功能安全軟件的案例
一文帶你全面了解功能安全軟件監(jiān)控方案
為了滿足功能安全的要求,僅僅了解不同監(jiān)控軟件模塊的功能以及硬件看門(mén)狗是不夠的,還需要結(jié)合具體的系統(tǒng)設(shè)計(jì)(例如故障處理時(shí)間間隔 Fault Handling Time Interval ,F(xiàn)HTI)來(lái)正確設(shè)置不同的軟硬件參數(shù),達(dá)到最優(yōu)的程序流監(jiān)控效果。
經(jīng)緯恒潤(rùn)功能安全團(tuán)隊(duì)成立于2008年,系國(guó)內(nèi)較早從事功能安全技術(shù)研究的團(tuán)隊(duì)。作為功能安全、預(yù)期功能安全國(guó)家標(biāo)準(zhǔn)委員會(huì)成員,經(jīng)緯恒潤(rùn)的研發(fā)流程、生產(chǎn)流程已通過(guò)功能安全開(kāi)發(fā)過(guò)程認(rèn)證,功能安全開(kāi)發(fā)過(guò)程達(dá)到ASIL-D,相關(guān)產(chǎn)品已成功服務(wù)于近百家國(guó)內(nèi)外整車(chē)及零部件企業(yè)。
經(jīng)緯恒潤(rùn)功能安全軟件團(tuán)隊(duì)可提供功能安全軟件開(kāi)發(fā)技術(shù)咨詢服務(wù),包括功能安全軟件階段流程/產(chǎn)品咨詢、L2監(jiān)控算法開(kāi)發(fā)集成和L3安全機(jī)制(安全通信、隔離、監(jiān)控、執(zhí)行和芯片AOU)的開(kāi)發(fā)集成,控制器覆蓋動(dòng)力域、底盤(pán)域、智駕域和車(chē)身域等。
未來(lái),經(jīng)緯恒潤(rùn)將緊跟行業(yè)發(fā)展趨勢(shì)和市場(chǎng)需求,結(jié)合自身汽車(chē)電子產(chǎn)品研發(fā)和國(guó)內(nèi)外咨詢實(shí)踐,一如既往地堅(jiān)持自主創(chuàng)新道路,為智能汽車(chē)安全保駕護(hù)航。
了解更多:請(qǐng)致電 010-64840808轉(zhuǎn)6117或發(fā)郵件至market_dept@hirain.com(聯(lián)系時(shí)請(qǐng)說(shuō)明來(lái)自技術(shù)鄰)
展開(kāi) 從功能安全視角看軟件架構(gòu)設(shè)計(jì)
功能安全應(yīng)該如何考慮軟件架構(gòu),什么樣的架構(gòu)是符合功能安全標(biāo)準(zhǔn)要求的,對(duì)于軟件架構(gòu)工程師和功能安全工程師,很難在兩個(gè)方面都說(shuō)得明白,本篇來(lái)從功能安全的角度談?wù)?em>軟件架構(gòu)設(shè)計(jì)的基本要求。
首先,功能安全軟件的架構(gòu)設(shè)計(jì)是基于兩個(gè)層次的:
第一:
選取和建立一個(gè)層次分明,易于理解的軟件架構(gòu);
第二:
在第一條的基礎(chǔ)上,符合相應(yīng)功能安全等級(jí)要求的軟件設(shè)計(jì)要求。
接下來(lái),以汽車(chē)功能安全標(biāo)準(zhǔn)ISO26262-6和軌道交通軟件功能安全標(biāo)準(zhǔn)EN50128作為基準(zhǔn),談?wù)剺?biāo)準(zhǔn)是如何從以上兩個(gè)層次來(lái)做出規(guī)定的。
軟件架構(gòu)階段的開(kāi)始
軟件架構(gòu)設(shè)計(jì)是軟件生命周期的第二個(gè)階段,前面的階段是軟件需求階段(software requirements specification),在軟件需求設(shè)計(jì)時(shí),把整個(gè)軟件當(dāng)成一個(gè)黑盒處理,來(lái)確定該軟件的所有功能、性能,與硬件的接口定義,與外部其它系統(tǒng)的接口定義,而在軟件架構(gòu)階段,需要設(shè)計(jì)一種架構(gòu)來(lái)滿足軟件需求,通過(guò)層次化結(jié)構(gòu)的方式來(lái)表示軟件架構(gòu)的組件構(gòu)成和他們之間的交互方式。以下圖為例,虛線框之外是軟件需求,虛線框內(nèi)是軟件架構(gòu)。
