Automobile Parts 2021.06
063
Introduction to Functional Safety Development of Electronic Components for New Energy Vehicles Based on ISO 26262
收稿日期:2021-03-01
作者简介:辛强(1983 ),男,硕士,高级工程师,研究方向为发动机技术及新能源㊂E-mail:126㊂
DOI :10.19466/jki.1674-1986.2021.06.012
基于ISO 26262的新能源汽车电子电器部件功能安全开发简介
辛强1,朱卫兵2,胡璟1
(1.中国汽车零部件工业有限公司,北京100083;
2.上汽通用五菱汽车股份有限公司质量部,广西柳州545007)
摘要:为加深理解并提高汽车电子电器部件的功能安全,介绍了功能安全的概念以及电子电器部件安全性的开发过程㊂分析
了汽车安全完整性等级(ASIL 等级)评估分级,并通过实例进一步解释了功能安全等级的划分标准㊂基于ISO 26262标准,提出
了一个新的汽车功能安全设计方案,并给出了每一个设计环节的注意事项和要求,为汽车电子电器部件功能安全设计开发者提供参考㊂
关键词:功能安全;汽车电子电器部件;安全等级评估中图分类号:U463
Introduction to Functional Safety Development of Electronic Components
for New Energy Vehicles Based on ISO 26262
XIN Qiang 1
,
ZHU Weibing 2
,HU Jing 1
(1.China Auto Parts &Accessories Corp,Beijing 100083,China;
2.SAIC-GM-Wuling Automobile Co.,Ltd.,Liuzhou Guangxi 545007,China)
Abstract :In order to deeply understanding and improve the functional safety of automotive electronic and electrical components,the
concept of functional safety and the development process of the safety of electronic and electrical components were introduced.The assessment
classification of ASIL level was analyzed,and the classification standard of functional safety level was further explained through an example.
Based on ISO 26262standard,a new automotive functional safety design scheme was proposed,and the notes and requirements of each design
link were given,which provided a reference for the developers of functional safety design of automotive electronic and electrical components.
Keywords :Functional safety;Automotive electronic and electrical components;ASIL level
0㊀引言
随着电子电器部件的集成度要求越来越高,面临的安全问题也越来越严重,如丰田汽车于2010年召回了几百万车辆,主要就是由于汽车电子油门踏板引起的故障㊂功能安全是指避免由系统功能性故障导致的不可接受的风险,在本质安全无法达到时,尽可能增加安全机制㊂从而提高安全等级,保障生命安全㊂
目前电子电器产品集成度的增加以及产品上市时间的紧迫性的双重压力,由此引发的故障也越来越多,主流车企,无论欧美系或日韩系,都在认真地研究功能安全并指导自身产品的开发,而忽视功能安全的企业在现代信息传播快速的年代中,将很可能快速丧失技术优势和号召力,最终导致市场份额的大幅下滑㊂因此对汽车电子电器进行设计时,其构建软硬件系统就需要考虑在正常条件及存在故障条件下,控制设备㊁车辆系统的安全功能必须都能够保证,而功能安全就是在车辆本质安全无法达到时,考虑到各种危险因素,增加安全机制从
