1 功能安全標(biāo)準(zhǔn)介紹

　　

　　隨著汽車(chē)工業(yè)的發(fā)展和人們對(duì)駕駛舒適性日益提高的要求，電子系統(tǒng)在汽車(chē)中的應(yīng)用日趨廣泛。從2005年至2010年，全球車(chē)用半導(dǎo)體市場(chǎng)以約每年8%的速度增長(zhǎng)，到2015年達(dá)到300億美元，預(yù)計(jì)2015年至2020年之間的年增長(zhǎng)率約為6%，高于半導(dǎo)體行業(yè)預(yù)計(jì)的3%至4%的增幅。這將使汽車(chē)半導(dǎo)體的年銷(xiāo)售額在390億-420億美元之間。與此同時(shí)，汽車(chē)電子系統(tǒng)的功能安全變得越來(lái)越重要。尤其是在出現(xiàn)"豐田剎車(chē)門(mén)"事件之后，以及2015年黑客遠(yuǎn)程入侵并控制Jeep自由光事件后，汽車(chē)電子系統(tǒng)的功能安全更是吸引了國(guó)際和國(guó)內(nèi)社會(huì)的廣泛關(guān)注。

　　

　　事實(shí)上，汽車(chē)安全一直都是汽車(chē)技術(shù)發(fā)展趨勢(shì)之一，對(duì)汽車(chē)電子系統(tǒng)功能安全標(biāo)準(zhǔn)的討論也一直在業(yè)界中進(jìn)行，下面列出了汽車(chē)電子行業(yè)中幾個(gè)常見(jiàn)的安全法規(guī)或標(biāo)準(zhǔn)：

　　

　　美國(guó)聯(lián)邦機(jī)動(dòng)車(chē)安全標(biāo)準(zhǔn)FMVSS

　　

　　FMVSS是FederalMotorVehicleSafetyStandard的簡(jiǎn)稱(chēng)，它由美國(guó)運(yùn)輸部國(guó)家高速公路安全管理局頒布，是美國(guó)的汽車(chē)安全技術(shù)法規(guī)。對(duì)于美國(guó)境內(nèi)銷(xiāo)售車(chē)輛，要求進(jìn)行強(qiáng)制性認(rèn)證。它由一系列與機(jī)動(dòng)車(chē)安全相關(guān)的法規(guī)組成，比如針對(duì)變速器換擋桿順序的FMVSS102，針對(duì)加速器控制系統(tǒng)的FMVSS124，針對(duì)電子穩(wěn)定控制系統(tǒng)的FMVSS126等等。法規(guī)針對(duì)機(jī)動(dòng)車(chē)某個(gè)跟安全相關(guān)的零部件或設(shè)備定義了要求。比如FMVSS124中要求電子節(jié)氣門(mén)必須要有兩個(gè)動(dòng)力源能夠使節(jié)氣門(mén)回到怠速位置，以保證在某一動(dòng)力源失效時(shí)的安全，并且還對(duì)響應(yīng)時(shí)間做出了規(guī)定[2]：對(duì)重量小于或等于4536kg的車(chē)輛要求節(jié)氣門(mén)在1s內(nèi)能從任何位置回到怠速位置，如果測(cè)試環(huán)境是在低溫狀態(tài)（-18攝氏度到-40攝氏度），則響應(yīng)時(shí)間要求可以延長(zhǎng)至3s。中國(guó)國(guó)家標(biāo)準(zhǔn)GB11561對(duì)應(yīng)FMVSS124。

　　

　　歐盟指令和歐洲經(jīng)濟(jì)委員會(huì)法規(guī)

　　

　　歐盟指令2007/46/EC（替代70/156/EEC）提供了機(jī)動(dòng)車(chē)型式認(rèn)證的框架，并且定義了型式認(rèn)證中對(duì)整車(chē)，汽車(chē)系統(tǒng)和零部件（比如指示燈，防盜裝置等）的通用要求。歐洲經(jīng)濟(jì)委員會(huì)（ECE）法規(guī)中有55項(xiàng)完全等同于相應(yīng)的歐盟指令，比如ECER-10提出了對(duì)電磁兼容性的要求，與72/245/EEC等同。ECE法規(guī)中還有一些是針對(duì)特定領(lǐng)域的要求，比如ECER-100提出了對(duì)電動(dòng)汽車(chē)的功能安全要求。如果某個(gè)特定的領(lǐng)域（比如發(fā)動(dòng)機(jī)控制器）沒(méi)有被以上法規(guī)覆蓋，可以參考?xì)W盟指令2001/95/EC（針對(duì)產(chǎn)品安全）和85/374/EEC（針對(duì)產(chǎn)品責(zé)任）的要求。值得注意的是，這兩個(gè)法規(guī)要求制造商有義務(wù)采用最新技術(shù)來(lái)保證產(chǎn)品安全。