什么是軟件組件
上面這個(gè)圖用于解釋軟件架構(gòu)所做的工作,將整個(gè)軟件劃分為功能和接口清晰的組件。
展開(kāi) 從功能安全視角看軟件架構(gòu)設(shè)計(jì)
來(lái)源 | 薄說(shuō)安全
功能安全應(yīng)該如何考慮軟件架構(gòu),什么樣的架構(gòu)是符合功能安全標(biāo)準(zhǔn)要求的,對(duì)于軟件架構(gòu)工程師和功能安全工程師,很難在兩個(gè)方面都說(shuō)得明白,本篇來(lái)從功能安全的角度談?wù)?em>軟件架構(gòu)設(shè)計(jì)的基本要求。
首先,功能安全軟件的架構(gòu)設(shè)計(jì)是基于兩個(gè)層次的:
第一:選取和建立一個(gè)層次分明,易于理解的軟件架構(gòu);
第二:在第一條的基礎(chǔ)上,符合相應(yīng)功能安全等級(jí)要求的軟件設(shè)計(jì)要求。
接下來(lái),以汽車(chē)功能安全標(biāo)準(zhǔn)ISO26262-6和軌道交通軟件功能安全標(biāo)準(zhǔn)EN50128作為基準(zhǔn),談?wù)剺?biāo)準(zhǔn)是如何從以上兩個(gè)層次來(lái)做出規(guī)定的。
軟件架構(gòu)階段的開(kāi)始
軟件架構(gòu)設(shè)計(jì)是軟件生命周期的第二個(gè)階段,前面的階段是軟件需求階段(software requirements specification),在軟件需求設(shè)計(jì)時(shí),把整個(gè)軟件當(dāng)成一個(gè)黑盒處理,來(lái)確定該軟件的所有功能、性能,與硬件的接口定義,與外部其它系統(tǒng)的接口定義,而在軟件架構(gòu)階段,需要設(shè)計(jì)一種架構(gòu)來(lái)滿足軟件需求,通過(guò)層次化結(jié)構(gòu)的方式來(lái)表示軟件架構(gòu)的組件構(gòu)成和他們之間的交互方式。以下圖為例,虛線框之外是軟件需求,虛線框內(nèi)是軟件架構(gòu)。
什么是軟件組件
上面這個(gè)圖用于解釋軟件架構(gòu)所做的工作,將整個(gè)軟件劃分為功能和接口清晰的組件。
展開(kāi) 域控軟件安全隔離關(guān)鍵技術(shù)剖析:MCU域 VS SOC域
MMU最主要的功能其實(shí)是將虛擬頁(yè)翻譯到物理頁(yè)。那為什么MMU可以實(shí)現(xiàn)進(jìn)程級(jí)隔離呢?
因?yàn)镸MU的翻譯是基于頁(yè)表進(jìn)行的,頁(yè)表記錄了進(jìn)程虛擬頁(yè)到物理頁(yè)的映射。操作系統(tǒng)為不同的進(jìn)程分配的不同的頁(yè)表起始地址,存儲(chǔ)在對(duì)應(yīng)寄存器中。當(dāng)MMU翻譯地址時(shí),根據(jù)頁(yè)表起始地址加偏移量定位到具體的頁(yè)表項(xiàng),進(jìn)而完成地址翻譯。不難看出,這種機(jī)制使得進(jìn)程擁有天然隔離的零散的地址空間。
圖4 MMU工作原理
安全隔離小結(jié)
安全隔離的底層原理是避免軟件對(duì)內(nèi)存的不合理訪問(wèn),以滿足功能安全要求。硬件層面上,有MPU、MMU這樣的硬件進(jìn)行程序內(nèi)存空間的保護(hù)和約束;軟件層面上,容器化技術(shù)和虛擬化技術(shù)也能幫助用戶制定更靈活的隔離策略。但并不是說(shuō)實(shí)現(xiàn)了這些安全隔離機(jī)制就等于完全滿足了安全隔離需求,還需要結(jié)合軟件和系統(tǒng)的正確設(shè)計(jì)來(lái)共同達(dá)成目標(biāo)。
