ASIL等級(jí)的案例
電動(dòng)汽車電機(jī)驅(qū)動(dòng)控制器功能安全架構(gòu)研究
如上所述,還應(yīng)對(duì)該危害的其他場(chǎng)景進(jìn)行分析,以便確定控制系統(tǒng)的最終ASIL等級(jí),表3給出了基于“非預(yù)期的轉(zhuǎn)矩增加”幾個(gè)典型場(chǎng)景的HARA分析結(jié)果。
從上述分析可知,“非預(yù)期的轉(zhuǎn)矩增加”在不同的場(chǎng)景下所對(duì)應(yīng)的ASIL等級(jí)并不相同,應(yīng)選擇最高的ASIL等級(jí)進(jìn)行開(kāi)發(fā)(本例確定為ASILC)。需要說(shuō)明的是,HARA分析是功能安全開(kāi)發(fā)中非常重要而且復(fù)雜的工作,本文主要對(duì)分析方法進(jìn)行研究,所做的HARA分析是基于“非預(yù)期的轉(zhuǎn)矩增加”幾個(gè)典型場(chǎng)景,而最終的ASIL等級(jí)確定需要綜合考慮所有場(chǎng)景。
1.2 微處理器需求分析
將電動(dòng)汽車電機(jī)驅(qū)動(dòng)控制器的安全目標(biāo)分解到電機(jī)驅(qū)動(dòng)控制器的微處理器中,可知微處理器部分的ASIL等級(jí)應(yīng)不小于ASILC。可以通過(guò)ASIL分解的方式使用普通的多芯片冗余方案來(lái)降低對(duì)微處理器本身ASIL等級(jí)的需求,但采用這種方法其設(shè)計(jì)成本和難度均遠(yuǎn)高于采用安全微處理器的,因此通常建議選擇帶鎖步核的安全微處理器芯片,其ASIL等級(jí)通常為D。
目前符合ASILD等級(jí)的微處理器主要有單核鎖步型(如TI公司的TMS570系列芯片)和多核鎖步型(如NXP公司的MPC5746R系列芯片,Infineon公司的TC27x系列芯片等)兩種。針對(duì)于不同數(shù)量的內(nèi)核,功能安全架構(gòu)的實(shí)現(xiàn)方式和難度也各異,本文將進(jìn)一步對(duì)此進(jìn)行分析。
2 符合功能安全的電動(dòng)汽車電機(jī)驅(qū)動(dòng)控制器EGAS系統(tǒng)架構(gòu)設(shè)計(jì)
進(jìn)行功能安全產(chǎn)品的開(kāi)發(fā)時(shí),需要對(duì)ASIL等級(jí)進(jìn)行分解,可將其分解為基本功能與安全功能兩部分。對(duì)基本功能的開(kāi)發(fā)執(zhí)行QM等級(jí)標(biāo)準(zhǔn),而對(duì)安全功能的開(kāi)發(fā)執(zhí)行ASIL等級(jí)標(biāo)準(zhǔn)。對(duì)電機(jī)驅(qū)動(dòng)控制器而言,即將安全目標(biāo)分解為ASILC=QM(C)+ASIL(C)。為了實(shí)現(xiàn)這種分解,本文使用EGAS架構(gòu)進(jìn)行設(shè)計(jì)。
展開(kāi) EPB功能安全筆記(16):ASIL分解及其關(guān)鍵點(diǎn)
共因失效(左);級(jí)聯(lián)失效(右)
提到獨(dú)立性,讀者比較熟知的是ASIL分解,ISO 26262中要求ASIL分解的前提是:ASIL分解需要安全要求具有冗余性,且分配給充分獨(dú)立的架構(gòu)要素。
本文將對(duì)ASIL分解展開(kāi)說(shuō)明,在介紹分解原則的同時(shí)指出其中的關(guān)鍵點(diǎn),拋磚引玉,希望能給讀者帶來(lái)一些參考。
1.什么是ASIL分解?
