道路车辆功能安全等级评估流程和软件功能安全要求_工程院
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国汽车技术研究中心 汽车工程研究院
Leabharlann Baidu
标准第六部分:产品开发-软件级
¾ 软件级产品开发的启动 ¾ 软件安全要求的规格 ¾ 软件架构设计 ¾ 软件单元设计与执行 ¾ 软件单元测试 ¾ 软件集成和测试 ¾ 软件安全要求的验证
中国汽车技术研究中心 汽车工程研究院
标准第七部分:生产和运营
¾ 生产
9 建立一个安全相关产品的生产计划; 9 通过相关产品制造商或主管生产过程的人或组织 来达到功能安全。
道路车辆功能安全等级评估流程 和软件功能安全要求
李艳文 中国汽车技术研究中心 汽车工程研究院
Self introduction
• 中国汽车技术研究中心汽车工程研究院功能安 全评估经理、汽车电子主任工程师; • 有6年从事汽车电子和功能安全相关的研究、 设计和测试经验,9年从事电控产品软硬件开 发及CAN总线设计测试经验; • 获得TÜV 南德IEC61508功能安全FSP证书和TÜV 莱茵 ISO26262道路车辆功能安全FSE证书; • 参与了ISO26262标准的国标申报,致力于功能 安全标准的研究和评估测试工作。
ISO26262标准内容简介
ISO26262标准的适用范围
¾ 汽车行业开发商
• 整车开发商:所有3.5吨以下客车(PassengerCars)。 • 安全相关的车辆电机与电子系统开发商:如动力控制系统 … • 安全相关的车辆电子零部件开发商:如电子控制器、电机、 电池模块 … • 安全相关的车辆电子组件开发商:如微控制器、软件模块 …
¾ 操作、维护和废弃
9 为了维持车辆操作期间的功能安全,定义了安全 相关产品的维护、客户信息和维修指南的范围; 9 提供拆卸前涉及的有关安全的活动要求。
中国汽车技术研究中心 汽车工程研究院
标准第八部分:支持过程
¾ ¾ ¾ ¾ ¾ ¾ ¾ ¾ ¾ ¾ 分布式开发接口 安全管理和安全规格要求 配置管理 变更管理 验证 文档 软件工具资质 软件组件资质 硬件组件资质 以证明可用论据
中国汽车技术研究中心 汽车工程研究院
ISO26262标准内容简介
ISO26262标准的重要性
¾ ISO26262于2011年11月成为正式的ISO标准,欧盟 ECE法规和产品责任法对ISO26262标准都有相关的指向 和要求,未来ISO26262标准对汽车行业的影响程度将 会大大加强。 ¾ ISO26262标准可以使供应商清楚定义项目开发流程与 功能安全相关的系统/硬件/软件应共同遵循的目标,基 于ISO26262标准的应用,有利于国内电控零部件达到 国际上汽车行业的功能安全要求。
ISO26262
道路车辆功能安全等级评估流程 和软件功能安全要求
李艳文 2012.09.06
中国汽车技术研究中心 汽车工程研究院
主要内容
• ISO26262标准介绍 • ISO26262标准软件功能安全要求 • 车载电控模块功能安全分析举例 • 中汽中心工程院功能安全评估业务介绍
中国汽车技术研究中心 汽车工程研究院
¾ 项目经理负责执行功能安全管理
9 公司安全经理、部门安全经理、项目安全经理。
中国汽车技术研究中心 汽车工程研究院
标准第三部分:概念阶段
¾ 项目定义
9 定义和描述项目; 9 提供对项目的充分理解,以便使得安全生命周期中定义的每一项活 动可以执行。
¾ 安全生命周期启动
9 对新的开发和之前已存在项目的修改做出区别; 9 定义将要执行的安全生命周期活动 。
ISO26262标准产生的背景
汽车中的功能风险
¾ 意外的加减速 ¾ 意外的加减速损失 ¾ 意外的转向
降低风险的措施
¾ 设计措施 ¾ 组织措施 ¾ 安全监控措施
中国汽车技术研究中心 汽车工程研究院
ISO26262标准产生的背景
安全,规章,产品责任……
¾ 功能安全问题导致昂贵的召回: • 2010年丰田公司由于油门踏板故障召回数百万辆汽车。 • 2010年丰田公司由于潜在断裂问题召回超过300,000辆普 锐斯。 • 2010年日产公司由于制动问题和燃油表问题召回超过 500,000辆汽车。 • 2009年奥迪公司由于传输控制问题召回超过10,000辆汽车 。 • …… ¾ 这些严重的召回事件都与基于电子控制系统失效有关。
¾ 车辆功能安全相关的不同项目人员
• • • • 公司管理层:公司产品主管、研发主管、质量主管 项目管理者:项目经理、产品经理 相关研发人员:系统工程师、软/硬件工程师、质量工程师 相关业务人员
中国汽车技术研究中心 汽车工程研究院
ISO26262标准内容简介
ISO26262标准文档内容架构
ISO26262标准共分为十个部分: 第一部分:词汇表 第二部分:功能安全管理 第三部分:概念阶段 第四部分:产品开发:系统层 第五部分:产品开发:硬件层 第六部分:产品开发:软件层 第七部分:产品和操作 第八部分:支持过程 第九部分:汽车安全完整性等级 导向和安全导向分析 第十部分:指南
¾ 系统级产品开发的启动 ¾ 技术安全要求中的规格 ¾ 系统设计 ¾ 项目集成和测试 ¾ 安全验证 ¾ 功能安全评估 ¾ 产品发布
中国汽车技术研究中心 汽车工程研究院
标准第五部分:产品开发-硬件级
¾ 硬件产品开发的启动 ¾ 硬件安全规格的要求 ¾ 硬件设计 ¾ 硬件架构指标 ¾ 对由于硬件随机失效引起的违反安全目 标进行评估 ¾ 硬件集成和测试
中国汽车技术研究中心 汽车工程研究院
• ISO26262标准介绍 • ISO26262标准软件功能安全要求 • 车载电控模块功能安全分析举例 • 中汽中心工程院功能安全评估业务介绍
中国汽车技术研究中心 汽车工程研究院
标准第一部分:词汇表
¾功能安全
内在安全 完全避免危险的根源
功能安全 通过安全措施确保达到一定 的安全水平
中国汽车技术研究中心 汽车工程研究院
标准第一部分:词汇表
¾ 安全(Safety):不存在不可接受的风险; ¾ 风险(Risk):出现伤害的概率和该伤害严重性的组合; ¾ 伤害(Damage):由于对财产或环境的破坏而导致的直接或间接 对人体健康或人身的损伤(死亡); ¾ 车辆安全完整性等级(ASIL):描述了风险降低的等级,D-安全等 级最高,A-安全等级最低; ¾ 工作产品和文档: 9 标准的每一部分都定义和要求了需要提供的文档,称为工作产品; 9 支持进程中定义的工作产品表现形式为文档; 9 文档用于保证可追溯性和可再生产性,对汽车电子功能安全产品是 必须的。
中国汽车技术研究中心 汽车工程研究院
标准第二部分:功能安全管理
¾ 目的
9 减少人为错误的发生率; 9 减少系统故障的残余风险; 9 机构化设计控制; 9 可持续发展的质量和安全监控; 9 可追溯性; 9 可再生产性; 9 通过失效预防减少失效成本。
¾ 整体功能安全管理
9 产品开发阶段的功能安全管理; 9 产品发布后的功能安全管理。
中国汽车技术研究中心 汽车工程研究院
ISO26262标准产生的背景
ISO26262 和 IEC61508标准
¾ IEC61508是一项用于工业领域的国际标准,其名称是《电气/电子/可 编程电子安全相关系统的功能安全》,是一个基本的功能安全标准应用 于各种工业行业。 ¾ ISO26262是道路车辆功能安全标准,由IEC61508演变而来适合汽车行 业的功能安全标准。
中国汽车技术研究中心 汽车工程研究院
标准第九部分:汽车安全完整性等级导向和安全导向分析
¾ ASIL等级分解要求 ¾ 元素共存标准
9 提供安全要求分解的规则和指南,得到ASIL下一等级的细节剪裁。 9 提供元素间共存条件: • 安全相关的子元素和非安全相关的子元素; • 分配给安全相关的子元素以不同的ASIL要求。
ISO26262标准介绍
ISO26262标准概述 ISO26262标准产生的背景 ISO26262标准内容简介
中国汽车技术研究中心 汽车工程研究院
ISO26262标准概述