　　

　　MISRA指導(dǎo)書(shū)

　　

　　MISRA是英國(guó)汽車(chē)工業(yè)軟件可靠性協(xié)會(huì)(TheMotorIndustrySoftwareReliabilityAssociation)的簡(jiǎn)稱(chēng)。為了給汽車(chē)系統(tǒng)設(shè)計(jì)安全可靠的軟件提供指導(dǎo)，該協(xié)會(huì)在90年代初發(fā)布了《面向汽車(chē)軟件的開(kāi)發(fā)指導(dǎo)書(shū)》，該指導(dǎo)書(shū)著眼于汽車(chē)軟件開(kāi)發(fā)，描述了從項(xiàng)目計(jì)劃到產(chǎn)品維護(hù)的軟件生命周期，并強(qiáng)調(diào)了軟件設(shè)計(jì)中為保證可靠性應(yīng)該注意的問(wèn)題和對(duì)應(yīng)的技術(shù)措施，比如在實(shí)時(shí)控制系統(tǒng)中如何使用中斷，如何使用浮點(diǎn)計(jì)算等等。MISRA指導(dǎo)書(shū)還提出了在安全分析過(guò)程中用車(chē)輛是否可控來(lái)對(duì)系統(tǒng)安全完整性進(jìn)行分級(jí)的概念，見(jiàn)表1[3]。從表中描述可以看出，指導(dǎo)書(shū)對(duì)可控性的分類(lèi)仍然比較模糊，在實(shí)際應(yīng)用時(shí)往往難以區(qū)分。另外，該指導(dǎo)書(shū)雖然提出了軟件生命周期的系統(tǒng)工程方法，但僅針對(duì)軟件設(shè)計(jì)提供指導(dǎo)，對(duì)系統(tǒng)設(shè)計(jì)、硬件設(shè)計(jì)相關(guān)內(nèi)容沒(méi)有提供完整的表述。

　　

　　

　　IEC61508

　　

　　IEC61508由國(guó)際電工委員會(huì)（InternationalElectrotechnicalCommission）于2000年制訂，是針對(duì)電氣/電子/可編程電子安全相關(guān)系統(tǒng)功能安全的國(guó)際標(biāo)準(zhǔn)。它的制訂目標(biāo)是作為制訂特定領(lǐng)域功能安全標(biāo)準(zhǔn)的基礎(chǔ)，或者直接用于目前還沒(méi)有功能安全標(biāo)準(zhǔn)的領(lǐng)域。目前，基于IEC61508制訂并發(fā)布的國(guó)際標(biāo)準(zhǔn)包括：機(jī)械工業(yè)領(lǐng)域的IEC62061，醫(yī)療工業(yè)領(lǐng)域的IEC60601，過(guò)程工業(yè)領(lǐng)域的IEC61511，核工業(yè)領(lǐng)域的IEC61513。

　　

　　IEC61508提出了功能安全的概念，它被定義為與受控設(shè)備和受控設(shè)備控制系統(tǒng)有關(guān)的整體安全的組成部分，取決于電氣/電子/可編程電子安全相關(guān)系統(tǒng)、其他技術(shù)安全相關(guān)系統(tǒng)和外部風(fēng)險(xiǎn)降低設(shè)施功能的正確行使。IEC61508定義了電氣/電子/可編程電子安全相關(guān)系統(tǒng)的安全生命周期（從概念、設(shè)計(jì)、使用、維護(hù)到停用），并通過(guò)安全完整性等級(jí)（SafetyIntegrityLevel）來(lái)定義對(duì)安全相關(guān)系統(tǒng)在安全生命周期中的要求。安全完整性等級(jí)按照受控設(shè)備控制系統(tǒng)聲明的每小時(shí)危險(xiǎn)失效概率被分為4個(gè)等級(jí)（參見(jiàn)表2），SIL4代表最高安全完整性等級(jí)。