下面的案例在功能安全開(kāi)發(fā)過(guò)程中非常常見(jiàn):
對(duì)信號(hào)的功能安全需求的ASIL等級(jí)為ASIL D或者ASIL C,而信號(hào)只能達(dá)到ASIL A或者ASIL B
對(duì)于這種偏差,ISO 26262開(kāi)了個(gè)“后門”來(lái)合理地避免這類偏差影響功能安全開(kāi)發(fā),這個(gè)“后門”就是ASIL分解。ASIL分解是降低對(duì)功能安全需求的ASIL等級(jí)的裁剪方法,這一方法的核心點(diǎn)是通過(guò)將一條功能安全需求分解成兩條相互獨(dú)立的需求并分配到兩個(gè)及兩個(gè)以上相互獨(dú)立的元素(如軟件模塊、硬件模塊、輸入信號(hào)等)上。
正是由于這些參與分解的獨(dú)立的元素之間構(gòu)成了互為冗余關(guān)系,從整個(gè)系統(tǒng)的角度看,只有當(dāng)這些元素同時(shí)發(fā)生失效時(shí)才會(huì)違背安全目標(biāo),這樣一來(lái)對(duì)每個(gè)參與分解的相關(guān)元素的功能安全要求可以降低。
ISO 26262, part9第5章中定義了ASIL分解的特定的標(biāo)記方式:
應(yīng)通過(guò)在括號(hào)中給出安全目標(biāo)的ASIL等級(jí),對(duì)每個(gè)分解后的ASIL等級(jí)做標(biāo)注。each decomposed ASIL shall be marked by giving the ASIL of the safety goal in parenthesis.
例如,如果一個(gè)ASILD的要求分解成一個(gè)ASILC的要求和一個(gè)ASIL A 的要求,則應(yīng)標(biāo)注成“ASIL C(D)”和“ASIL A(D)”。
展開(kāi) ISO 26262筆記——如何理解ASIL分解?
同時(shí)這也意味著不論是哪一個(gè)層級(jí),對(duì)隨機(jī)硬件失效要求的ASIL等級(jí)都應(yīng)該是分解前的值。
舉個(gè)例子,駕駛員在車輛靜止時(shí)可以通過(guò)按鈕激活某舒適性功能,但是如果在車速大于10kph時(shí)錯(cuò)誤激活,有造成ASIL D危害的風(fēng)險(xiǎn)。該功能由ECU A實(shí)現(xiàn),需要在激活該功能前正確判斷車速,當(dāng)車速高于10kph時(shí)禁止激活。
ECU A的系統(tǒng)架構(gòu)如下:
safety concept分析如下圖所示。車速計(jì)算依賴互為冗余且充分獨(dú)立的輪速傳感器和變速箱軸速傳感器。
無(wú)論對(duì)輪速和變速箱軸速的需求是下列哪一種分配:
輪速ASIL A(D); 變速箱軸速ASIL C(D)
輪速ASIL B(D); 變速箱軸速ASIL B(D)
輪速ASIL C(D); 變速箱軸速ASIL A(D)
對(duì)于ECU A這個(gè)整體而言,隨機(jī)硬件失效要求都要符合ISO 26262, part5中對(duì)下面三個(gè)指標(biāo)的ASIL D的要求。
SPFM≥99%
LFM≥90%
PMHF<10 FIT
上面的例子驗(yàn)證了:
無(wú)論在哪一個(gè)層級(jí),對(duì)隨機(jī)硬件失效要求的ASIL等級(jí)都應(yīng)該是分解前的值。
但是,不同的層級(jí)ASIL等級(jí)都繼承分解前的ASIL等級(jí),那么ASIL等級(jí)背后的要求也一樣一樣嗎?
答案是否定的。
展開(kāi) 當(dāng)要求ASIL D時(shí),我們?cè)谝笫裁矗?/span>
S(severity 嚴(yán)重度):
危害發(fā)生對(duì)駕駛員或乘客或路人或周邊車輛中人員會(huì)造成的傷害等級(jí)。
2. E(Exposure 曝光度):
運(yùn)行場(chǎng)景在日常駕駛過(guò)程中發(fā)生的概率。
3. C(controllability 可控度):
駕駛員或其他涉險(xiǎn)人員控制危害以避免傷害的概率。
通過(guò)這三個(gè)維度的綜合評(píng)分確定汽車安全完整性等級(jí)( ASIL, automotive safety integrity level),如下圖所示。ASIL D代表最高嚴(yán)格等級(jí),ASIL A 代表最低嚴(yán)格等級(jí)。QM(quality management)則意味著只要按照企業(yè)流程開(kāi)發(fā)就可以滿足ISO 26262要求,無(wú)其他特殊要求。
總結(jié)
ASIL等級(jí)通過(guò)危害分析與風(fēng)險(xiǎn)評(píng)估這一功能安全活動(dòng)而來(lái)。通過(guò)對(duì)危害事件進(jìn)行S/E/C三個(gè)維度的評(píng)估從而確定風(fēng)險(xiǎn)的ASIL等級(jí)
