汽車電子電氣系統(tǒng)的功能安全標準 ISO26262(深度介紹)
發(fā)布時間:2025-05-11 點擊:58
本文首先介紹功能安全的概念及ISO26262的由來,然后解讀ISO 26262的內(nèi)容和關(guān)鍵概念,最后分析ISO26262的應(yīng)用方法。
1功能安全的概念及ISO 26262由來
功能安全是指避免由系統(tǒng)功能性故障導(dǎo)致的 不可接受的風險。功能安全關(guān)注系統(tǒng)故障后的行 為,而不是系統(tǒng)的原有功能或性能。以采用電子 節(jié)氣門的發(fā)動機管理系統(tǒng)為例,加速踏板位置傳 感器信號是發(fā)動機輸出轉(zhuǎn)矩主要決定因素,若該 傳感器發(fā)生故障使其指示位置大于實際位置,則 可能導(dǎo)致發(fā)動機輸出轉(zhuǎn)矩過大,造成車輛發(fā)生非 駕駛員期望的加速,這是發(fā)動機管理系統(tǒng)的一個 功能安全風險。從設(shè)計上采取措施,使加速踏板 傳感器故障發(fā)生時發(fā)動機轉(zhuǎn)矩仍然可控,則提高 了發(fā)動機管理系統(tǒng)的安全性。
20世紀90年代,德國、美國相繼頒布了功能安全相關(guān)標準(DINV 19250和ISA S 84. 01),在此基礎(chǔ)之上,國際電工協(xié)會(IEC)于2000年頒布 了關(guān)于電子、電氣和可編程電子系統(tǒng)(E/E/PE)的功能安全國際標準IEC 61508。IEC 61508一經(jīng)頒布就得到了廣泛采用,在它的基礎(chǔ)上,各個工業(yè)應(yīng)用領(lǐng)域的標準也陸續(xù)出臺。
然而,起源于過程工業(yè)領(lǐng)域的IEC61508并不完全適用于汽車工業(yè),例如:它沒有考慮汽車工業(yè) 的分布式開發(fā)模式;它定義了一個與汽車工業(yè)不同的生命周期(測試在產(chǎn)品發(fā)布后進行);它的量化要求(如失效率)沒有考慮大規(guī)模批量生產(chǎn)的情況。隨著安全相關(guān)的電子電氣系統(tǒng)在汽車上的廣泛應(yīng)用,汽車工業(yè)對電子電氣系統(tǒng)功能安全標準的需求也越來越迫切。因此,國際標準化組織(ISO)在IEC 61508的基礎(chǔ)上,制定了專門針對汽車電子電氣系統(tǒng)的功能安全標準,即ISO26262。
2 ISO 26262的內(nèi)容簡介
ISO26262為汽車電子電氣系統(tǒng)的整個生命周期中與功能安全相關(guān)的工作流程和管理流程提 供了指導(dǎo)。在ISO26262中,定義了汽車安全生命周期,汽車安全完整性等級(ASIL)兩個關(guān)鍵概念,對這兩個關(guān)鍵概念的理解是解讀ISO26262的基礎(chǔ)。
2. 1汽車安全生命周期
圖1展示了ISO26262中定義的汽車安全生命周期,包含了從概念設(shè)計、產(chǎn)品開發(fā)到批產(chǎn)后各階段的主要安全活動。
功能安全的概念設(shè)計必須與整個系統(tǒng)的概念 設(shè)計同步進行。在概念設(shè)計階段,要基于系統(tǒng)定義和系統(tǒng)初步架構(gòu),分析可能存在的功能安全風險并評估風險的等級。然后根據(jù)功能安全風險定義安全目標和針對每個安全目標的功能安全概 念。
在產(chǎn)品開發(fā)階段,ISO26262按汽車工業(yè)中常用的V型開發(fā)流程定義相關(guān)安全活動:V型的左 側(cè)是技術(shù)安全需求(功能安全概念的技術(shù)實現(xiàn)途徑)的制定、系統(tǒng)設(shè)計;V型的右側(cè)是系統(tǒng)集成、安全確認和發(fā)布。硬件和軟件的開發(fā)也遵循相似的小V型開發(fā)流程。
在批產(chǎn)之后的階段,需要提供必要的文檔及 方法,以保證在生產(chǎn)、售后服務(wù)和報廢等環(huán)節(jié)中,安全目標不被破壞。同時,需要監(jiān)控售后產(chǎn)品,發(fā)現(xiàn)有違背安全目標的案例要采取相應(yīng)措施。
2. 2汽車安全完整性等級(ASIL)
IEC 61508中通過失效概率的方式定義了安全完整性等級(SIL),但在汽車領(lǐng)域應(yīng)用實踐中,只有隨機硬件失效可以通過統(tǒng)計數(shù)據(jù)評估失效概率,軟件失效難以量化評估。因此,ISO 26262中根據(jù)汽車行業(yè)的特點定義了ASIL。
ASIL在概念設(shè)計階段通過對功能安全風險的評估中得到。如果系統(tǒng)的功能安全風險越大,對應(yīng)的安全要求就越高,則具有更高等級的ASIL。ASIL分為A、B、C、D 4個級別,ASIL D為最高汽車安全完整性等級,對功能安全的要求最高。
ISO 26262中定義的ASIL使用3個參數(shù)進行評估,分別是:危險對駕駛員或其他交通參與人員造成傷害的嚴重程度S,危險所在工況的發(fā)生概率E,危險涉及的駕駛員和其他交通參與人員及時采取控制行動避免特定傷害的能力C。S分為0~ 3級,S0代表無傷害,S3代表危及生命的重傷或致命傷;E分為0~ 4級,E0代表工況不可能發(fā)生,E4代表工況是常見的;C分為0~ 3級,C0代表完全可控,C3代表非常難于控制。對于每一個識別到的危險,按表1評估風險等級(即汽車安全完整性 等級),其中QM表示與安全無關(guān)。
ISO26262為以上3個參數(shù)的評定提供了指 導(dǎo),下面以發(fā)動機管理系統(tǒng)為例進行說明。首先,識別發(fā)動機管理系統(tǒng)的可能故障及其影響:發(fā)動 機管理系統(tǒng)的一個可能故障是控制發(fā)動機輸出過大的轉(zhuǎn)矩,其影響是造成非駕駛員期望的車輛加速;其次,確定已識別故障可導(dǎo)致危險的工況,例如:工況為車輛高速轉(zhuǎn)彎、接近失穩(wěn);最后,按ISO26262的指導(dǎo)分別評定S、E、C級別:上述工況下 加速,將導(dǎo)致車輛失穩(wěn)并與其他車輛或路邊設(shè)施相撞,可能造成人員死亡,S評為3;上述工況的發(fā) 生概率相對較低,E可評為2;車輛失穩(wěn)后,駕駛員幾乎無法進行有效控制避免傷害,C可評為3;按 表1,ASIL為B(僅為示例,不代表標準明確要求或?qū)嶋H工程應(yīng)用)。
系統(tǒng)的ASIL等級越高,ISO 26262對設(shè)計方法、安全技術(shù)、測試方法以及需要達到的技術(shù)指標的要求越嚴格,開發(fā)流程和工作產(chǎn)品的審核和確認也越嚴格。
3ISO 26262的應(yīng)用
ISO26262為功能安全相關(guān)的開發(fā)提供了方法論,將保證汽車電子電氣系統(tǒng)的安全性,減少安全事故的發(fā)生,產(chǎn)生巨大的社會效益;與此同時,安全相關(guān)的投訴和召回事件的減少也將為汽車企業(yè)和供應(yīng)商帶來經(jīng)濟效益。然而,ISO 26262涉及汽車電子電氣系統(tǒng)的整個安全生命周期及其管理 過程,滿足該標準對汽車企業(yè)及供應(yīng)商來說必將是巨大的挑戰(zhàn)。為滿足ISO26262,必須在公司安 全文化、工作流程制定、產(chǎn)品設(shè)計與開發(fā)等方面進行持續(xù)的改進。
3. 1公司安全文化
在公司組織內(nèi)部建立和保持安全文化是ISO26262標準的要求,也是促進功能安全有效實現(xiàn)的前提條件。在具有良好安全文化的公司中:安全 應(yīng)具有最高優(yōu)先級;獎勵系統(tǒng)應(yīng)支持和鼓勵功能安全的有效成果,處罰為取捷徑而危及安全和質(zhì)量的行為。
3. 2工作流程制定
ISO26262對一個完整的汽車安全生命周期定義了安全活動要求。同時,ISO 26262標準中規(guī)定組織內(nèi)部應(yīng)建立、執(zhí)行和保持特定的流程,以滿足標準的各項要求。
在一個公司內(nèi)部為每一個標準單獨設(shè)立一個 流程是不現(xiàn)實的,一個可行的方案是將包括ISO26262在內(nèi)的所有標準融合為公司內(nèi)部流程,工程師僅需要按照內(nèi)部流程工作,即可滿足所有標準。
舉例來講,安全計劃是ISO26262要求的重要流程步驟和工作產(chǎn)品,在公司內(nèi)部流程中,安全計劃可以不是一個獨立的文檔,而是標準項目計劃的一部分,可以在已有的質(zhì)量評審中增加相關(guān)問題,對其進行檢查。
3. 3產(chǎn)品設(shè)計與開發(fā)系統(tǒng)的功能安全性主要決定于產(chǎn)品設(shè)計。
在產(chǎn)品設(shè)計和開發(fā)階段即采取措施,盡可能減少甚至避免系統(tǒng)性失效和隨機硬件失效,是提高功能 安全最有效和最經(jīng)濟的方法,也是使產(chǎn)品滿足ISO26262的必要條件。
系統(tǒng)性失效往往由產(chǎn)品設(shè)計缺陷導(dǎo)致。在設(shè)計中應(yīng)用演繹的和歸納的分析方法,是及早識別 并避 免 潛在 系 統(tǒng) 性 失 效 行 之 有 效 的 途 徑。ISO26262要求所有功能安全相關(guān)的設(shè)計均需采用 歸納分析方法,如失效模式和影響分析(FMEA);并要求具有ASILC和D的功能安全相關(guān)設(shè)計還 需采用演繹分析方法,如故障樹分析(FTA)。除此之外,重用久經(jīng)實踐驗證并受信任的設(shè)計、安全架構(gòu)和標準接口等,也是避免系統(tǒng)性失效的有效途徑。ISO 26262鼓勵重用受信任的設(shè)計原則,并規(guī)定對于具有ASILD的系統(tǒng),棄用受信任的設(shè)計原則的決定需要論證。
隨機硬件失效是指由系統(tǒng)中某一個或幾個元 器件的隨機故障導(dǎo)致的失效,是功能安全風險另一個主要來源。ISO 26262制定了量化指標,如表2、3,用 以 評 價 系 統(tǒng) 在 此 方 面 的 安 全 性。產(chǎn)品 硬 件設(shè)計必須達到要求的指標,才能滿足ISO26262要求。
硬件架構(gòu)指標主要用于衡量硬件架構(gòu)的合理 性。其中單點故障指標等于除單點故障和殘余故障之外的故障占所有故障的比率。以前文所述發(fā)
動機管理系統(tǒng)為例,假設(shè)對于加速踏板傳感器沒有任何診斷和安全機制,加速踏板傳感器信號線與電源短接將被視為加速踏板完全踩下,直接導(dǎo) 致車輛發(fā)生非駕駛員期望的加速。如此,該故障即成為一個單點故障,將導(dǎo)致低的單點故障指標,可能無法達到ASILB的要求。提高單點故障指標的一個方法是設(shè)計診斷功能,例如設(shè)計加速踏 板傳感器信號線對電源短路的診斷。由于診斷功能具有一定的覆蓋率,在某些工況下可能不能檢查到目標故障,該單點故障未被診斷功能覆蓋的部分將成為殘余故障。因此,設(shè)計診斷功能可以降低單點故障指標,但作用有限。降低單點故障指標的另外一種方法是設(shè)計冗余概念,如設(shè)計兩 個獨立的加速踏板傳感器,使其信號可相互校驗。如此,兩個傳感器同時發(fā)生故障才可能導(dǎo)致失效發(fā)生,單點故障轉(zhuǎn)化為多點故障(此處為兩點故 障),單點故障指標得到了提高。
潛伏故障指標等于安全故障和非潛伏故障占 多點故障的比率。在上例中,如果診斷功能故障,可能不會被檢測到或被駕駛員察覺,在這種情況下如果發(fā)生短路,將導(dǎo)致安全風險。該診斷功能的故障可視為潛伏故障。與單點故障指標相同,設(shè)計 冗 余、診斷 等 安 全 機 制,可減 少 潛 伏 故 障,提高潛伏故障指標。
