《ISO26262电控开发流程概述》由会员分享,可在线阅读,更多相关《ISO26262电控开发流程概述(7页珍藏版)》请在金锄头文库上搜索。
1、ISO26262 电控开发流程概述摘要:功能安全(Func tional Safe ty)的要求是无论零部件或者安全相关 控制系统发生的失效是硬件随机失效还是系统失效,都需要使受控设备可靠地进 入和维持安全状态,避免对人员或者环境产生危害;本文从电控开发流程角度触 发,介绍功能安全流程的建立、要求及方法,并结合标准要求,给出完整的电控 开发流程体系。关键词:功能安全;电控单元;ASIL等级引言在过去近40年中,功能安全的理念和技术不断发展,已经在全球范围深入 各个行业和领域,成为社会、行业、企业控制各种灾难性事故的有效措施。 IS026262是欧洲多个知名主机厂及供应商共同讨论制定的,于200
2、5年启动, 2011年底发布,2018年发布第二版,加入商用车。新版ISO26262标准为实现汽 车电子系统全生命周期内的功能安全起到了至关重要的指导作用,但对新版标准 的详细解读以及如何将其应用到实际的产品中,目前可供参考的应用案例还很少 因此,以ISO26262新版标准作为指南,进行电控系统的产品开发,对于正确解 读和应用ISO 26262标准具有重大参考意义。1 标准介绍2018版的ISO 26262标准主要包括12个部分,其体系结构图如图1所示口、图1 IS026262标准体系结构IS026262标准的第一部分介绍相关术语;第二部分功能安全管理,定义了涉 及安全相关系统开发的组织和人员
3、应满足的要求,定义功能安全管理指南及安全 计划,建立公司安全文化;第三部分概念阶段,主要是对危害分析和风险评估的 描述,导出功能安全目标,确定功能安全相关概念,导出客户需求;第四部分为 系统层面的产品开发,完成系统设计及安全分析,并按要求进行系统相关测试, 导出系统需求,FMEA及FTA概念;第五部分为硬件层面的产品开发,确定基于 ASIL等级的硬件安全指标,包含SPFM,LFM,PMHF指标,完成硬件安全分析及设 计;第六部分为软件层面的产品开发,包含软件开发指南、软件需求、软件实现、 软件验证计划、软件验证报告;第七部分为生产、运行、服务和报废过程中功能 安全相关的要求和建议;第八部分为是
4、对支持过程的归纳;第九部分为基于汽车 安全完整性等级(ASIL)和安全的分析,明确ASIL等级的分配原则;第十部分 为对整个ISO26262标准的应用导则。相较于原版本,增加了一个新的部分 (Part11)来指导如何对汽车领域所应用的半导体应用ISO26262标准,同时新版 本对适用范围进行了合理延伸,除了原版本中的不超过3.5吨的乘用车,将卡车 公共汽车、摩托车也涵盖在内,并添加了一个新的部分(Par t12 )来说明如何应用 于摩托车,而对于卡车和公共汽车的特殊要求则穿插于各个章节中。2基于ISO26262电控开发流程搭建功能安全标准同样遵循传统电控开发V流程。其开发大致分为六个阶段,分
5、别为概念阶段,系统设计阶段,软件设计阶段,硬件设计阶段,测试阶段和生产 服务报废阶段。2.1 概念阶段概念阶段主要包含相关项定义,安全生命周期定义,危害分析和风险评估及客户需求说明,并生成对应的交付物,为下一步的系统开发提供重要输入。1)相关项定义是定义并描述相关项,及其与环境和其他相关项的依赖性和 相互影响;主要包含功能框图,接口,环境条件,法规要求和危害等。2)安全生命周期指相关性从概念阶段到报废的整个阶段,根据产品是否新 开发来决定是否对生命周期进行裁剪。如果产品为新开发产品,按照完整生命周 期进行,如果是对已有产品的再次开发,则需要进行影响分析,根据需要对生命 周期进行裁减。整个安全生
6、命周期如图 2 所示。图 2 安全生命周期3)危害分析和风险评估 HARAHARA 分析分四个阶段,如表 1 所示。其目的是识别系统的危害,根据运用工 况,得到风险评估,从而得到安全目标及相应的安全等级(ASIL等级)。其中安 全目标是最高级别的安全需求,有安全目标导出系统安全需求,再将系统安全需 求分配到硬件设计和软件设计。ASIL等级分为A,B,C,D四个等级,其对安全性的 要求由低到高排列。安全性要求越高,对应的开发流程及技术要求也越高,相应 的开发成本越高。ASIL等级的评定可通过对危害事件的严重程度、暴露概率、可 控度这三个因子进行评估得到。表1 HARA分析四阶段阶段说明产物1 危