對(duì)每個(gè)具有ASIL等級(jí)的危害事件都導(dǎo)出一條Safety Goal,ASIL等級(jí)是Safety Goal的基本屬性
ASIL等級(jí)越高,危害事件造成的不合理的風(fēng)險(xiǎn)越大,因此功能安全開(kāi)發(fā)要求也會(huì)越高
2. ASIL D到底在要求什么?
當(dāng)確定了一條完整的Safety Goal,同時(shí)Safety Goal對(duì)應(yīng)的safety criteria確定以后,接下來(lái)將基于系統(tǒng)架構(gòu)識(shí)別出可能違背Safety Goal的系統(tǒng)要素(軟件或硬件),從而對(duì)相應(yīng)的要素分配功能安全需求,(在無(wú)法進(jìn)行分解的情況下)這些功能安全需求都將繼承Safety Goal的ASIL等級(jí)。ASIL等級(jí)越高,意味著功能安全開(kāi)發(fā)的要求越嚴(yán)苛。
展開(kāi) 
基于AP AUTOSAR實(shí)現(xiàn)功能安全島
按照作者所在公司測(cè)算,與開(kāi)發(fā)同樣的QM功能相比,符合ASIL-A等級(jí)的開(kāi)發(fā)需要花費(fèi)大概3倍的工作量。更進(jìn)一步,不同ASIL等級(jí)的應(yīng)用能夠在同一系統(tǒng)中共存,實(shí)現(xiàn)Mixed Criticality系統(tǒng)。
信息安全架構(gòu)也能很好得益于模塊之間的完全隔離。因?yàn)椋甙踩?em>等級(jí)模塊能夠和低安全等級(jí)模塊之間隔離開(kāi)來(lái)。這也就是TEE (Trusted Execution Environment)的設(shè)計(jì)概念。
目前頂級(jí)的商用微內(nèi)核RTOS內(nèi)核部分能滿足ASIL-D等級(jí)。
除了RTOS內(nèi)核需要滿足ASIL等級(jí)之外,從軟件平臺(tái)的角度POSIX PSE51的庫(kù)也必須滿足ASIL要求。因?yàn)槿绻粋€(gè)AP AUTOSAR的應(yīng)用有ASIL要求,其依賴的所有庫(kù)都必須滿足ASIL。其中最重要的是POSIX PSE51。AP標(biāo)準(zhǔn)里定義了應(yīng)用至少需有如下依賴關(guān)系。
AP應(yīng)用的依賴關(guān)系(出自Vector)
目前業(yè)界的現(xiàn)狀為頂級(jí)RTOS供應(yīng)商能提供滿足ASIL等級(jí)的POSIX PSE51庫(kù)。但是,還沒(méi)有廠商號(hào)稱POSIX PSE53/54的庫(kù)也通過(guò)了ASIL認(rèn)證。
然后是滿足功能安全的文件系統(tǒng)。值得注意的是,C和C++標(biāo)準(zhǔn)庫(kù)提供文件操作接口,比如,C++ fstream。目前有RTOS供應(yīng)商提供滿足ASIL功能的文件系統(tǒng)。
經(jīng)常容易被忽略的一點(diǎn),開(kāi)發(fā)ASIL Safety應(yīng)用使用的編譯器也必須滿足ASIL要求。兩個(gè)方面,第一,如果編譯器不滿足ASIL要求,那么其生成的機(jī)器代碼無(wú)法保證和源代碼的對(duì)應(yīng)關(guān)系。那么對(duì)于源代碼的認(rèn)證并無(wú)法保證機(jī)器代碼的可靠性。第二,如上圖的應(yīng)用依賴關(guān)系所示,C/C++標(biāo)準(zhǔn)庫(kù)也使用在了ASIL safety應(yīng)用中。
展開(kāi) 域控軟件安全隔離關(guān)鍵技術(shù)剖析:MCU域 VS SOC域
SSR是從技術(shù)安全需求TSR中提取出軟件的功能安全需求,大多數(shù)情況下具有不同的ASIL等級(jí)。
圖1 功能安全軟件開(kāi)發(fā)V模型
