及ISO26262标准
摘要:在现代汽车工业中,电子元件被广泛地应用于车
辆。FSM(功能安全管理)越来越重要,在车辆系统的
设计。避免由随机故障引起的不可接受的风险或设计工
程师应考虑到系统故障。这是本文介绍了安全相关产品
设计的概念和过程如何遵循ISO于2012年11月发布的
ISO 26262标准。
随着汽车电子在汽车设计中的应用越来越广泛,如何防止车产品在使用中的安全性。免功能失效引发人身伤害事故,或将危险
为汽车系统设计的一大挑战。设计的安全
高尔夫蓝驱标准受到地域,环境和当时技术条件的限
制。如果在产品设计的一开始没有很好
地考虑安全性要求,汽车使用中不但可能
危及人的生命,而且企业将不得不花费巨
额的资金和人力去弥补产品的缺陷,甚至
由于随机故障或系统故障而引发危险的事 1 汽车电子安全设计故成为汽车电子设计工程师面临的问题。
的理由和目标
2 011年11月随着ISO26262正式发布以
来,汽车安全性越来越受到国内汽车从业
者的重视。文中介绍了ISO26262规范以及如何在设计中满足规范的要求以提高汽
汽车在行驶中,由于电子零件失效或设计缺陷导致部分功能的失效而引发事故在以往有深刻的教训。在设计中,如何避
危及企业的生存。图1表示危险事故可 (PMHF ) 等等。
产品开发阶段:产品安全规格定义, 同的级别。同一功能在不同的驾驶情况下 也会有不同ASIL 等级评判。 ASIL 级别参 考表1。
能性和危害程度的关系。
软硬件接口,硬件开发和软件开发,测试
规范等。
表1 ASIL 级别的判断 测 试 验
高
S0
S1 S2 S3 证 阶 段 : 包 风险太高区域
E1 E2 E3 E4 E1 E2 E3 E4 E1 E2 E3 E4
QM QM QM QM QM QM QM QM QM QM QM QM
鸿蒙座舱QM QM
括 软 硬 件 安 全 性 能 测 C1
C2
C3
QM ASIL A 试 , 系 统 集
降低风险
QM ASIL A ASIL B
成 测 试 , 失 QM QM
QM
QM
效 率 和 故 障 QM ASIL A
度 计 算 , 测
QM ASIL A ASIL B 风险可以接受区域
试 和 计 算 结 低
QM ASIL A ASIL B ASIL C
果 和 开 发 工 高
低
QM QM
QM
QM ASIL A
具评估。
伤害程度
QM ASILA ASIL B
图1 危险事故可能性和危害程度的关系
QM ASIL A ASIL B ASIL C QM ASIL B ASIL C ASIL D
2 汽车安全性设计流程
3 汽车功能安全等级
福特探险者2020新款例如汽车安全气囊功能:
故障方式1:在正常行驶时打开安全 在ISO26262标准中,涉及安全的 气囊。
S 取值为3:如果在正常行驶过程中打 产品设计定义了几个重要阶段, 系统架 构定义阶段,开发设计阶段,测试验证 和评估阶段,如图2所示。
汽车功能安全等级的确认是设计的前 提,否则可能陷入过度设计或弱设计。安 全等级的评判由三个因素决定:伤害严重
程度,发生概率和可控程度。
开,会造成车辆失控而造成伤害,并可能 危及生命。
E 取值为4:发生在高速,快速道路, 城市道路等都会造成伤害事故。
C 取值为3: 在行驶过程中遭遇安全 气囊打开,大部分司机会难以控制汽车。
所以S3+E4+C3=ASIL D 。
故障方式2:在遇到碰撞事故时未打 开安全气囊。
伤害严重程度指在某一功能 ASIL 确定
失效的情况下,发生事故时对人 体的伤害程度,包含驾驶人员, 乘员和行人和环境。伤害程度分
为无伤害,轻度害伤,重度伤害 但无生命危险,重度伤害并可能 危及生命,分别对应0~3四个等 系统架构
整车安全目标 和安全状态 安全概念
硬件和软件要求
开发设计
硬件和软件的开发
硬件和软件的安全测试要求
S 取值为3: 驾驶人员或乘员可能因 为在碰撞时气囊没有打开而受伤,并可能 危及生命。
级。
发生概率是故障发生时,在 测试结果的评估
安全分析计算结果的评估 工具的评估
何种情况下发生伤害事故,包括 行驶速度,路况,天气等等,分 别对应1~4四个等级。
测试验证和评估
E 取值为1:仅发生在以一定速度下的 碰撞,一年发生次数可能少于一次。
