汽车功能安全入门

 作者:Lyman Li ,来源:Arrow Solution

功能安全在最近几年特别火,搞电子研发特别是汽车电子的,几乎所有的新项目都会被反复提及。但实际上功能安全早在20世纪60~70年代就已经被提出,并最早应用于航空和核技术等对安全可靠性要求极高的领域。随着近些年汽车电子行业高速发展,特别是汽车的新能源化、智能化,已让汽车的本质不再是机械式机器而变为一个电子控制系统,而这个电子系统的故障又极可能导致事故、人员伤害或死亡,所以功能安全已经是新设计车型的一项基本要求。但当前很多人包括部分研发工程师对功能安全的理解只停留在所用芯片是否符合功能安全这种水平,浏览网上相关解释又如同看天书,所以,本人在学习功能安全的同时也总结一篇入门文章,希望对读者们有所帮助。

功能安全概念

了解功能安全,我们得先从这里面“安全”的概念着手。这里面安全的官方定义为“不存在不可接受的风险直接或间接对人身健康或财产造成损害。”举个例子帮助理解:你住在一间房子里,如果房子是个豆腐渣工程,打个喷嚏房子就能塌掉,你在房子里当然是不安全的。但如果房子特别坚固,应用了最新建筑的技术,能抗到8级地震,那么单就抗震这一方面,你在房子里就是安全的。有人会说如果发生9级地震呢?9级地震房子会塌,但是首先9级地震发生的概率微乎其微,再者当前的建筑技术最高只能抗到8级,所以我们就可以认为这是一个可接受的风险,房子就是一个抗震性安全的房子。但是相对来说打喷嚏级的振动,则是经常发生,这种级别振动能引发塌方就是不可接受的风险,这种房子就是个不安全的房子。

功能安全就是把这种安全概念放在电子电气系统上,功能安全官方定义就是不存在由于不可接受的电气电子系统故障而造成的安全风险。汽车功能安全就是进一步把功能安全概念应用在汽车电子电气系统上。

功能安全的实现

理解了功能安全,那我们又怎么做到功能安全呢?还是回到那个房子,开发商说这是最安全的房子,因为他们应用了质量最可靠的建筑材料,最先进的建筑技术,并且盖房子的全过程也没有一点疏忽大意。如果真的符合他说的这几点确实是最安全的房子了,但开发商怎么证明自己真的做到了呢?如果有一套大家公开讨论的标准,标准规范了从房子的规划到选材、建筑、装修、验收等全流程必须的要求,如果这个房子真的做到了符合这套标准,那就可以证明它是安全的。这套标准放在电子电气系统上就叫 IEC61508,再细化到汽车行业就是 ISO26262(国内标准 GBT 34590)。

01.png

标准规定用材和开发技术,比较好实现,但如何去实现避免疏忽大意呢?

这就需要在干活前提前分析和预测危害和风险,并在干活中加入风险的规避或缓解措施,这就是功能安全实施的一般方法。专业的说法就是设计者在全开发流程去评估可能发生的故障风险,并用安全机制实现覆盖以规避或缓解风险,最终实现安全目标。

02.png

ISO26262标准


再具体到ISO26262标准,思路如上文所有,具体的是先对故障风险进行分析和分类,再对故障风险的进行安全机制覆盖,而具体故障的覆盖率的量化指标就区分了功能安全等级。覆盖率一般应用三个指标,单点故障度量SPFM ,潜伏多点故障度量 LFM, 随机硬件失效概率度量PMHF。

  • 单点故障:单点发生故障导致系统故障。

  • 潜在多点故障:单点不导致系统故障,多点组合出现导致系统故障。

  • 随机硬件失效:硬件元件的生命周期内发生的不可预知的故障,但符合概率分布。

另外所谓的安全机制指的是 自检,诊断,备份等软硬件解决方案。

03.png

安全等级的确定

汽车上电子电气组件众多,并不是所有的组件都需要达到最高安全等级。

根据三项指标,Severity 严重程度、Exposure 暴露频率、Controllability 可控难度, 来确定安全目标,这一般为OEM厂家的工作。

04.pngISO26262标准内容

当前ISO26262 (第二版) 分为12部分。

Part 1:Vocabulary 整个标准的术语表;

Part 2:Management of functional safety 重点阐述了功能安全的管理,既从项目角度也从公司层面考虑;

Part 3,4,5,6,7:它们规定了安全开发的各个阶段。涵盖了 3:概念阶段,4,5,6:系统,硬件和软件级别的产品开发阶段,7:产品的生产,运营,服务和停产;

Part 8:规定了支持流程,这是任何产品开发都需要的流程;

Part 9:详细阐述了Asil 需求分解的概念和安全分析的需求;

Part 10:描述了ISO26262 的一般概念,旨在帮助理解标准的其它部分,可以先阅读这部分;

Part 11, Part12 第二版加入的

Part 11:面向半导体供应商进一步解释了如何应用ISO26262标准;

Part 12:面向摩托车的标准调整。

总结

随着2018年ISO 26262标准第二版的正式发布,业内对道路车辆功能安全的关注更加重视,范围也更加广阔,尤其针对新能源汽车,其核心电子控制器的ASIL等级都较高,行业内对于ISO 26262逐渐成为必要需求。在欧洲和美国等地区的发展趋势更是基本成为行业强制标准。中国在新能源汽车领域是不想再做跟屁虫的,既然目标是行业领导者,那相关人员更需要理解功能安全和并提高功能安全意识,毕竟一台好车的前提必须是一台安全的车。

参考资料:NXP 功能安全学院课程