隨后,軟件安全需求會(huì)被分配到軟件架構(gòu)中的軟件組件中。不同ASIL等級(jí)的軟件安全需求被分配到軟件組件過(guò)后,帶來(lái)了級(jí)聯(lián)失效的問(wèn)題。若放任不同ASIL等級(jí)軟件組件在一個(gè)系統(tǒng)中運(yùn)行,可能會(huì)存在低ASIL等級(jí)軟件組件失效從而引發(fā)高ASIL等級(jí)軟件組件失效的風(fēng)險(xiǎn)。
ISO26262 對(duì)軟件組件之間的交互進(jìn)行了分析并提出了免于干擾(Freedom from Interference)的需求,安全隔離則旨在隔離軟件系統(tǒng)中安全相關(guān)與安全無(wú)關(guān)的軟件組件,以及不同ASIL等級(jí)的軟件組件。
軟件內(nèi)存基礎(chǔ)
首先讓我們來(lái)了解內(nèi)存的基本知識(shí)。RAM與ROM是ECU中常見(jiàn)的存儲(chǔ)器類型,它們?cè)跀?shù)據(jù)存儲(chǔ)和訪問(wèn)方面扮演著重要的角色。
RAM(Random Access Memory)是一種臨時(shí)存儲(chǔ)器,用于存儲(chǔ)計(jì)算機(jī)正在運(yùn)行的程序和數(shù)據(jù)。它具有快速的讀寫(xiě)速度和隨機(jī)訪問(wèn)的特點(diǎn)。
ROM(Read-Only Memory)是一種只讀存儲(chǔ)器,用于存儲(chǔ)固定的程序指令和數(shù)據(jù)。ROM中的數(shù)據(jù)在計(jì)算機(jī)斷電時(shí)不會(huì)丟失,因此被稱為非易失性存儲(chǔ)器。
然而在軟件視角中,軟件被編譯后會(huì)被分為不同的段進(jìn)行存放。具體分段方式可能根據(jù)架構(gòu)有細(xì)微區(qū)別在,以Tc3xx系列芯片為例,包含以下幾段:
(1)已初始化的數(shù)據(jù)段
(2)未初始化的數(shù)據(jù)段
(3)只讀數(shù)據(jù)段
(4)代碼段
(5)task棧區(qū)
(6)啟動(dòng)棧區(qū)
(7)CSA區(qū)
這些段被編譯器分配到物理內(nèi)存中,可能由不同的存儲(chǔ)器來(lái)存放。
展開(kāi) ISO 26262和FMEA中的風(fēng)險(xiǎn)評(píng)估對(duì)比
S(severity 嚴(yán)重度):危害發(fā)生對(duì)駕駛員或乘客或路人或周邊車輛中人員會(huì)造成的傷害等級(jí)。評(píng)分表如下:
S值評(píng)級(jí)及說(shuō)明
②. E(Exposure 曝光度):運(yùn)行場(chǎng)景在日常駕駛過(guò)程中發(fā)生的概率。評(píng)分表如下:
E值評(píng)級(jí)及說(shuō)明
③. C(controllability 可控度):駕駛員或其他涉險(xiǎn)人員控制危害以避免傷害的概率。評(píng)分表如下:
C值評(píng)級(jí)及說(shuō)明
基于這三個(gè)維度的評(píng)分,即可確定ASIL等級(jí)即汽車安全完整性等級(jí)( automotive safety integrity level)。ASIL一共分為四個(gè)等級(jí),D代表最高嚴(yán)格等級(jí),即風(fēng)險(xiǎn)最高,A 代表最低嚴(yán)格等級(jí),即風(fēng)險(xiǎn)最低。
如果相關(guān)項(xiàng)對(duì)應(yīng)的危害事件的評(píng)級(jí)在ASIL A及ASIL A以上,則功能安全開(kāi)發(fā)需要予以考慮;對(duì)于QM(質(zhì)量管理,quality management),只要按照企業(yè)流程開(kāi)發(fā)就認(rèn)為可以滿足ISO 26262要求,無(wú)需額外進(jìn)行功能安全開(kāi)發(fā)。
仍然拿制動(dòng)系統(tǒng)舉例,對(duì)于非預(yù)期制動(dòng)這一危害,結(jié)合場(chǎng)景進(jìn)行ASIL等級(jí)評(píng)定的結(jié)果如下表所示。
展開(kāi) 你真的做對(duì)ASIL分解了嗎?
