手机网站
手机网站
< p >资料来源|牛骨网
为了提高电子电气控制器的安全性能,制定一套切实可行的安全技术标准迫在眉睫。在行业专家的积极参与下,国际电工委员会于1998年颁布了IEC61508-功能安全标准
1,历史
功能安全ADAS系统的功能安全培训课程的概念起源于20世纪60年代和70年代的航空和核技术领域到了20世纪70年代和80年代,世界上发生了许多爆炸或污染
事件,尤其是在石油化工行业。泄露此事事故的主要原因是由于控制系统的相关安全功能失效,而导致失效的非常重要的一点是由于电子/电气/可编程控制器产品本身的安全功能不完善。
为了提高电子电气控制器的安全性能,制定一套切实可行的安全技术标准迫在眉睫。在行业专家的积极参与下,国际电工委员会于1998年颁布了IEC61508-功能安全标准
2,相关安全标准
国际电工委员会61508-功能安全标准是许多行业普遍使用的国际基本安全标准,已在不同领域得到开发和应用例如,过程控制行业的IEC61511标准和核电领域的IEC61513标准还有专门针对道路车辆功能安全的ISO26262标准
ISO26262是IEC61508标准在汽车工业中的具体应用。初稿于2009年出版,并于2011年11月正式颁布。ISO26262的核心价值是通过系统的功能安全研发管理流程和汽车电子控制器系统/硬件/软件的系统验证和确认方法,确保电子系统的安全功能在各种恶劣条件下不会失效,从而确保驾驶员和行人的安全
国际标准化组织26262提供了汽车安全的规范和推荐做法(如确定汽车的安全完整性等级ASIL)。ADAS系统功能安全培训课程贯穿于产品的整个生命周期(指管理-开发-生产-运营-服务-关闭的全过程)框架如下:
如上图所示,ISO26262分为10个部分:
第1部分:定义,
第2部分:功能安全管理,
第3部分:概念阶段,
第4部分:产品开发:系统级,
第5部分:产品开发:硬件
第6部分:产品开发:软件级别,
7部分:生产经营,
第8部分:支持流程,
9第9部分:基于ASIL安全与定位分析,
part10: iso 26262指南
从技术上讲,随着汽车技术的发展,车载电子控制器的数量日益增多。例如,一些豪华车有数百个控制器和数千个can信号。确保他们安全的重要性不言而喻
此外,从法律上讲,这也是必要的。例如,德国相关法律法规也规定,如果过期产品达到最新技术,则可以免除责任。因此,实施ISO26262标准不仅可以提高产品的安全性能和内在价值,还可以增强产品的竞争力。
3,功能安全定义
3.1本质安全和功能安全
为了理解功能安全的概念,首先必须熟悉“本质安全”和“功能安全”的概念
以铁路交叉口为例,比较基于两个安全概念的避免交叉口事故的方法。避免交叉事故是这里的安全目标。为了实现这个目标,可以执行以下操作:
首先,如果铁路枢纽被拆除并直接改造成立交桥的形式,使火车和汽车各行其是,那么就不会有人员或车辆穿越铁路枢纽的事故。这样,根据系统的特点,直接消除危险源的方法是“本质安全”的
其次,如果在铁路道口设置信号灯和自动栏杆,当列车来临时,红灯闪烁,同时放下栏杆,防止行人或车辆通过。通过栏杆和警示灯的阻挡功能抑制事故风险的技术称为“功能安全”ADAS系统功能安全培训课程。这里,信号灯和自动栏杆是一个安全机制理想的情况是在任何情况下都采用“本质安全”,但事实上,在许多情况下,由于系统自身的原因,不可能消除危险源。特别是对于非常复杂的电子系统,例如车载电子控制系统,上述本质安全难以实现和应用。因此,我们只能采用功能安全。其目的是在本质安全无法实现的情况下,通过尽可能增加安全机制来提高安全水平和实现安全目标。
3.2电子控制器
的功能安全性对于汽车来说,汽车可以被视为“机器人”。驾驶员向“机器人”发出信号,例如踩下踏板加油,汽车接收到命令并执行:电喷系统增加燃油喷射,发动机输出扭矩增加,汽车加速。
