一文读懂ISO26262安全功能标准
随着汽车行业复杂性的日益提升,汽车已经成为人们生活中重要的一部分,所以人们加大了汽车开发安全和规范系统的力度。另一方面,电子电气系统越来越集成化和复杂化。例如现代汽车使用的油门线控,司机踩油门时,踏板中的传感器将向电子控制元件发送信号,该控制单元将分析多种因素,如引擎速度、车辆速度及踏板位置。最后控制单元将向油门传递指令。所以现代汽车使用的其安全性也显得越发重要。因此,对功能安全的考虑是汽车行业首要考虑的因素之一,ISO26262正是国际标准化组织专门针对汽车电子电气系统制定的功能安全标准,目前已经在汽车行业广泛推行。
ISO26262功能安全在将来的汽车研发中是关键的要素之一,新的功能不仅可以用于辅助驾驶,也可以用于车辆动态控制和涉及到安全工程领域的主动安全系统。ISO26262为汽车安全提供了一个生命周期理念,即管理、开发、生产、经营、服务、报废。同时标准涵盖功能性安全方面的整体开发过程:需求规划、设计、实施、集成、验证、确认和配置。
FTTI时间在IEC61508和ISO26262标准中都是一个很核心的概念,甚至在所有可靠性安全设计标准中都是核心,因为它表示对失效的控制策略和控制速度。FTTI是针对某一特定的故障,针对某一个电子模块中所考虑的功能,FTTI时间都会不同 。例如传感器中发生的故障,这个故障传播的时间为200ms,整车将此故障所带来的故障表现为事故需要500ms,那么对此传感器的FTTI时间可以定义为:FTTI=200ms+500ms=700ms。
ASIL即Automotive Safety Integration Level,中文是汽车安全完整性等级。ASIL描述系统能够实现指定安全目标的概率高低。
ASIL有四个等级,分别为A、B、C、D,其中A是最低的等级,D是最高的等级。然后,针对每种危害确定至少一个安全目标,安全目标是系统的最高级别的安全需求,由安全目标导出系统级别的安全需求,再将安全需求分配到硬件和软件。ASIL等级决定了对系统安全性的要求,ASIL等级越高,对系统的安全性要求越高,为实现安全付出的代价越高,意味着硬件的诊断覆盖率越高,开发流程越严格,相应的开发成本增加、开发周期延长,技术要求严格。
ASIL等级确定基于上面的影响因素,下图给出了ASIL确定方法。D代表高等级,A代表低等级,QM为质量管理。表示按照质量管理体系开发系统或功能就足够了,不用考虑任何安全相关的设计。确定了危害的ASIL等级后,为每个危害确定至少一个安全目标,作为功能和技术安全需求的基础。
汽车上的全部电子电气系统都会划分安全等级,包括系统、子系统、电子零件等。其目的是使相关人员和部门统一认识,避免因为目标含混不清,职责不明确造成的风险;另一方面,避免在同一个安全要素上重复投入资源,出现分布不均而出现的资源浪费,一个风险点有几个安全保障,而另一个故障点却没有人意识到。通过系统性,全生命周期的思考方式,实现全面的规划安全功能的目的。ASIL安全等级划分的目的是为了明确每个系统,每个子系统,每个零件的安全目标,制定执行明确的安全措施,一方面使相关人员和部门统一认识,避免因为目标含混不清,职责不明确造成的风险;另一方面,避免在同一个安全要素上重复投入资源,出现分布不均而出现的资源浪费,一个风险点有几个安全保障,而另一个故障点却没有人意识到。通过系统性,全生命周期的思考方式,实现全面的规划安全功能的目的。3.TCLTCL即Tool Confidence Level,中文我们称为工具信赖度。因为我们在做电子产品和系统设计时都会使用软件进行设计辅助,因此这里的工具通常指的是我们产品开发使用的软件工具。工具信赖度(TCL)的意义是在开发过程中使用的软件工具的功能必须能正确运行,因为软件工具所出现的故障可能会在产品开发过程中引入你的产品。工具信赖度中两个标准。一是工具影响TI和工具错误检测TD。TI用于评估正在接受评估的软件工具是否对正在开发的设计产生直接的安全相关影响。TI1意味着对设计没有直接影响,而TI2则表示对设计有直接影响。TD确定了您的信赖度,即有措施可以预防和/或检测工具故障。TD1意味高信赖度;TD2表示中等程度的信赖度;而TD3表示较低的信赖度。因此我们可以用下表建立TCL。
FMEDA在功能安全工作中起到很重要的作用,它对功能安全产品的失效风险、是否可诊断进行定性分析,同时也为平均失效概率和安全完整性等级的计算提供了有效的数据支撑。
FMEDA在FMEA基础上增加了两部分信息:
1) 对所有要分析的部件给出定量的失效数据。
2)系统或子系统通过自动在线诊断发现失效的能力。
众所周知,ISO26262标准中对系统做功能安全设计时,前期重要的一个步骤就是对系统进行危害分析和风险评估,识别出系统的危害并且对危害进行风险等级进行评估。ASIL等级越高,对系统安全性要求越高,相应的开发成本会增加,开发周期会延长,技术要求会更加严格。ISO26262标准进行安全功能设计时,需要识别系统的功能,并分析其所有可能的功能故障。如果在系统开发的各个阶段发现在本阶段没有识别出来的故障,都要回到这个阶段,进行更新。功能故障在一些场景下才会造成损伤事件。例如电动尾门来说,汽车电动尾门对于安全性来讲,首先要保证车门的正常开合,闭锁,解锁。同时在开关门的过程中要预防人的夹伤,如果车门不能正常开合就会发生功能故障。其次汽车电动尾门需要在各种环境气候下都能正常使用,对防水,防潮,耐高温低温的要求非常高,因此安全等级越高,相应的成本也会更大。如今随着汽车电子的发展,电动尾门安全等级也越来越高,ASIL会指导如何选择适当方法,以达到一定程度的产品安全完整性,智能电动尾门大都能满足ASIL较高的安全等级。
随着汽车电子的日益发展,汽车安全性越来越受到人们的广泛关注。每一辆生产出来的汽车上路之后都会融入我们的日常生活,一旦汽车上的软硬件设备和系统发生失效或故障,都有可能危害到人类的生命财产安全。ISO26262标准的价值核心在于它可以通过系统的功能安全研发管理流程,以及针对汽车电子控制系统硬件和软件的系统化验证和确认方法,保证电子系统的安全功能在面对各种严酷条件时不失效,从而保证驾乘人员以及路人的安全。对于汽车厂商而言,贯彻执行ISO26262标准不仅可以提高安全性能,提升产品内在价值,也可以最大程度的控制因为电子部件可靠性问题导致的整车召回风险,避免品牌形象受损,避免蒙受较大的经济损失。随着时代发展采用ISO26262标准将成为汽车行业的趋势,ISO26262标准也将成为汽车行业重要的标准之一。
昆山恒瑞诚工业科技有限公司
专业从事各类车辆开度限位器
汽车尾门撑杆系统,汽车零部件研发!
官方网站:http://www.ks-hrc.com/
服务热线:15262686876
部分信息来源互联网,如有侵权请联系删除!
- 用户评论