經(jīng)緯恒潤(rùn)功能安全團(tuán)隊(duì)成立于2008年,系國(guó)內(nèi)較早從事功能安全技術(shù)研究的團(tuán)隊(duì)。作為功能安全、預(yù)期功能安全國(guó)家標(biāo)準(zhǔn)委員會(huì)成員,經(jīng)緯恒潤(rùn)的研發(fā)流程、生產(chǎn)流程已通過(guò)功能安全開(kāi)發(fā)過(guò)程認(rèn)證,功能安全開(kāi)發(fā)過(guò)程達(dá)到ASIL-D,相關(guān)產(chǎn)品已成功服務(wù)于近百家國(guó)內(nèi)外整車(chē)及零部件企業(yè)。
經(jīng)緯恒潤(rùn)功能安全軟件團(tuán)隊(duì)可提供功能安全軟件開(kāi)發(fā)技術(shù)咨詢服務(wù),包括功能安全軟件階段流程/產(chǎn)品咨詢、L2監(jiān)控算法開(kāi)發(fā)集成和L3安全機(jī)制(安全通信、隔離、監(jiān)控、執(zhí)行和芯片AOU)的開(kāi)發(fā)集成,控制器覆蓋動(dòng)力域、底盤(pán)域、智駕域和車(chē)身域等。
未來(lái),經(jīng)緯恒潤(rùn)將緊跟行業(yè)發(fā)展趨勢(shì)和市場(chǎng)需求,結(jié)合自身汽車(chē)電子產(chǎn)品研發(fā)和國(guó)內(nèi)外咨詢實(shí)踐,一如既往地堅(jiān)持自主創(chuàng)新道路,為智能汽車(chē)安全保駕護(hù)航。
展開(kāi) 
功能安全管理(四):功能安全審核及功能安全評(píng)估
作者 | HYZY
出品 | 焉知
知圈 | 進(jìn)“芯片社群”請(qǐng)加微信13636581676,備注芯片
功能安全開(kāi)發(fā)流程的終點(diǎn)應(yīng)該是對(duì)相關(guān)項(xiàng)的安全認(rèn)可,以確認(rèn)其達(dá)到了生產(chǎn)發(fā)布的安全條件。
一、認(rèn)可措施的關(guān)系
ISO 26262標(biāo)準(zhǔn)中定義的認(rèn)可措施包括認(rèn)可評(píng)審、功能安全審核和功能安全評(píng)估三種類型,ISO 26262標(biāo)準(zhǔn)中允許將認(rèn)可評(píng)審和功能安全審核與功能安全評(píng)估合并、聯(lián)合,以支持相關(guān)項(xiàng)類似變型的處理。
下圖1展示了三種認(rèn)可措施及驗(yàn)證評(píng)審之間的關(guān)系,可以看出:
認(rèn)可評(píng)審/驗(yàn)證評(píng)審與功能安全審核相對(duì)獨(dú)立,分別是針對(duì)工作成果及功能安全開(kāi)發(fā)流程;
功能安全評(píng)估的范圍最廣,除涵蓋了認(rèn)可評(píng)審、驗(yàn)證評(píng)審和功能安全審核外,還包括安全措施的適宜性和有效性、功能安全實(shí)現(xiàn)的論證、安全檔案提供的論證、安全異常原因已按規(guī)定關(guān)閉等其它內(nèi)容。
圖 1 認(rèn)可措施及驗(yàn)證評(píng)審范圍
二、功能安全審核
1、功能安全審核內(nèi)涵
功能安全審核可類比ASPICE過(guò)程能力審核與TS 16949體系審核,可由公司的體系審核員或第三方機(jī)構(gòu)審核員按照ISO 26262標(biāo)準(zhǔn)中對(duì)于過(guò)程的要求,審核項(xiàng)目開(kāi)發(fā)中的安全流程實(shí)施情況。
功能安全審核可與ASPICE過(guò)程能力評(píng)估一同進(jìn)行(特別是對(duì)于支持過(guò)程的審核),但ASPICE過(guò)程能力評(píng)估不能代替功能安全審核。
展開(kāi) 基于功能安全的示例AUTOSAR軟件系統(tǒng)
來(lái)源 | 汽車(chē)ECU開(kāi)發(fā)
功能安全是一個(gè)在項(xiàng)目開(kāi)始階段就要引入的話題,它對(duì)于整個(gè)系統(tǒng)的設(shè)計(jì)都會(huì)有影響,如今AUTOSAR已經(jīng)運(yùn)用到了絕大多數(shù)汽車(chē)ECU當(dāng)中,AUTOSAR的標(biāo)準(zhǔn)規(guī)范里同樣有功能安全相關(guān)的說(shuō)明。