对于传统汽车,其结构简单,大部分指令都是通过机械手段实现的,比如老式汽车的机械油门,其故障是可以预测的。然而,在今天的汽车中,随着电子电气化的增强,驾驶员的指令将首先被转换成相关的信号,然后这些信号将被传输到控制器的处理芯片,最后相关的执行器将被驱动执行,从而大大降低了故障的可预测性。
正是因为现代汽车越来越电气化,整辆汽车的安全性在很大程度上取决于电子控制器的安全性,如发动机控制器电子控制单元、变速器控制器TCU、车辆稳定性控制器电潜泵等。此外,电子控制器故障的可预测性非常低,例如,芯片/电路受到外部世界的干扰,这使得很难预测什么会出错。因此,必须考虑如果电子控制器发生故障会发生什么的问题。
3.3功能安全考虑角度
对于如何处理电子控制器故障的问题,必须先确定一个角度。例如,系统本身带来的风险,如电子控制单元在极端高温下的自燃和爆炸,不在功能安全的范围内。
从产品安全的角度来看,其安全性可分为传统安全性和电子/电气功能安全性。传统安全包括:与电击、火灾、烟雾、热量、辐射、毒性、易燃性、反应性、腐蚀性、能量释放等相关的危险。和类似的危险,除非这些危险是由电子和电气安全相关系统的故障行为直接引起的传统安全性超出了功能安全性的考虑范围。ADAS系统功能安全培训课程
根据国际知名安全协会的定义,如英国汽车工业软件可靠性协会和德国VDA协会(VDA),它们从车辆可控性的角度要求功能安全。然而,IEC-61508从个人安全的角度强调了需求(也可以考虑设备安全)
因此,从车辆可控性和人身安全两个方面考虑功能安全时,有一个着陆点。例如,考虑是否存在驾驶员不期望的加速,而驾驶员不期望的减速实际上降低了安全边界,但是车辆在驾驶员的控制下被抛出。这就是为什么电子控制单元不监测相关控制器的扭矩降低。
3.4 ISO 26262
中功能安全的定义ISO 26262是专门用于提高汽车电子电气产品功能安全性的国际标准。它源自电子、电气和可编程器件功能安全的基本标准IEC61508。26262将功能安全的概念定义如下:
英语定义:不存在因电子/电子系统故障行为引起的危险而导致的不合理风险;
不存在因电子电气系统故障行为造成的不合理危险
让我们把这段话分解:
a .无风险:无风险
B。无不合理
风险:不合理风险C。不存在由电子和电气系统
故障引起的危险引起的不合理风险中的关键词是不合理的风险。什么是不合理风险?例如,汽车行驶时,安全气囊弹出。这是不合理的风险,也是功能安全需要避免的问题。
一般来说,功能安全是指避免由系统功能故障引起的不可接受的风险它关注的是系统故障后的行为,而不是系统的原始功能或性能。因此,功能安全的目的是在系统发生故障时,使系统处于安全可控的状态,以避免对人员和财产的伤害。
4年,ASIL汽车安全诚信等级
4.1危险事件的确定
对于电子控制器电子控制单元,有两个主要故障原因:软件和硬件
软件故障:例如,分母可能是0而没有考虑;变量公式定义错误,导致精度损失;
硬件故障:如下图所示,可分为传感器故障;电子控制单元硬件故障(如中央处理器或随机存取存储器/只读存储器故障);致动器故障。
当根据国际标准化组织26262标准设计功能安全时,首先确定系统的功能,并分析所有可能的故障或故障。可以采用的分析方法包括危险分析、FMEA法、头脑风暴法等。
功能故障只能在特定驾驶场景下造成人员伤亡,如近光灯系统。功能故障之一是灯意外熄灭。如果司机在漆黑的夜晚在山路上行驶时看不到路况,他可能会掉进悬崖,导致汽车被毁和人员死亡。如果该功能在白天出现故障,将不会产生任何影响。
因此,在进行功能故障分析后,应进行情景分析,以识别与故障相关的驾驶情景,如高速公路超车、车库停车等。根据行车情况分析,对道路类型(国道、高速公路)、路况(湿滑、冰雪)提出建议;车辆状态(转向、超车、制动、加速等))、环境条件(风、雪、雨、尘、夜、隧道灯)、人员情况(乘客、路人)等。应该考虑功能故障和驾驶场景的组合称为危险事件。