高的硬件架構(gòu)指標表明系統(tǒng)具有好的安全架 構(gòu),但并不一定代表系統(tǒng)足夠安全。如上例中的冗余概念,如果兩只傳感器的失效率都很高,那么系統(tǒng)仍可能無法滿足表3中隨機硬件失效率指標 的要求。ISO 26262規(guī)定隨機失效率考慮單點故障、殘余故障和雙點故障,在硬件元件本身失效率的基礎(chǔ)上,考慮診斷和監(jiān)控技術(shù)覆蓋率,可得出該隨機失效率指標。因此,降低該指標需要結(jié)合低失效率的硬件和高診斷覆蓋率的安全機制。
ISO26262是針對汽車電子電氣系統(tǒng)的功能安全標準,是IEC61508在汽車行業(yè)中的應(yīng)用。該標準定義了完整的汽車安全生命周期,提供了一 套方法用于評估汽車安全完整性等級ASIL,并基于ASIL定義了用于實現(xiàn)安全目標的安全活動要求。作為ISO組織發(fā)布的國際標準,其實施將規(guī)范汽車電子電氣系統(tǒng)的功能安全相關(guān)開發(fā),為保 障汽車安全提供幫助,將產(chǎn)生相應(yīng)的社會和經(jīng)濟效益。
同時,ISO26262的實施也帶來巨大的挑戰(zhàn):整車廠商和供應(yīng)商要在公司安全文化、工作流程制定和產(chǎn)品設(shè)計與開發(fā)等方面進行持續(xù)改進,以 滿足ISO26262要求,提高產(chǎn)品的安全性與競爭力。
ISO9001認證初審第一階段審核目的
專利侵權(quán)糾紛中合法來源抗辯,并非不侵權(quán)抗辯
兩化融合貫標簡介,兩化融合貫標流程及注意事項
ISO14001:2015環(huán)境管理體系標準
為什么ISO9001認證有利于雙方快速達成協(xié)議?
《16949理解與實施》連載——8.3.6 設(shè)計和開發(fā)更改
質(zhì)量管理體系認證包括哪些
國際標準ISO9000中對信息的定義,iso9000對信息的定義
1功能安全的概念及ISO 26262由來
功能安全是指避免由系統(tǒng)功能性故障導(dǎo)致的 不可接受的風險。功能安全關(guān)注系統(tǒng)故障后的行 為,而不是系統(tǒng)的原有功能或性能。以采用電子 節(jié)氣門的發(fā)動機管理系統(tǒng)為例,加速踏板位置傳 感器信號是發(fā)動機輸出轉(zhuǎn)矩主要決定因素,若該 傳感器發(fā)生故障使其指示位置大于實際位置,則 可能導(dǎo)致發(fā)動機輸出轉(zhuǎn)矩過大,造成車輛發(fā)生非 駕駛員期望的加速,這是發(fā)動機管理系統(tǒng)的一個 功能安全風險。從設(shè)計上采取措施,使加速踏板 傳感器故障發(fā)生時發(fā)動機轉(zhuǎn)矩仍然可控,則提高 了發(fā)動機管理系統(tǒng)的安全性。
20世紀90年代,德國、美國相繼頒布了功能安全相關(guān)標準(DINV 19250和ISA S 84. 01),在此基礎(chǔ)之上,國際電工協(xié)會(IEC)于2000年頒布 了關(guān)于電子、電氣和可編程電子系統(tǒng)(E/E/PE)的功能安全國際標準IEC 61508。IEC 61508一經(jīng)頒布就得到了廣泛采用,在它的基礎(chǔ)上,各個工業(yè)應(yīng)用領(lǐng)域的標準也陸續(xù)出臺。
然而,起源于過程工業(yè)領(lǐng)域的IEC61508并不完全適用于汽車工業(yè),例如:它沒有考慮汽車工業(yè) 的分布式開發(fā)模式;它定義了一個與汽車工業(yè)不同的生命周期(測試在產(chǎn)品發(fā)布后進行);它的量化要求(如失效率)沒有考慮大規(guī)模批量生產(chǎn)的情況。隨著安全相關(guān)的電子電氣系統(tǒng)在汽車上的廣泛應(yīng)用,汽車工業(yè)對電子電氣系統(tǒng)功能安全標準的需求也越來越迫切。因此,國際標準化組織(ISO)在IEC 61508的基礎(chǔ)上,制定了專門針對汽車電子電氣系統(tǒng)的功能安全標準,即ISO26262。