AUTOSAR本身并不提供完整的安全解決方案,項(xiàng)目本身仍需要遵從ISO26262的規(guī)定來(lái)達(dá)到期望的安全等級(jí)設(shè)計(jì),但AUTOSAR提供功能安全措施與機(jī)制,來(lái)支持實(shí)現(xiàn)系統(tǒng)所必要的功能安全。
01.簡(jiǎn)介
AUTOSAR提供一個(gè)Use Case文檔,以示例的方式來(lái)幫助開(kāi)發(fā)人員了解如何運(yùn)用AUTOSAR實(shí)現(xiàn)相關(guān)的功能安全功能。
本示例基于車(chē)輛前大燈管理的功能,集中介紹在ISO26262定義的框架內(nèi),和AUTOSAR部分相關(guān)的功能安全內(nèi)容,本文可以作為AUTOSAR方法論中安全相關(guān)分析的基本指導(dǎo),但仍有很多諸如軟件安全需求或安全分析測(cè)量的示例等細(xì)節(jié)無(wú)法覆蓋到,需要開(kāi)發(fā)人員在后續(xù)設(shè)計(jì)開(kāi)發(fā)步驟中完成。
本示例將包含以下話題:
功能安全概念
系統(tǒng)層面的技術(shù)要點(diǎn)
ECU層面的技術(shù)要點(diǎn)
AUTOSAR基礎(chǔ)軟件層面的功能安全
02.
系統(tǒng)架構(gòu)
大體架構(gòu)
整體架構(gòu)如上圖,我們的功能核心是車(chē)前燈管理,ECU還會(huì)和車(chē)燈開(kāi)關(guān),點(diǎn)火鑰匙,HMI,車(chē)燈等儀器或執(zhí)行機(jī)進(jìn)行交互,在車(chē)前燈管理ECU當(dāng)中,我們選取近光功能來(lái)進(jìn)行講解。其他諸如霧燈,示寬燈等等功能都不在本文討論范圍之內(nèi)。
由于和功能安全相關(guān),作為降級(jí)(后備)功能的日間行車(chē)燈也會(huì)被加入到本文當(dāng)中,當(dāng)然,日間行車(chē)燈的具體控制功能本文不會(huì)進(jìn)行涉及。
03.
展開(kāi) 功能安全--安全分析
來(lái)源 | 汽車(chē)ECU開(kāi)發(fā)
在ISO26262功能安全中,有多個(gè)地方需要進(jìn)行安全分析,安全分析的質(zhì)量很重要的決定了功能安全項(xiàng)目的成敗,本文針對(duì)ISO26262中提到的各種安全分析進(jìn)行匯總說(shuō)明(HARA、FMEA、FTA、FMEDA、SWFMEA、DFA)。
01 HARA
在概念階段,功能安全要求進(jìn)行HARA分析。
HARA(危害分析與風(fēng)險(xiǎn)評(píng)估)目的是識(shí)別項(xiàng)目的功能故障引起的危害,對(duì)危害事件進(jìn)行分類,然后定義與之對(duì)應(yīng)的安全目標(biāo),以避免不可接受的風(fēng)險(xiǎn)。
HARA分析步驟:
SEC說(shuō)明:
ASIL等級(jí)說(shuō)明:
QM指的是 質(zhì)量管理,表示此項(xiàng)功能不影響安全,通過(guò)質(zhì)量管理保證即可。
舉例說(shuō)明:
HARA分析示例
危害事件 場(chǎng)景分析 S E C ASIL
EPS按照非預(yù)期的方向轉(zhuǎn)向 在城市道路,車(chē)輛正常勻速行駛(E4),車(chē)輛方向按照非預(yù)期轉(zhuǎn)向,此時(shí)駕駛員很難控制(C3),道路兩邊人員較多,可能造成路人或者駕駛員的傷亡(S3) 3 4 3 D
02 FMEA
在系統(tǒng)階段,功能安全要求針對(duì)各種失效模式進(jìn)行分析。
FMEA是一種自下而上的歸納分析方法,用于識(shí)別系統(tǒng)失效(failure),找出失效原因(Fault),以及分析失效影響(Effect)。
