符合ISO+26262的汽车电子功能安全解决方案
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
can
find
a
solution for functional safety of automo.
can
fulfill requirements in ISO 26262.The requirements in ISO 26262
be
fulfiUed by adapting aIld optimizing maIlagement system and product development pmcesses.Function. al safety is system
engineedng.
one
Under distribution development mode of automotive industry,coopera.
two
tion枷ong
26262.
OEMs,tier
suppliers and tier
suppliers is necessary
to
fumll requirements in ISO
程成熟度评估等方式,检查公司内运行的项目是 否符合流程体系要求。 对于汽车安全完整性等级为ASIL C/D的产 品,还需要对产品进行功能安全评估,检查产品开
电子产品之间分配功能需求,因此由整车厂来定 义功能安全需求是最合适的。 对象定义就是依据整车系统架构和汽车电子
产品被分配的功能需求进行。危险分析和风险评
匝酾瓢丽孺丽圃
需要系统性的方法分析和解决产品功能安全问
题,IS0 26262标准提供了完整的过程和方法论。
在过程体系方面,ISO 26262并非全新和独立 的要求。它可以融入现有过程体系中,通过建立 功能安全组织机构、改进过程体系,最终满足ISO 26262标准的要求。汽车电子功能安全是一个系 统工程,需要整车厂、汽车电子产品供应商以及二 级供应商各司其职,通力协作,才能实现系统功能
义功能安全目标、功能安全等级及功能安全概念,
并且提供给汽车电子产品供应商作为需求输入。
2.3汽车电子产品供应商实现功能安全需求
安全需求(包括对象定义、危险分析和风险评估、 功能安全概念)由整车厂提供;功能安全的实现
上海汽车2015.03
汽车电子产品供应商在获得以上输人后,可 以根据符合IsO 26262的过程体系,设计和实现技 术安全概念并验证,最终提供相应的工作产品作
构图中定义项目安全经理作为子项目经理,向项
ISO
体系和产品开发体系。 1.1管理体系 管理体系符合ISO 26262包含两个方面的要 求:整个公司的功能安全管理体系以及项目中的 功能安全管理。 首先,在整个公司的功能安全管理体系方面,
实施ISO 26262的有效方式是在企业已建立的成
目经理汇报,负责具体产品的功能安全实施,组织 和协调项目中所有与功能安全相关的活动,包括 功能安全计划及监控、开发接口协议的制订、安全 案例的提交等。为保证项目安全活动的有效实 施,管理制度和项目组织应保证项目安全经理具 有适当的、可供协调的资源以及有效的汇报渠道。
・49・
万方数据
为功能安全证据。在技术安全概念建立过程中, 需要与整车厂沟通细化安全需求,尤其是对于安 全状态以及诊断和故障响应时间的要求。以发动
机控制器为例,对于防止非驾驶员意愿加速的安
(4)芯片供应商提供与安全相关的芯片失效 模式、诊断覆盖率以及随机硬件失效率数据,以便 汽车电子产品供应商评估是否满足IS0 26262要 求的硬件架构和可靠性指标。
3
全目标(安全等级为ASIL B),其安全状态为减小 发动机的扭矩输出,诊断和故障响应时间通常在
500
结语
汽车电子产品复杂性和与安全相关性逐渐提
ms左右。故障响应时间是指从安全监控机制
发现与安全相关的错误,到故障响应(切断控制发 动机扭矩输出的执行器)的时间,是故障容忍时间 间隔的一部分,见图3。故障容忍时间间隔应当保 证与安全相关的错误不会触发危险。
故障
故障被检测到 故障响应 可能的危险
升,产品中潜在的安全风险也随之提升,因此,在 汽车电子产品快速发展的趋势下,必须采取措施 将安全风险控制在可接受的范围内,这是汽车电 子产品生产厂商的产品责任,也是实施IsO
26262
I
k
故瞳响应 兹睦在忍吐间间隘
窒全丛查
J
的驱动力。另外,随着汽车电子产品复杂性上升,
针对不同的产品,通过功能安全协调团队的 统一培训,建立符合资质要求的项目安全经理库,