汽车产业是一个不允许系统失效发生的产业,在 国外,一旦发生失效,汽车厂商将面临官司赔偿与商 誉受损的巨大风险,为了防止系统失效的发生,必须 有一套严谨且可靠的开发流程来让系统开发工程师依 循,因此车辆领域的专家即开始着手发展车辆领域的 功能安全标准,ISO26262道路车辆功能安全标准在 这样的环境与需求下应运而生。
中国汽车技术研究中心 汽车工程研究院
ISO26262标准概述
本标准主要来源于IEC61508标准,并着重于车 辆电子/电机系统的功能安全,ISO26262标准的 适用范围为所有3.5吨以下客车(Passenger Cars)上所搭载之电子/电机系统。标准的执行, 将减少因为电子器件失效造成的交通事故和降低潜 在召回风险,所以目前国际大型车企非常重视 ISO26262标准的应用和推广。
中国汽车技术研究中心 汽车工程研究院
ISO26262标准内容简介
功能安全管理与质量管理 ¾功能安全管理涉及到了技术要求,通过对系统 /软件/硬件的各部分要求,实现产品的功能安 全目标。 ¾质量管理是针对产品批量生产阶段的要求,功 能安全着重于单个产品从开发到成熟过程的要 求。
中国汽车技术研究中心 汽车工程研究院
¾ 相关失效分析
9 确定任何单一事件或单一的原因,他们导致项目元素间的独立性无效 ,项目元素要求要遵守它的安全目标。
¾ 安全分析
9 检查故障和失效对产品和元件的功能、特性和设计的影响。安全分析 还提供哪些导致违背安全目标或安全要求条件和原因的信息。此外, 安全分析还有助于确定那些在危害分析和风险评估阶段从未考虑到的 新的功能或非功能危害。
¾ 危险分析和风险评估
9 对项目的危害识别并进行分类,制定相关安全目标来预防或减轻这 些危险,避免不合理的风险。
¾ 功能安全概念
9 为了引出功能安全的要求,将安全目标分配给项目初级架构元素或 外部降低风险的措施,以确保所要求的功能安全。
中国汽车技术研究中心 汽车工程研究院
标准第四部分:产品开发-系统级
中国汽车技术研究中心 汽车工程研究院
ISO26262标准概述
为避免实施本标准对车辆产业所造成的冲击, 目前全球的OEM厂商、一级零部件厂商、车用芯 片商、开发工具商皆已开始着手于其产品开发过程 中导入ISO26262标准,或使其软硬件开发工具产 品符合ISO26262标准的要求。
中国汽车技术研究中心 汽车工程研究院
中国汽车技术研究中心 汽车工程研究院
ISO26262标准产生的背景
汽车中的功能安全举例
¾ 汽车电子系统中增长的软件部分 ¾ 功能安全相关的汽车电子零部件
自适应前灯(Adaptivefrontlight) 防抱死制动系统(Anti-lockingbraking system) 车辆稳定性控制(Vehiclestabilitycontrol) 牵引力控制(Tractioncontrol) 电子制动力分配(Electronicbrakeforce distribution) 紧急刹车辅助(Emergencybrakeassist) 防止碰撞 (Collisionprevention) 车道偏离警告系统(Lanedeparture warningsystem) 自适应动力转向(Adaptivepowersteering) 辅助停车(Parkingassistant) 自适应悬架控制(Adaptivesuspension control) 电子制动系统(Electronicbrakesystem) 安全带预张紧(Seat-beltpre-tensioning) 安全气囊(Airbags) 驾驶员睡意检测(Driverdrowsinessdetection) 驾驶监测系统 (Drivermonitoringsystem) 自适应远光灯辅助(Adaptivehighbeam(lights) assistant) 自适应巡航控制系统(Adaptivecruisecontrol) 自主巡航控制(Autonomouscruisecontrol) 轮胎压力监测系统(Tirepressuremonitoringsystem) 自动前灯的高度调整(Automaticfrontlightheight adjustment) ……