7、害分列出在项目中定义的传感器,功能等发危害分析生故障时发生的危险(故障)的发生和程 析结果度。2 运用状(整车状态)如果ECU的加速器传感器假设状况分析(项目)太大,太小,起伏不定或固定等, 況当在直线上高速行驶或低速转弯时,有危险(列出)危害的发生和程度。3 风险评记载发生该危害时的风险,根据其风险风险评价导出ASIL (安全性要求等级)。价结果4 设定安避免该危害发生,设定安全目标。安全目全目标4)客户需求说明主要包含根据安全目标分解的功能安全需求,安全机制,安全状态,故障容错时间FTTI,报警及降级模式等。2.2 系统设计阶段系统设计阶段主要依据客户需求开发相应的技术安全需求,包含系统需
8、求分 析,系统架构设计,系统安全分析(FMEA,FTA等),并在每一阶段开展对应的设 计评审,评估技术安全需求是否满足功能安全开发要求,是否具有识别和控制系 统自身故障的机制,识别和控制其他系统故障的机制,实现或维持安全状态的措 施(迁移,容错时间或紧急执行间隔),实施报警及降级的措施等。2.3 软件设计阶段软件层面的开发包括软件安全需求,软件架构设计,软件安全分析,软件单 元设计和实现,软件单元测试,软件集成及集成测试,嵌入式软件测试等,如图 3 所示。软件开发过程中语言、方法、工具和划分标准必须在整个软件生命周期 中保持一致,并与系统和硬件协调。软件安全验证需要从精准、明确、可实现、 一致
9、性、可理解、可验证几个方面考虑。另外,需要考虑是否使用了恰当的标记 法。软件架构作为系统架构的逐步细化产物,需要具备模块性、高内聚、低耦合 的属性。软件单元设计满足可测试性,可维护性和避免不必要的复杂性等要求。 设计方法满足 ISO26262PART6 相关要求。软件集成和测试分为白盒测试和黑盒测 试。白盒测试标准满足函数覆盖要求和调用条件覆盖要求。黑盒测试满足数据覆 盖要求,等价类要求,边界分析及故障注入测试。图 3 软件开发流程2.4 硬件设计阶段硬件层面的开发包含硬件安全需求定义,硬件设计,硬件架构度量评估,单 点故障和潜伏故障评估,硬件集成和测试等。其中,硬件安全需求的定义与技术 安全
10、概念,系统设计规范及硬件规范一致,与相关软件安全需求一致,并确保正 确性、完整性、一致性和可追溯性。硬件设计包含硬件架构设计和硬件详细设计 硬件架构设计应遵循模块化并考虑环境因素,硬件详细设计应考虑安全相关硬件 元器件失效的非功能性原因。硬件架构度量的评估,是基于硬件 FTA 分析,对每 一个功能模块对应的元器件的随机硬件失效率进行统计,通过标准规定的方法, 计算得出,用于评估硬件设计是否满足预订的功能安全目标PMHF指标要求。同时,硬件设计还需要满足功能安全等级要求的单点故障,潜伏故障的故障诊断覆 盖率。硬件故障的分类如图4所示。图4硬件故障分类硬件集成和测试,目的是测试验证所开发的硬件是否
11、满足硬件需求。包含测 试计划,测试用例设计,测试用例评审及测试报告。2.5 测试阶段测试要求在part6和part4两部分中分别要求。按照标准,测试需要分为嵌 入式软件测试,软硬件测试,系统测试和整车测试。嵌入式软件测试主要对软件 需求的测试,软硬件测试主要对软硬件接口测试和系统需求,系统测试主要对软 件需求和系统需求测试,测试工具一般是HIL或者台架,整车测试主要对客户需 求和HARA相关风险项的测试,是安全验证的最后一步。2.6 生产服务报废阶段生产运行阶段是指电控系统的生产、运行、保养、废弃等。3 结束语本文对道路车辆功能安全标准IS026262进行了介绍,并概述了基于该标准 的电控系统开发流程。参考文献:1ISO26262 Road vehicles-Functional safety-Part1Part10Z.2Standardized E-Gas Monitoring Concept for Gasoline and Diesel Engine Control Units, V ersion 6.0, EGAS WorkgroupZ.作者简介:王震华(1981-),男,动力机械及工程专业,硕士,主要研究 发向为燃气发动机开发。2