・48・
ISO
26262标准要求由具有适当独立性的组
织对汽车电子产品生产厂商进行过程审核和产品
上海汽车2015.03
万方数据
的功能安全评估。然而,由于具体产品的功能安
全具有较强的专业性,在进行过程审核和功能安 全评估时,独立性和对产品功能安全的深入理解 成为一对矛盾。基于此,IsO 26262不要求必须由 第三方咨询公司执行审核和评估过程。
收稿日期:2014—12—3l
26262要求的汽车电子功能安全解决方案。
上海汽车2015.03
・47・
万方数据
为具体项目实施功能安全管理做好准备。项目安
1
符合ISO 26262要求的过程体系
建立符合ISO 26262要求的过程体系是实施 26262的前提条件。过程体系主要包括管理
全经理库负责人向功能安全协调团队汇报,并定 期召集成员,沟通功能安全相关信息及经验。 针对项目中的功能安全管理,在项目组织机
代表汽车行业功能安全领域当前发展水平,为建
立汽车电子系统功能安全解决方案提供了指导。
IS0
本文首先介绍建立符合ISO 26262要求的开发 和管理过程体系方面的经验;然后介绍整车厂、汽车
26262于2011年11月发布生效,并计划
电子产品供应商和二级供应商如何协作实施符合
ISO
于2018年发布第二版。中国汽车技术研究中心
汽车电子功能安全解决方案
如果功能需求是由整车控制器决定是否起动,发
动机控制器响应整车控制器的起动请求控制起动
电机,那么整车控制器和发动机控制器故障都将
2.1基于开发接口协议的功能安全开发协作 分布式开发是汽车电子行业最常见的开发模
违反安全目标,则对整车控制器和发动机控制器 来讲,针对该安全目标的安全等级均为AsIL B;如 果功能需求是整车控制器请求起动,发动机控制
1.2产品开发体系 从IsO 26262实施的经验来看,产品开发体系
熟过程体系基础上(比如基于ISO/偈16949),加
人ISO 26262的要求。针对整个公司的功能安全
符合ISO 26262的要求,比较好的做法是基于汽车 电Hale Waihona Puke Baidu产品生产厂商的现有V型开发流程,增加ISO 26262的要求及工作产品,将安全生命周期融人产 品生命周期当中,见图2。项目安全团队由项目安 全经理领导,负责实现产品的功能安全。项目安 全团队中的功能安全工程师建议在组织机构上与
(包括技术安全概念、系统设计规范、软硬件安全
需求规范和验证等)由汽车电子产品生产厂商完
成;功能安全评估和认可则可以根据IsO 26262定
义的独立性要求,由汽车电子产品生产厂商完成
或与整车厂共同完成。 2.2整车厂定义功能安全需求
整车厂负责定义整车系统架构并在各个汽车
汽车电子产品生产厂商可以邀请具有适当独 立性的机构进行功能安全过程审核,目的是确保 公司的过程体系符合Is0 26262标准要求。执行 审核的机构可为独立于被审核方管理条线的部 门、分公司,或其他第三方机构。审核员必须具备 相应的能力,包括丰富的功能安全知识、流程体系 知识和审核经验。 在此基础上,公司可通过内部审核或项目流
功能开发工程师保持独立。功能安全工程师应完
管理,可以定义专门的功能安全组织结构,图1是 一个范例。由公司管理层组成安全委员会,负责 批准功能安全组织机构和资源,针对功能安全实 施策略进行决策,并对功能安全相关问题进行定
期回顾。功能安全协调团队向安全委员会汇报,
负责功能安全标准的内部解释,负责功能安全流 程相关的建立及相关培训,同时负责内外部沟通 及审核。功能安全协调团队包括质量部门和技术 部门的专家,因此可以在公司层面负责质量体系 流程和开发流程中与功能安全相关的部分。除了 建立流程以外,提供相关的工作手册和实施功能 安全流程的案例用于指导,有助于加速功能安全 流程的实施和推广。
成功能安全相关的资质培训。培训内容包括流程 培训、特定的功能安全开发内容培训、功能安全案 例自学以及由功能安全协调团队负责的经验分 享。项目安全团队负责安全概念、设计规范和 验证。
l图图图阂羼匮I
产品安全团队
—l
1.3
lso
26262要求的关键r作产。品
图2产品功能安全开发体系
符合ISO 26262的过程审核和功能安全评 估
器决定是否起动,那么避免非期望发动机起动的
式,一个汽车电子系统可能涉及多个供应商及二 级供应商。功能安全是一门系统工程,整车厂和 供应商、二级供应商之间必须协同工作,来满足功
能安全目标。因此,在ISO 26262中定义了开发接
