手机网站
手机网站
为了提高电子电气控制器的安全性能,制定一套切实可行的安全技术标准迫在眉睫。在行业专家的积极参与下,国际电工委员会于1998年颁布了IEC61508-功能安全标准。
1和
功能安全ADAS系统功能安全培训课程的概念起源于20世纪60年代和70年代的航空和核技术领域到了20世纪70年代和80年代,世界各地发生了多次爆炸或污染
泄漏,尤其是在石化行业。事故的主要原因是由于控制系统的相关安全功能失效,而导致失效的最重要的一点是由于电子/电气/可编程控制器产品本身的安全功能不完善。
为了提高电子电气控制器的安全性能,制定一套切实可行的安全技术标准迫在眉睫。在行业专家的积极参与下,国际电工委员会于1998年颁布了IEC61508-功能安全标准。
2和相关安全标准
9 iec 61508-功能安全标准是许多行业常用的国际基本安全标准,已在不同领域得到开发和应用例如,过程控制行业的IEC61511标准和核电领域的IEC61513标准还有专门针对道路车辆功能安全的ISO26262标准
ISO26262是IEC61508标准在汽车工业中的具体应用。初稿于2009年出版,并于2011年11月正式颁布。ISO26262的核心价值是通过系统的功能安全研发管理流程和汽车电子控制器系统/硬件/软件的系统验证和确认方法,确保电子系统的安全功能在各种恶劣条件下不会失效,从而确保驾驶员和行人的安全
ISO 26262为汽车安全提供了规范和推荐做法,ADAS系统功能安全培训课程贯穿于产品的整个生命周期框架如下:
如上图所示,ISO26262分为10个部分,即:
1部分:定义,
2部分:功能安全管理,
3部分:概念阶段,
Par4:产品研发:系统级。
第5部分:产品开发:硬件级别
第6部分:产品开发:软件级别,
第7部分:生产和运营,
第8部分:支持流程,
第9部分:基于ASIL的安全和方向分析,
第10部分:iso 26262指南
从技术上讲,随着汽车技术的发展,车载电子控制器的数量日益增多。例如,一些豪华车有数百个控制器和数千个can信号。确保他们安全的重要性不言而喻
此外,从法律上讲,这也是必要的。例如,德国相关法律法规也规定,如果过期产品达到最新技术,则可以免除责任。因此,实施ISO26262标准不仅可以提高产品的安全性能和内在价值,还可以增强产品的竞争力。
3,功能安全的定义
3.1本质安全和功能安全
为了理解功能安全的概念,必须首先熟悉“本质安全”和“功能安全”的概念
以铁路交叉口为例,比较基于两种安全理念的避免交叉口事故的方法。避免路口事故是这里的安全目标。为了实现这一目标,可以进行以下操作:
首先,如果铁路枢纽被拆除并直接改造成立交桥的形式,使火车和汽车都可以走自己的路,那么就不会有人员或车辆穿越铁路枢纽的事故。这样,根据系统的特点,直接消除危险源的方法是“本质安全”的
其次,如果我们在铁路道口设置信号灯和自动栏杆,当火车来时,闪红灯,同时放下栏杆,防止行人或车辆通过。通过栏杆和警示灯的阻挡功能抑制事故风险的技术称为“功能安全”ADAS系统功能安全培训课程。在这里,信号灯和自动栏杆是一种安全机制。理想的情况是在任何情况下都采用“本质安全”,但事实上,在许多情况下,由于系统自身的原因,不可能消除危险源。特别是对于非常复杂的电子系统,例如车载电子控制系统,上述本质安全难以实现和应用。因此,我们只能采用功能安全。其目的是在本质安全无法实现的情况下,通过尽可能增加安全机制来提高安全水平和实现安全目标。
3.2电子控制器的功能安全性
对于汽车,汽车可视为“机器人”。司机向“机器人”发出信号,比如踩踏板加油。汽车收到一个命令,然后执行它:电子喷射系统增加燃油喷射,发动机输出扭矩增加,车辆加速。
