汽车功能安全基础介绍

《汽车功能安全基础介绍》由会员分享，可在线阅读，更多相关《汽车功能安全基础介绍（14页珍藏版）》请在金锄头文库上搜索。

1、功能安全具体定义1. 什么是功能安全？为什么要做功能安全？ 在介绍什么是汽车功能安全之前，我认为有必要先说说什么是 “功能安全”？在现代工业控制领域中，可编程电子硬件、软 件系统的大量使用，大大提升了自动化程度。但由于设备设计 中的缺失，以及开发制造中风险管理意识的不足，这些存在设 计缺陷的产品大量流入相关行业的安全控制系统中， 已经造成 了人身安全、财产损失和环境危害等灾难频出。为此，世界各 国历来对石化过程安全控制系统、电厂安全控制系统、核电安 全控制系全领域的产品安全性设计技术非常重视，并且将 电 子、电气及可编程电子安全控制系统相关 的安全技术发展为一 套成熟的产品安全设计技术，即“功

2、能安全”技术。欧美已经颁布了成套的功能安全相关产品指令和设计标准，并深入到各个领域。比如：核电 (EN 61513)、工业装备及机 器控制(EN 62601, EN ISO 13849-1/2 )和过程控制(EN 61511)国际上，IEC形成的IEC 61508，IEC 61511等系列标准已 经逐步成为各国家、行业广泛认可的基本功能安全标准，中 国也仿效并形成了的相应国家标准，其他行业性功能安全标 准也在参照并将逐步形成为国家行业性标准。汽车功能安全(ISO 26262)就是由IEC 61508改编而来的，它 是针对道路车辆电子电气系统的特点所制定的功能安全标准。2. 安全术语 在功能安全

3、领域，有一些常见术语，我们必须要理解其含义并 能正确区分。在 ISO26262 标准中，第一部分也是术语，主要对V模型中的术语及其定义进行阐述， 其中大概有142个术语。 以下是对其中在日常项目中比较常用的术语进行解释， 方便大 家可以快速的入门。危害：由于财产损失或环境破坏而直接或间接造成的人身伤害 或健康损害危险：潜在的危害来源 风险：潜在危害的概率和严重程度的组合 缓解：采取措施避免 /处理风险 剩余风险：缓解后仍然存在的风险(无法缓解) 可容许风险 ：基于当前社会价值观在特定环境下可接受的风当系统存在潜在 风险，可以采取相应的 缓解方法来避免或处理 风险。通常情况下，风险是无法完全缓解

4、的，无法被缓解的风 险我们称之为 残留风险。在当前的社会价值观和法规下，某些 风险可被普罗大众所接受和容许，称之为 可容许风险。根据相 关定义说明，安全的定义泛指于免于不可接受的风险。故障：可导致元件或产品失效的异常情况（类似于危险）错误：计算值、观察值或测量值或者条件与真实值、指定值或理论上正确的值或者条件之间的差异（风险表现）失效：元件无法再按要求执行某项功能故障、错误和失效三者之间存在相关联的关系，我们可以通过以下示例来直观的了解三者之间的相互关系：我们以一个电池充电器为示例。假定，用户代码存在故障，导致现有数据被重写的错误，这类错误可能导致数据被破坏的失效行为，同时，这种错误会导致数据

5、破坏的结果，可能在某些情况下导致电池过热的情况没有被检测的错误,而最终导致电池爆炸的失效行为。【故障】r1故障导致现有 数据的重写 【错误】数据损坏【失效】4榻坏的数据 【故障】*厂r未检測到 电池过热【错误】L.J厂r电池爆炸【失afllj这个事例表明，某些情况下，不同的故障和错误会导致不同的结果。3. 什么是安全和特定功能安全？所有电子元件都可能失效，对于电气或者电子系统来说，导致故障的原因通常有两种，一个是系统性或设计缺陷 影响，另一个是随机硬件失效 影响。而功能安全的目的是 检测到失 效并作出响应，将风险降低到可接受水平，从而避免人员伤 害。通常实现的方法有2点：一是使用稳健可靠的设计

6、流程，将系 统设计问题降到最低水平。二是检测随机硬件失效，并且在危 险发生前，将系统置于安全状态。标准：关于 IEC 61508 和 ISO 26262上一节我们介绍了功能安全的定义，这一节我们来讲讲标准。 文章开篇我们就提到过了 IEC 61508，以下我简单介绍一下 IEC 61508，重点还是会放在 ISO 26262 上。1. IEC 61508IEC 61508是一项用于工业领域的国际标准，其名称是：电气/电子/可编成电子安全相关系统（E/E/EP或E/E/PES ）的 功能安全，由国际电工委员会在2000年发布，其目的是要建 立一个可应用于各种工业领域的基本功能安全标准。IEC 6

7、1508标准起源于工业程序控制领域，该标准涵盖了完整 的安全生命周期。从IEC 61508衍生出来各种行业相关的功能安全标准，例如ISO 26262，是将IEC 61508衍生到车辆的电机电子系统的安 全标准。而IEC 60335或IEC 60730是将IEC 61508 延伸到 家用电气电子系统的安全标准。AutomotiveAviationMedicalMachinery寺Railway今Nuclear Power今Process IndustryHousehald AppliancesFurnaces图2 IEC 61508与多种安全标准的关系在不同的功能安全标准中，安全等级的命名方式也

8、有所不同。例如，IEC 61508里使用了 SIL 1-4来定义由低到高的安全完 整性等级，而ISO 26262里面则采用了 ASIL A到D来定义安 全完整性等级，IEC 60730则采用了 A类到C类来定义安全完 整性等级。I EC 61508 C2 SIL等级1到斗ISO 26262 T汽 ASIL AfljASIL DI EC 607MTinh 1血吳到亡娄图3功能安全标准2. ISO 26262(1) 什么是 ISO 26262 ?ISO 26262由IEC 61508改编而来，针对公路车辆电子电气系 统的特点所制定的功能安全标准。其在2011年正式发布，并在2018年更新。第一版对

9、车辆范围规定为 3.5吨以下的乘用车，第二版则将卡 车、摩托车等车辆也包括在内。ISO 26262仅针对于安全相关电子电机系统，包含电机、电子 与软件、零件，而不应用于非电子电机系统，例如机械、液压 等。ISO 26262应用于由电气、电子与软件组件构成的安全相 关系统的安全生命周期里的 全部活动。ISO 26262 可解决ISO 26262 未解决批量生产中客车的E/E系统性能最大总重量达到3.5吨未解决特殊用途车辆的需求E/E系统故障可能引发的危险因冒烟、发热和可燃性等问题引发的危险(2) ISO 26262的具体内容是什么？ISO 26262里面的安全生命周期主要包含三个阶段：概念阶 段

10、、产品开发阶段、产品生产和运作阶段。具体内容内容包 括：Part 1 :定义术语Part 2 :功能安全管理Part 3 :概念阶段Part 4 :产品开发：系统层面Part 5 :产品开发：硬件层面Part 6 :产品开发：软件层面Part 7 ：生产、运行、服务和报废Part 8 :支持过程Part 9 :基于ASIL和安全的分析Part 10 : ISO 26262 导则Par t 11 :半导体应用指南Par t 1是定义标准中使用的术语的词汇表。Part 2中的功能安全管理定义了涉及安全相关系统开发的组 织和人员应满足的要求。在Part 3概念阶段，ISO 26262给出去了灾害分析

11、和风险评估的要求。主要做三件事:项目定义、安全生命周期初始化、灾 害分析和风险评估。在Part 3中获得的安全需求，将在技术安全中详细说明，并 分解在 Part 4 系统层面的安全设计中。然后，根据硬件和软 件层面的开发安全要求（ Part 5和6）进行系统集成，最后对 系统级功能安全进行测试验证。在开发阶段，完成系统级产品设计后，将技术安全需求规范分 解到相应的软硬件技术安全需求规范里， 进而开展软硬件级产 品设计，而在硬件层面（ Part 5），必要的活动和产品开发过 程包括技术安全概念的硬件实现、潜在的硬件故障及影响分 析、与软件开发的协调。在Part6的软件层面开发中，通过 V字模型流

12、程，遵循技术安 全概念，实施软件安全要求的导出、软件架构设计、软件单体 设计和细化。并在此基础上实施编码，完成编码后，进行软件 单元测试，软件集成（模块组合）和集成测试，以及软件安全 要求的验证。Part 7规定了直到废弃前的批量生产、服务、市场监管的安全 要求。Part 8规定了对供应商的开发委托要求， 所要支持的系统过程 （安全要求的管理、配置管理、变更管理、验证、书面化）， 以及软件工具认证、软件组件认证、硬件组件规定与认证有关 的要求，对多个过程进行横向参与。Part 9提供了关于ASIL认定和技术分析方法的指导，并且与第8部分一样，涉及多个流程。Part 10是作为Partl 9的补

13、充，对特定项目的解说及事例的 指南。尽管对于Par t 5对于硬件层面已经有相关说明，但是关于半导体层面的要求还是有限的。因此，Par t 11针对半导体技术应用，提供了相应的指导，（3）系统级开发过程基于 V模型的开发流程：L Vikrjibuljr1|s-S iXlT-ill工-4dspcnriwii-阿“ tI-T Sjry nwuRemMprodUnjXn,?f4：rK4. wni7 jndJ-Concrpt pihiniri. PrCMiucL d CYLlDpuicnS i*L 1. he s pic m IcvdmlldMlNb QfKF ilQ 口 Oj service nd1

14、2allvn 就 1 呂讯斜for WHrfcHcycIcsl-SI rp-: Im 卫注疋 jfb-n中 Eurqfrk血 白SdEcyTiQuirfe|2-7lkmdff=d：aim =vjTyrnt . I I i .11 i J； . - . . - I .= IZ-Yrlidh! ir.iesra&jiW jnd:-i:.hi 111H店i a I 蓟7 略 rnlurlL!：!4i -7 sblrm iiid fcrm rrpi Ji*aiJ CcuhWfURLMlmtPK *t= Ji.il E 呻巧 Rw sIm pfglui、 biri jl llv iysJrm IEnr#

15、! Bbt ST T-E iFfiinninf fnr pr nSltllivK npeswlkrn- hwIw 亠厨 drfiornmlAMnkft15 B n orhicT drvcEnimitin Ji I 电 hiiritwiiT h-v-rlJ $ Cre I Z : -siry 畑 pm p-CTnUHi Min w JFT i! hiSiruirS 7 h- ds!5-ftEh-j JiyhllTL-jW 萨冲Mld|凶帕IFC翩I 5-15 Hanhra wtHcMikip也 FFMlliCS Jn-rlotimrcni ili llirsQftwirelrvfl *M3MriEui处占 IhlrHiZri wilA -t riliilrJii