Leabharlann Baidu
标准第六部分:产品开发-软件级
¾ 软件级产品开发的启动 ¾ 软件安全要求的规格 ¾ 软件架构设计 ¾ 软件单元设计与执行 ¾ 软件单元测试 ¾ 软件集成和测试 ¾ 软件安全要求的验证
中国汽车技术研究中心 汽车工程研究院
标准第七部分:生产和运营
¾ 生产
9 建立一个安全相关产品的生产计划; 9 通过相关产品制造商或主管生产过程的人或组织 来达到功能安全。
道路车辆功能安全等级评估流程 和软件功能安全要求
李艳文 中国汽车技术研究中心 汽车工程研究院
Self introduction
• 中国汽车技术研究中心汽车工程研究院功能安 全评估经理、汽车电子主任工程师; • 有6年从事汽车电子和功能安全相关的研究、 设计和测试经验,9年从事电控产品软硬件开 发及CAN总线设计测试经验; • 获得TÜV 南德IEC61508功能安全FSP证书和TÜV 莱茵 ISO26262道路车辆功能安全FSE证书; • 参与了ISO26262标准的国标申报,致力于功能 安全标准的研究和评估测试工作。
ISO26262标准内容简介
ISO26262标准的适用范围
¾ 汽车行业开发商
• 整车开发商:所有3.5吨以下客车(PassengerCars)。 • 安全相关的车辆电机与电子系统开发商:如动力控制系统 … • 安全相关的车辆电子零部件开发商:如电子控制器、电机、 电池模块 … • 安全相关的车辆电子组件开发商:如微控制器、软件模块 …
¾ 操作、维护和废弃
9 为了维持车辆操作期间的功能安全,定义了安全 相关产品的维护、客户信息和维修指南的范围; 9 提供拆卸前涉及的有关安全的活动要求。
中国汽车技术研究中心 汽车工程研究院
标准第八部分:支持过程
¾ ¾ ¾ ¾ ¾ ¾ ¾ ¾ ¾ ¾ 分布式开发接口 安全管理和安全规格要求 配置管理 变更管理 验证 文档 软件工具资质 软件组件资质 硬件组件资质 以证明可用论据
中国汽车技术研究中心 汽车工程研究院
ISO26262标准内容简介
ISO26262标准的重要性
¾ ISO26262于2011年11月成为正式的ISO标准,欧盟 ECE法规和产品责任法对ISO26262标准都有相关的指向 和要求,未来ISO26262标准对汽车行业的影响程度将 会大大加强。 ¾ ISO26262标准可以使供应商清楚定义项目开发流程与 功能安全相关的系统/硬件/软件应共同遵循的目标,基 于ISO26262标准的应用,有利于国内电控零部件达到 国际上汽车行业的功能安全要求。
ISO26262
道路车辆功能安全等级评估流程 和软件功能安全要求
李艳文 2012.09.06
中国汽车技术研究中心 汽车工程研究院
主要内容
• ISO26262标准介绍 • ISO26262标准软件功能安全要求 • 车载电控模块功能安全分析举例 • 中汽中心工程院功能安全评估业务介绍
中国汽车技术研究中心 汽车工程研究院
¾ 项目经理负责执行功能安全管理
9 公司安全经理、部门安全经理、项目安全经理。
中国汽车技术研究中心 汽车工程研究院
标准第三部分:概念阶段
¾ 项目定义
9 定义和描述项目; 9 提供对项目的充分理解,以便使得安全生命周期中定义的每一项活 动可以执行。
¾ 安全生命周期启动
9 对新的开发和之前已存在项目的修改做出区别; 9 定义将要执行的安全生命周期活动 。
ISO26262标准产生的背景
汽车中的功能风险
¾ 意外的加减速 ¾ 意外的加减速损失 ¾ 意外的转向
降低风险的措施
¾ 设计措施 ¾ 组织措施 ¾ 安全监控措施
中国汽车技术研究中心 汽车工程研究院
ISO26262标准产生的背景
安全,规章,产品责任……
