功能安全需求书写 汽车电子咖啡厅

功能安全之“元器件失效模式”汽车电子硬件工程师，最近开始调研“功能安全”相关正文：继续王顾左右而言他。

因为功能安全是在是很大的一个概念。

如果说细了，篇幅很长，显得无趣；而且会显得虚，可操作性差。

因为，工程师往往要求的不是know what、know why，而是know how。

例如，知道热量传递的三种方式传导/对流/辐射，是不是知识？是！该不该掌握？该掌握。

有用吗？没用。

项目脚打后脑勺迫切需要的确认PCB上元器件的温度到底是149度or 151度，然后得马上送去加工。

1、电子元器件失效模式引自ISO26262-5附录中的例子。

电阻的失效率和失效模式即电阻的失效率为2Fit；失效模式中开路占90%，失效率2*90%=1.8Fit失效模式中短路占10%，失效率2*10%=0.2Fit电容的失效率和失效模式：MOSFET的失效率和失效模式：电磁阀的失效率和失效模式：MCU的失效率和失效模式：MCU的失效率很高，为100Fit。

ISO26262中失效模式两行填写的都是ALL，可能是笔误。

但在其文字描述部分提到，由于MCU内部过于复杂，其失效模式得具体ADC、Timer、I/O等展开，此处简化的失效模式正常50%、错误50%。

2、有用吗？没用吗。

有用吗？没用吗知道这个到底有什么用呢？既然主题是功能安全，失效率和失效模式在功能安全的评估中会用到。

功能安全评估中关于硬件的指标有4个。

以其中的1个指标举例，失效率在功能安全评估中的应用。

ASIL B C D对所有元器件失效率的累加之和要求如下：即某路涉及功能安全的回路中，所有元器件的失效率累加之和ASIL B要求<100FitASIL C要求<100FitASIL D要求<10Fit注：有的人也许有疑问，为什么ASIL B和C的要求是一样的，因为这只是指标之一。

那么，问题来了，前面提到MCU失效率是100Fit。

如果安全回路中涉及到MCU，那仅一个元器件就超标了，怎么办？又回到了之前博客文章提到的办法：1）检测和诊断2）如果还不行，那就增加一条回路做冗余备份3、你知道的太多了，呯！呯！呯！ISO26262-5对元器件失效率和失效模式的描述没有出现在正文中，而是出现在附录中，以示例的形式展示给阅读者。

什么是功能安全？汽车功能安全的设计方案如今，汽车行业变革迅猛，汽车的设计、使用和销售模式都在快速演变。

驾驶员安全技术、交通拥堵、环境问题及汽车作为代步工具的基本前提都影响着新一代汽车的研发。

为解决这些难题，很多汽车厂商都试图强化计算能力以优化车辆控制。

欧盟新车安全评鉴协会（EuroNCAP）颁布的新标准规定，车道变换支持等安全辅助功能是获得五星安全评级的必要条件。

车载处理器的数量在所有细分市场都稳步上升，目前平均为40-50个，而一些高端车型则已经搭载近120个处理器。

据Semicast Research预测，到2022年，仅发动机引擎罩下的电子控制单元（ECU）组件就将达到近860亿美元的市场规模，相较2015年的530亿年复合增长率达到7%。

