汽车电子电气系统的功能安全标准ISO26262
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
【关键词】 国际标准 汽车 功能安全
doi: 10. 3969 / j. issn. 1007-4554. 2011. 10. 15
0 引言
的由来,然后解读 ISO 26262 的内容和关键概念, 最后分析 ISO 26262 的应用方法。
当前,电子 电 气 系 统 是 汽 车 技 术 最 重 要 创 新 领域之一。该领域的新技术和新产品不断涌现, 在提高汽车乘坐舒适性、降低能耗、减少排放等方 面起到了 重 要 的 作 用。 然 而,很 多 汽 车 电 子 电 气 系统与安全 密 切 相 关,其 中 可 能 存 在 的 系 统 性 失 效和随机硬件失效,有导致汽车安全事故的风险。 汽车电 子 电 气 系 统 的 复 杂 性 和 集 成 度 在 不 断 提 高,这种风险也随之增大。
在产品开发阶段,ISO 26262 按汽车工业中常 用的 V 型开发流程定义相关安全活动: V 型的左 侧是技术安全需求( 功能安全概念的技术实现途 径) 的制定、系统设计; V 型的右侧是系统集成、安 全确认和发布。硬件和软件的开发也遵循相似的 小 V 型开发流程。
在批产之 后 的 阶 段,需 要 提 供 必 要 的 文 档 及 方法,以保证在生产、售后服务和报废等环节中, 安全目标不被破坏。同时,需要监控售后产品,发 现有违背安全目标的案例要采取相应措施。 2. 2 汽车安全完整性等级( ASIL)
在公司组织内部建立和保持安全文化是 ISO 26262 标准的要求,也是促进功能安全有效实现的 前提条件。在具有良好安全文化的公司中: 安全 应具有最高优先级; 奖励系统应支持和鼓励功能 安全的有效 成 果,处 罚 为 取 捷 径 而 危 及 安 全 和 质 量的行为。 3. 2 工作流程制定
ISO 26262 对一个完整的汽车安全生命周期 定义了安全活动要求。同时,ISO 26262 标准中规 定组织内部应建立、执行和保持特定的流程,以满 足标准的各项要求。
26262 的指导分别评定 S、E、C 级别: 上述工况下 加速,将导致 车 辆 失 稳 并 与 其 他 车 辆 或 路 边 设 施 相撞,可能造成人员死亡,S 评为 3; 上述工况的发 生概率相对较低,E 可评为 2; 车辆失稳后,驾驶员 几乎无法进行有效控制避免伤害,C 可评为 3; 按 表 1,ASIL 为 B( 仅为示例,不代表标准明确要求 或实际工程应用) 。
本文首先介绍功能安全的概念及 ISO 26262
1 功能安全的概念及 ISO 26262 由 来
功能安全是指避免由系统功能性故障导致的 不可接受的风险。功能安全关注系统故障后的行 为,而不是 系 统 的 原 有 功 能 或 性 能。 以 采 用 电 子 节气门的发 动 机 管 理 系 统 为 例,加 速 踏 板 位 置 传 感器信号是 发 动 机 输 出 转 矩 主 要 决 定 因 素,若 该 传感器发生 故 障 使 其 指 示 位 置 大 于 实 际 位 置,则 可能导致发 动 机 输 出 转 矩 过 大,造 成 车 辆 发 生 非 驾驶员期望 的 加 速,这 是 发 动 机 管 理 系 统 的 一 个 功能安全 风 险。 从 设 计 上 采 取 措 施,使 加 速 踏 板 传感器故障 发 生 时 发 动 机 转 矩 仍 然 可 控,则 提 高 了发动机管理系统的安全性。
标准法规
汽车电子电气系统的功能安全标准 ISO 26262
刘佳熙 郭 辉 李 君 ( 联合汽车电子有限公司,上海 201206)
【摘要】 介绍了即将发布的汽车电子电气系统功能安全国际标准 ISO 26262,对其中汽车安全生命周期