对于传统汽车来说,其结构简单,大部分指令都是通过机械手段实现的,比如老式汽车的机械油门,具有很大的故障可预测性。然而,在今天的汽车中,随着电子电气化的增强,驾驶员的指令将首先被转换成相关的信号,然后这些信号将被传输到控制器的处理芯片,最后相关的执行器将被驱动执行,从而大大降低了故障的可预测性。
正是因为现代汽车越来越电气化,整车的安全性在很大程度上取决于电子控制器的安全性,如发动机控制器电子控制单元、TCU变速器控制器、车辆稳定性控制器电子稳定程序等。此外,电子控制器故障的可预测性非常低,例如,芯片/电路受到外部世界的干扰,这使得很难预测什么会出错。因此,必须考虑如果电子控制器发生故障会发生什么的问题。
3.3功能安全考虑角度
对于如何处理电子控制器故障的问题,必须首先确定一个角度例如,系统本身带来的风险,如电子控制单元在极端高温下的自燃和爆炸,不在功能安全的范围内。从产品安全的角度来看,
可按电子/电气功能分为传统安全和安全。传统安全包括与电击、火灾、烟雾、热、辐射、毒性、易燃性、反应性、腐蚀性、能量释放等相关的危险。和类似的危险,除非这些危险是由电子和电气安全相关系统的故障行为直接引起的传统安全性超出了功能安全性的考虑范围。ADAS系统功能安全培训课程
由国际知名安全协会定义,如英国的MISARA,如德国的德国VDA协会和德国汽车工业协会)。他们从车辆可控性的角度要求功能安全。然而,IEC-61508从个人安全的角度强调了这一要求。
因此有一个着陆点,从车辆可控性和人身安全两个方面考虑功能安全。例如,考虑是否存在驾驶员不期望的加速,而驾驶员不期望的减速实际上降低了安全边界,但是车辆在驾驶员的控制下被抛出。这就是为什么电子控制单元不监测相关控制器的扭矩降低。
3.4 iso 26262
iso 26262中的功能安全定义是一项专门用于提高汽车电子电气产品功能安全的国际标准。它源自电子、电气和可编程器件功能安全的基本标准IEC61508。26262对功能安全的定义如下:
英语定义:无危险。
不存在由电子和电气系统故障行为引起的不合理风险
让我们来分解以下段落:
无风险:无风险
无不合理风险:不合理
无不合理风险由电子电气系统故障引起的风险
关键词是不合理风险。什么是不合理的风险,例如车辆行驶时气囊弹出,这是不合理的风险,这是功能安全需要避免的问题
一般来说,功能安全是指避免由系统功能故障引起的不可接受的风险它关注的是系统故障后的行为,而不是系统的原始功能或性能。因此,功能安全的目的是在系统发生故障时,使系统处于安全可控的状态,以避免对人员和财产的伤害。
4、ASIL汽车安全完整性等级
4.1危险事件判定
为电子控制器ECU,故障主要由软件和硬件两方面引起
软件故障:例如,分母可能是0,无需考虑;变量公式定义错误,导致精度损失;
硬件故障:如下图所示,可分为传感器故障;电子控制单元硬件故障;致动器故障。当根据国际标准化组织26262标准设计功能安全时,
首先识别系统的功能,并分析所有可能的功能故障或故障。可能的分析方法包括HAZOP、FMEA、头脑风暴等。
功能故障只能导致特定驾驶场景下的伤亡事件,如近光灯系统。功能故障之一是灯意外熄灭。如果司机在漆黑的夜晚在山路上行驶时看不到路况,他可能会掉进悬崖,导致汽车被毁和人员死亡。如果该功能在白天出现故障,将不会产生任何影响。
因此,在进行功能故障分析后,应进行情景分析,以识别与故障相关的驾驶情景,如在高速公路上超车、在车库停车等。建议从道路类型和路面状况分析行车情况;车辆状况、环境条件、人员情况等方面需要考虑功能故障和驾驶场景的组合称为危险事件
危害事件确定后,根据三个因素——严重度、暴露率和可控性——即ASIL水平,对危害事件的风险水平进行评估