半导体厂商将有机会在汽车电子领域挖掘一大桶金。

高科技芯片可以改善动力系统排放、增强安全性能、并利用蜂窝网络实现车辆间及道路基础设施之间的互联。

但是，随着系统的复杂化，保证驾驶员安全就变得更为关键，必须打造更加自动化，系统化，且能患于未然的解决方案即我们通常所称的功能安全。

什么是功能安全？简而言之，功能安全的最终目的是确保产品安全运行，即便出现问题也可以继续保驾护航。

基于这一理念，ARM将保证安全视为头等大事，而非单纯依照市场导向随波逐流，不断加强研发，推出更多功能安全相关产品。

各行各业都会制定标准，指导未来发展并限定最低准入门槛。

在汽车电子行业，这一标准就是ISO 26262，它将功能安全定义为：避免因电气／电子系统故障而导致的不合理风险。

不同领域的标准并不完全一致，例如针对电气和电子系统的IEC 61508以及飞行器电子硬件的DO-254都有各自的定义方式。

更需值得注意的是，它们都拥有专用术语，并提供了包括目标参数在内的工程研发指导。

因此，开始产品研发前确定目标市场并制定合适的流程至关重要，因为中途修改研发流程必然会导致效率低下。

图1展示了硅片IP的不同应用标准。

01智能汽车的多域融合趋势近几年，随着汽车行业的快速发展，尤其是国内一波补贴过后，多多少少留下一些扎扎实实造车的企业，他们将一些国外先进的技术带入到汽车产品开发中，这些技术慢慢在汽车行业（包括乘用车和商用车）得到普及，本文主要从三个技术角度（即Autosar、MBD、功能安全）来聊聊成为标配的汽车电子技术。

针对每项技术，主要分两步来阐述：第一步说明这个技术的作用；第二步说明这个技术如何用到产品上。

02Autosar2.1 作用Autosar是一批顶尖的主机厂和零部件厂制定出来的一套汽车电子软件开发方法。

软件在汽车电子产品中占据的比例越来越高，汽车又是对软件质量要求极其严格。

那么Autosar给我们带来了什么？a、它提供了需求，在Autosar的需求文档中，它给我们收集了汽车行业很多的需求，给我们打开了一扇汽车行业的窗口。

b、它提供了一套架构，它给我们展示了分层、分模块的矩阵式架构，定义了各个标准模块以及其中的接口，统一了汽车行业基本功能模块的交互和定义。

c、它提供了一套开发方法，Autosar要求按照V模型进行正向开发。

d、它降低了开发难度，提高了软件质量，Autosar源码的开发一般交给专门的组织来开发，并且代码和工具经过第三方认证，而应用autosar的人只需利用Autosar工具链配置生成开发代码即可。

e、说一点它的弊端吧，目前工具链偏贵，并且工具链目前的自动化程度不够高，尤其是集成效率不够高。

随着越来越多巨头（百度、华为等）加入后，相信这些问题会逐步解决。

2.2 应用主要以开发ECU角度来说明，这里不以整车开发角度。

工具链：主流有Vector、ETAS、EB，这里以Vector和ETAS工具链为例说明。

Vector Developer用于应用层架构设计，Vector Configurator 用于BSW+RTE配置; ETAS ISOLAR系列（RTA-RTE RTA-OS）全套开发融合；MCAL目前主要还是使用EB的 Tresos 工具。

汽车电子功能安全设计方法的研究作者：吴丹丹来源：《企业文化·中旬刊》2017年第08期摘要：随着当前社会经济的发展，汽车制造速度在不断的加快，汽车安全成为汽车在设计中需要解决的首要问题，本文就汽车电子功能安全设计与方法进行阐述。

关键词：汽车；电子功能；安全设计电子控制系统是汽车的重要组成部分，在设计的过程中要充分考虑其安全性。

一、汽车电控系统功能安全设计要求（一）功能安全危害分析与风险评估提出了确定功能安全等级（ASIL）的方法，安全等级范围是A、B、C、D，其中ASILA 安全等级最低，ASILD安全等级最高。

在整车和系统电子设计时，需要确定所设计项目的范围。

基于项目定义，确定项目的安全目标，避免不合理的风险。

ASIL使用3个参数进行评估，分别是：危险对驾驶员或其他交通参与人员造成伤害的严重程度S，危险所在工况的发生概率E，危险涉及的驾驶员和其他交通参与人员及時采取控制行动避免特定伤害的能力C。

S 分为0～3级，如表1所示，S0代表无伤害，S3代表危及生命的重伤或致命伤；E分为0～4级，E0代表工况不可能发生，E4代表工况是常见的；C分0～3级，C0代表完全可控，C3代表非常难于控制。