安全功能可在发动机控制器中实现,则针对该安
全目标,整车控制器的安全等级可以是QM,发动
口协议,整车厂和供应商之间、供应商和二级供应 商之间都可以通过开发接口协议来定义各自的工 作职责以及功能安全具体工作产品和信息的交 换。开发接口协议建议双方任命专门的项目安全 经理负责讨论并起草,最终由项目经理批准。
通常开发接口协议职责分工的建议为:功能
机控制器安全等级为AsIL
B。
整车厂可以根据危险分析和风险评估结果定
【关键词】功能安全汽车电子标准
doi:10.3969/j.i¥n.1∞17—4554.2015.03.10
O
引言
随着汽车电子技术的发展,动力传动系统、车
正牵头制订国内道路车辆功能安全标准GB/T 《道路车辆功能安全》,计划于2016年发布实施。 SAE功能安全委员会正在讨论制订J2980标准,该 标准的目标是为通过危险分析和风险评估定义汽 车安全完整性等级提供指导。在此背景下,制订
全开发的过程体系和方法论。满足ISO 26262标 准要求的关键点在于:(1)建立符合IsO 26262要 求的过程体系;(2)整车厂、汽车电子产品供应商 和二级供应商协作实施ISO
26262。
责任角度讲,汽车电子产品生产厂商应使用体现 当前行业发展水平的最新技术来保证安全。IS0
26262是汽车电子电气系统功能安全的国际标准,
对所评估产品的功能安全也有深人了解。
动布置形式下,后果不同,风险程度不同,相关产
品的ASIL等级也不同。
功能需求分配也影响功能安全目标和安全等 级,以带起停功能的混合动力汽车中非驾驶员意
愿起动的危险为例:假设安全目标“避免非驾驶员 意愿的发动机起动”的安全完整性级别为ASIL
B;
2
协作实施符合ISO 26262要求的
估也必须基于系统架构,不同的系统架构和功能
需求分配可能会导致系统的功能安全目标和安全 等级不同。以变速器输出轴锁死的危险为例:如 果车辆为后驱,输出轴锁死会导致非驾驶员意愿
的减速及侧滑;而如果车辆为前驱,输出轴锁死可
能导致转向能力丧失;同一种危险,在不同车辆传
发过程是否符合公司已满足ISO 26262要求的过 程体系,以及产品具体功能安全设计是否能够达 到目标安全完整性等级。执行功能安全评估的评 估员必须对功能安全过程体系有深入了解,并且
符合ISO 26262的汽车电子功能安全解决方案
郭 辉 刘佳熙
于世涛
李
君
(联合汽车电子有限公司,上海201206)
【摘要】
Is0
中国正在制定相应的国内道路车辆功能安全标准,制定满足Iso 26262要求的汽车电子功能安
全解决方案成为整车厂和供应商共同关注的课题。通过对管理体系和产品开发过程体系的适当改进,可以符合 26262标准。功能安全是系统工程,在汽车产业分布式开发的模式下,需要整车厂、汽车电子供应商以及二 级供应商分工合作,才能完全满足Is0 26262的要求。
【Abstract】
Domestic functional
s如ty
standard for road vehicles in china is under discussion.
to
It has been common topic for both OEMs and suppliers
tiVe electronics which
满足ISO 26262标准要求的功能安全解决方案成
身电子系统、驾驶员辅助系统等汽车电子系统日 趋复杂,与功能安全的相关性不断提高,汽车电子 系统失效可能导致的安全风险也随之提高。安全
是汽车电子产品质量最重要的属性之一,从产品
为整车厂和汽车电子产品供应商的共同关注点。
ISO
26262提供了汽车电子电气产品功能安
find
a
solution for functional safety of automo.
can
fulfill requirements in ISO 26262.The requirements in ISO 26262
be
fulfiUed by adapting aIld optimizing maIlagement system and product development pmcesses.Function. al safety is system
engineedng.
one
Under distribution development mode of automotive industry,coopera.
two
tion枷ong
26262.