　　

　

　　IEC61508被應(yīng)用于汽車(chē)領(lǐng)域，比如德國(guó)博世的變速箱控制器系統(tǒng)GEN2就聲明符合IEC61508的SIL2。但在汽車(chē)領(lǐng)域應(yīng)用實(shí)踐中，發(fā)現(xiàn)直接應(yīng)用IEC61508存在以下問(wèn)題：

　　

　　1）IEC61508中安全完整性等級(jí)是通過(guò)概率的方式描述，在汽車(chē)領(lǐng)域應(yīng)用實(shí)踐中，只有隨機(jī)硬件失效可以通過(guò)統(tǒng)計(jì)數(shù)據(jù)評(píng)估概率是否符合要求，軟件失效難以評(píng)估。

　　

　　2）IEC61508中對(duì)安全生命周期的描述不適用于大批量生產(chǎn)的汽車(chē)系統(tǒng)，并且IEC61508沒(méi)有對(duì)生產(chǎn)過(guò)程的功能安全提出要求。

　　

　　因此，該標(biāo)準(zhǔn)未在汽車(chē)領(lǐng)域得到廣泛應(yīng)用。基于IEC61508制訂汽車(chē)領(lǐng)域的功能安全標(biāo)準(zhǔn)的需求變得越來(lái)越迫切，國(guó)際標(biāo)準(zhǔn)化組織開(kāi)始推動(dòng)相應(yīng)ISO標(biāo)準(zhǔn)的制訂。

　　

　　2 ISO26262介紹

　　

　　ISO26262是IEC61508在道路車(chē)輛的電子電氣系統(tǒng)領(lǐng)域的應(yīng)用。該標(biāo)準(zhǔn)于2005年起動(dòng)制訂工作，在2009年9月發(fā)布了草稿，并在2011年3月正式發(fā)布。

　　

　　ISO26262的范圍是：

　　

　　1）針對(duì)質(zhì)量小于3.5噸的批產(chǎn)轎車(chē)上安裝的安全相關(guān)系統(tǒng)，系統(tǒng)包含一個(gè)或多個(gè)電子電氣系統(tǒng)；

　　

　　2）針對(duì)電子電氣安全相關(guān)系統(tǒng)故障時(shí)產(chǎn)生的可能危險(xiǎn)。不針對(duì)電擊、起火、煙霧、發(fā)熱、輻射、毒性、易燃、放射性、腐蝕、能量釋放及其他類(lèi)似危險(xiǎn)，除非是直接由電子電氣安全相關(guān)系統(tǒng)的故障導(dǎo)致；

　　

　　3）針對(duì)ISO26262發(fā)布之后的系統(tǒng)。

　　

　　如圖1所示，ISO26262共分為10個(gè)部分：第1部分為詞匯表，解釋了標(biāo)準(zhǔn)中使用的術(shù)語(yǔ)以及容易混淆的概念；第2部分描述了功能安全管理的要求；第3部分到第7部分是ISO26262的核心部分，定義了一個(gè)完整的安全生命周期，并定義了相應(yīng)的要求；第8部分為支持ISO26262的流程，比如配置管理、變更管理等；第9部分解釋了如何進(jìn)行功能安全分析；第10部分提供了ISO26262的指導(dǎo)書(shū)。ISO26262總共包含了600多個(gè)要求和150多個(gè)工作產(chǎn)品。

　　

　　

　　圖1ISO26262的架構(gòu)

　　

　　相對(duì)于IEC61508，ISO26262提供了：

　　

　　1）汽車(chē)安全生命周期（從概念，到產(chǎn)品開(kāi)發(fā)，再到生產(chǎn)、使用和維修，直到最后報(bào)廢）；

　　

　　2）汽車(chē)領(lǐng)域中決定風(fēng)險(xiǎn)等級(jí)的方法--汽車(chē)安全完整性等級(jí)（ASIL），并使用ASIL來(lái)定義必要安全要求；

　　

　　3）認(rèn)可和證明方法來(lái)保證有效達(dá)到了合理的安全等級(jí)。

　　

　　其中，汽車(chē)安全完整性等級(jí)ASIL是ISO26262中的關(guān)鍵，可以在概念階段通過(guò)下面三個(gè)步驟確定：

　　