出品 | 焉知
知圈 | 進(jìn)“電子電氣群”請(qǐng)加微13636581676,備注架構(gòu)
本文要點(diǎn)
稍微了解功能安全的朋友絕對(duì)都聽(tīng)過(guò)ASIL分解。畢竟作為ISO 26262官方推薦的降低功能安全開(kāi)發(fā)要求的手段,必然是要被工程師們好好地加以利用的。但是 ASIL分解雖好,卻不是簡(jiǎn)單的加減運(yùn)算式的“ASIL D 可以分為兩個(gè)ASIL B或一個(gè)ASIL A和一個(gè)ASIL C”那么簡(jiǎn)單,如果在進(jìn)行分解時(shí)忽略了它的前提和規(guī)則,將可能造成系統(tǒng)的功能安全漏洞。
基于此背景,本文旨在梳理ASIL分解的理論以及易被忽略的規(guī)則,以期為讀者提供一些有價(jià)值的參考。
1. 什么是ASIL分解?
設(shè)想一個(gè)場(chǎng)景:養(yǎng)豬場(chǎng)有兩個(gè)豬圈,一個(gè)里面有一頭豬X,另一個(gè)里面有兩頭豬Y和Z。如果它們的目標(biāo)都是用力量沖破豬圈的木柵欄獲得自由。顯而易見(jiàn),對(duì)X的力量要求比一起合作的Y和Z都高。
ASIL分解的背后也是相同的道理。作為降低對(duì)功能安全需求的ASIL等級(jí)的裁剪方法,這一方法的核心點(diǎn)是通過(guò)將一條功能安全需求分解成兩條相互獨(dú)立的需求并分配到兩個(gè)及兩個(gè)以上相互獨(dú)立的要素(如軟件模塊、硬件模塊、輸入信號(hào)等)上,正是由于這些參與分解的獨(dú)立的要素之間構(gòu)成了互為冗余關(guān)系,從整個(gè)系統(tǒng)的角度看,只有當(dāng)這些元素同時(shí)發(fā)生失效時(shí)才會(huì)違背安全目標(biāo),這樣一來(lái)對(duì)每個(gè)參與分解的相關(guān)元素的功能安全要求可以降低。
ISO 26262, part9第5章中定義了ASIL分解的特定的標(biāo)記方式:
應(yīng)通過(guò)在括號(hào)中給出安全目標(biāo)的ASIL等級(jí),對(duì)每個(gè)分解后的ASIL等級(jí)做標(biāo)注。each decomposed ASIL shall be marked by giving the ASIL of the safety goal in parenthesis.
展開(kāi) BMS功能安全開(kāi)發(fā)流程詳解
按照下表,應(yīng)為暴露概率指定一個(gè)E0、E1、E2、E3或E4的概率等級(jí)。
b.對(duì)于每一個(gè)危害事件,應(yīng)基于一個(gè)確定的理由預(yù)估駕駛員或其他潛在處于風(fēng)險(xiǎn)的人員對(duì)該危害事件的可控性。按照下表,應(yīng)為可控性指定一個(gè)C0、C1、C2或C3的可控性等級(jí)。
c.對(duì)于每一個(gè)危害事件,應(yīng)基于一個(gè)已確定的理由來(lái)預(yù)估潛在傷害的嚴(yán)重度。根據(jù)下表,應(yīng)為嚴(yán)重度指定一個(gè)S0、S1、S2或S3的嚴(yán)重度等級(jí)
d.每一個(gè)危害事件的ASIL等級(jí)應(yīng)使用“嚴(yán)重度”、“暴露概率”和“可控性”這三個(gè)參數(shù)根據(jù)下表來(lái)確定:
由于BMS屬于新能源汽車高壓電池系統(tǒng)的一部分,EUCAR定義了高壓電池系統(tǒng)的危害等級(jí)。
當(dāng)BMS不能夠很好的監(jiān)測(cè)或者保護(hù)電芯時(shí),上表中的危害事件就有可能發(fā)生。ISO26262的目標(biāo)是保護(hù)乘客受到危害,因?yàn)樯媳鞮evel 5以上就算是嚴(yán)重危害事件了。因此有必要定義一個(gè)電芯工作的最大允許危害級(jí)別,5以上時(shí)肯定不允許的。