OEMs,tier
suppliers and tier
suppliers is necessary
to
fumll requirements in ISO
程成熟度评估等方式,检查公司内运行的项目是 否符合流程体系要求。 对于汽车安全完整性等级为ASIL C/D的产 品,还需要对产品进行功能安全评估,检查产品开
电子产品之间分配功能需求,因此由整车厂来定 义功能安全需求是最合适的。 对象定义就是依据整车系统架构和汽车电子
产品被分配的功能需求进行。危险分析和风险评
匝酾瓢丽孺丽圃
需要系统性的方法分析和解决产品功能安全问
题,IS0 26262标准提供了完整的过程和方法论。
在过程体系方面,ISO 26262并非全新和独立 的要求。它可以融入现有过程体系中,通过建立 功能安全组织机构、改进过程体系,最终满足ISO 26262标准的要求。汽车电子功能安全是一个系 统工程,需要整车厂、汽车电子产品供应商以及二 级供应商各司其职,通力协作,才能实现系统功能
义功能安全目标、功能安全等级及功能安全概念,
并且提供给汽车电子产品供应商作为需求输入。
2.3汽车电子产品供应商实现功能安全需求
安全需求(包括对象定义、危险分析和风险评估、 功能安全概念)由整车厂提供;功能安全的实现
上海汽车2015.03
汽车电子产品供应商在获得以上输人后,可 以根据符合IsO 26262的过程体系,设计和实现技 术安全概念并验证,最终提供相应的工作产品作
构图中定义项目安全经理作为子项目经理,向项
ISO
体系和产品开发体系。 1.1管理体系 管理体系符合ISO 26262包含两个方面的要 求:整个公司的功能安全管理体系以及项目中的 功能安全管理。 首先,在整个公司的功能安全管理体系方面,
实施ISO 26262的有效方式是在企业已建立的成
目经理汇报,负责具体产品的功能安全实施,组织 和协调项目中所有与功能安全相关的活动,包括 功能安全计划及监控、开发接口协议的制订、安全 案例的提交等。为保证项目安全活动的有效实 施,管理制度和项目组织应保证项目安全经理具 有适当的、可供协调的资源以及有效的汇报渠道。
・49・
万方数据
为功能安全证据。在技术安全概念建立过程中, 需要与整车厂沟通细化安全需求,尤其是对于安 全状态以及诊断和故障响应时间的要求。以发动
机控制器为例,对于防止非驾驶员意愿加速的安
(4)芯片供应商提供与安全相关的芯片失效 模式、诊断覆盖率以及随机硬件失效率数据,以便 汽车电子产品供应商评估是否满足IS0 26262要 求的硬件架构和可靠性指标。
3
全目标(安全等级为ASIL B),其安全状态为减小 发动机的扭矩输出,诊断和故障响应时间通常在
500
结语
汽车电子产品复杂性和与安全相关性逐渐提
ms左右。故障响应时间是指从安全监控机制
发现与安全相关的错误,到故障响应(切断控制发 动机扭矩输出的执行器)的时间,是故障容忍时间 间隔的一部分,见图3。故障容忍时间间隔应当保 证与安全相关的错误不会触发危险。
故障
故障被检测到 故障响应 可能的危险
升,产品中潜在的安全风险也随之提升,因此,在 汽车电子产品快速发展的趋势下,必须采取措施 将安全风险控制在可接受的范围内,这是汽车电 子产品生产厂商的产品责任,也是实施IsO
26262
I
k
故瞳响应 兹睦在忍吐间间隘
窒全丛查
J
的驱动力。另外,随着汽车电子产品复杂性上升,
针对不同的产品,通过功能安全协调团队的 统一培训,建立符合资质要求的项目安全经理库,
・48・
ISO
26262标准要求由具有适当独立性的组
织对汽车电子产品生产厂商进行过程审核和产品
上海汽车2015.03
万方数据
的功能安全评估。然而,由于具体产品的功能安
全具有较强的专业性,在进行过程审核和功能安 全评估时,独立性和对产品功能安全的深入理解 成为一对矛盾。基于此,IsO 26262不要求必须由 第三方咨询公司执行审核和评估过程。