和汽车安全完整性等级两个关键概念进行了解释。从公司安全文化、工作流程制定、产品设计与开发 3 方面,分 析了 ISO 26262 的应用方法。
图 1 展示了 ISO 26262 中定义的汽车安全生 命周期,包含了从概念设计、产品开发到批产后各 阶段的主要安全活动。
功能安全的概念设计必须与整个系统的概念 设计同步 进 行。 在 概 念 设 计 阶 段,要 基 于 系 统 定 义和系统初 步 架 构,分 析 可 能 存 在 的 功 能 安 全 风 险并评估风险的等级。然后根据功能安全风险定 义安全 目 标 和 针 对 每 个 安 全 目 标 的 功 能 安 全 概 念。
20 世纪 90 年代,德国、美国相继颁布了功能 安全相关标准( DIN V 19250 和 ISA S 84. 01) ,在
收稿日期: 2011 - 05 - 16
上海汽车 2011. 10
·57·
标准法规
此基础之上,国际电工协会( IEC) 于 2000 年颁布 了关于电子、电气和可编程电子系统 ( E / E / PE) 的功能安全国际标准 IEC 61508。IEC 61508 一经 颁布就得到了广泛采用,在它的基础上,各个工业 应用领域的标准也陆续出台。
系统的功能安全性主要决定于产品设计。在 产品设计和 开 发 阶 段 即 采 取 措 施,尽 可 能 减 少 甚 至避免系统 性 失 效 和 随 机 硬 件 失 效,是 提 高 功 能 安全最有效和最经济的方法,也是使产品满足 ISO 26262 的必要条件。
系统性失效往往由产品设计缺陷导致。在设 计中应用演 绎 的 和 归 纳 的 分 析 方 法,是 及 早 识 别 并避 免 潜 在 系 统 性 失 效 行 之 有 效 的 途 径。 ISO 26262要求所有功能安全相关的设计均需采用 归纳分析方法,如失效模式和影响分析( FMEA) ; 并要求具有 ASIL C 和 D 的功能安全相关设计还 需采用演绎分析方法,如故障树分析 ( FTA) 。除 此之外,重用久经实践验证并受信任的设计、安全 架构和标准 接 口 等,也 是 避 免 系 统 性 失 效 的 有 效 途径。ISO 26262 鼓励重用受信任的设计原则,并 规定对于具有 ASIL D 的系统,弃用受信任的设计 原则的决定需要论证。
汽车电 子 电 气 系 统 自 身 的 安 全 性 应 得 到 保 证,即其中可 能 存 在 的 残 余 安 全 风 险 应 当 被 控 制 在可接 受 的 范 围 之 内。 为 此,国 际 标 准 化 组 织 ( ISO) 成立了工作组,研究并制定了汽车电子电气 系统的功能安全国际标准 ISO 26262。目前,ISO 26262 已 经 进 入 最 后 修 改 和 表 决 阶 段,计 划 于 2011 年年中发布实施。
【Abstract】 The functional safety standard ISO 26262 for automotive electronic / electrical products is introduced. Key concepts in ISO 26262 are interpreted,including automotive safety lifecycle and automotive safety integrity level. The implementation of ISO 26262 is described regarding to aspects of corporation safety culture,process establishment,product design and development.
