ISO26262和预期功能安全
功能安全技术培训、咨询及认证服务,欢迎致电或加:189********。
新版的汽车安全标准已于去年发布。通过查看主要的更新内容,我们将了解到新标准同即将发布的预期功能安全⾃动驾驶标准的关联关系。
关于ISO 26262
汽车制造商正稳步地将更多的⾃动驾驶功能集成到公路车辆中,并着⼿将功能安全上升为整个⾏业的重中之重。为解决这个问题,汽车巨头和其电⽓和/或电⼦(E/E)系统的各供应商遵循国际标准化组织于2011 年制定的ISO 26262 标准。ISO 26262 适⽤于道路车辆上特定的由电⼦、电⽓和软件组成的安全相关系统在安全⽣命周期内的所有活动。
截⾄⽬前,ISO 26262 标准已为最⼤⽪重 3.5 吨的乘⽤车在功能安全领域解决了很多层⾯的标准问题。司机辅助设备领域、车辆动⼒控制领域、主动和被动安全系统的设计研发都需要遵循 ISO 26262。如:汽车防抱死制动系统(ABS);车⾝稳定控制系统;防撞系统;车道偏离报警系统;⾃适应助⼒转向;主动停车辅助系统;⾃适应悬架控制;安全⽓囊;司机瞌睡警⽰系统;⾃动巡航系统;胎压监控系统等。
2018 年发布的ISO 26262 新标准包括多处更新,消除了对车⾝重量的限制,从⽽将其覆盖范围扩⼤到其他类型的车辆,包括重型公路车辆、卡车、公共汽车和摩托车。值得注意的是,第⼆版还将增添⼀份关于半导体产品的功能安全设计和使⽤指南。
然⽽,ISO 26262:2018 标准中仍缺少关于⾃动驾驶车辆开发的细节规定。在第⼆版 ISO 26262 发布后,这项遗漏的主题将出现在国际标准化组织公共适⽤规范标准 ISO/PAS 21448 之中。这项新标准通常被称为 SOTIF,即「预期功能安全」。
ISO 26262 标准和SOTIF 所最终解决的问题,将涉及汽车供应链的所有部分。例如,设计⾃动化软件将将⽤于解决汽车产品环境中部件的质量和可靠性问题。
ISO 26262 标准对风险评估软件的功能要求进⾏了规定,并对使⽤此类软件具有信⼼。ISO 2626 标准 2 第 8 部分第 11条对此进⾏了说明。对于适⽤于汽车设计、制造和系统操作中使⽤的所有软件,标准规定了软件⼯具合格证书的具体要求。
标准的现⾏版本已经规定了这⼀要求。但是,哪些规定将产⽣重⼤的变更?
第⼆版 ISO 26262 标准的增添内容
第⼆版有何重⼤的新变化?
第⼆版 ISO 26262 标准包括涉及软件供应商的⼀些重要修改和补充。具体包括:
•更新了 PMHF(硬件故障概率度量)⽅程式和安全分析验证。
•扩展了过程以确保软件⼯具包括供应商验证的使⽤置信度。
•ISO 26262 新标准中第 11 部分增加了中半导体应⽤指南。
•ISO 26262 标准确⽴了⼀套关于功能安全的最低满⾜标准,但它没有也⽆法涵盖某个产品的所有安全⽅⾯。系统供应商有责任确保产品满⾜最⾼的安全性、可靠性和性能指标。确保软件⼯具符合安全标准是该过程的⼀部分。
软件⼯具的使⽤置信度
从 ISO 26262 的⾓度来看,⽤于制造汽车系统部件的软件⼯具必须具备在功能安全设计环境中的使⽤资质。证明⽂件以合格证书认证报告的⽅式提交。
本标准第8 部分描述了所有软件⼯具的认证要求及分类要求。并特别明确规定了⼀项名改为「⼯具置信度」(TCL1-3)的标准对置信度进⾏了分级。因此,TCL 可以⽤来衡量软件对故障的响应能⼒和故障检测能⼒。Tcl1 为最⾼等级,Tcl3 为最低等级。
对于⽤于汽车系统开发的软件⼯具,ISO 26262 标准规定,「[分析须确保],对于因软件⼯具故障导致的错误输出所产
对于⽤于汽车系统开发的软件⼯具,ISO 26262 标准规定,「[分析须确保],对于因软件⼯具故障导致的错误输出所产⽣的系统故障风险,在已开发产品中须控制在最低⽔平。中由于软件⼯具故障导致错误输出的系统故障风险最⼩化。如果 ISO 26262 标准要求的活动或任务依赖于所⽤软件⼯具的正确功能,则此开发过程就符合 ISO 26262 标准的要求⽽⾔是⾜够的。」
ISO 26262 标准描述了是否达到某⼀置信⽔平的四种认证⽅法(如表1 和表2 所⽰对TCL2 和TCL3 进⾏了分级规定),但并⾮所有⽅法都是必要的。建议根据设计的⽬标汽车安全集成度(ASIL),采⽤不同的认证⽅法。例如,如某部件对应的是ASIL-A 或ASIL-B 等级,则1a 和1b 是「强烈推荐级⽅法」(++),1c 和1d 是「推荐级⽅法」(+)。