2 ISO 26262的內(nèi)容簡介
ISO26262為汽車電子電氣系統(tǒng)的整個生命周期中與功能安全相關(guān)的工作流程和管理流程提 供了指導(dǎo)。在ISO26262中,定義了汽車安全生命周期,汽車安全完整性等級(ASIL)兩個關(guān)鍵概念,對這兩個關(guān)鍵概念的理解是解讀ISO26262的基礎(chǔ)。
2. 1汽車安全生命周期
圖1展示了ISO26262中定義的汽車安全生命周期,包含了從概念設(shè)計、產(chǎn)品開發(fā)到批產(chǎn)后各階段的主要安全活動。
功能安全的概念設(shè)計必須與整個系統(tǒng)的概念 設(shè)計同步進行。在概念設(shè)計階段,要基于系統(tǒng)定義和系統(tǒng)初步架構(gòu),分析可能存在的功能安全風險并評估風險的等級。然后根據(jù)功能安全風險定義安全目標和針對每個安全目標的功能安全概 念。
在產(chǎn)品開發(fā)階段,ISO26262按汽車工業(yè)中常用的V型開發(fā)流程定義相關(guān)安全活動:V型的左 側(cè)是技術(shù)安全需求(功能安全概念的技術(shù)實現(xiàn)途徑)的制定、系統(tǒng)設(shè)計;V型的右側(cè)是系統(tǒng)集成、安全確認和發(fā)布。硬件和軟件的開發(fā)也遵循相似的小V型開發(fā)流程。
在批產(chǎn)之后的階段,需要提供必要的文檔及 方法,以保證在生產(chǎn)、售后服務(wù)和報廢等環(huán)節(jié)中,安全目標不被破壞。同時,需要監(jiān)控售后產(chǎn)品,發(fā)現(xiàn)有違背安全目標的案例要采取相應(yīng)措施。
2. 2汽車安全完整性等級(ASIL)
IEC 61508中通過失效概率的方式定義了安全完整性等級(SIL),但在汽車領(lǐng)域應(yīng)用實踐中,只有隨機硬件失效可以通過統(tǒng)計數(shù)據(jù)評估失效概率,軟件失效難以量化評估。因此,ISO 26262中根據(jù)汽車行業(yè)的特點定義了ASIL。
ASIL在概念設(shè)計階段通過對功能安全風險的評估中得到。如果系統(tǒng)的功能安全風險越大,對應(yīng)的安全要求就越高,則具有更高等級的ASIL。ASIL分為A、B、C、D 4個級別,ASIL D為最高汽車安全完整性等級,對功能安全的要求最高。
ISO 26262中定義的ASIL使用3個參數(shù)進行評估,分別是:危險對駕駛員或其他交通參與人員造成傷害的嚴重程度S,危險所在工況的發(fā)生概率E,危險涉及的駕駛員和其他交通參與人員及時采取控制行動避免特定傷害的能力C。S分為0~ 3級,S0代表無傷害,S3代表危及生命的重傷或致命傷;E分為0~ 4級,E0代表工況不可能發(fā)生,E4代表工況是常見的;C分為0~ 3級,C0代表完全可控,C3代表非常難于控制。對于每一個識別到的危險,按表1評估風險等級(即汽車安全完整性 等級),其中QM表示與安全無關(guān)。
ISO26262為以上3個參數(shù)的評定提供了指 導(dǎo),下面以發(fā)動機管理系統(tǒng)為例進行說明。首先,識別發(fā)動機管理系統(tǒng)的可能故障及其影響:發(fā)動 機管理系統(tǒng)的一個可能故障是控制發(fā)動機輸出過大的轉(zhuǎn)矩,其影響是造成非駕駛員期望的車輛加速;其次,確定已識別故障可導(dǎo)致危險的工況,例如:工況為車輛高速轉(zhuǎn)彎、接近失穩(wěn);最后,按ISO26262的指導(dǎo)分別評定S、E、C級別:上述工況下 加速,將導(dǎo)致車輛失穩(wěn)并與其他車輛或路邊設(shè)施相撞,可能造成人員死亡,S評為3;上述工況的發(fā) 生概率相對較低,E可評為2;車輛失穩(wěn)后,駕駛員幾乎無法進行有效控制避免傷害,C可評為3;按 表1,ASIL為B(僅為示例,不代表標準明確要求或?qū)嶋H工程應(yīng)用)。