确定危险事件后,根据三个因素(严重性、暴露和可控性)评估危险事件的风险级别,即ASIL级别
4.2 ASIL
级ASIL水平的定义是评估和量化故障带来的风险,以实现安全目标。它的全称是汽车安全集成级别——汽车的安全完整性级别。这个概念来自于国际电工委员会61508,它通过失效概率定义了安全完整性等级。然而,在汽车工业中,只有随机的硬件故障可以通过统计来评估,而软件故障很难量化。因此,26262根据汽车的特性定义了ASIL
如前所述,ASIL评价一般在产品概念设计阶段对系统进行危害分析和风险评估,以识别系统的危害。如果系统的安全风险越大,相应的安全要求级别越高,ASIL级别也越高。ASIL分为质量管理、A级、B级、C级和D级。ASIL D是汽车安全完整性的最高级别,对功能安全性有最高要求。
4.3风险分析和风险评估
对于汽车系统,特定危险的风险取决于以下三个因素:
A。危险事件造成的伤害或损失的潜在严重性
B。指人员暴露于系统故障可能导致危险的情况下的概率或,这被理解为可能发生危险事件的驾驶条件的概率(E)
C。涉及危险的驾驶员和其他交通人员通过及时响应避免特定伤害或损失的能力(可控性,缩写为C)
然后将严重性S、可能性E和可控性C分别划分为4个等级,如下表所示,其中QM代表安全无关性:
根据上述划分、组合和加法得到5个ASIL等级(质量管理、A、B、C、D),原则为
A。不考虑基本可控的C0组合;
B。不考虑S0组合的危害;
C。其余的组合加起来是7对ASIL A,8对ASIL B,9对ASIL C,10对最高水平的ASIL D;;ASIL A、b、c、d都是与安全相关的功能
D。其余的分数被评估为质量管理,代表非安全相关功能
以下是一些例子:
电子驻车制动器电子手刹
以电子手刹的驻车功能为例。停车时,驾驶员通过按钮或其他方式触发制动请求,EPB对汽车的后轮施加制动力,以防止汽车不希望地滑动。该系统的危险包括意外制动故障和意外制动启动在不同的情况下,相同危险的风险是不同的,因此也应该分析不同的情况。分析如下表所示:
表明EPB系统的安全目标是防止意外制动,ASIL等级为D
根据以上分析,不难得到ASIL等级的其他例子,如
4.4功能安全目标
的分解通过危害分析和风险评估,我们获得了系统或功能的安全目标和相应的ASIL等级。确定ASIL水平后,我们需要确定每个评估风险的安全目标。安全目标是最高级别的安全要求安全目标确定后,应对系统设计、硬件和软件进行设计、实施和验证。
可以从安全目标推导出开发阶段的安全需求,安全需求继承了安全目标的ASIL级如果一个安全需求被分解成两个冗余的安全需求,那么原始安全需求的ASIL级别可以被分解成两个冗余的安全需求冗余安全要求的ASIL级别可以低于原始安全要求的ASIL级别,因为只有当两个安全要求不能同时满足时,系统才会出现故障。ISO 26262第9章给出了ASIL分解的原理在国际标准化组织26262中,ASIL分解被提出来在满足安全目标的前提下降低ASIL水平,可以解决上述发展中的困难。
ASIL分解最重要的要求之一是独立性。如果不能满足独立性要求,应按照原ASIL水平开发冗余单元。所谓的独立性意味着冗余单元之间不应有从属故障。相关故障分为常见原因故障和连锁故障常见原因故障是指两个单元由于常见原因(如软件重复冗余)而出现故障。冗余单元都将由于同一个软件错误而失败。为了避免这种常见的失败原因,我们采用了各种软件设计方法。级联故障是指一个单元的故障导致另一个单元的故障。例如,一个软件组件的功能故障被写入另一个软件组件的内存,导致另一个软件组件的功能故障
的具体降解方法如下,例如,ASIL D应根据以下要求之一进行分解:
1)一项ASIL(D)要求和一项ASIL(D)要求;
2)一项asilbb (d)要求和一项asilbb (d)要求;
3)一个辅助设计要求和一个质量管理要求,
其他ASIL能级可分解如下图所示:
