4%的增幅。这将使汽车半导体的年销售额在390亿—420亿美元之间。与此同时,汽车电子系统的功能安全变得越来越重要。尤其是在出现“丰田刹车门”事件之后,以及2015年黑客远程入侵并控制Jeep自由光事件后,汽车电子系统的功能安全更是吸引了国际和国内社会的广泛关注。
  
  事实上,汽车安全一直都是汽车技术发展趋势之一,对汽车电子系统功能安全标准的讨论也一直在业界中进行,下面列出了汽车电子行业中几个常见的安全法规或标准:
  
  美国联邦机动车安全标准FMVSS
  
  FMVSS是FederalMotorVehicleSafetyStandard的简称,它由美国运输部国家高速公路安全管理局颁布,是美国的汽车安全技术法规。对于美国境内销售车辆,要求进行强制性认证。它由一系列与机动车安全相关的法规组成,比如针对变速器换挡杆顺序的FMVSS102,针对加速器控制系统的FMVSS124,针对电子稳定控制系统的FMVSS126等等。法规针对机动车某个跟安全相关的零部件或设备定义了要求。比如FMVSS124中要求电子节气门必须要有两个动力源能够使节气门回到怠速位置,以保证在某一动力源失效时的安全,并且还对响应时间做出了规定[2]:对重量小于或等于4536kg的车辆要求节气门在1s内能从任何位置回到怠速位置,如果测试环境是在低温状态(-18摄氏度到-40摄氏度),则响应时间要求可以延长至3s。中国国家标准GB11561对应FMVSS124。
  
  欧盟指令和欧洲经济委员会法规
  
  欧盟指令2007/46/EC(替代70/156/EEC)提供了机动车型式认证的框架,并且定义了型式认证中对整车,汽车系统和零部件(比如指示灯,防盗装置等)的通用要求。欧洲经济委员会(ECE)法规中有55项完全等同于相应的欧盟指令,比如ECER-10提出了对电磁兼容性的要求,与72/245/EEC等同。ECE法规中还有一些是针对特定领域的要求,比如ECER-100提出了对电动汽车的功能安全要求。如果某个特定的领域(比如发动机控制器)没有被以上法规覆盖,可以参考欧盟指令2001/95/EC(针对产品安全)和85/374/EEC(针对产品责任)的要求。值得注意的是,这两个法规要求制造商有义务采用最新技术来保证产品安全。
  
  MISRA指导书
  
  MISRA是英国汽车工业软件可靠性协会(TheMotorIndustrySoftwareReliabilityAssociation)的简称。为了给汽车系统设计安全可靠的软件提供指导,该协会在90年代初发布了《面向汽车软件的开发指导书》,该指导书着眼于汽车软件开发,描述了从项目计划到产品维护的软件生命周期,并强调了软件设计中为保证可靠性应该注意的问题和对应的技术措施,比如在实时控制系统中如何使用中断,如何使用浮点计算等等。MISRA指导书还提出了在安全分析过程中用车辆是否可控来对系统安全完整性进行分级的概念,见表1[3]。从表中描述可以看出,指导书对可控性的分类仍然比较模糊,在实际应用时往往难以区分。另外,该指导书虽然提出了软件生命周期的系统工程方法,但仅针对软件设计提供指导,对系统设计、硬件设计相关内容没有提供完整的表述。
  

  
  IEC61508
  
  IEC61508由国际电工委员会(InternationalElectrotechnicalCommission)于2000年制订,是针对电气/电子/可编程电子安全相关系统功能安全的国际标准。它的制订目标是作为制订特定领域功能安全标准的基础,或者直接用于目前还没有功能安全标准的领域。目前,基于IEC61508制订并发布的国际标准包括:机械工业领域的IEC62061,医疗工业领域的IEC60601,过程工业领域的IEC61511,核工业领域的IEC61513。
  
  IEC61508提出了功能安全的概念,它被定义为与受控设备和受控设备控制系统有关的整体安全的组成部分,取决于电气/电子/可编程电子安全相关系统、其他技术安全相关系统和外部风险降低设施功能的正确行使。IEC61508定义了电气/电子/可编程电子安全相关系统的安全生命周期(从概念、设计、使用、维护到停用),并通过安全完整性等级(SafetyIntegrityLevel)来定义对安全相关系统在安全生命周期中的要求。安全完整性等级按照受控设备控制系统声明的每小时危险失效概率被分为4个等级(参见表2),SIL4代表最高安全完整性等级。
  
  
  
  IEC61508被应用于汽车领域,比如德国博世的变速箱控制器系统GEN2就声明符合IEC61508的SIL2。但在汽车领域应用实践中,发现直接应用IEC61508存在以下问题:
  
  1)IEC61508中安全完整性等级是通过概率的方式描述,在汽车领域应用实践中,只有随机硬件失效可以通过统计数据评估概率是否符合要求,软件失效难以评估。
  
  2)IEC61508中对安全生命周期的描述不适用于大批量生产的汽车系统,并且IEC61508没有对生产过程的功能安全提出要求。
  
  因此,该标准未在汽车领域得到广泛应用。基于IEC61508制订汽车领域的功能安全标准的需求变得越来越迫切,国际标准化组织开始推动相应ISO标准的制订。
  
  2 ISO26262介绍
  
  ISO26262是IEC61508在道路车辆的电子电气系统领域的应用。该标准于2005年起动制订工作,在2009年9月发布了草稿,并在2011年3月正式发布。
  
  ISO26262的范围是:
  
  1)针对质量小于3.5吨的批产轿车上安装的安全相关系统,系统包含一个或多个电子电气系统;
  
  2)针对电子电气安全相关系统故障时产生的可能危险。不针对电击、起火、烟雾、发热、辐射、毒性、易燃、放射性、腐蚀、能量释放及其他类似危险,除非是直接由电子电气安全相关系统的故障导致;
  
  3)针对ISO26262发布之后的系统。
  
  如图1所示,ISO26262共分为10个部分:第1部分为词汇表,解释了标准中使用的术语以及容易混淆的概念;第2部分描述了功能安全管理的要求;第3部分到第7部分是ISO26262的核心部分,定义了一个完整的安全生命周期,并定义了相应的要求;第8部分为支持ISO26262的流程,比如配置管理、变更管理等;第9部分解释了如何进行功能安全分析;第10部分提供了ISO26262的指导书。ISO26262总共包含了600多个要求和150多个工作产品。
  

  
  图1ISO26262的架构
  
  相对于IEC61508,ISO26262提供了:
  
  1)汽车安全生命周期(从概念,到产品开发,再到生产、使用和维修,直到最后报废);
  
  2)汽车领域中决定风险等级的方法——汽车安全完整性等级(ASIL),并使用ASIL来定义必要安全要求;
  
  3)认可和证明方法来保证有效达到了合理的安全等级。
  
  其中,汽车安全完整性等级ASIL是ISO26262中的关键,可以在概念阶段通过下面三个步骤确定:
  
  第一步,通过驾驶情况分析和风险评估识别需要降低风险的危险。以发动机控制系统为例,一个危险是车辆在驶出高速公路时出现非驾驶员意愿的加速。
  
  第二步,对危险进行分类。分类依据三个要素:严重性(S),驾驶工况发生概率(E),可控性(C)。首先,根据可能对驾驶员、乘员、行人、其他车辆中的人员造成的伤害评估严重性(S)。严重性分为4个等级,从S0到S3,S3为最严重。ISO26262中提供了表格详细解释S0到S3如何区分,通常的判断标准是对人员造成的伤害程度。以车辆在驶出高速公路时出现非驾驶员意愿的加速为例,可能导致车辆以高速撞向前车或障碍物,造成驾驶员和乘员死亡,因此严重性为S3。其次,评估驾驶工况发生概率(E)。在评估驾驶工况发生概率时,ISO26262要求不考虑装备电子电气系统的车辆数量,而是假定每辆车都安装了该系统。驾驶工况发生概率分为5个等级,从E0到E4,E4为发生概率最高。ISO26262对常见驾驶工况已经进行了分类整理,可以通过查表得到相应等级。以车辆驶出高速公路工况为例,ISO26262中给出的参考等级为E2(概率低),因为驶出高速公路的工况占车辆驾驶总时间的比例相对较小。最后,对可控性(C)进行评估。评估可控性时ISO26262假定驾驶员是适合驾驶的(比如醉酒驾驶不在考虑范围内)。可控性也分为4个等级,从C0到C3,C3为难以控制或不可控。ISO26262中对如何评估可控性给出了详细解释。以车辆在驶出高速公路时出现非驾驶员意愿的加速为例,驾驶员此时难以控制车辆,因为车辆初始车速高,并且刹车可能失效(如果刹车装置从节气门后获取真空度),因此可控性评估结果为C3。
  
  第三步,根据危险分类(S,E,C)查表得到汽车完全完整性等级ASIL。ASIL分为4个等级,从A到D,D的安全完整性等级最高。以车辆在驶出高速公路时出现非驾驶员意愿的加速为例,查表得到完全完整性等级为ASILB。
  
  在ISO26262中,要求对每一个危险事件定义一个安全目标。而根据危险分类,每一个安全目标都会有一个汽车安全完整性等级(ASIL)。等级越高,意味着在生命周期中实现该安全目标需要满足的安全要求越多越严格。目前,德国博世的发动机控制器和变速箱控制器定义的最高安全完整性等级为ASILB。
  
  3 ISO26262的应用
  
  很多国外整车厂(戴姆勒•克莱斯勒,宝马,奥迪等)和零部件供应商(德国博世,大陆集团,德尔福等)参与了制订ISO26262标准,同时也在落实ISO26262的实施。德国博世在2011年3月以后的产品均满足该标准。同时,由于ISO26262对开发工具提出了要求,因此也得到了汽车领域开发工具供应商的积极响应,比如德国ETAS集团就宣称将对用于软件开发的ASCET、INCA等产品按ISO26262要求进行分类和验证。
  
  在欧洲,通常由整车厂或主机厂负责车辆的功能安全,定义安全目标,因为他们可以站在系统集成的角度看到所有系统之间的联系。整车厂或主机厂进行风险分析,并提供安全目标、安全状态和容错时间,而供应商则根据安全目标实现安全概念,最后整车厂或主机厂进行检查。
  
  考虑以下因素,当下国内的汽车产品设计也需要考虑在未来满足该标准:
  
  1)对产品安全的责任;
  
  2)国内客户有车辆出口的需求,在欧洲,满足ISO26262通常被认为是法规的要求;
  
  3)国内日益增长的功能安全需求。
  
  综上所述、要完全满足ISO26262,主要工作在于流程改进、方法论、工具认可、功能安全的验证以及提供ISO26262要求的文档。同时国内的主机厂及零部件供应商,在未来几年内对以上几方面逐步改进,实现满足ISO26262的目标。
  
  作者:吴纪铎
  
  上海丰赐信息科技有限公司(Richmark)是达索系统的白金代理商,专注致力于为中国制造业用户提供“研发与工程数字化专业技术服务”的高新技术企业;多年来依托于达索全系列产品为客户提供产品全生命周期管理(PLM)平台,为客户提供汽车、摩托车、电子电器和通用设备制造等行业解决方案,涵盖数字化设计、数字化有限元分析和数字化管理等领域,为客户加快产品上市、削减工程及管理成本、提高客户响应速度等方面带来显著效益。
  

  
  上海丰赐信息科技有限公司
  
  上海市江场西路299号中铁中环时代广场5号楼708室
  
  021-66521200
  
  www.richmarktech.com
  
  长按识别二维码关注我们
  
  如您想了解更多行业解决方案、品牌报价,请留下您的联系方式,我们会尽快跟您联系。
回复

使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    • 售后服务
    • 关注我们
    • 社区新手

    Powered by Discuz! X3.4  © 2001-2013 Comsenz Inc.