系統(tǒng)的ASIL等級越高,ISO 26262對設(shè)計方法、安全技術(shù)、測試方法以及需要達到的技術(shù)指標的要求越嚴格,開發(fā)流程和工作產(chǎn)品的審核和確認也越嚴格。
3ISO 26262的應(yīng)用
ISO26262為功能安全相關(guān)的開發(fā)提供了方法論,將保證汽車電子電氣系統(tǒng)的安全性,減少安全事故的發(fā)生,產(chǎn)生巨大的社會效益;與此同時,安全相關(guān)的投訴和召回事件的減少也將為汽車企業(yè)和供應(yīng)商帶來經(jīng)濟效益。然而,ISO 26262涉及汽車電子電氣系統(tǒng)的整個安全生命周期及其管理 過程,滿足該標準對汽車企業(yè)及供應(yīng)商來說必將是巨大的挑戰(zhàn)。為滿足ISO26262,必須在公司安 全文化、工作流程制定、產(chǎn)品設(shè)計與開發(fā)等方面進行持續(xù)的改進。
3. 1公司安全文化
在公司組織內(nèi)部建立和保持安全文化是ISO26262標準的要求,也是促進功能安全有效實現(xiàn)的前提條件。在具有良好安全文化的公司中:安全 應(yīng)具有最高優(yōu)先級;獎勵系統(tǒng)應(yīng)支持和鼓勵功能安全的有效成果,處罰為取捷徑而危及安全和質(zhì)量的行為。
3. 2工作流程制定
ISO26262對一個完整的汽車安全生命周期定義了安全活動要求。同時,ISO 26262標準中規(guī)定組織內(nèi)部應(yīng)建立、執(zhí)行和保持特定的流程,以滿足標準的各項要求。
在一個公司內(nèi)部為每一個標準單獨設(shè)立一個 流程是不現(xiàn)實的,一個可行的方案是將包括ISO26262在內(nèi)的所有標準融合為公司內(nèi)部流程,工程師僅需要按照內(nèi)部流程工作,即可滿足所有標準。
舉例來講,安全計劃是ISO26262要求的重要流程步驟和工作產(chǎn)品,在公司內(nèi)部流程中,安全計劃可以不是一個獨立的文檔,而是標準項目計劃的一部分,可以在已有的質(zhì)量評審中增加相關(guān)問題,對其進行檢查。
3. 3產(chǎn)品設(shè)計與開發(fā)系統(tǒng)的功能安全性主要決定于產(chǎn)品設(shè)計。
在產(chǎn)品設(shè)計和開發(fā)階段即采取措施,盡可能減少甚至避免系統(tǒng)性失效和隨機硬件失效,是提高功能 安全最有效和最經(jīng)濟的方法,也是使產(chǎn)品滿足ISO26262的必要條件。
系統(tǒng)性失效往往由產(chǎn)品設(shè)計缺陷導(dǎo)致。在設(shè)計中應(yīng)用演繹的和歸納的分析方法,是及早識別 并避 免 潛在 系 統(tǒng) 性 失 效 行 之 有 效 的 途 徑。ISO26262要求所有功能安全相關(guān)的設(shè)計均需采用 歸納分析方法,如失效模式和影響分析(FMEA);并要求具有ASILC和D的功能安全相關(guān)設(shè)計還 需采用演繹分析方法,如故障樹分析(FTA)。除此之外,重用久經(jīng)實踐驗證并受信任的設(shè)計、安全架構(gòu)和標準接口等,也是避免系統(tǒng)性失效的有效途徑。ISO 26262鼓勵重用受信任的設(shè)計原則,并規(guī)定對于具有ASILD的系統(tǒng),棄用受信任的設(shè)計原則的決定需要論證。