IEC 61508 中通过失效概率的方式定义了安 全完整性等级( SIL) ,但在汽车领域应用实践中,
·58·
图 1 ISO 26262 概览
上海汽车 2011. 10
标准法规
只有随机硬件失效可以通过统计数据评估失效概 率,软件失效难以量化评估。因此,ISO 26262 中 根据汽车行业的特点定义了 ASIL。
在一个公司内部为每一个标准单独设立一个 流程是不现实的,一个可行的方案是将包括 ISO 26262 在内的所有标准融合为公司内部流程,工程 师仅需要按照内部流程工作,即可满足所有标准。
上海汽车 2011. 10
·59·
标准法规
举例来讲,安全计划是 ISO 26262 要求的重要流程 步骤和工作产品,在公司内部流程中,安全计划可 以不是一个 独 立 的 文 档,而 是 标 准 项 目 计 划 的 一 部分,可以在已有的质量评审中增加相关问题,对 其进行检查。 3. 3 产品设计与开发
系统的 ASIL 等级越高,ISO 26262 对设计方 法、安全技术、测试方法以及需要达到的技术指标 的要求越严 格,开 发 流 程 和 工 作 产 品 的 审 核 和 确 认也越严格。
3 ISO 26262 的应用
ISO 26262 为功能安全相关的开发提供了方 法论,将保证汽车电子电气系统的安全性,减少安 全事故的发生,产生巨大的社会效益; 与此同时, 安全相关的投诉和召回事件的减少也将为汽车企 业和供应商带来经济效益。然而,ISO 26262 涉及 汽车电子电气系统的整个安全生命周期及其管理 过程,满足该 标 准 对 汽 车 企 业 及 供 应 商 来 说 必 将 是巨大的挑战。为满足 ISO 26262,必须在公司安 全文化、工作流程制定、产品设计与开发等方面进 行持续的改进。 3. 1 公司安全文化
然而,起源于过程工业领域的 IEC 61508 并不 完全适用于汽车工业,例如: 它没有考虑汽车工业 的分布式开发模式; 它定义了一个与汽车工业不 同的生命周期( 测试在产品发布后进行) ; 它的量 化要求( 如失效率) 没有考虑大规模批量生产的情 况。随着安全相关的电子电气系统在汽车上的广 泛应用,汽车 工 业 对 电 子 电 气 系 统 功 能 安 全 标 准 的需求 也 越 来 越 迫 切。 因 此,国 际 标 准 化 组 织 ( ISO) 在 IEC 61508 的基础上,制定了专门针对汽 车电子电气系统的功能安全标准,即 ISO 26262。
2 ISO 26262 的内容简介
ISO 26262 为汽车电子电气系统的整个生命 周期中与功能安全相关的工作流程和管理流程提 供了指导。在 ISO 26262 中,定义了汽车安全生命 周期,汽车安全完整性等级( ASIL) 两个关键概念, 对这两个关键概念的理解是解读 ISO 26262 的基
础。 2. 1 汽车安全生命周期
表 1 ASIL 分级
C1
C2
C3
E1
QM
QM
QM
E2
QM
QM
QM
S1
E3
QM
QM
A
E4
QM
A
B
E1
QM
QM
QM
E2
QM
QM
A
S2
E3
QM
A
B
E4
A
B
C
E1
QM
QM
A
E2
Hale Waihona Puke BaiduQM
A
B
S3
E3
A
B
C
E4
B
C
D
注: 对 S0、E0、C0 的系统不评定 ASIL
ISO 26262 为以上 3 个参数的评定提供了指 导,下面以发动机管理系统为例进行说明。首先, 识别发动机管理系统的可能故障及其影响: 发动 机管理系统的一个可能故障是控制发动机输出过 大的转矩,其 影 响 是 造 成 非 驾 驶 员 期 望 的 车 辆 加 速; 其次,确定已识别故障可导致危险的工况,例 如: 工况为车辆高速转弯、接近失稳; 最后,按 ISO
ASIL 在概念设计阶段通过对功能安全风险的 评估中得 到。 如 果 系 统 的 功 能 安 全 风 险 越 大,对 应的安全要求就越高,则具有更高等级的 ASIL。 ASIL 分为 A、B、C、D 4 个级别,ASIL D 为最高汽车 安全完整性等级,对功能安全的要求最高。