收稿日期:2014—12—3l
26262要求的汽车电子功能安全解决方案。
上海汽车2015.03
・47・
万方数据
为具体项目实施功能安全管理做好准备。项目安
1
符合ISO 26262要求的过程体系
建立符合ISO 26262要求的过程体系是实施 26262的前提条件。过程体系主要包括管理
全经理库负责人向功能安全协调团队汇报,并定 期召集成员,沟通功能安全相关信息及经验。 针对项目中的功能安全管理,在项目组织机
代表汽车行业功能安全领域当前发展水平,为建
立汽车电子系统功能安全解决方案提供了指导。
IS0
本文首先介绍建立符合ISO 26262要求的开发 和管理过程体系方面的经验;然后介绍整车厂、汽车
26262于2011年11月发布生效,并计划
电子产品供应商和二级供应商如何协作实施符合
ISO
于2018年发布第二版。中国汽车技术研究中心
汽车电子功能安全解决方案
如果功能需求是由整车控制器决定是否起动,发
动机控制器响应整车控制器的起动请求控制起动
电机,那么整车控制器和发动机控制器故障都将
2.1基于开发接口协议的功能安全开发协作 分布式开发是汽车电子行业最常见的开发模
违反安全目标,则对整车控制器和发动机控制器 来讲,针对该安全目标的安全等级均为AsIL B;如 果功能需求是整车控制器请求起动,发动机控制
1.2产品开发体系 从IsO 26262实施的经验来看,产品开发体系
熟过程体系基础上(比如基于ISO/偈16949),加
人ISO 26262的要求。针对整个公司的功能安全
符合ISO 26262的要求,比较好的做法是基于汽车 电Hale Waihona Puke Baidu产品生产厂商的现有V型开发流程,增加ISO 26262的要求及工作产品,将安全生命周期融人产 品生命周期当中,见图2。项目安全团队由项目安 全经理领导,负责实现产品的功能安全。项目安 全团队中的功能安全工程师建议在组织机构上与
(包括技术安全概念、系统设计规范、软硬件安全
需求规范和验证等)由汽车电子产品生产厂商完
成;功能安全评估和认可则可以根据IsO 26262定
义的独立性要求,由汽车电子产品生产厂商完成
或与整车厂共同完成。 2.2整车厂定义功能安全需求
整车厂负责定义整车系统架构并在各个汽车
汽车电子产品生产厂商可以邀请具有适当独 立性的机构进行功能安全过程审核,目的是确保 公司的过程体系符合Is0 26262标准要求。执行 审核的机构可为独立于被审核方管理条线的部 门、分公司,或其他第三方机构。审核员必须具备 相应的能力,包括丰富的功能安全知识、流程体系 知识和审核经验。 在此基础上,公司可通过内部审核或项目流
功能开发工程师保持独立。功能安全工程师应完
管理,可以定义专门的功能安全组织结构,图1是 一个范例。由公司管理层组成安全委员会,负责 批准功能安全组织机构和资源,针对功能安全实 施策略进行决策,并对功能安全相关问题进行定
期回顾。功能安全协调团队向安全委员会汇报,
负责功能安全标准的内部解释,负责功能安全流 程相关的建立及相关培训,同时负责内外部沟通 及审核。功能安全协调团队包括质量部门和技术 部门的专家,因此可以在公司层面负责质量体系 流程和开发流程中与功能安全相关的部分。除了 建立流程以外,提供相关的工作手册和实施功能 安全流程的案例用于指导,有助于加速功能安全 流程的实施和推广。
成功能安全相关的资质培训。培训内容包括流程 培训、特定的功能安全开发内容培训、功能安全案 例自学以及由功能安全协调团队负责的经验分 享。项目安全团队负责安全概念、设计规范和 验证。
l图图图阂羼匮I
产品安全团队
—l
1.3
lso
26262要求的关键r作产。品
图2产品功能安全开发体系
符合ISO 26262的过程审核和功能安全评 估
器决定是否起动,那么避免非期望发动机起动的