隨機硬件失效是指由系統(tǒng)中某一個或幾個元 器件的隨機故障導(dǎo)致的失效,是功能安全風險另一個主要來源。ISO 26262制定了量化指標,如表2、3,用 以 評 價 系 統(tǒng) 在 此 方 面 的 安 全 性。產(chǎn)品 硬 件設(shè)計必須達到要求的指標,才能滿足ISO26262要求。
硬件架構(gòu)指標主要用于衡量硬件架構(gòu)的合理 性。其中單點故障指標等于除單點故障和殘余故障之外的故障占所有故障的比率。以前文所述發(fā)
動機管理系統(tǒng)為例,假設(shè)對于加速踏板傳感器沒有任何診斷和安全機制,加速踏板傳感器信號線與電源短接將被視為加速踏板完全踩下,直接導(dǎo) 致車輛發(fā)生非駕駛員期望的加速。如此,該故障即成為一個單點故障,將導(dǎo)致低的單點故障指標,可能無法達到ASILB的要求。提高單點故障指標的一個方法是設(shè)計診斷功能,例如設(shè)計加速踏 板傳感器信號線對電源短路的診斷。由于診斷功能具有一定的覆蓋率,在某些工況下可能不能檢查到目標故障,該單點故障未被診斷功能覆蓋的部分將成為殘余故障。因此,設(shè)計診斷功能可以降低單點故障指標,但作用有限。降低單點故障指標的另外一種方法是設(shè)計冗余概念,如設(shè)計兩 個獨立的加速踏板傳感器,使其信號可相互校驗。如此,兩個傳感器同時發(fā)生故障才可能導(dǎo)致失效發(fā)生,單點故障轉(zhuǎn)化為多點故障(此處為兩點故 障),單點故障指標得到了提高。
潛伏故障指標等于安全故障和非潛伏故障占 多點故障的比率。在上例中,如果診斷功能故障,可能不會被檢測到或被駕駛員察覺,在這種情況下如果發(fā)生短路,將導(dǎo)致安全風險。該診斷功能的故障可視為潛伏故障。與單點故障指標相同,設(shè)計 冗 余、診斷 等 安 全 機 制,可減 少 潛 伏 故 障,提高潛伏故障指標。
高的硬件架構(gòu)指標表明系統(tǒng)具有好的安全架 構(gòu),但并不一定代表系統(tǒng)足夠安全。如上例中的冗余概念,如果兩只傳感器的失效率都很高,那么系統(tǒng)仍可能無法滿足表3中隨機硬件失效率指標 的要求。ISO 26262規(guī)定隨機失效率考慮單點故障、殘余故障和雙點故障,在硬件元件本身失效率的基礎(chǔ)上,考慮診斷和監(jiān)控技術(shù)覆蓋率,可得出該隨機失效率指標。因此,降低該指標需要結(jié)合低失效率的硬件和高診斷覆蓋率的安全機制。
ISO26262是針對汽車電子電氣系統(tǒng)的功能安全標準,是IEC61508在汽車行業(yè)中的應(yīng)用。該標準定義了完整的汽車安全生命周期,提供了一 套方法用于評估汽車安全完整性等級ASIL,并基于ASIL定義了用于實現(xiàn)安全目標的安全活動要求。作為ISO組織發(fā)布的國際標準,其實施將規(guī)范汽車電子電氣系統(tǒng)的功能安全相關(guān)開發(fā),為保 障汽車安全提供幫助,將產(chǎn)生相應(yīng)的社會和經(jīng)濟效益。
同時,ISO26262的實施也帶來巨大的挑戰(zhàn):整車廠商和供應(yīng)商要在公司安全文化、工作流程制定和產(chǎn)品設(shè)計與開發(fā)等方面進行持續(xù)改進,以 滿足ISO26262要求,提高產(chǎn)品的安全性與競爭力。
ISO9001認證初審第一階段審核目的
專利侵權(quán)糾紛中合法來源抗辯,并非不侵權(quán)抗辯
兩化融合貫標簡介,兩化融合貫標流程及注意事項
ISO14001:2015環(huán)境管理體系標準
為什么ISO9001認證有利于雙方快速達成協(xié)議?
《16949理解與實施》連載——8.3.6 設(shè)計和開發(fā)更改
質(zhì)量管理體系認證包括哪些
國際標準ISO9000中對信息的定義,iso9000對信息的定義