展開(kāi) 經(jīng)緯恒潤(rùn)SOA功能安全開(kāi)發(fā)方案, 助力車(chē)企軟件定義汽車(chē)
作為功能安全國(guó)家標(biāo)準(zhǔn)委員會(huì)成員,參與了GB/T34590第一版、第二版起草工作及修訂工作;作為芯片創(chuàng)新聯(lián)盟核心成員,參與了車(chē)規(guī)級(jí)自主芯片功能安全標(biāo)準(zhǔn)制定。結(jié)合20余年汽車(chē)電子產(chǎn)品研發(fā)實(shí)踐,功能安全咨詢團(tuán)隊(duì)提供面向量產(chǎn)車(chē)型開(kāi)發(fā)從概念設(shè)計(jì)到正式投產(chǎn)的全棧功能安全咨詢服務(wù)。
目前,經(jīng)緯恒潤(rùn)已經(jīng)為戴姆勒、現(xiàn)代、菲亞特克萊斯勒、一汽紅旗、一汽解放、東風(fēng)、長(zhǎng)安、上汽、吉利、長(zhǎng)城、蔚來(lái)汽車(chē)、華人運(yùn)通、合眾汽車(chē)、嵐圖汽車(chē)、博格華納、華域麥格納等國(guó)內(nèi)外主流客戶提供了功能安全開(kāi)發(fā)服務(wù)并得到客戶廣泛認(rèn)可。未來(lái),經(jīng)緯恒潤(rùn)將緊跟軟件定義汽車(chē)大勢(shì),堅(jiān)持自主創(chuàng)新,為智能汽車(chē)安全發(fā)展保駕護(hù)航!
展開(kāi) 電動(dòng)汽車(chē)電機(jī)驅(qū)動(dòng)控制器功能安全架構(gòu)研究
由于單核鎖步微處理器存在芯片內(nèi)部資源的共享,因此軟件的EGAS架構(gòu)設(shè)計(jì)難度較大;確保軟件在空間和程序流上的獨(dú)立難度大,使得執(zhí)行基本功能的函數(shù)可能會(huì)對(duì)執(zhí)行安全功能的函數(shù)產(chǎn)生影響,導(dǎo)致系統(tǒng)性失效。為了降低單核鎖步微處理器功能安全軟件架構(gòu)實(shí)現(xiàn)的難度,可以采用多核鎖步微處理器或雙芯片微處理的安全架構(gòu)。
2.4 多核鎖步微處理器的安全架構(gòu)實(shí)現(xiàn)
以多核鎖步處理器MPC5746R和TC27x為例進(jìn)行分析,其中,MPC5746R為雙核芯片(1個(gè)普通核,1個(gè)帶鎖步核的安全核),TC27x為三核芯片(1個(gè)普通核,2個(gè)帶鎖步核的安全核)。采用雙核微處理器與三核微處理器的電機(jī)驅(qū)動(dòng)控制器的系統(tǒng)安全架構(gòu)實(shí)現(xiàn)方式分別如圖11和圖12所示。
圖11所示架構(gòu)在硬件層面已經(jīng)實(shí)現(xiàn)了基本功能與安全功能模塊的分離;而要實(shí)現(xiàn)軟件層面的EGAS架構(gòu),根據(jù)2.1節(jié)分析可知,將轉(zhuǎn)矩控制相關(guān)的代碼可放置在CPU1,即在QM核中執(zhí)行(Level1),而將轉(zhuǎn)矩監(jiān)控和診斷相關(guān)的代碼放置在CPU0,即在安全核中執(zhí)行(Level2),同時(shí)安全核與看門(mén)狗完成對(duì)芯片本身及程序流的監(jiān)控(Level3)。當(dāng)CPU0監(jiān)測(cè)到轉(zhuǎn)矩異常后,根據(jù)故障分級(jí)原則,將降級(jí)的轉(zhuǎn)矩指令傳遞給CPU1去執(zhí)行;如果轉(zhuǎn)矩進(jìn)一步異常,當(dāng)達(dá)到最高故障等級(jí)后由CPU0直接對(duì)PWM脈沖處理電路進(jìn)行封鎖;當(dāng)看門(mén)狗監(jiān)測(cè)到程序流或芯片異常后,在復(fù)位微處理器的同時(shí)直接對(duì)PWM脈沖處理電路進(jìn)行封鎖。圖12的架構(gòu)與圖11類似,不同的是增加了一個(gè)安全核,可以在軟件層面實(shí)現(xiàn)對(duì)監(jiān)控層的診斷,或?qū)?em>功能層組成雙核冗余監(jiān)控。