C 取值为3: 大部分司机会难以控制 汽车。
图2 涉及安全的产品的开发流程 可控程度指在故障发生时,
系 统 架 构 定 义 阶 段 : 包 含 功 能 ASIL 级别的定义,ASIL 整车系统分配, 控制模块框架结构及相互关系,整车级 和零件级的安全概念,安全目标,安全 状态,单点故障度(SPFM ),潜在故 障度(LFM )和硬件随机故障目标值
驾驶人员对车辆的控制能力。从控制比较 简单,通常可以控制和难以控制,分别对 应1~3三个等级。
所以S3+E1+C3=ASIL A 。
4 安全概念
汽车功能安全等级由以上三项的和决 定。不同国家,地区道路状况不同,驾 车,行人走路习惯也不同,可能会得出不
电子模块零件随机失效和系统失效是
汽车系统设计必须考虑的问题。一旦电子 零件失效导致关键功能丧失,必须让司机 能够最有效控制车辆,避免危险的发生, 最大限度保护乘车人员和行人的安全是产 品设计者必需认真对待的问题。所以设计 概念是一旦失效,汽车应该能在一定的时 间内恢复功能,保持或切换到最低限度安 全状态,同时提供必要的报警信息以帮助 驾驶人员避免事故的发生。
完成。如何分配风险,冗余设计,检测率 和硬件随机故障目标值需要在安全设计方 案 中 详 细 定 义 。ISO 规 定 了ASIL 分 配 建 议。目前通常的风险分配方案有:
ASILD 可以分解成ASIL B+ASIL B 或 ASIL C+ASIL A 或ASIL D+ QM ;车险排名
ASIL C 可以分解成ASIL A+ ASIL B 或ASIL C+QM ;
6 零件失效概率计算
零件的失效概率可以通过下列公式计算: U
T
D
λ=λref ×π×π ×π
,单位是FIT/h
。 λref 为参考条件情况下的失效率。 π U 为工作电压修正系数。 T 为工作温度修正系数。 为参数漂移敏感度修正系数。
π π D
ASIL B 可以分解成 ASIL A+ ASIL A 或ASIL B+QM 。
系 数 的 查 阅 和 计 算 可 以 参 考 以上面汽车安全气囊为例,在快速行 车时一旦误触发,可能会造成严重事故。 所以系统设计的概念是保证在行驶过程中 在未碰撞情况下不打开气囊,安全状态应 该是不打开气囊。
SN29500 或其他相关标准。
基本实现方案1:ASILA 输出,带检测和诊断
诊断
ASIL A
输出
出入
传感器
控制单元/监测
执行器
图3 方案1
5 对待危险故障的对策方案
基本实现方案2:ASIL B 输出,备份通道保证在故障时切换到安全状态,带诊断
诊断
ASIl B 对待分析中任何可能导致危险的失效 输出
输入
传感器
控制单元
都必须确定设计的安全目标,故障发生时 应该保持的安全状态。对于有高安全等级 功能要求,零件
的随机故障率就会超过 ISO26262设定的故障值,对于这些关键 功能需要提供冗余度设计以防单个故障引 起功能失效从而引发人身伤害事故。
对策包含:系统方案和指标的确定, 硬件软件的设计和验证。ISO26262第五 和第六部分定义了硬件和软件的要求。硬 件部分要求如表2和表3所示。
&
执行器
监测单元
图4 方案2
基本实现方案3:ASIL C 输出,由ASIL A 和 ASIL B 组合
诊断
ASIL A (C)
输出
输入
输入
控制器 传感器
传感器
执行器
执行器
/ 监控
M
诊断
ASIL B (C)
输出
汽车各项功能由一个或多个控制模块
控制器
&
监控
表2 安全相关产品故障度的要求
图5 方案3
基本实现方案4:ASIL D 输出,由ASIL B 和 ASIL B 组合
ASIL B汽车大梁钢
ASIL C ASIL D
诊断
单点故障度(SPFM ) 潜在故障度(LFM) 90% 97% 80% 99% 90%
≥ ≥ ≥ ≥ ≥ ASIL B (D )
输出
≥ 60% 输入
输入
传感器
控制器
&
执行器
M
监控
表3 安全相关产品硬件随机故障目标值的要求
诊断
ASIL B (D ) ASIL D 硬件随机故障目标值(RHFT )
ssc tuatara输出
传感器
控制器
&
执行器
<10-8 h -1
<10-7 h -1 <10-7 h -1
C 监控
B
图6 方案4
发布评论