二、ASIL等級(jí)
1、相關(guān)項(xiàng)定義,ASIL等級(jí),安全目標(biāo)
如下圖所示,第一步通過(guò)不同的駕駛情況,不同的環(huán)境來(lái)確定不同的場(chǎng)景;第二步分析不同場(chǎng)景下的事故所以引起的Hazard Situation.第三步確定這些Hazard Situation的ASIL等級(jí),這一部分有很大的主觀因素,每個(gè)公司考慮問(wèn)題的角度不一樣,針對(duì)不同的Hazard Situation設(shè)定的ASIL 等級(jí)也會(huì)不一樣。
展開(kāi) EPB系統(tǒng)功能安全筆記 (19): 功能安全的認(rèn)可措施(Confirmation Measures)理解與辨析
對(duì)于評(píng)估員assessor的獨(dú)立性要求根據(jù)功能安全需求的ASIL等級(jí)的不同而不同,ASIL等級(jí)越高,獨(dú)立性要求更加嚴(yán)苛。
- End -
沃爾沃:敏捷開(kāi)發(fā)中滿足ISO26262的軟件安全分析
具有給定ASIL等級(jí)的模型是否分配給具有相同或更高ASIL等級(jí)的軟件分區(qū)?如果否,則檢測(cè)到不適當(dāng)?shù)姆峙洹? 如果不同ASIL等級(jí)的模型分配到同一分區(qū),請(qǐng)?jiān)诩軜?gòu)描述中確認(rèn)這些模型是根據(jù)最高ASIL開(kāi)發(fā)標(biāo)準(zhǔn)設(shè)計(jì)的。
3. 檢查從較低ASIL分區(qū)到較高分區(qū)的故障模式傳播。
所有CL3輸入信號(hào)是否都來(lái)自CL3模型?如果不是,則檢測(cè)到緊急架構(gòu)和合理架構(gòu)之間不一致的規(guī)范。
4.根據(jù)階段1分析,確認(rèn)應(yīng)用軟件的接口信號(hào)具有正確的ASIL分類。
建議團(tuán)隊(duì)在每個(gè)項(xiàng)目增量期間執(zhí)行第1階段。在一些敏捷方法中,每個(gè)增量可能是8到12周。第2階段應(yīng)在每次產(chǎn)品發(fā)布之前執(zhí)行,前提是明確不會(huì)發(fā)生進(jìn)一步的功能更改。
04 總結(jié)
該方法被認(rèn)為是經(jīng)濟(jì)上可承受的連續(xù)安全分析方法。原因如下:首先,軟件安全的一般分析方法在很大程度上是自動(dòng)化的,并與軟件開(kāi)發(fā)環(huán)境集成。一旦部署了這些方法(表1),就很容易定期審查和更新信息。其次,一旦進(jìn)行了以安全為導(dǎo)向的分析,在未來(lái),團(tuán)隊(duì)將擁有足夠的知識(shí)和文件,根據(jù)輸出信號(hào)的變化及其相應(yīng)信息(故障模式、車輛級(jí)后果等)更新評(píng)估。文檔可以是Excel表格和基于瀏覽器的半自動(dòng)方式。
面向安全的軟件分析有助于關(guān)注直接違反安全目標(biāo)的錯(cuò)誤。這種分析超越了自動(dòng)檢查,這重點(diǎn)關(guān)注模型實(shí)現(xiàn)了哪些功能,模型間如何相互干預(yù),以及模型與架構(gòu)決策如何一致。這有助于避免可能危及功能安全的意外設(shè)計(jì)決策。
一般來(lái)說(shuō),以上的分析需要了解模型在車輛級(jí)功能中的作用。
展開(kāi) 
EPB功能安全筆記(20) 尾聲:ISO26262的總結(jié)和展望
ISO 26262從三個(gè)維度來(lái)進(jìn)行分類和篩選:
1.S(severity 嚴(yán)重度):
危害發(fā)生對(duì)駕駛員或乘客或路人或周邊車輛中人員會(huì)造成的傷害等級(jí)。
2.E(Exposure 曝光度):
運(yùn)行場(chǎng)景在日常駕駛過(guò)程中發(fā)生的概率。
3.C(controllability 可控度):