¾ 功能安全问题导致昂贵的召回: • 2010年丰田公司由于油门踏板故障召回数百万辆汽车。 • 2010年丰田公司由于潜在断裂问题召回超过300,000辆普 锐斯。 • 2010年日产公司由于制动问题和燃油表问题召回超过 500,000辆汽车。 • 2009年奥迪公司由于传输控制问题召回超过10,000辆汽车 。 • …… ¾ 这些严重的召回事件都与基于电子控制系统失效有关。
¾ 车辆功能安全相关的不同项目人员
• • • • 公司管理层:公司产品主管、研发主管、质量主管 项目管理者:项目经理、产品经理 相关研发人员:系统工程师、软/硬件工程师、质量工程师 相关业务人员
中国汽车技术研究中心 汽车工程研究院
ISO26262标准内容简介
ISO26262标准文档内容架构
ISO26262标准共分为十个部分: 第一部分:词汇表 第二部分:功能安全管理 第三部分:概念阶段 第四部分:产品开发:系统层 第五部分:产品开发:硬件层 第六部分:产品开发:软件层 第七部分:产品和操作 第八部分:支持过程 第九部分:汽车安全完整性等级 导向和安全导向分析 第十部分:指南
¾ 系统级产品开发的启动 ¾ 技术安全要求中的规格 ¾ 系统设计 ¾ 项目集成和测试 ¾ 安全验证 ¾ 功能安全评估 ¾ 产品发布
中国汽车技术研究中心 汽车工程研究院
标准第五部分:产品开发-硬件级
¾ 硬件产品开发的启动 ¾ 硬件安全规格的要求 ¾ 硬件设计 ¾ 硬件架构指标 ¾ 对由于硬件随机失效引起的违反安全目 标进行评估 ¾ 硬件集成和测试
中国汽车技术研究中心 汽车工程研究院
• ISO26262标准介绍 • ISO26262标准软件功能安全要求 • 车载电控模块功能安全分析举例 • 中汽中心工程院功能安全评估业务介绍
中国汽车技术研究中心 汽车工程研究院
标准第一部分:词汇表
¾功能安全
内在安全 完全避免危险的根源
功能安全 通过安全措施确保达到一定 的安全水平
中国汽车技术研究中心 汽车工程研究院
标准第一部分:词汇表
¾ 安全(Safety):不存在不可接受的风险; ¾ 风险(Risk):出现伤害的概率和该伤害严重性的组合; ¾ 伤害(Damage):由于对财产或环境的破坏而导致的直接或间接 对人体健康或人身的损伤(死亡); ¾ 车辆安全完整性等级(ASIL):描述了风险降低的等级,D-安全等 级最高,A-安全等级最低; ¾ 工作产品和文档: 9 标准的每一部分都定义和要求了需要提供的文档,称为工作产品; 9 支持进程中定义的工作产品表现形式为文档; 9 文档用于保证可追溯性和可再生产性,对汽车电子功能安全产品是 必须的。
中国汽车技术研究中心 汽车工程研究院
标准第二部分:功能安全管理
¾ 目的
9 减少人为错误的发生率; 9 减少系统故障的残余风险; 9 机构化设计控制; 9 可持续发展的质量和安全监控; 9 可追溯性; 9 可再生产性; 9 通过失效预防减少失效成本。
¾ 整体功能安全管理
9 产品开发阶段的功能安全管理; 9 产品发布后的功能安全管理。
中国汽车技术研究中心 汽车工程研究院
ISO26262标准产生的背景
ISO26262 和 IEC61508标准
¾ IEC61508是一项用于工业领域的国际标准,其名称是《电气/电子/可 编程电子安全相关系统的功能安全》,是一个基本的功能安全标准应用 于各种工业行业。 ¾ ISO26262是道路车辆功能安全标准,由IEC61508演变而来适合汽车行 业的功能安全标准。
中国汽车技术研究中心 汽车工程研究院
标准第九部分:汽车安全完整性等级导向和安全导向分析
¾ ASIL等级分解要求 ¾ 元素共存标准
9 提供安全要求分解的规则和指南,得到ASIL下一等级的细节剪裁。 9 提供元素间共存条件: • 安全相关的子元素和非安全相关的子元素; • 分配给安全相关的子元素以不同的ASIL要求。
ISO26262标准介绍
ISO26262标准概述 ISO26262标准产生的背景 ISO26262标准内容简介
中国汽车技术研究中心 汽车工程研究院
ISO26262标准概述