对于每一个识别到的危险，按评估风险等级（即汽车安全完整性等级），其中QM表示与安全无关。

（二）功能安全系统设计系统级产品功能安全设计要求包括产品开发的启动、技术安全要求中的规范、系统设计、项目集成、安全验证、功能安全评估、生产发布。

在启动产品开发和定义技术安全要求后，进行系统设计。

在系统计过程中建立系統架构，将技术安全要求分配给硬件和软件，并且，如果适用，也可应用其它技术。

同时，细化技术安全要求，并添加来自系统架构的要求，包括软硬件接口的要求。

根据架构的复杂性，可以逐步得出子系统的需求。

开发后，集成硬件和软件要素并测试以形成一个相关项，然后，将该相关项集成在整车上。

一旦在整车层面完成了系统集成，进行安全确认以提供与安全目标相关的功能安全证据。

《基于ISO26262的汽车电子功能安全：方法与应用》读书札记目录一、内容描述 (2)1.1 书籍简介 (3)1.2 ISO26262标准概述 (4)二、汽车电子功能安全基础 (5)2.1 功能安全概念 (6)2.2 ISO26262标准体系 (8)2.3 功能安全等级 (9)三、ISO26262在汽车电子中的应用 (11)3.1 驱动电机控制系统 (12)3.2 电池管理系统 (14)3.3 传感器与执行器 (15)3.4 车载通信系统 (17)四、功能安全方法与技术 (18)4.1 安全需求分析 (19)4.2 安全完整性等级 (21)4.3 故障模式与影响分析 (22)4.4 控制器设计与测试 (24)4.5 人机界面设计 (26)五、案例分析 (27)5.1 案例一 (29)5.2 案例二 (29)六、实践与建议 (30)6.1 企业实施功能安全的步骤 (32)6.2 政策建议与行业标准 (33)七、总结与展望 (35)7.1 本书总结 (36)7.2 未来发展趋势 (37)一、内容描述《基于ISO2的汽车电子功能安全：方法与应用》是一本关于汽车电子系统功能安全的专业书籍，作者通过对国际标准化组织(ISO)2标准的研究和实践，详细介绍了汽车电子功能安全的基本概念、原则、方法和技术。

本书旨在帮助读者深入了解汽车电子功能安全的重要性，掌握相关的理论知识，并能够将其应用于实际的汽车电子系统中。

本书共分为五个部分：第一部分为引言，介绍了汽车电子功能安全的背景、意义和发展趋势；第二部分为ISO2标准概述，详细解读了ISO2标准的体系结构、架构和要求；第三部分为基础知识和方法，包括汽车电子系统的安全性分析、故障模式与影响分析(FMEA)、耐久性测试等方面的内容；第四部分为实际应用案例，通过分析典型的汽车电子系统实例，展示了如何将ISO2标准应用于实际项目中；第五部分为结论和展望，总结了本书的主要内容，并对未来汽车电子功能安全的发展进行了展望。

新能源汽车电池管理系统开发中功能安全流程的应用实践CTO 袁永军同湛科技公司介绍上海同湛新能源科技有限公司成立时间:2014年3月中国新能源汽车电子专业解决方案供应商上海同湛新能源科技有限公司:注册地:上海嘉定公司格言: Mark the Future！同心,共湛公司核心成员在新能源汽车电子领域有超过7年的行业经验，进入同湛前均担任多家企高管核成员具有同济大学汽车学新能汽车方向的学究背景BMS企业高管。

核心成员具有同济大学汽车学院新能源汽车方向的学习及研究背景,并仍然保持着与同济大学在新能源汽车核心部件VCU、BMS等方面的研发及测试互动。

公司的定位测试系统及软件开发咨询BMS 系统开发TestZealot 自动测试软件主要客户内容1BMS功能安全开发流程概览2项目初始化及概念阶段的功能安全实践BMS项目初始化及概念阶段的功能安全实践3BMS系统设计阶段的功能安全应用4BMS软硬件设计阶段的功能安全应用5BMS测试及功能安全验证BMS功能安全开发流程概览BMS功能安全开发流程概览功能安全过程系统需求分析系统测试•概念阶段•项目定义•安全计划技术安全需ASPICE3.0 过程SYS.2SYS.5ASPICE ENG统需分析系统架构设计系统集成测试•安全目标ASPICEMan.3求系统设计安全确认功能安全集成测试SYS.3SWE 1SWE 6SYS.4软件需求分析软件架构软件集成测试软件测试•功能安全概念软件安全相关需求软件安全安全相关软安全相关软件确认SWE.1SWE.2SWE.5SWE.6硬件安全相关需求硬件安全相关集成硬件安全指标评估设计相关设计安全相关单元测试件集成测试SWE.3SWE.4软件单元设计安全相关单元设计软件单元测试硬件评估硬件需求测试硬件安全硬件集成测试硬件设计相关设计内容1BMS功能安全开发流程概览2概念阶段的功能安全实践BMS概念阶段的功能安全实践3BMS系统设计阶段的功能安全应用4BMS软硬件设计阶段的功能安全应用5BMS测试及功能安全验证项目定义:workproductBMS项目定义及安全生命周期初始化想要做什么？——项目目标、产品的功能需求我们用在哪？——环境条件的需求要遵守什么法律法规要求•Safety planBMS It d fi iti d 需要遵守什么？——法律法规要求我们可以预知到什么？——已知的安全需求产品由哪些部分组成？——组成产品的各个部件•BMS Item definition.doc •BMS Initial Architecture 谁对产品有影响？——其他系统对产品的要求部件、系统之间如何连接？——接口•HAZOP*一个系统项目（Item):This definition serves to provide sufficient information about the item to the persons who conduct the 个系统*或系统组合*或一个功能来实施ISO26262。

