汽车ISO26262标准对汽车安全相关系统研发的要求简述

汽车ISO26262标准对汽车安全相关系统研发的要求简述摘要：随着汽车电子行业的发展，汽车安全相关电控系统越来越多地在汽车上得到应用，汽车安全系统的功能安全要求也越来越严格。随着汽车功能安全标准（ISO26262）在2011年正式发布，越来越多的企业增大了人力和资金投入，通过管理及技术措施，来保证所开发系统的功能安全性，进而具有市场竞争力。本文将基于对汽车安全系统成熟产品安全特性的理解以及汽车电控系统研发经验，依托ISO26262汽车功能安全标准的要求内容，分析并筛选出较重要及较关键的内容，并进行概述。以便对ISO26262要求有概要而全面的了解，便于为进一步明确研发措施和研发规划，提供也许有益的信息参考。这些ISO26262的核心要求内容包含（但不限于）：组织架构，功能安全管理，功能安全技术（包含系统设计开发，硬件设计开发，软件设计开发，测试验证等），独立的安全论证等。关键词：汽车电子ISO26262功能安全安全论证1、引言随着汽车行业的发展，人们对汽车安全性的要求越来越高，汽车安全相关的系统越来越多的在汽车上得到应用，基于这些汽车安全相关系统功能安全的考虑，汽车行业专门制定并发布了功能安全标准ISO26262，以全面保证汽车安全相关零部件系统的功能安全。2、汽车安全相关系统需遵守的国际技术法规和国际技术标准概述对于汽车安全相关系统，政府及法律法规，有严格的规定。以电动助力转向系统（EPS）为例，国际法规对电动助力转向系统有一系列约束和规定，典型的国际技术法规包含：70/311/EEC欧洲共同体对汽车转向装置的技术法规指令；ECER79欧洲经济委员会ECE汽车标准法规。这些法规对EPS系统设计及验证方面提出了一系列法律层面的技术要求，其中包含了EPS系统出现故障时系统安全方面的技术法规要求，举例如下：圆周试验：汽车转向操作情况下，不会因为出现故障，而导致转向操纵感觉有突然显著的变化，甚至出现车辆事故和人员伤亡；瞬间试验：汽车正常操控情况下（包含转向操作），在故障发生的瞬间，不会引起车辆行驶及操控性能的突发性变化；故障报警试验：如果EPS系统突然故障，系统能点亮故障警告灯。ISO26262标准的出台，用以保证汽车安全相关系统能更好的满足上层行业技术法规的要求。3、ISO26262汽车功能安全标准对安全管理层面的要求ISO26262标准适用于安装在批量生产的净重不超过3.5吨乘用车上的电子/电器系统。功能安全管理的内容包含了（但不限于）对企业组织架构的建议和要求，并对于各级岗位有详细的职能描述。保障功能安全工作开展的企业组织架构典型的推荐方案如下：图1：功能安全管理组织架构（来自ISO26262功能安全标准建议）ISO26262标准还对各级安全经理的具体工作职能联系和区分作了详尽的描述，以及详细的安全活动内容和安全流程也有详尽阐述，这里不作赘述。4、系统设计开发---危害识别及情景分析危害识别指整车级及系统级的危害，情景分析是指汽车的驾驶条件。危害识别是指从整车角度能够识别到的危害，可能由多种低级别（例如：某个器件失效）的原因引起，该阶段不需要分析整车以下的级别。以电动助力转向系统为例，从整车角度，可能出现的危害包含(但不限于)：EPS系统失去助力；EPS系统反方向助力；EPS系统转向锁死；EPS系统自转向等。情景分析要求找出所有发生故障时的可能的发生危害的驾驶情景，包括（但不限于）车辆状态、公路类型、路面状况、交通状况、人员情况等。5、系统设计开发---危害定级危害定级包括3个指标，分别是严重度（S）,暴露率（E）,可控性（C）,这三个指标共同决定了ASIL等级。严重度（S）指的是对人身伤害的程度。ISO26262里将严重度等级定为3个，分别是S1、S2、S3，S1程度最轻，S3程度最重。暴露率（E）指所分析的驾驶情景占所有情景的比例。暴露率分为四个等级：E1极低概率，E2低概率，E3中概率，E4高概率。