　　第一步，通過(guò)駕駛情況分析和風(fēng)險(xiǎn)評(píng)估識(shí)別需要降低風(fēng)險(xiǎn)的危險(xiǎn)。以發(fā)動(dòng)機(jī)控制系統(tǒng)為例，一個(gè)危險(xiǎn)是車(chē)輛在駛出高速公路時(shí)出現(xiàn)非駕駛員意愿的加速。

　　

　　第二步，對(duì)危險(xiǎn)進(jìn)行分類(lèi)。分類(lèi)依據(jù)三個(gè)要素：嚴(yán)重性（S），駕駛工況發(fā)生概率（E），可控性（C）。首先，根據(jù)可能對(duì)駕駛員、乘員、行人、其他車(chē)輛中的人員造成的傷害評(píng)估嚴(yán)重性（S）。嚴(yán)重性分為4個(gè)等級(jí)，從S0到S3，S3為最嚴(yán)重。ISO26262中提供了表格詳細(xì)解釋S0到S3如何區(qū)分，通常的判斷標(biāo)準(zhǔn)是對(duì)人員造成的傷害程度。以車(chē)輛在駛出高速公路時(shí)出現(xiàn)非駕駛員意愿的加速為例，可能導(dǎo)致車(chē)輛以高速撞向前車(chē)或障礙物，造成駕駛員和乘員死亡，因此嚴(yán)重性為S3。其次，評(píng)估駕駛工況發(fā)生概率（E）。在評(píng)估駕駛工況發(fā)生概率時(shí)，ISO26262要求不考慮裝備電子電氣系統(tǒng)的車(chē)輛數(shù)量，而是假定每輛車(chē)都安裝了該系統(tǒng)。駕駛工況發(fā)生概率分為5個(gè)等級(jí)，從E0到E4，E4為發(fā)生概率最高。ISO26262對(duì)常見(jiàn)駕駛工況已經(jīng)進(jìn)行了分類(lèi)整理，可以通過(guò)查表得到相應(yīng)等級(jí)。以車(chē)輛駛出高速公路工況為例，ISO26262中給出的參考等級(jí)為E2（概率低），因?yàn)轳偝龈咚俟返墓r占車(chē)輛駕駛總時(shí)間的比例相對(duì)較小。最后，對(duì)可控性（C）進(jìn)行評(píng)估。評(píng)估可控性時(shí)ISO26262假定駕駛員是適合駕駛的（比如醉酒駕駛不在考慮范圍內(nèi)）。可控性也分為4個(gè)等級(jí)，從C0到C3，C3為難以控制或不可控。ISO26262中對(duì)如何評(píng)估可控性給出了詳細(xì)解釋。以車(chē)輛在駛出高速公路時(shí)出現(xiàn)非駕駛員意愿的加速為例，駕駛員此時(shí)難以控制車(chē)輛，因?yàn)檐?chē)輛初始車(chē)速高，并且剎車(chē)可能失效（如果剎車(chē)裝置從節(jié)氣門(mén)后獲取真空度），因此可控性評(píng)估結(jié)果為C3。

　　

　　第三步，根據(jù)危險(xiǎn)分類(lèi)（S，E，C）查表得到汽車(chē)完全完整性等級(jí)ASIL。ASIL分為4個(gè)等級(jí)，從A到D，D的安全完整性等級(jí)最高。以車(chē)輛在駛出高速公路時(shí)出現(xiàn)非駕駛員意愿的加速為例，查表得到完全完整性等級(jí)為ASILB。

　　

　　在ISO26262中，要求對(duì)每一個(gè)危險(xiǎn)事件定義一個(gè)安全目標(biāo)。而根據(jù)危險(xiǎn)分類(lèi)，每一個(gè)安全目標(biāo)都會(huì)有一個(gè)汽車(chē)安全完整性等級(jí)（ASIL）。等級(jí)越高，意味著在生命周期中實(shí)現(xiàn)該安全目標(biāo)需要滿(mǎn)足的安全要求越多越嚴(yán)格。目前，德國(guó)博世的發(fā)動(dòng)機(jī)控制器和變速箱控制器定義的最高安全完整性等級(jí)為ASILB。

　　

　　3 ISO26262的應(yīng)用

　　