2.5 雙芯片微處理器的安全架構(gòu)實(shí)現(xiàn)
雙芯片微處理器的安全架構(gòu)如圖13所示。該架構(gòu)在原理上與多核架構(gòu)類似,但它實(shí)現(xiàn)了芯片硬件資源與軟件代碼的完全獨(dú)立,對(duì)于EGAS架構(gòu)的實(shí)現(xiàn)更加簡(jiǎn)單可靠,且在硬件結(jié)構(gòu)方面較前兩種架構(gòu)略顯復(fù)雜。
展開(kāi) 汽車(chē)功能安全工程師入行指南
同時(shí),對(duì)于主機(jī)廠或供應(yīng)商各自內(nèi)部的功能安全開(kāi)發(fā)來(lái)說(shuō),正如前面提到,功能安全經(jīng)理通常也就是系統(tǒng)功能安全工程師,他將作為系統(tǒng)層的接口協(xié)調(diào)系統(tǒng)與軟硬件團(tuán)隊(duì)的功能安全工作,保證系統(tǒng)層和軟/硬件層功能安全需求的互相傳遞和執(zhí)行。
功能安全開(kāi)發(fā)過(guò)程交流示意圖
5
系統(tǒng)/軟件/硬件功能安全工程師的日常工作
不管對(duì)主機(jī)廠還是供應(yīng)商,在一個(gè)客戶項(xiàng)目中,很少遇到要從零開(kāi)始開(kāi)發(fā)一個(gè)全新的產(chǎn)品,一般都是基于現(xiàn)有的產(chǎn)品作為base進(jìn)行開(kāi)發(fā),以滿足新的項(xiàng)目需求,功能安全也是如此。圍繞項(xiàng)目需求與平臺(tái)Base不同的部分進(jìn)行功能安全開(kāi)發(fā),識(shí)別不同點(diǎn)的活動(dòng)稱作FSIA(functional safety impact analysis)。
我們前面提到,一個(gè)完善的功能安全開(kāi)發(fā)團(tuán)隊(duì)通常定義三個(gè)角色:
系統(tǒng)功能安全工程師
軟件功能安全工程師
硬件功能安全工程師
每個(gè)角色負(fù)責(zé)下圖中的一個(gè)V模型開(kāi)發(fā)活動(dòng)。
功能安全開(kāi)發(fā)中的三個(gè)V模型 (截圖來(lái)自GB/T 34590)
當(dāng)功能安全是基于base來(lái)開(kāi)發(fā)時(shí),不管是對(duì)主機(jī)廠或供應(yīng)商來(lái)說(shuō),這三個(gè)角色并不需要定義三個(gè)獨(dú)立的工程師來(lái)做,這未免太奢侈,實(shí)際上也沒(méi)必要。通常軟/硬件功能安全工程師由軟/硬件工程師兼任。
對(duì)軟件功能安全開(kāi)發(fā)而言,在軟件開(kāi)發(fā)流程完善和開(kāi)發(fā)工具滿足要求的前提下,在軟件設(shè)計(jì)和驗(yàn)證過(guò)程中,功能安全需求和功能需求無(wú)需過(guò)分區(qū)別對(duì)待,有很多公司的軟件開(kāi)發(fā)流程本身就能保證符合ISO 26262中ASIL D的要求。
展開(kāi) 
用“芯”服務(wù),安安“芯芯” 經(jīng)緯恒潤(rùn)功能安全軟件庫(kù)SAFETY BASE V1.0正式發(fā)布
當(dāng)前,半導(dǎo)體廠商在進(jìn)行滿足功能安全芯片開(kāi)發(fā)時(shí),除由其自身實(shí)現(xiàn)的安全機(jī)制以外,還會(huì)在安全手冊(cè)(safety manual)中提出大量需要被自主研發(fā)的OEM或Tire1實(shí)現(xiàn)的AOU(Assumption of Use)假設(shè)性需求。然而,在項(xiàng)目開(kāi)發(fā)過(guò)程中,經(jīng)常面臨無(wú)量產(chǎn)化的安全機(jī)制軟件庫(kù)和集成方案、成本高、安全性與可靠性無(wú)法平衡、無(wú)法驗(yàn)證等多個(gè)難題。