可控性（C）是指驾驶员或处于危险中的其它人对于避免危险事件发生而能够达到的控制程度。可控性分为4个等级：C0为基本可控，C1为简单可控，C2为正常可控，C3为难以控制或不可控。ASIL等级的确定是依据严重度（S），暴露率（E），可控性（C）三大因素，它们之间的关系是：S+E+C=10，则为ASILD级；S+E+C=9，则为ASILC级；S+E+C=8，则为ASILB级；S+E+C=7，则为公司安全经理业务部门1安全经理业务部门2安全经理业务部门3安全经理项目1安全经理项目2安全经理项目3安全经理调度反馈项目从安全团队抽取安全经理公司级别业务部门级别项目级别ASILA级，S+E+C7,则为QM等级。例如：危害“EPS系统反向助力”的严重度（S）为S3，暴露率（E）为E4，可控性（C）为C3，即危害“EPS系统反向助力”的严重度/暴露率/可控性等级为S3/E4/C3，即危害“EPS系统反向助力”的等级为ASILD。6、系统设计开发----制定功能安全目标安全目标在于防止系统危害的发生，安全目标表达方式采用功能性语言，而非技术解决方案，以电动助力转向系统为例，功能安全目标包含(但不限于)：EPS系统不能出现异常地失去助力；EPS系统不能出现异常地反方向助力；EPS系统不能出现异常地转向锁死；EPS系统不能出现异常地自转向等。7、系统设计开发----功能安全状态及功能安全需求功能安全状态是指不包含任何不可接受的风险的一种状态，需要说明的是，功能安全状态不是“理想状态”，处于安全状态下的车辆一般无法发挥其最大性能。以EPS系统为例，当EPS车速传感器发生故障时，功能安全状态可定义为：当故障出现后并经过确认故障确实存在，EPS在某段经过实车标定的时间范围内，逐渐减少助力直到等于某一经过实车标定的默认值，并且故障报警灯点亮，故障信息被记录和存储；当故障消失后并确认故障确实消失，EPS在某段经过实车标定的时间范围内，逐渐恢复助力直到等于实际计算出的助力值，并且故障信息被进一步管理。功能安全概念是，从安全目标中导出功能安全需求，将安全需求分配到系统初始架构的各个单元中去，每一个安全目标应至少指定一个功能安全需求，安全需求需要考虑以下信息：操作模式、容错时间、安全状态、达到或保持安全状态的方式、识别及控制故障的方式、是否有功能冗余、紧急操作间隔、紧急外部操作措施、故障报警及故障记录措施等等。8、系统设计开发----功能安全需求ASIL分配根据前面所述内容，危害分析和风险评估的结果是形成功能安全目标，功能安全的概念是由功能安全目标导出功能安全需求，功能安全需求将一方面进行ASIL分配，另一方面将把功能安全需求分配到子系统。ASIL分配的原则是：继承和分解。继承的原则适用于具有层次上的递进特征的系统-子系统-软件，系统-子系统-硬件之间的ASIL等级继承。分解适用于具有层次上的平等及并列特征的子系统-子系统，硬件-硬件，软件-软件之间的ASIL等级分解。ASIL等级分解关系是：ASILD=ASILB+ASILB；ASILD=ASILA+ASILC；ASILD=ASILD+QM；ASILC=ASILB+ASILA；ASILC=ASILC+QM；ASILB=ASILA+ASILA：ASILB=ASILB+QM；ASILA=ASILA+QM。9、系统设计开发----技术安全要求规范拟订技术安全要求规范（TSRS）是从功能安全要求（FSR）和（子）系统或者单元的架构设计（Arch）中获得。技术安全要求规范包含（但不限于）以下方面的内容：识别和控制（子）系统自身故障的机制；识别和控制其它（子）系统故障的机制；安全状态的达到或保持措施；警告和缓解方案的措施；生产维护相关的要求，如诊断数据存储等；避免潜在故障；其余相关的要求内容。10、系统设计开发及验证----集成测试及安全确认（I&T）集成和测试(I&T),它是验证功能和技术安全要求的集成测试，每个安全要求都应该被验证，并且验证方法与具体的ASIL等级相关，系统集成和测试（I&T）需要考虑软硬件集成测试，（H&S）,系统集成测试，车辆级别的集成测试等。