汽车功能安全标准于2011年作为ISO标准正式颁布,此后,汽车业界开始采纳应用该标准。
虽然标准的采纳是自愿的,但在这样的背景和趋势之下,无论是汽车厂商还是零部件供应商,为了满足ISO 26262的要求,要尽快调整体制,完善规章制度,构筑基于规格的生产流程,并由负责ISO 26262认证的第三方机构进行认证。
接下来,让我们一起来看看ISO 26262到底是什么!
功能安全
什么是功能安全?所谓的“功能安全”,就是通过安全功能和安全措施来避免不可容许的功能风险的技术总称。功能安全(Function Safety)的“功能”指的是监控受控对象和控制器的安全装置起的作用。通常我们将计算机作为安全装置,如果控制器发生故障,则该计算机将会关闭受控对象,并向用户发出危险警告。安全装置所实现的这种安全性作用,被称为“功能安全”。功能安全可以说是通过使用计算机等的安全装置所设计出的安全措施。
但是,在这里不得不提醒大家,安全本身并不是通过增加某种电子安全设备来保证的,而是通过“去除”导致危险发生的设计或机械故障的安全机制来保证。这种安全机制被称为“本质安全”。
举个栗子,这是一个非常经典的例子:
比如在铁路道口,我们常常有这样的危险顾虑,就是有人或者车辆进入到了铁道入口,和火车相撞,导致死亡。“本质安全”就是从根本上避免危险的措施,把危险源直接“除掉”,方法是可以把这个铁道道口改为立交桥。但是在某些情况或某些制约下,不能把铁道道口“除掉”,自然就会想到附加一个安全设施,这就是功能安全。因为某些制约,不得不设置铁路道口,但大家还要想避免这样的交通事故,那怎么办呢?这是功能安全。
欧美已经颁布了成套的功能安全相关产品指令和设计标准,并深入到各个领域,在核电行业、石油、化工、电厂等过程工业,工业机器、电梯扶梯、智能电网、家电软件评估、汽车行业、医疗软件评估领域广泛应用。
这里,我们只谈汽车功能安全。
功能安全制定的历程
功能安全标准化的运动起源于20世纪90年代。
上世纪70年代开始,随着各种现代化及其的使用,以及工业生产过程的自动化程度越来越高,以电气、电子、可编程电子产品的大量应用为标志的现代化控制系统越来越多的渗透到各个领域,参与着各种控制过程。
但是,工业文明在给人类带来利益的同时,也带来了灾难。由于系统设计不合理、设备元器件故障或失效、软件系统的故障导致的事故、人身伤害、环境污染,越来越频繁的危及着我们的生命安全和赖以生存的环境。
人们开始认识到,必须采取措施,用标准和法规来规范领域内安全相关系统的使用,使技术在安全的框架内发展,使人类既能尽可能享受新技术带来的安全和舒适,同时又能掌控危险。功能安全标准研究从此展开。
然而,安全控制系统或设备执行安全功能时的可靠性问题,限制了用户使用新技术的积极性。由于没有公认的评价体系,制造商很难说服用户使用新技术,尤其在关系人身财产安全的重要领域使用新技术。另外,不同行业对安全要求的不同,也限制了安全设备的产业化生产规模。制造商迫切需要一个公认的标准来建立一个与用户对接的公共平台。
于是,2000年5月,国际电工委员会正式发布了IEC61508标准,名为《电气/电子/可编程电子安全相关系统的功能安全》。
IEC61508中,系统中的安全设备(减少风险的手段)由中继控制器或PLC(Programmable logic控制器)等设备构成,我们把安全设备将实现其安全功能的可靠性的概率称为安全完整性水平,即SIL(Safety Integrity Level)。换句话说,基于这个等级标准,即,如果与构成安全系统的部件的故障率低,则由此构成的整个安全系统的故障率也是低的。
但是,有一种观点认为,在SIL定义中加入概率因素并不合适的。为什么不合适呢?那是因为功能安全标准不仅涉及了硬件部分,还涉及了软件部分。仅论硬件故障发生的概率,除了初始故障和损耗故障以外,偶发故障基本是随机发生的,如果把设计错误分开,那么加入概率因素是非常合适的。与此相对的软件故障可不是随机的了,所以软件故障(bug)是很难去计算其发生的概率的。例如,如果软件的设计中混入了bug,只要其发生路径和条件具备,那么故障的发生概率就是百分百!