駕駛員或其他涉險(xiǎn)人員控制危害以避免傷害的概率。
通過(guò)這三個(gè)維度的綜合評(píng)分確定汽車安全完整性等級(jí)( ASIL, automotive safety integrity level),如下圖所示。ASIL D代表最高嚴(yán)格等級(jí),ASIL A 代表最低嚴(yán)格等級(jí)。QM(quality management)則意味著只要按照企業(yè)流程開(kāi)發(fā)就可以滿足ISO 26262要求,無(wú)其他特殊要求。
1.2.2.定義將不合理的風(fēng)險(xiǎn)降低為合理風(fēng)險(xiǎn)的標(biāo)準(zhǔn)
ISO 26262要求,應(yīng)為具有ASIL等級(jí)的每個(gè)危害事件確定一個(gè)安全目標(biāo)。
展開(kāi) ISO 26262安全的軟件開(kāi)發(fā)流程
3) 系統(tǒng)和子系統(tǒng)架構(gòu)應(yīng)該在對(duì)應(yīng)的ASIL等級(jí)上符合技術(shù)安全需求。
4) 每個(gè)元素應(yīng)從它實(shí)現(xiàn)的技術(shù)安全需求中繼承最高的ASIL等級(jí)。
5) 對(duì)于安全相關(guān)的元素,應(yīng)該定義其內(nèi)部和外部的接口,這是為了避免其它元素影響它們的安全性。
在系統(tǒng)設(shè)計(jì)階段中, ISO 26262-4的7.4.3.7中規(guī)定了為了避免高復(fù)雜性引起的失敗,架構(gòu)設(shè)計(jì)應(yīng)該滿足模塊化,足夠的顆粒度和簡(jiǎn)單的原則。其中模塊化的系統(tǒng)設(shè)計(jì)應(yīng)該滿足的屬性如下表所示。
在Studio中,RTE運(yùn)行時(shí)環(huán)境層根據(jù)架構(gòu)層軟件組件的架構(gòu)設(shè)計(jì),定義了軟件組件間通信接口,有明確的通信接口生成規(guī)定,同時(shí)也避免了不必要的接口復(fù)雜度,減少了依賴關(guān)系。系統(tǒng)映射根據(jù)架構(gòu)層定義的軟件組件架構(gòu)和ECU拓?fù)浣Y(jié)構(gòu),完成軟件和硬件的映射關(guān)系,避免了軟硬件的耦合關(guān)系,減少了交互的不必要的復(fù)雜度,同時(shí)也是避免了軟硬件交互的接口復(fù)雜度,減少了依賴關(guān)系。
在ISO 26262-6中規(guī)定了軟件級(jí)設(shè)計(jì)和安全相關(guān)的概念。軟件架構(gòu)設(shè)計(jì)代表了所有的軟件組件和它們?cè)趯哟位Y(jié)構(gòu)中的交互關(guān)系。軟件架構(gòu)設(shè)計(jì)提供了可以實(shí)現(xiàn)軟件安全需求的方法以及處理軟件開(kāi)發(fā)的復(fù)雜性。
為了保證軟件架構(gòu)設(shè)計(jì)獲得的信息足夠讓后續(xù)的開(kāi)發(fā)流程正確有效的執(zhí)行,軟件架構(gòu)設(shè)計(jì)應(yīng)該用下表中列出的表示法描述合適的抽象等級(jí)。
為了避免因高復(fù)雜度導(dǎo)致的錯(cuò)誤,軟件架構(gòu)設(shè)計(jì)應(yīng)該滿足模塊化,封裝性和簡(jiǎn)單這三個(gè)基本的屬性,下表中給出了軟件架構(gòu)設(shè)計(jì)的原則。
在Studio的層次結(jié)構(gòu)中,支持軟件組件的層次化結(jié)構(gòu),每個(gè)軟件組件通過(guò)內(nèi)部行為表示其軟件組件具體完成的功能,滿足高內(nèi)聚性和低耦合性。
架構(gòu)層的設(shè)計(jì)保證了軟件架構(gòu)設(shè)計(jì)開(kāi)發(fā)到合理的程度使得所有的軟件單元能夠區(qū)別開(kāi)。
展開(kāi) 談?wù)勡浖娜蝿?wù)調(diào)度策略