ISO 26262 中定义的 ASIL 使用 3 个参数进行 评估,分别是: 危险对驾驶员或其他交通参与人员 造成伤害的严重程度 S,危险所在工况的发生概率 E,危险涉及的驾驶员和其他交通参与人员及时采 取控制行动避免特定伤害的能力 C。S 分为 0 ~ 3 级,S0 代表无伤害,S3 代表危及生命的重伤或致 命伤; E 分为 0 ~ 4 级,E0 代表工况不可能发生,E4 代表工况是常见的; C 分为 0 ~ 3 级,C0 代表完全 可控,C3 代表非常难于控制。对于每一个识别到 的危险,按表 1 评估风险等级( 即汽车安全完整性 等级) ,其中 QM 表示与安全无关。
doi: 10. 3969 / j. issn. 1007-4554. 2011. 10. 15
0 引言
的由来,然后解读 ISO 26262 的内容和关键概念, 最后分析 ISO 26262 的应用方法。
当前,电子 电 气 系 统 是 汽 车 技 术 最 重 要 创 新 领域之一。该领域的新技术和新产品不断涌现, 在提高汽车乘坐舒适性、降低能耗、减少排放等方 面起到了 重 要 的 作 用。 然 而,很 多 汽 车 电 子 电 气 系统与安全 密 切 相 关,其 中 可 能 存 在 的 系 统 性 失 效和随机硬件失效,有导致汽车安全事故的风险。 汽车电 子 电 气 系 统 的 复 杂 性 和 集 成 度 在 不 断 提 高,这种风险也随之增大。
在产品开发阶段,ISO 26262 按汽车工业中常 用的 V 型开发流程定义相关安全活动: V 型的左 侧是技术安全需求( 功能安全概念的技术实现途 径) 的制定、系统设计; V 型的右侧是系统集成、安 全确认和发布。硬件和软件的开发也遵循相似的 小 V 型开发流程。
在批产之 后 的 阶 段,需 要 提 供 必 要 的 文 档 及 方法,以保证在生产、售后服务和报废等环节中, 安全目标不被破坏。同时,需要监控售后产品,发 现有违背安全目标的案例要采取相应措施。 2. 2 汽车安全完整性等级( ASIL)
在公司组织内部建立和保持安全文化是 ISO 26262 标准的要求,也是促进功能安全有效实现的 前提条件。在具有良好安全文化的公司中: 安全 应具有最高优先级; 奖励系统应支持和鼓励功能 安全的有效 成 果,处 罚 为 取 捷 径 而 危 及 安 全 和 质 量的行为。 3. 2 工作流程制定
ISO 26262 对一个完整的汽车安全生命周期 定义了安全活动要求。同时,ISO 26262 标准中规 定组织内部应建立、执行和保持特定的流程,以满 足标准的各项要求。
26262 的指导分别评定 S、E、C 级别: 上述工况下 加速,将导致 车 辆 失 稳 并 与 其 他 车 辆 或 路 边 设 施 相撞,可能造成人员死亡,S 评为 3; 上述工况的发 生概率相对较低,E 可评为 2; 车辆失稳后,驾驶员 几乎无法进行有效控制避免伤害,C 可评为 3; 按 表 1,ASIL 为 B( 仅为示例,不代表标准明确要求 或实际工程应用) 。
本文首先介绍功能安全的概念及 ISO 26262
1 功能安全的概念及 ISO 26262 由 来
功能安全是指避免由系统功能性故障导致的 不可接受的风险。功能安全关注系统故障后的行 为,而不是 系 统 的 原 有 功 能 或 性 能。 以 采 用 电 子 节气门的发 动 机 管 理 系 统 为 例,加 速 踏 板 位 置 传 感器信号是 发 动 机 输 出 转 矩 主 要 决 定 因 素,若 该 传感器发生 故 障 使 其 指 示 位 置 大 于 实 际 位 置,则 可能导致发 动 机 输 出 转 矩 过 大,造 成 车 辆 发 生 非 驾驶员期望 的 加 速,这 是 发 动 机 管 理 系 统 的 一 个 功能安全 风 险。 从 设 计 上 采 取 措 施,使 加 速 踏 板 传感器故障 发 生 时 发 动 机 转 矩 仍 然 可 控,则 提 高 了发动机管理系统的安全性。
标准法规
汽车电子电气系统的功能安全标准 ISO 26262
刘佳熙 郭 辉 李 君 ( 联合汽车电子有限公司,上海 201206)
【摘要】 介绍了即将发布的汽车电子电气系统功能安全国际标准 ISO 26262,对其中汽车安全生命周期
和汽车安全完整性等级两个关键概念进行了解释。从公司安全文化、工作流程制定、产品设计与开发 3 方面,分 析了 ISO 26262 的应用方法。
图 1 展示了 ISO 26262 中定义的汽车安全生 命周期,包含了从概念设计、产品开发到批产后各 阶段的主要安全活动。
功能安全的概念设计必须与整个系统的概念 设计同步 进 行。 在 概 念 设 计 阶 段,要 基 于 系 统 定 义和系统初 步 架 构,分 析 可 能 存 在 的 功 能 安 全 风 险并评估风险的等级。然后根据功能安全风险定 义安全 目 标 和 针 对 每 个 安 全 目 标 的 功 能 安 全 概 念。
20 世纪 90 年代,德国、美国相继颁布了功能 安全相关标准( DIN V 19250 和 ISA S 84. 01) ,在
收稿日期: 2011 - 05 - 16
上海汽车 2011. 10
·57·
标准法规
此基础之上,国际电工协会( IEC) 于 2000 年颁布 了关于电子、电气和可编程电子系统 ( E / E / PE) 的功能安全国际标准 IEC 61508。IEC 61508 一经 颁布就得到了广泛采用,在它的基础上,各个工业 应用领域的标准也陆续出台。
系统的功能安全性主要决定于产品设计。在 产品设计和 开 发 阶 段 即 采 取 措 施,尽 可 能 减 少 甚 至避免系统 性 失 效 和 随 机 硬 件 失 效,是 提 高 功 能 安全最有效和最经济的方法,也是使产品满足 ISO 26262 的必要条件。
系统性失效往往由产品设计缺陷导致。在设 计中应用演 绎 的 和 归 纳 的 分 析 方 法,是 及 早 识 别 并避 免 潜 在 系 统 性 失 效 行 之 有 效 的 途 径。 ISO 26262要求所有功能安全相关的设计均需采用 归纳分析方法,如失效模式和影响分析( FMEA) ; 并要求具有 ASIL C 和 D 的功能安全相关设计还 需采用演绎分析方法,如故障树分析 ( FTA) 。除 此之外,重用久经实践验证并受信任的设计、安全 架构和标准 接 口 等,也 是 避 免 系 统 性 失 效 的 有 效 途径。ISO 26262 鼓励重用受信任的设计原则,并 规定对于具有 ASIL D 的系统,弃用受信任的设计 原则的决定需要论证。
汽车电 子 电 气 系 统 自 身 的 安 全 性 应 得 到 保 证,即其中可 能 存 在 的 残 余 安 全 风 险 应 当 被 控 制 在可接 受 的 范 围 之 内。 为 此,国 际 标 准 化 组 织 ( ISO) 成立了工作组,研究并制定了汽车电子电气 系统的功能安全国际标准 ISO 26262。目前,ISO 26262 已 经 进 入 最 后 修 改 和 表 决 阶 段,计 划 于 2011 年年中发布实施。
【Abstract】 The functional safety standard ISO 26262 for automotive electronic / electrical products is introduced. Key concepts in ISO 26262 are interpreted,including automotive safety lifecycle and automotive safety integrity level. The implementation of ISO 26262 is described regarding to aspects of corporation safety culture,process establishment,product design and development.