安全确认，它是基于特定确认整车层面上的安全目标，并基于安全目标，功能安全要求和使用目的的测试。11、硬件设计开发----硬件安全需求规范拟订硬件在开发之前，需要制定一份完整的硬件安全需求规范，该规范需要考虑：一是认证和测试；二是安全机制，通过硬件安全机制，能够控制硬件单元内部失效以及能够承受单元外部失效以及能够检测和示意外部故障以及可以匹配其它单元的安全要求；三是硬件量化要求指标，它包含硬件架构指标要求和随机硬件故障指标要求。根据系统级规范和硬件安全要求进行硬件设计，硬件设计包括硬件架构设计和硬件详细设计。硬件架构设计应表示出所有硬件组件及彼此间的关联，应实现规定的硬件安全要求，应能通过硬件架构设计追溯到规定的硬件安全要求。硬件详细设计是指在电气原理图级别上的设计，应表示出组成硬件组件的电子元器件之间的相互关联。12、硬件设计开发----硬件故障的分类及定义硬件故障按照故障类型，可分为以下四种故障：一是单点故障（SPF），是在一个单元中，未被安全机制覆盖且直接会导致违反安全目标的硬件故障；二是残余故障（RF），是发生在硬件单元中，直接导致违反安全目标而不能被安全机制所完全覆盖的故障；三是多点故障（MPF），是与其它独立故障可以联合导致多点失效的单个故障；四是潜在故障（LF），是在多点故障检测时间间隔内不能被安全机制检测出来的也不能被驾驶员识别的多点故障。以上四种故障都不属于安全故障的范畴。安全故障是指不会显著增加违反安全目标可能性的故障，而可预知故障和可检测的故障，则属于安全故障的范畴。可预知故障是在规定的时间间隔内可以由驾驶员推断出其存在的故障；可检测故障是在规定的时间内通过安全机制检测出的故障。13、硬件设计开发----安全分析硬件架构和详细设计的安全分析，应按照下表进行，以确定故障的影响和原因。方法ASILABCD1FTA○+++++2FMEA++++++++注：++含义为必须覆盖；+含义为推荐；○含义为不强制也不反对，后面表格中++/+/○这些符号含义与此处定义相同，后面不再分别作出解释。对于ASIL等级为B，C，D的情况，应提供证据或论证，证明安全机制避免单点故障和多点故障的有效性，安全论证包括以下方面内容：一是应评估诊断覆盖率；二是应提供证明，证明安全机制具有保持安全状态或安全地切换到安全状态的能力（特别是在故障容错时间间隔内的适当的故障缓解能力）；三是应提供证明，证明在可接受的潜在多点故障间隔内具有故障检测及警示驾驶员的能力。14、硬件设计开发----可靠性指标量化硬件量化指标的要求分为两部分：其一是表征安全功能的能力的硬件架构指标，其二是表征安全功能的可靠性的随机硬件失效率指标。对于不同的ASIL等级，硬件架构指标的要求不一样，具体如下表所示：架构指标ASILBASILCASILDSPFM=90%=97%=99%LFM=60%=80%=90%分析所用的硬件零件失效率估计值可通过以下方法确定：一是使用从工业界认可的工业数据源中得到的硬件零件失效率数据；二是利用现场返回或测试所得的统计数据；三是利用通过工程上定量和定性讨论建立的专家建议。不同的ASIL等级，对于随机硬件失效率指标有不同的规定，如下：ASIL等级随机硬件失效率指标D/h（即10FIT）C/h（即100FIT）B/h（即100FIT）15、硬件设计开发----硬件集成和测试通过硬件集成测试确保开发的硬件符合硬件安全要求，集成硬件单元和测试硬件设计，以按照相应的ASIL等级验证是否符合硬件安全要求。针对硬件安全要求验证安全机制执行的完整性和正确性所采取的硬件集成测试。方法ASILABCD1功能测试++++++++2故障注入测试++++++3电气测试++++++++功能测试的目的在于保证项目规定的特征已经达到。为项目提供输入数据，使其表现为预期正常运行状态。观察输出并将响应与规定所给相比较，应对与规范不符合的异常和指示规范不完整的情况进行分析；故障注入测试