BMS研发核心技术核心算法与测试验证体系长城华冠BMS设计开发部长陈斌斌Contents Page目录页01BMS 核心功能02BMS 功能实现的支撑测试03PACK 系统的测试评价体系04 BMS 测试评价体系301 研发计划和品定义1.1BMS 核心功能电池安全管理电池寿命管理电池功率管理状态估算故障预测和诊断电池有哪些安全隐患？•起火•爆炸•有毒气体泄漏•。

什么原因导致电池发生安全事故？•过充电•过放电•温度过高•电池缺陷•。

怎样避免发生安全事故？•BMS要持续监控电池状态•控制电池工作状态，包括温度，工作电流，工作电压等。

•通过算法估算电池状态，预测电池故障•。

单体电池单体电池电压电池组总电压单体电压离散度单体电压压差充电时间充电电流充电机电压限制多维度充放电保护为什么电池成组寿命会是一个问题？•电池组设计时，由于单体特性差异，安装位置差异，连接阻抗差异等导致成组电池特性下降，符合木桶原理•温度：温度对寿命影响很大。

•充放电深度对寿命影响很大关于电池组的寿命，BMS有多大的操作空间？•55度和25度电池寿命差4倍•100%DOD和50%DOD寿命差4倍•充电截止电压4.05和4.15寿命差2.5倍•放电倍率0.7C和10C寿命差5倍BMS怎样提升电池的寿命？•控制温度：热管理策略•控制放电深度：放电策略•充电策略•控制充放电倍率电池寿命温度55度：250次25度：1000次DOD 100%DOD ：1000次50%DOD ：4000次充电策略4.15:800次4.05:2000次充放电倍率0.7C ：1000次10C ：200次15000140001300012000110001000090008000700060005000400030002000100060%65%70%75%80%85%90%95%100%7008009001000110012001300140015001600170018001900200021002200230024002500260027002800290030003100320070%75%80%85%90%95%100%10估算电池状态1.8ＳＯＣＳＯＰＳＯＨＳＯＥ状态估算BMS 核心功能动力电池的那些状态需要精确估算•SOC ：电池还剩多少电•SOP ：是下一时刻比如下一个2秒、10秒、30秒以及持续的大电流的时候电池能够提供的最大的放电和被充电的功率•SOH ：是指电池的健康状态。

汽车功能安全产品设计概述随着电动化、智能化的发展，越来越多的汽车配备了电子电气系统，如电传动系统、助力转向系统、自动驾驶系统等，原有的机械部件被电子器件取代。

而引入如此复杂的电子电气系统对整车安全带来了极大的风险，简单的一个元器件老化、失效，都有可能引发系统故障，进而导致事故发生。

因此，对汽车及其相关零部件安全的要求也是越来越高。

为了达到更高程度的安全要求，在针对其他行业安全的通用IEC61508标准的基础上，衍生出针对汽车行业特定的ISO26262功能安全标准。

ISO26262要求车载电子电气系统在检测到潜在的危险情况，启动保护或纠正装置，以防止发生危险事件或提供缓解措施以减少危险事件的后果。

简而言之，功能安全的最终目的是确保产品安全运行，即便出现问题也能够最大程度减少伤害。

所以，在电动化及智能化程度最高的新能源汽车行业，引入和深入实施ISO26262功能安全标准，指导相关的产品开发，是十分必要的。

ISO26262对关键的安全级别进行了四层划分，通过汽车安全完整性等级（ASIL）来衡量。

ASILA是最低等级，要求数目约100个左右，而ASILD是最高等级，要求数目近200个。

等级越高，安全系统就需要提供越多的安全和验证措施，需要增加更多的测试和集成工作，也就意味着供应商需要承担更多的开发成本和时间。

为了实现新能源汽车的整车功能安全，需要OEM和各级供应商有着明确的职责划分和合作模式，国外主机厂在与供应商合作中，如博世、电装等，都有着明确的功能安全标准和验证要求。