表 1:TCL3 等级的软件⼯具资格(ISO 26262 标准)
表 2:TCL2 等级的软件⼯具资格(ISO 26262 标准)
TCL 2 等级的软件⼯具认证仅提供「强烈推荐级⽅法」(++)(1c)。开发过程⽅法认证(1d)已降级为「推荐级⽅法」(+)。
汽车防撞系统这四种⽅法只是⼯具认证过程的⼀部分。作为执⾏摘要的软件⼯具认证报告将包括分类、验证过程、结果、建议、特殊项⽬过程认证、和有关⼯具使⽤的详细信息。分类为 TCL1 等级的软件开发⼯具适⽤于 ASIL-D 等级的部件,这是汽车安全集成度 4 个等级中最严格的等级。
新 ISO 26262 标准第 11 部分关于半导体的规定
作为⼆级汽车供应商的半导体公司,必须满⾜其原始设备制造商和⼀级客户提出的各项苛刻要求。他们必须证明,交付给客户的集成电路和系统的开发遵循或已经遵循其所⽤软件⼯具的合理设计、验证和验证流程。ISO 26262 标准通过对⼯具认证要求的描述,也印证了这⼀点。
c、错误和故障模式的部分。它还涉及知识产权(IP),特别是涉及到了同ISO 26262 标准知识产权规定相关的任何单个或多个安全要求。
⾃动驾驶和预期功能安全标准的进步
2014 年,国际汽车⼯程师学会(SAE International)在J3016 标准中确⽴了⾃动驾驶的通⽤术语。它描述了六个等级的⾃动驾驶。更⾼程度的⾃动驾驶(AD)这⼀概念,也称为⽆⼈驾驶或⾃动驾驶,正从第 2 级开始逐步引⼊。
图 1:⾃动驾驶的 6 个等级(国际汽车⼯程师学会)
⽬前,⾃动驾驶处于早期发展阶段。我们今天在路上看到的汽车通常是⼆级车。汽车⼯业现在刚刚迈出了三级⾃动驾驶汽车商业化的第⼀步。尽管三级车辆已成为现实,但仍然⾯临着来⾃阻碍其实施的法律和监管的挑战。未来还将出现能够满⾜「⾼度」⾃动驾驶和「完全」⾃动驾驶—4 级和 5 级的⾃动驾驶车辆。
ISO 26262 标准仍是提供安全系统、安全硬件和安全软件的基础。其⽬的是确保在发⽣故障时车辆能够独⽴、安全地运⾏。ISO 26262 标准建⽴了最先进的流程和体系结构,明确规定了保障系统安全的规则。
⽬前仍处于讨论阶段的预期功能安全标准将为0 级、1 级和2 级⾃动驾驶(AD)车辆提供指南。即便如此,全球的⾃动驾驶专家仍在努⼒制定如何使系统安全的规定。
他们⾯临⼀个难题:即使没有故障,⾃动驾驶汽车也必须是安全的。因此,正在起草指导性的预期功能安全标准,以确保⾃动驾驶车辆在正常运⾏期间的功能和安全。
因此,预期功能安全涵盖的主题将包括:
•⾃动驾驶设计⾼级概念的细节;
•⾃动驾驶设计⾼级概念的细节;
•如何评估预期功能安全和 ISDO 26262 标准对危害的不同规定;
•如何降低预期功能安全的相关风险;
•如何检查和验证预期功能安全的相关风险;
•以及在向市场投放⾃动驾驶车辆之前要满⾜的标准。
这将构成⾃动驾驶⽅法的基础。接下来是具体实施。⾃动检查和验证必须满⾜从模拟到整车的多项测试,其中包括涵盖整个四维环境的因素,如天⽓、道路状况、周围景观、产品质地和可能存在的驾驶员误⽤。
对于环境场景的前期概念分析和后期验证,预期功能安全将提供许多⽅法和指南。预期功能安全委员会希望通过不同的场景资料、这些场景的安全分析、安全场景验证、触发事件验证、以及在环境中验证车辆搭载的安全系统,来指导⼴⼤⽤户。这些因素对于遵守即将发布的⾃动驾驶标准⾄关重要。
这些⾼级概念、评估和测试将远超以往的开发过程。有鉴于此,我们对测试平台、软件⼯具、数字双模拟或硬件在环的依赖将⽐以往任何时候更重要。
因此,在开发⾃动驾驶系统时,您必须确信您的团队能够使⽤⼀流的软件⼯具。
参考资料
1.ISO 26262: 2011国际标准化组织国际标准:《公路车辆—功能安全》,第1-9部分,第⼀版,2011年11⽉15⽇出
版物;
2.ISO / DIS 26262: 2016国际标准化组织国际标准草案,《公路车辆—功能安全》,2016年9⽉出版物;
3.ISO / DIS 26262-11: 2016(E)国际标准化组织国际标准草案,《公路车辆—功能安全》,第11部分: “ISO
26262半导体应⽤指南”;
4.ISO / FDIS 26262-8: 2018(E)国际标准化组织最终国际标准版草案,《公路车辆—功能安全》,第8部分:⽀持
过程;
5.《ISO 26262第⼆版:半导体测试的新内容有哪些?》,明导⽩⽪书;
6.《⼈⼯智能控制车辆的功能安全》,明导⽩⽪书。