而提高车辆的安全等级,这在电子产品开发中有着非常重要的作用㊂
1㊀功能安全的概念及产生
ISO 26262是从电气㊁电子及可编程电子安全相关系统的功能安全基本标准IEC 61508派生出来的,功能安全主要关注的是车辆发生系统故障的情况,而不是车辆的原有功能或性能㊂以电子油门的管理系统为例,主要由感知㊁决策㊁执行三部分构成,其中加速踏板位置传感器信号是发动机输出转矩主要决定因素㊂若位置传感器发生故障,感知不准确,将使其与实际位置发生偏离,则可能导致发动机输出转矩过大,造成车辆出现突然加速,引发交通事故,如近期比较热议的电动车高速撞车事件,这就是制动管理系统的一个功能安全风险㊂因此,要从设计上采取措施,就要考虑到加速踏板传感器故障发生时发动机/电机转矩仍然可控,这样才能提高动力系统管理系统的安全性㊂
2021.06 Automobile Parts 064Research & Development
由于整车企业是直接面对消费者,所以整车厂(OEM)需要对产品的安全性负责,OEM可以要求零部件厂提供符合功能安全的产品,这样可以减少主机厂的很多工作㊂OEM通过和供应商签订开发接口协议(DIA),明确双方责任,通过DIA协议,供应商需要承担功能安全的责任㊂但在新的环境下,建立功能安全架构是双方的责任,如OEM在概念设计阶段就要对相关车辆部件的安全等级进行明确,然后开展系统开发,零部件供应商在前期就要介入相关软硬件的产品开发,并保证合规性,直至整车合规㊂
2㊀汽车电子电器部件安全性的开发流程
传统车辆的质量控制体系主要以ISO9001㊁TS16949㊁采购技术参数以及版本控制为主,但是随着新能源汽车技术的发展,特别是软件定义汽车的年代,面临越来越多的新的问题,因此需要引入功能安全对电子电器的软硬件进行产品质量过程的控制,其中包括风险分析㊁ASIL等级分级㊁安全概念㊁可溯源性等等㊂ISO26262标准针对汽车的电子电器系统,通过增加安全机制使系统达到可接受的安全程度㊂主要构成包括3个部分:(1)功能安全的管理,建立每个过程的安全开发;(2)安全产品的相关开发,包括概念开发㊁系统开发和实际开发;(3)生产和运维,从整个生命周期对产品的安全性提出要求㊂ISO26262标准对于功能安全的制定采用了汽车软件工程中常用的扩展V模型,如图1
所示㊂图1㊀基于ISO26262V模型开发过程
㊀㊀由图可知,其开发过程如下:(1)概念阶段是扩展模型V的翅膀,与安全相关的项目是由它来定义的,为后续执行工作提供对该项目的全面了解㊂(2)V模型的左半部分是由系统级的产品安全工程需求定义㊁系统设计㊁硬件级产品安全功能需求定义㊁硬件设计㊁软件级的产品功能安全需求定义㊁软件设计开发所构成㊂(3) V模型的右半部分主要关注于前部分涉及的各个过程的验证和确认㊂
3㊀汽车功能安全等级评估
在对ISO26262标准中的系统进行功能安全设计时,前期非常重要的一个步骤是对系统进行危害分析和风险评估,从而识别出系统的危害,并根据相关危害情况对危害的风险等级 汽车安全完整性等级(Automotive
Safety Integration Level,ASIL)进行评估㊂风险分析的流程,主要包括场景分析,在不同驾驶环境下识别风险,可以用的工具包括FMEA㊁FTA等;然后根据风险参数进行危害度分析,从而确定ASIL,明确要达到的安全目标;最后复审,验证分类的正确性和一致性[2]㊂ISO26262标准规定,ASIL有A㊁B㊁C㊁D4个等级,其中A是最低等级,D是最高等级㊂ASIL等级决定了对系统安全性的要求,ASIL等级越高,对系统的安全性要求越高,也意味着为实现安全付出的代价越高,相关的硬件诊断覆盖率越高,所对应的开发成本增加,开丰田公司简介
Automobile Parts 2021.06
065
样一来即便助力方向错误,由于助力有限,驾驶员还是可以控制汽车[3]㊂
(3)形成软件安全需求和硬件安全需求,这些安全需求,可以作为软/硬件设计的依据,同时也继承了相同的ASIL 等级㊂
王旭阳.参照ISO26262的安全低功耗AUTOSAR 基础软件模块
[D].杭州:浙江大学,2013.
[3]沈学强.功能安全的人因影响及量化分析研究[D].北京:华北
电力大学,2014.
[4]耿莉莉.基于ISO26262标准的安全关键嵌入式软件开发技术与
工具[D].杭州:浙江大学,2013
发布评论