当然不同的汽车部件对功能安全的要求是不同的，越核心的部件需要越高等级的功能安全。

就新能源汽车车辆自身安全而言，电机控制器不得不算是最核心的部件之一，电机控制器作为新能源汽车的动力控制系统，掌握着整车的加速、刹车等关键性能，电控失效带来的安全风险不容忽视，所以，符合功能安全的电控设计正逐渐成为业内的普遍需求，当前对电控的功能安全需求多为ASILC等级，但在未来，电控的功能安全需求或将提升为ASILD级，这需要供应商具备复杂度更高、冗余性更强、可靠性指标更高的电控产品设计能力和水平。

Development Interface Agreement - DIA1Table of Contents1T ABLE OF C ONTENTS (2)2R EVISION H ISTORY (3)3I NTRODUCTION (4)3.1G ENERAL OVERVIEW (4)3.2A BOUT THIS DOCUMENT (4)3.3A BBREVIATIONS (4)4R EFERENCES (6)5B ACKGROUND TO DIA (7)6R EFERENCE TO NDA (7)7P ROCESSES (7)8W ORK P RODUCTS (7)9R ESPONSIBILITIES (8)10I NTERFACES (8)10.1M ILESTONES (9)11C OMBINED ACTIVITIES (9)11.1C OMBINED CONFIRMATION REVIEWS (9)11.2P LANNING OF S AFETY A SSESSMENTS (9)12C OMMUNICATION (9)13R ESPONSIBILITIES AFTER SOP (9)2Revision Historydocument.Before releasing the Work Product (document) all blue italic text must be removed.Mark unused sections of this document as “NOT APPLICABLE”, do not remove the paragraph heading.Text marked with a <green background> is to be replaced by something specific. This shall be used if there are specific keywords within standardized paragraphs that shall be replaced when creating the Work Product from the template.3Introduction3.1General overviewThis section shall contain a brief description of the background of and/or reason for this development project.Describe briefly the system being developed. If the product/item developed at this level is part of a system, also briefly describe the products’ relationship to the system.3.2About this documentThis Development Interface Agreement (DIA) applies to the development work carried out for the above stated development project where the system contains software (Automotive Spice) and/or requirements regarding functional safety (ISO 26262).The DIA is a bilateral contract determining each party’s interfaces and responsibilities.The parties this DIA applies to are:XXXX Automot ive (named “XXXA” hereafter)and<supplier name>This DIA shall be put under configuration control and updated if necessary during the course of the development project.For further information and recommendation of how to set up this DIA please refer to ISO 26262-8:5.4.3.3Abbreviations4References5Background to DIADefine here the background to why this DIA has been established.6Reference to NDAState reference to any Non Disclosure Agreement (NDA) here.7ProcessesList all safety activities in this paragraph. State which party (XXXA or supplier) is responsible “R” and supporting “S” for each activity.8Work ProductsList all safety work. State which party (XXXA or supplier) is responsible “R” and supporting “S” for each activity. State which party (XXXA or supplier) approves “A” the work product. State which party the work product is for information “I”.9Responsibilities Assign roles10InterfacesDefine the interfaces between XXXA and supplier:This doesn’t necessarily need to be in the form of a table. A detailed description regarding processes, contact persons and mechanisms of communication might be needed.10.1MilestonesDefine the milestones for prototypes, sample parts and delivery dates here.旗开得胜读万卷书行万里路111Combined activities11.1Combined confirmation reviewsDefine combined confirmation reviews here.11.2Planning of Safety AssessmentsDefine the planning of safety assessments here.12CommunicationDefine the communication mechanisms in between XXXA and the supplier here: -Reporting of status-Reporting of progress-Regular meetings etc.-Acceptance and product approval13Responsibilities after SOPDefine the responsibilities of XXXA and Supplier after SOP.。