　　很多國(guó)外整車(chē)廠（戴姆勒o克萊斯勒，寶馬，奧迪等）和零部件供應(yīng)商（德國(guó)博世，大陸集團(tuán)，德?tīng)柛５龋﹨⑴c了制訂ISO26262標(biāo)準(zhǔn)，同時(shí)也在落實(shí)ISO26262的實(shí)施。德國(guó)博世在2011年3月以后的產(chǎn)品均滿(mǎn)足該標(biāo)準(zhǔn)。同時(shí)，由于ISO26262對(duì)開(kāi)發(fā)工具提出了要求，因此也得到了汽車(chē)領(lǐng)域開(kāi)發(fā)工具供應(yīng)商的積極響應(yīng)，比如德國(guó)ETAS集團(tuán)就宣稱(chēng)將對(duì)用于軟件開(kāi)發(fā)的ASCET、INCA等產(chǎn)品按ISO26262要求進(jìn)行分類(lèi)和驗(yàn)證。

　　

　　在歐洲，通常由整車(chē)廠或主機(jī)廠負(fù)責(zé)車(chē)輛的功能安全，定義安全目標(biāo)，因?yàn)樗麄兛梢哉驹谙到y(tǒng)集成的角度看到所有系統(tǒng)之間的聯(lián)系。整車(chē)廠或主機(jī)廠進(jìn)行風(fēng)險(xiǎn)分析，并提供安全目標(biāo)、安全狀態(tài)和容錯(cuò)時(shí)間，而供應(yīng)商則根據(jù)安全目標(biāo)實(shí)現(xiàn)安全概念，最后整車(chē)廠或主機(jī)廠進(jìn)行檢查。

　　

　　考慮以下因素，當(dāng)下國(guó)內(nèi)的汽車(chē)產(chǎn)品設(shè)計(jì)也需要考慮在未來(lái)滿(mǎn)足該標(biāo)準(zhǔn)：

　　

　　1）對(duì)產(chǎn)品安全的責(zé)任；

　　

　　2）國(guó)內(nèi)客戶(hù)有車(chē)輛出口的需求，在歐洲，滿(mǎn)足ISO26262通常被認(rèn)為是法規(guī)的要求；

　　

　　3）國(guó)內(nèi)日益增長(zhǎng)的功能安全需求。

　　

　　綜上所述、要完全滿(mǎn)足ISO26262，主要工作在于流程改進(jìn)、方法論、工具認(rèn)可、功能安全的驗(yàn)證以及提供ISO26262要求的文檔。同時(shí)國(guó)內(nèi)的主機(jī)廠及零部件供應(yīng)商，在未來(lái)幾年內(nèi)對(duì)以上幾方面逐步改進(jìn)，實(shí)現(xiàn)滿(mǎn)足ISO26262的目標(biāo)。

　　

　　作者：吳紀(jì)鐸

　　

　　上海豐賜信息科技有限公司（Richmark）是達(dá)索系統(tǒng)的白金代理商，專(zhuān)注致力于為中國(guó)制造業(yè)用戶(hù)提供"研發(fā)與工程數(shù)字化專(zhuān)業(yè)技術(shù)服務(wù)"的高新技術(shù)企業(yè)；多年來(lái)依托于達(dá)索全系列產(chǎn)品為客戶(hù)提供產(chǎn)品全生命周期管理（PLM）平臺(tái)，為客戶(hù)提供汽車(chē)、摩托車(chē)、電子電器和通用設(shè)備制造等行業(yè)解決方案，涵蓋數(shù)字化設(shè)計(jì)、數(shù)字化有限元分析和數(shù)字化管理等領(lǐng)域，為客戶(hù)加快產(chǎn)品上市、削減工程及管理成本、提高客戶(hù)響應(yīng)速度等方面帶來(lái)顯著效益。

　　

　　

　　上海豐賜信息科技有限公司

　　

　　上海市江場(chǎng)西路299號(hào)中鐵中環(huán)時(shí)代廣場(chǎng)5號(hào)樓708室

　　

　　021-66521200

　　

　　ww w.richmarktech.com

　　

　　長(zhǎng)按識(shí)別二維碼關(guān)注我們

　　

　　如您想了解更多行業(yè)解決方案、品牌報(bào)價(jià)，請(qǐng)留下您的聯(lián)系方式，我們會(huì)盡快跟您聯(lián)系。