4.2 ASIL等级
ASIL等级被定义为评估和量化由故障引起的风险,以实现安全目标。其全称是汽车安全集成级——汽车安全完整性级这个概念来自于IEC61508,它通过失效概率来定义安全完整性等级然而,在汽车工业中,只有随机的硬件故障可以通过统计来评估,而软件故障很难量化。因此,26262根据汽车的特性定义了ASIL
如前所述,ASIL评价一般在产品概念设计阶段对系统进行危害分析和风险评估,以识别系统的危害。如果系统的安全风险越大,相应的安全要求级别越高,ASIL级别也越高。ASIL分为质量管理、A级、B级、C级和D级。ASIL D是汽车安全完整性的最高级别,对功能安全性有最高要求。
4.3危险分析和风险评估
对于汽车系统,特定危险的风险由以下三个因素决定:
A。危险事件造成的伤害或损失的潜在严重性
B。人员暴露在系统故障可能导致危险的情况下的概率被理解为概率
℃。驾驶员和其他涉及危险的交通人员通过及时反应避免特定伤害或损失的能力
,然后将严重性S、可能性E和可控性C分别划分为4个等级,如下表所示,其中QM代表安全无关性:
根据上述划分和组合获得5个ASIL等级,原则是:
A。不考虑基本可控的C0组合;
B。不考虑S0组合的危害;
C。其他组合加起来是ASIL A的7个,ASIL B的8个,ASIL C的9个,最高级别ASIL D的10个;;ASIL A、B、C和D都是与功能安全相关的
D。安全评估的其余分数为QM,代表与安全无关的函数
。这里有几个例子来说明:
电子驻车制动器
以电子驻车制动器的驻车功能为例。停车时,驾驶员通过按钮或其他方式触发制动请求,EPB对汽车后轮施加制动力,防止汽车意外打滑。该系统的危险包括意外制动故障和意外制动启动在不同的情况下,相同危险的风险是不同的,因此也应该分析不同的情况。分析如下表所示:
表示EPB系统的安全目标是防止不希望的制动,ASIL水平为D
。根据以上分析,不难得出其他实例的ASIL水平,如
4.4功能安全目标
通过上位危害分析和风险评估的分解。我们得到系统或功能的安全目标和相应的ASIL等级。当确定ASIL等级时,我们需要确定每个评估风险的安全目标。安全目标是最高级别的安全要求安全目标确定后,应对系统设计、硬件和软件进行设计、实施和验证。
可以从安全目标推导出开发阶段的安全需求,安全需求继承了安全目标的ASIL级如果一个安全需求被分解成两个冗余的安全需求,那么原始安全需求的ASIL级别可以被分解成两个冗余的安全需求冗余安全要求的ASIL级别可以低于原始安全要求的ASIL级别,因为只有当两个安全要求不能同时满足时,系统才会出现故障。ISO 26262第9章给出了ASIL分解的原理在国际标准化组织26262中,ASIL分解被提出来在满足安全目标的前提下降低ASIL水平,可以解决上述发展中的困难。
ASIL分解最重要的要求之一是独立性。如果不能满足独立性要求,应按照原ASIL水平开发冗余单元。所谓的独立性意味着冗余单元之间不应该有从属故障。从属故障可分为共同原因故障和级联故障。常见原因故障是指两个单元由于常见原因(如软件重复冗余)而出现故障。冗余单元都将由于同一个软件错误而失败。为了避免这种常见的失败原因,我们采用了各种软件设计方法。级联故障是指一个单元的故障导致另一个单元的故障。例如,一个软件组件的功能故障被写入另一个软件组件的内存,导致另一个软件组件的功能故障
的具体降解方法如下所示,例如,ASIL D的要求应根据以下一项进行分解:
1)ASIL C的要求和ASIL A的要求;
2)一个ASIL要求和一个ASIL要求;
3)一个ASIL D要求和一个质量管理要求。
其他ASIL能级可分解如下图所示:
