ISO-26262介绍

1ISO26262是国际标准化组织文件第26262号(ISO26262)为机动车辆开发和测试紧急安全电子系统提供了一个过程框架和程序模型。从电子、电气及可编程器件功能安全基本标准IEC61508派生出来的，主要定位在汽车行业中特定的电气器件、电子设备、可编程电子器件等专门用于汽车领域的部件，旨在提高汽车电子、电气产品功能安全的国际标准。ISO26262从2005年11月起正式开始制定，经历了大约6年左右的时间，已于2011年11月正式颁布，成为国际标准。中国也正在积极进行相应国标的制定。安全在将来的汽车研发中是关键要素之一，新的功能不仅用于辅助驾驶，也应用于车辆的动态控制和涉及到安全工程领域的主动安全系统。将来，这些功能的研发和集成必将加强安全系统研发过程的需求，同时，也为满足所有预期的安全目的提供证据。随着系统复杂性的提高，软件和机电设备的应用，来自系统失效和随机硬件失效的风险也日益增加，制定ISO26262标准的目的是使得人们对安全相关功能有一个更好的理解，并尽可能明确地对它们进行解释，同时为避免这些风险提供了可行性的要求和流程。。ISO26262为汽车安全提供了一个生命周期（管理、开发、生产、经营、服务、报废）理念，并在这些生命周期阶段中提供必要的支持。该标准涵盖功能性安全方面的整体开发过程（包括需求规划、设计、实施、集成、验证、确认和配置）。ISO26262标准根据安全风险程度对系统或系统某组成部分确定划分由A到D的安全需求等级（AutomotiveSafetyIntegrityLevel汽车安全完整性等级ASIL），其中D级为最高等级，需要最苛刻的安全需求。伴随着ASIL等级的增加，针对系统硬件和软件开发流程的要求也随之增强。对系统供应商而言，除了需要满足现有的高质量要求外还必须满足这些因为安全等级增加而提出的更高的要求。系统安全可以从大量的安全措施中获得，包括各种技术的应用（如：机械，液压，气动，电力，电子，可编程电子元件）。尽管ISO26262是相关于E/E2系统的，但它仍然提供了基于其他相关技术的安全相关系统的框架。ISO26262：-提供了汽车生命周期（管理，研发，生产，运行，服务，拆解）和生命周期中必要的改装活动。-提供了决定风险等级的具体风险评估方法（汽车安全综合等级，ASILs）-使用ASILs方法来确定获得可接受的残余风险的必要安全要求。-提供了确保获得足够的和可接受的安全等级的有效性和确定性措施。功能安全受研发过程（包括具体要求，设计，执行，整合，验证，有效性和配置），生产过程和服务流程以及管理流程的影响。安全事件总是和通常的功能和质量相关的研发活动及产品伴随在一起。ISO26262强调了研发活动和产品的安全相关方面。ISO26262主要用于安装在最大毛重不超过3.5吨的乘用车上的一个或多个E/E系统的安全相关系统。ISO26262唯一不适用于为残疾人设计的特殊目的车辆的E/E系统。系统研发早于ISO26262出版日期的，也不在标准的要求之内。ISO26262表述了由E/E安全相关系统，包括这些系统的互相影响，故障导致的可能的危险行为，不包括电击，火灾，热，辐射，有毒物质，可燃物质，反应物质，腐蚀性物质，能量释放及类似的危险，除非这些危险是由于E/E安全相关系统故障导致的。ISO26262对E/E系统的标称性能没有要求，对这些系统的功能性性能标准也没有什么要求（例如：主被动安全系统，刹车系统，ACC等）ISO26262主要包括以下几个部分：Part1：定义Part2：功能安全管理Part3：概念阶段Part4：产品研发：系统级Part5：产品研发：硬件级Part6：产品研发：软件级Part7：生产和操作Part8：支持过程3Part9：基于ASIL和安全的分析Part10：ISO26262导则ISO26262适用范围ISO26262-BMS电池管理系统ISO26262-MCU微控制单元ISO26262-ECU电子控制单元ISO26262-ABS汽车防抱死制动系统ISO26262-BAS制动辅助系统ISO26262-TPMS胎压实时监控系统ISO26262-PEPS无钥匙进入系统ISO26262-ESP车身稳定控制系统ISO26262-EPS电子助力转向系统ISO26262-CCAS汽车防撞雷达系统ISO26262-AFS自适应前照明系统ISO26262-LDWS车道偏离预警系统ISO26262-ASR牵引力控制系统ISO26262-EBD电子刹车力分配系统ISO26262-EBA紧急制动辅助系统ISO26262-VSC车身稳定控制系统ISO26262-PAS停车辅助系统ISO26262-Seat-beltpre-tensioning安全带预紧ISO26262-Electronicbrakesystem电子制动系统ISO26262-电动汽车(EV)整车控制系统硬件及软件ISO26262-混合动力汽车(HEV)整车控制系统硬件及软件4VectorCAST认证文档包含工具操作需求（TOR）：在可验证的需求上实现VectorCAST的功能项目的作业环境(编译器、平台、目标等。)管理流程的配置实现验证VectorCAST满足特定测试需求的方法工具认证数据(TQD):工具认证的测试数据和结果重新执行的测试脚本52.功能安全概念设计在概念阶段设计项目(或产品)定义、危险分析和风险评估和功能安全概念。2.1项目定义项目定义描述了EPS系统的主要功能，如下所述：·根据司机意图，提供转向支持·主动回正·向车内其它系统提供转向角度(通过CAN网络)2.2危险分析和风险评估危险分析和风险评估需要考虑的要素有：安全功能、失效模式、驾驶场景、严重性、暴露的可能性、可控性以及安全目标、ASIL等级、安全时间和安全状态。根据分析，EPS系统有如下危险分析和风险评估结果：·安全目标1：防止电机产生自主扭矩6确保电机不能自主产生扭矩，这样会使车辆转向偏离司机意图。尤其在高速时，这种扭矩会产生意外的转向，给司机乘客和行人带来危险。这种危险可能源于传感器或电控单元ECU的故障。ASIL等级：ASIL-D·安全目标2：防止电机产生死锁扭矩确保电机不能锁死，以至司机不能正常转向。电机死锁可能由电气失效或机械失效导致。尤其在高速时，这种意外的扭矩会给司机，乘客和行人带来危险。这种危险可能源于电控单元ECU的故障，或电机及转向系统的机械故障。ASIL等级：ASIL-D·安全目标3：防止系统从“安全状态”错误退出，电机产生突发扭矩这种工况是指当EPS系统由于故障，如电机异常等原因，已经进入了所谓的“安全状态”。但是由于电气故障，EPS系统错误地从“安全状态”退出，在没有任何告警的情况下，电机重新对转向系统施加意外的扭矩，从而使司机不能按意图控制转向。ASIL等级：ASIL-A·安全目标4：防止电机不提供助力确保系统运行正常，助力施加正确。助力缺失不会导致车辆失控，因为有机械转向系统存在。一种合理的假设是：当这种故障被检测到后，显示告警信息;司机察觉后，启用“跛行回家”的行车模式,，比如降低车速等。ASIL等级：QM经过危险分析和风险评估后，以上四个安全目标的最高ASIL等级是ASIL-D。所以EPS系统的最高ASIL等级是ASIL-D。2.3功能安全概念为了实现系统的安全目标，对系统架构中的各个要素(Element)，如传感器、控制单元和执行单元(电机)，都有功能安全需求。功能安全需求主要考虑各要素的ASIL等级、工作模式、安全时间、安全状态、功能冗余即容错性能和各要素的初步架构等。它不涉及具体的硬件和软件实现细节。在EPS系统中，采用了如图2的初步系统架构，可能的功能安全需求示例如下：·整个EPS系统要求达到ASIL-D的要求。(系统)·安全状态的定义必须确保当系统出现致命故障时，电机的行为不会对转向系统不利影响。(系统)7·系统必须在安全时间内进入安全状态。(控制单元)·控制单元必须包括电机控制通道和电机监控通道。(控制单元)·控制通道和监控通道都能获得集成于车辆接口的传感器信号。(传感器和控制单元)·控制通道和监控通道都能获得集成于执行单元的传感器信号。(传感器和控制单元)·控制通道和监控通道所用的传感器信号必须独立。(传感器)·控制通道根据扭矩传感器输入和其它来自车身网络的相关输入计算助力需求。(控制单元)·控制通道控制执行单元，产生所需助力。(控制单元)·监控通道根据独立的扭矩传感器输入和其它来自车身网络的相关输入，校验控制通道是否正确计算了助力需求。(控制单元)·监控通道根据独立的传感器输入，校验控制通道是否正确控制了执行单元。(控制单元)·监控通道能够独立的使系统进入安全状态。(控制单元)·系统电源监控的实现必须独立于电机控制通道和电机监控通道。(控制单元)·系统时钟监控的实现必须独立于电机控制通道和电机监控通道。(控制单元)·其它需求可参考图2的EPS功能安全概念。