针对这个问题,对IEC 61508重新修订制定了ISO 26262标准。2011年11月,ISO 26262正式颁布。
ISO 26262 不同于 IEC 61508,它“不是一个可靠性标准”,它并没有为可接受失效概率设定准确的数字。ISO 26262基于概率论的定量危害分析仅限适用于硬件,其次,基于目标产品的使用条件和使用方法,针对整个系统进行危害分析和风险评估,识别出系统危害并对危害的风险等级——ASIL等级(Automotive Safety Integration Level,汽车安全完整性等级)进行评估。IEC 61508定义了安全完整性等级 (SIL),而 ISO 26262 则定义了汽车安全完整性等级 (ASIL)。
ASIL有四个等级,分别为A,B,C,D,其中A是最低的等级,D是最高的等级。然后,针对每种危害确定至少一个安全目标,安全目标是系统的最高级别的安全需求,由安全目标导出系统级别的安全需求,再将安全需求分配到硬件和软件。ASIL等级决定了对系统安全性的要求,ASIL等级越高,对系统的安全性要求越高,为实现安全付出的代价越高,意味着硬件的诊断覆盖率越高,开发流程越严格,相应的开发成本增加、开发周期延长,技术要求严格。
ISO 26262是什么
ISO 26262是针对汽车电子的功能安全标准。
车载电子系统,即车辆所搭载的电子设备和计算机(包括软件),是ISO 26262的直接认证目标对象。在今年颁布的第二版ISO 26262中,车辆对象范围还扩大到了到巴士、卡车、两轮车辆。牛喀学城近期安排的系统功能安全培训针对第二版的功能安全进行了细致的解读,详情点击如下海报了解。
ISO 26262的目的是确保“安全”,为了实现这个目的,不仅要考虑ISO26262直接针对的电子系统,还要考虑构成电子系统的其他元件是否安全。此外,还必须明确ISO 26262的应用场景,从整体上确保车载电子系统的安全性。
图1为ISO 26262的体系结构
ISO 26262的内容包括:
Part 1:定义术语
Part 2:功能安全管理
Part 3:概念阶段
Part 4:产品开发:系统层面
Part 5:产品开发:硬件层面
Part 6:产品开发:软件层面
Part 7:生产、运行、服务和报废
Part 8:支持过程
Part 9:基于ASIL和安全的分析
Part 10:ISO 26262导则
Part 11:半导体应用指南
Part 1是定义标准中使用的术语的词汇表。
Part 2中的功能安全管理定义了涉及安全相关系统开发的组织和人员应满足的要求。
在Part 3概念阶段,ISO 26262给出去了灾害分析和风险评估的要求。主要做三件事:项目定义、安全生命周期初始化、灾害分析和风险评估。
在Part 3中获得的安全需求,将在技术安全中详细说明,并分解在Part 4系统层面的安全设计中。然后,根据硬件和软件层面的开发安全要求(Part 5和6)进行系统集成,最后对系统级功能安全进行测试验证。
在开发阶段,完成系统级产品设计后,将技术安全需求规范分解到相应的软硬件技术安全需求规范里,进而开展软硬件级产品设计,而在硬件层面(Part 5),必要的活动和产品开发过程包括技术安全概念的硬件实现、潜在的硬件故障及影响分析、与软件开发的协调。
在Part6的软件层面开发中,通过V字模型流程,遵循技术安全概念,实施软件安全要求的导出、软件架构设计、软件单体设计和细化。并在此基础上实施编码,完成编码后,进行软件单元测试,软件集成(模块组合)和集成测试,以及软件安全要求的验证。
Part 7规定了直到废弃前的批量生产、服务、市场监管的安全要求。
Part 8规定了对供应商的开发委托要求,所要支持的系统过程(安全要求的管理、配置管理、变更管理、验证、书面化),以及软件工具认证、软件组件认证、硬件组件规定与认证有关的要求,对多个过程进行横向参与。
Part 9提供了关于ASIL认定和技术分析方法的指导,并且与第8部分一样,涉及多个流程。
Part 10是作为Part1~9的补充,对特定项目的解说及事例的指南。
尽管对于 Part 5对于硬件层面已经有相关说明,但是关于半导体层面的要求还是有限的。因此,Part 11针对半导体技术应用,提供了相应的指导,
关于新版ISO 26262的解读,可查看文章:【标准 | 分析解读】ISO 26262 第二版深入解读。
ASIL
在ISO 26262中,ASIL是危害的风险等级的指标。
依据ISO 26262标准进行功能安全设计时,首先对系统的功能进行逐个分析,识别系统所有的危害,然后依据三个因子(S\E\C)来评估危害的风险级别。
严重度(Severity)
严重度是指一旦风险成为现实,对驾驶员、乘员、或者行人等涉险人员的伤害程度。比如电子锁故障就比刹车故障的严重程度低。
严重性用SX表示,X取值可以是0/1/2/3,级别从低到高,级别越高,伤害越严重。S0无伤害;S1轻微或有限伤害;S2严重或危及生命的伤害(可生还);S3危及生命的伤害(有死亡可能)或致命伤害;
风险 | S0 | S1 | S2 | S3 |
内容 | 没有伤害 | 轻度或中度伤害 | 重度或危及生命(还有生存的可能性) | 威胁生命安全(几乎没有生还的可能) |
暴露率(Exposure)
暴露率,描述风险出现时,人员暴露在系统的失效能够造成危害的场景中的概率。基于目标危险事件的情景,根据道路环境、天气、车辆周六的情况、失去等等来判断该指标。比如底盘出现异响比乘员座椅故障暴露率低。
暴露率,用EX表示, X取值从0至4,共5个等级。E0是几乎不肯能暴露于危险中,E4是可能性极高。
风险 | E0 | E1 | E2 | E3 | E4 |
内容 | 没有可能 | 可能性非常低 | 可能性低 | 有一半的可能 | 可能性高 |
可控性(Controllability)
可控性,描述风险出现时,驾驶员或其他涉险人员能够避免事故或伤害的可能性。比如,轮胎缓慢漏气比刹车失灵可控性高。
可控性,用CX表示,最低C0可控,最高C3几乎不可控,共4个级别。
风险 | C0 | C1 | C2 | C3 |
内容 | 可控 | 简单可控 | 一般可控 | 几乎不可控 |
ASIL等级的确定基于S、E、C这三个影响因子,下表中给出了ASIL的确定方法,其中D代表最高等级,A代表最低等级,QM表示质量管理(Quality Management),表示按照质量管理体系开发系统或功能就足够了,不用考虑任何安全相关的设计。确定了危害的ASIL等级后,为每个危害确定至少一个安全目标,作为功能和技术安全需求的基础。