IEC 61508 中通过失效概率的方式定义了安 全完整性等级( SIL) ,但在汽车领域应用实践中,
·58·
图 1 ISO 26262 概览
上海汽车 2011. 10
标准法规
只有随机硬件失效可以通过统计数据评估失效概 率,软件失效难以量化评估。因此,ISO 26262 中 根据汽车行业的特点定义了 ASIL。
在一个公司内部为每一个标准单独设立一个 流程是不现实的,一个可行的方案是将包括 ISO 26262 在内的所有标准融合为公司内部流程,工程 师仅需要按照内部流程工作,即可满足所有标准。
上海汽车 2011. 10
·59·
标准法规
举例来讲,安全计划是 ISO 26262 要求的重要流程 步骤和工作产品,在公司内部流程中,安全计划可 以不是一个 独 立 的 文 档,而 是 标 准 项 目 计 划 的 一 部分,可以在已有的质量评审中增加相关问题,对 其进行检查。 3. 3 产品设计与开发
系统的 ASIL 等级越高,ISO 26262 对设计方 法、安全技术、测试方法以及需要达到的技术指标 的要求越严 格,开 发 流 程 和 工 作 产 品 的 审 核 和 确 认也越严格。
3 ISO 26262 的应用
ISO 26262 为功能安全相关的开发提供了方 法论,将保证汽车电子电气系统的安全性,减少安 全事故的发生,产生巨大的社会效益; 与此同时, 安全相关的投诉和召回事件的减少也将为汽车企 业和供应商带来经济效益。然而,ISO 26262 涉及 汽车电子电气系统的整个安全生命周期及其管理 过程,满足该 标 准 对 汽 车 企 业 及 供 应 商 来 说 必 将 是巨大的挑战。为满足 ISO 26262,必须在公司安 全文化、工作流程制定、产品设计与开发等方面进 行持续的改进。 3. 1 公司安全文化
然而,起源于过程工业领域的 IEC 61508 并不 完全适用于汽车工业,例如: 它没有考虑汽车工业 的分布式开发模式; 它定义了一个与汽车工业不 同的生命周期( 测试在产品发布后进行) ; 它的量 化要求( 如失效率) 没有考虑大规模批量生产的情 况。随着安全相关的电子电气系统在汽车上的广 泛应用,汽车 工 业 对 电 子 电 气 系 统 功 能 安 全 标 准 的需求 也 越 来 越 迫 切。 因 此,国 际 标 准 化 组 织 ( ISO) 在 IEC 61508 的基础上,制定了专门针对汽 车电子电气系统的功能安全标准,即 ISO 26262。
2 ISO 26262 的内容简介
ISO 26262 为汽车电子电气系统的整个生命 周期中与功能安全相关的工作流程和管理流程提 供了指导。在 ISO 26262 中,定义了汽车安全生命 周期,汽车安全完整性等级( ASIL) 两个关键概念, 对这两个关键概念的理解是解读 ISO 26262 的基
础。 2. 1 汽车安全生命周期
表 1 ASIL 分级
C1
C2
C3
E1
QM
QM
QM
E2
QM
QM
QM
S1
E3
QM
QM
A
E4
QM
A
B
E1
QM
QM
QM
E2
QM
QM
A
S2
E3
QM
A
B
E4
A
B
C
E1
QM
QM
A
E2
Hale Waihona Puke BaiduQM
A
B
S3
E3
A
B
C
E4
B
C
D
注: 对 S0、E0、C0 的系统不评定 ASIL
ISO 26262 为以上 3 个参数的评定提供了指 导,下面以发动机管理系统为例进行说明。首先, 识别发动机管理系统的可能故障及其影响: 发动 机管理系统的一个可能故障是控制发动机输出过 大的转矩,其 影 响 是 造 成 非 驾 驶 员 期 望 的 车 辆 加 速; 其次,确定已识别故障可导致危险的工况,例 如: 工况为车辆高速转弯、接近失稳; 最后,按 ISO
ASIL 在概念设计阶段通过对功能安全风险的 评估中得 到。 如 果 系 统 的 功 能 安 全 风 险 越 大,对 应的安全要求就越高,则具有更高等级的 ASIL。 ASIL 分为 A、B、C、D 4 个级别,ASIL D 为最高汽车 安全完整性等级,对功能安全的要求最高。
ISO 26262 中定义的 ASIL 使用 3 个参数进行 评估,分别是: 危险对驾驶员或其他交通参与人员 造成伤害的严重程度 S,危险所在工况的发生概率 E,危险涉及的驾驶员和其他交通参与人员及时采 取控制行动避免特定伤害的能力 C。S 分为 0 ~ 3 级,S0 代表无伤害,S3 代表危及生命的重伤或致 命伤; E 分为 0 ~ 4 级,E0 代表工况不可能发生,E4 代表工况是常见的; C 分为 0 ~ 3 级,C0 代表完全 可控,C3 代表非常难于控制。对于每一个识别到 的危险,按表 1 评估风险等级( 即汽车安全完整性 等级) ,其中 QM 表示与安全无关。