基于目前的市場(chǎng)需求,經(jīng)緯恒潤(rùn)產(chǎn)品安全團(tuán)隊(duì)潛心研發(fā),現(xiàn)正式推出滿足ISO26262的安全軟件庫(kù)SAFETY BASE V1.0(滿足EGAS L3),可以快速滿足多款MCU及SBC的假設(shè)性軟件需求,支持產(chǎn)品快速滿足功能安全實(shí)現(xiàn)量產(chǎn);開(kāi)發(fā)過(guò)程最高滿足ISO26262 ASILD要求,豐富的配套產(chǎn)品AOU安全機(jī)制應(yīng)用經(jīng)驗(yàn)可以很好兼顧安全性及可靠性的要求;支持圖形化界面進(jìn)行項(xiàng)目需求快速配置,本土化支持可以快速解決項(xiàng)目集成中出現(xiàn)的問(wèn)題。
按照SEOOC開(kāi)發(fā)的安全軟件庫(kù),可兼容AUTOSAR及非AUTOSAR架構(gòu),軟件架構(gòu)如下(以AURIX為例):
SAFETY BASE V1.0 安全軟件庫(kù)可以為客戶提供多種開(kāi)發(fā)模式:
SAFETY BASE V1.0 安全軟件庫(kù)已適配的半導(dǎo)體供應(yīng)商芯片系列:
經(jīng)緯恒潤(rùn)持續(xù)耕耘功能安全多年,在功能安全落地技術(shù)方面一直積累經(jīng)驗(yàn),并將相關(guān)經(jīng)驗(yàn)轉(zhuǎn)換為相關(guān)標(biāo)準(zhǔn)產(chǎn)品/方案,助力客戶更快、更安全、更可靠開(kāi)發(fā)滿足功能安全的產(chǎn)品。
展開(kāi) EPB系統(tǒng)功能安全筆記 (19): 功能安全的認(rèn)可措施(Confirmation Measures)理解與辨析
本文要點(diǎn)
:ISO 26262將功能安全開(kāi)發(fā)融入了廣為熟知的“V模型”開(kāi)發(fā)流程中。根據(jù)系統(tǒng)/軟件/硬件三個(gè)層級(jí)的劃分,ISO 26262的功能安全開(kāi)發(fā)活動(dòng)被融入了三個(gè)“V模型”之中,如下圖所示。在前面的系列文章中已經(jīng)對(duì)這三個(gè)“V模型”中包含的功能安全開(kāi)發(fā)要點(diǎn)進(jìn)行了說(shuō)明。
“V模型”中的功能安全開(kāi)發(fā),截圖來(lái)自ISO 26262
做工程項(xiàng)目的朋友都知道,對(duì)于一款量產(chǎn)產(chǎn)品,除了完成開(kāi)發(fā)工作以外,還需要對(duì)開(kāi)發(fā)產(chǎn)物進(jìn)行審核,審核通過(guò)后方能釋放產(chǎn)品。功能安全開(kāi)發(fā)也是如此。“ISO 26262,part2,功能安全管理”中詳細(xì)介紹了功能安全的審核流程和要求,對(duì)應(yīng)的術(shù)語(yǔ)為“認(rèn)可措施,Confirmation measures”。
安全管理流程圖,截圖來(lái)自ISO 26262-2018, part2
一個(gè)現(xiàn)實(shí)的情況是,當(dāng)讀者實(shí)際上去讀ISO 26262中“認(rèn)可措施,Confirmation measures”相關(guān)的解釋和要求時(shí),很容易就被其中包含的三個(gè)維度的措施給繞暈了,尤其是結(jié)合中文國(guó)標(biāo)GB/T 34590對(duì)這三個(gè)維度的翻譯更加混淆,如下所示:
Confirmation review (認(rèn)可評(píng)審)
Functional safety audit (功能安全審核)
Functional safety assessment (功能安全評(píng)估)
基于此,本文將試圖對(duì)“認(rèn)可措施,Confirmation measures”以及其中包含的三個(gè)維度的措施進(jìn)行辨析,旨在為讀者提供有價(jià)值的參考。
Note:
1. 考慮到中文翻譯的混淆性,除非有必要,本文接下來(lái)將使用英文概念進(jìn)行描述。
2.