式,一个汽车电子系统可能涉及多个供应商及二 级供应商。功能安全是一门系统工程,整车厂和 供应商、二级供应商之间必须协同工作,来满足功
能安全目标。因此,在ISO 26262中定义了开发接
安全功能可在发动机控制器中实现,则针对该安
全目标,整车控制器的安全等级可以是QM,发动
口协议,整车厂和供应商之间、供应商和二级供应 商之间都可以通过开发接口协议来定义各自的工 作职责以及功能安全具体工作产品和信息的交 换。开发接口协议建议双方任命专门的项目安全 经理负责讨论并起草,最终由项目经理批准。
通常开发接口协议职责分工的建议为:功能
机控制器安全等级为AsIL
B。
整车厂可以根据危险分析和风险评估结果定
【关键词】功能安全汽车电子标准
doi:10.3969/j.i¥n.1∞17—4554.2015.03.10
O
引言
随着汽车电子技术的发展,动力传动系统、车
正牵头制订国内道路车辆功能安全标准GB/T 《道路车辆功能安全》,计划于2016年发布实施。 SAE功能安全委员会正在讨论制订J2980标准,该 标准的目标是为通过危险分析和风险评估定义汽 车安全完整性等级提供指导。在此背景下,制订
全开发的过程体系和方法论。满足ISO 26262标 准要求的关键点在于:(1)建立符合IsO 26262要 求的过程体系;(2)整车厂、汽车电子产品供应商 和二级供应商协作实施ISO
26262。
责任角度讲,汽车电子产品生产厂商应使用体现 当前行业发展水平的最新技术来保证安全。IS0
26262是汽车电子电气系统功能安全的国际标准,
对所评估产品的功能安全也有深人了解。
动布置形式下,后果不同,风险程度不同,相关产
品的ASIL等级也不同。
功能需求分配也影响功能安全目标和安全等 级,以带起停功能的混合动力汽车中非驾驶员意
愿起动的危险为例:假设安全目标“避免非驾驶员 意愿的发动机起动”的安全完整性级别为ASIL
B;
2
协作实施符合ISO 26262要求的
估也必须基于系统架构,不同的系统架构和功能
需求分配可能会导致系统的功能安全目标和安全 等级不同。以变速器输出轴锁死的危险为例:如 果车辆为后驱,输出轴锁死会导致非驾驶员意愿
的减速及侧滑;而如果车辆为前驱,输出轴锁死可
能导致转向能力丧失;同一种危险,在不同车辆传
发过程是否符合公司已满足ISO 26262要求的过 程体系,以及产品具体功能安全设计是否能够达 到目标安全完整性等级。执行功能安全评估的评 估员必须对功能安全过程体系有深入了解,并且
符合ISO 26262的汽车电子功能安全解决方案
郭 辉 刘佳熙
于世涛
李
君
(联合汽车电子有限公司,上海201206)
【摘要】
Is0
中国正在制定相应的国内道路车辆功能安全标准,制定满足Iso 26262要求的汽车电子功能安
全解决方案成为整车厂和供应商共同关注的课题。通过对管理体系和产品开发过程体系的适当改进,可以符合 26262标准。功能安全是系统工程,在汽车产业分布式开发的模式下,需要整车厂、汽车电子供应商以及二 级供应商分工合作,才能完全满足Is0 26262的要求。
【Abstract】
Domestic functional
s如ty
standard for road vehicles in china is under discussion.
to
It has been common topic for both OEMs and suppliers
tiVe electronics which
满足ISO 26262标准要求的功能安全解决方案成
身电子系统、驾驶员辅助系统等汽车电子系统日 趋复杂,与功能安全的相关性不断提高,汽车电子 系统失效可能导致的安全风险也随之提高。安全
是汽车电子产品质量最重要的属性之一,从产品
为整车厂和汽车电子产品供应商的共同关注点。
ISO
26262提供了汽车电子电气产品功能安