汽车产业是一个不允许系统失效发生的产业,在 国外,一旦发生失效,汽车厂商将面临官司赔偿与商 誉受损的巨大风险,为了防止系统失效的发生,必须 有一套严谨且可靠的开发流程来让系统开发工程师依 循,因此车辆领域的专家即开始着手发展车辆领域的 功能安全标准,ISO26262道路车辆功能安全标准在 这样的环境与需求下应运而生。
中国汽车技术研究中心 汽车工程研究院
ISO26262标准概述
本标准主要来源于IEC61508标准,并着重于车 辆电子/电机系统的功能安全,ISO26262标准的 适用范围为所有3.5吨以下客车(Passenger Cars)上所搭载之电子/电机系统。标准的执行, 将减少因为电子器件失效造成的交通事故和降低潜 在召回风险,所以目前国际大型车企非常重视 ISO26262标准的应用和推广。
中国汽车技术研究中心 汽车工程研究院
ISO26262标准内容简介
功能安全管理与质量管理 ¾功能安全管理涉及到了技术要求,通过对系统 /软件/硬件的各部分要求,实现产品的功能安 全目标。 ¾质量管理是针对产品批量生产阶段的要求,功 能安全着重于单个产品从开发到成熟过程的要 求。
中国汽车技术研究中心 汽车工程研究院
¾ 相关失效分析
9 确定任何单一事件或单一的原因,他们导致项目元素间的独立性无效 ,项目元素要求要遵守它的安全目标。
¾ 安全分析
9 检查故障和失效对产品和元件的功能、特性和设计的影响。安全分析 还提供哪些导致违背安全目标或安全要求条件和原因的信息。此外, 安全分析还有助于确定那些在危害分析和风险评估阶段从未考虑到的 新的功能或非功能危害。
¾ 危险分析和风险评估
9 对项目的危害识别并进行分类,制定相关安全目标来预防或减轻这 些危险,避免不合理的风险。
¾ 功能安全概念
9 为了引出功能安全的要求,将安全目标分配给项目初级架构元素或 外部降低风险的措施,以确保所要求的功能安全。
中国汽车技术研究中心 汽车工程研究院
标准第四部分:产品开发-系统级
中国汽车技术研究中心 汽车工程研究院
ISO26262标准概述
为避免实施本标准对车辆产业所造成的冲击, 目前全球的OEM厂商、一级零部件厂商、车用芯 片商、开发工具商皆已开始着手于其产品开发过程 中导入ISO26262标准,或使其软硬件开发工具产 品符合ISO26262标准的要求。
中国汽车技术研究中心 汽车工程研究院
中国汽车技术研究中心 汽车工程研究院
ISO26262标准产生的背景
汽车中的功能安全举例
¾ 汽车电子系统中增长的软件部分 ¾ 功能安全相关的汽车电子零部件
自适应前灯(Adaptivefrontlight) 防抱死制动系统(Anti-lockingbraking system) 车辆稳定性控制(Vehiclestabilitycontrol) 牵引力控制(Tractioncontrol) 电子制动力分配(Electronicbrakeforce distribution) 紧急刹车辅助(Emergencybrakeassist) 防止碰撞 (Collisionprevention) 车道偏离警告系统(Lanedeparture warningsystem) 自适应动力转向(Adaptivepowersteering) 辅助停车(Parkingassistant) 自适应悬架控制(Adaptivesuspension control) 电子制动系统(Electronicbrakesystem) 安全带预张紧(Seat-beltpre-tensioning) 安全气囊(Airbags) 驾驶员睡意检测(Driverdrowsinessdetection) 驾驶监测系统 (Drivermonitoringsystem) 自适应远光灯辅助(Adaptivehighbeam(lights) assistant) 自适应巡航控制系统(Adaptivecruisecontrol) 自主巡航控制(Autonomouscruisecontrol) 轮胎压力监测系统(Tirepressuremonitoringsystem) 自动前灯的高度调整(Automaticfrontlightheight adjustment) ……