展開(kāi) 中汽研黃登高:BMS功能安全標(biāo)準(zhǔn)、研發(fā)及測(cè)試
BMS屬于電控產(chǎn)品,在下一代BMS研發(fā)中,零部件、主機(jī)廠基本都采用功能安全,這個(gè)過(guò)程中本身投入的人力、資源比較多,相應(yīng)能夠屏蔽一定小的供應(yīng)商或團(tuán)隊(duì)。
圖左是功能安全需求分析、硬件功能安全要求和軟件功能安全相應(yīng)設(shè)計(jì)需求,底部實(shí)現(xiàn)產(chǎn)品開(kāi)發(fā)。整個(gè)產(chǎn)品開(kāi)發(fā)占比比較小,主要是前期的分析和后期測(cè)試。
電池管理系統(tǒng)功能安全前期開(kāi)發(fā)階段,首先是相關(guān)性分析,BMS分析時(shí)除了硬件的板子,也會(huì)把相應(yīng)電流傳感器、繼電器等線束情況考慮進(jìn)去。然后進(jìn)一步分析其危害,目前常遇到的危害主要是著火、絕緣、人身觸電。第三步是定義功能安全的Safety Goals,關(guān)于電池包其他的特殊工況也會(huì)考慮到功能安全目標(biāo)里,不僅僅是電池本身起火、爆炸,還把與高壓部分和充電過(guò)程的操作,例如充電連接時(shí),車(chē)輛行車(chē)保護(hù)都要考慮到BMS里去,所以功能目標(biāo)根據(jù)每家主機(jī)廠從整車(chē)功能目標(biāo)分解下來(lái),電池會(huì)稍有差異,但是測(cè)試的方式方法和判定標(biāo)準(zhǔn)基本差不多。
定義完系統(tǒng)功能安全輸出之后,進(jìn)一步導(dǎo)出技術(shù)安全需求,進(jìn)一步進(jìn)行系統(tǒng)三層架構(gòu)的開(kāi)發(fā),最后是軟硬件系統(tǒng)集成及功能安全評(píng)估和測(cè)試。
標(biāo)準(zhǔn)中也提到一些參考的機(jī)制,包括系統(tǒng)安全機(jī)制、通信機(jī)制等,還有繼電器相應(yīng)冗余上的機(jī)制,包括高低邊安全保護(hù)機(jī)制。
比較常用的幾種安全機(jī)制:
單體信息檢測(cè)、傳輸,用單體管理芯片,在出現(xiàn)故障時(shí),能把最近數(shù)據(jù)恢復(fù),讓車(chē)輛保持安全狀態(tài)。功能安全標(biāo)準(zhǔn)里提到功能安全降級(jí)問(wèn)題,把速率或功率降低下來(lái),讓車(chē)輛暫時(shí)進(jìn)入相對(duì)來(lái)說(shuō)比較安全的狀態(tài)。
功能安全分析提出之后,包含啟動(dòng)硬件方面的功能安全開(kāi)發(fā)和功能安全定義,以及硬件的設(shè)計(jì),到后面失效概率的校核。我們當(dāng)時(shí)做研發(fā)時(shí)也采用了兩核或三核芯片做相應(yīng)的硬件架構(gòu)研發(fā)工作,其中涉及A級(jí)參考的控制硬件架構(gòu)。
展開(kāi) 軟件棧隱患難排查?新思科技VDK助力功能安全測(cè)試,更早發(fā)現(xiàn)問(wèn)題【5月8日14:00直播】
本周五14:00,新思科技「基于虛擬ECU實(shí)現(xiàn)故障注入,助力功能安全測(cè)試」正式開(kāi)講!感興趣的下滑預(yù)約學(xué)習(xí)??
時(shí)間:5月8日 周五,14:00-15:00
內(nèi)容簡(jiǎn)介:
本次芯課程聚焦Automotive VDK 的功能安全故障注入與自動(dòng)化驗(yàn)證,講解如何將傳統(tǒng)人工、臺(tái)架依賴的安全測(cè)試轉(zhuǎn)化為可腳本化、可回歸的虛擬測(cè)試流程。通過(guò)真實(shí)的OEM案例,涵蓋軟件故障注入、配置與響應(yīng)驗(yàn)證、自動(dòng)化回歸構(gòu)建及問(wèn)題定位,幫助團(tuán)隊(duì)在完整軟件棧上更早發(fā)現(xiàn)隱患,提升測(cè)試覆蓋率與驗(yàn)證效率。
講師介紹:
形式:線上
參與方式:下方掃碼免費(fèi)報(bào)名
(web: synopsys.snps.tech/surl/cZ4c0GC )
歡迎掃碼進(jìn)入課程報(bào)名入口,鎖定2026全年課程席位!
- -THE END- -
展開(kāi) 