2、ASIL分解,最小化需要按照更高的ASIL開(kāi)發(fā)的軟件數(shù)量(降低軟件開(kāi)發(fā)成本)。
讓我們使用圖2所示的單核多功能ECU,這是一個(gè)說(shuō)明混合關(guān)系系統(tǒng)集成的例子。
圖2 單核混合關(guān)鍵系統(tǒng)
我們假設(shè)該系統(tǒng)中有四個(gè)任務(wù):
1、Task T1 功能安全等級(jí)為ASIL-C,運(yùn)行周期為25ms;
2、Task T2 功能安全等級(jí)為ASIL-B,運(yùn)行周期為10ms;
3、Task T3 功能安全等級(jí)為ASIL-A,運(yùn)行周期為1ms;
4、Task T4 功能安全等級(jí)為QM,運(yùn)行周期為10ms;
我們應(yīng)該如何分配任務(wù)優(yōu)先級(jí)來(lái)調(diào)度這四個(gè)任務(wù)呢?在不考慮安全要求的情況下,一種典型的設(shè)計(jì)周期最短的任務(wù)優(yōu)先級(jí)最高,如圖3所示。
圖3 基于周期的任務(wù)優(yōu)先級(jí)分配
可以看出,如果低安全等級(jí)的任務(wù)執(zhí)行出錯(cuò)(例如進(jìn)入死循環(huán)),高安全等級(jí)的任務(wù)會(huì)被阻塞,不能正常運(yùn)行,這種方案是不能滿足ISO26262要求的。
那如果根據(jù)基于CAPA 分配優(yōu)先級(jí)呢?如圖4所示。
圖4 基于CAPA (Criticality Aware Priority Assignment) 分配優(yōu)先級(jí)的任務(wù)調(diào)度
可以看出,這種方案下,T3任務(wù)經(jīng)常出現(xiàn)不能執(zhí)行的現(xiàn)象,雖然滿足ISO26262的要求,但是這種行為是不可接受的。
那這種方案可以怎么改進(jìn)呢?其思路是在應(yīng)用CAPA中找到那些導(dǎo)致效率低下的地方,并適當(dāng)?shù)卣{(diào)整它們。致CAPA抵消的原因是具有高ASIL等級(jí)同時(shí)執(zhí)行時(shí)間長(zhǎng)的任務(wù)導(dǎo)致的。
展開(kāi) 如何使數(shù)字座艙成為現(xiàn)實(shí)
屬于汽車應(yīng)用程序的任何硬件或軟件組件都應(yīng)根據(jù)其安全性要求為其定義一個(gè)ASIL。
在諸如數(shù)字駕駛艙之類的現(xiàn)代汽車應(yīng)用中,單個(gè) ECU可以處理多種功能。在這種情況下,具有不同安全關(guān)鍵性(ASIL等級(jí))的軟件和硬件組件可能會(huì)共存。這些ASIL等級(jí)不同的組件可能會(huì)相互干擾,從而導(dǎo)致安全違規(guī)。
當(dāng)具有不同ASIL等級(jí)的組件共享相同的CPU和內(nèi)存資源時(shí),這尤其具有挑戰(zhàn)性。
如果這些潛在的挑戰(zhàn)沒(méi)有在設(shè)計(jì)階段得到適當(dāng)?shù)慕鉀Q,這些可能會(huì)導(dǎo)致以后的安全隱患。
2、成本優(yōu)化(許可成本、每單位成本、開(kāi)發(fā)成本):
使用Hypervisor方法進(jìn)行OS虛擬化開(kāi)發(fā)數(shù)字座艙解決方案仍然是一項(xiàng)昂貴的命題。
與Hypervisor相關(guān)的成本因素包括–虛擬化許可證,實(shí)施高級(jí)功能(例如V2X)所需的成本以及基于內(nèi)核數(shù)量和OS類型的成本。
優(yōu)化成本的另一種方法是使用免費(fèi)的RTOS。但是,需要在性能、執(zhí)行速度和健壯性方面確保其可靠性。
數(shù)字化座艙解決方案的定制開(kāi)發(fā)可以帶給你市場(chǎng)上的優(yōu)勢(shì)
Build vs Buy困境也與汽車零部件領(lǐng)域有關(guān)。我們的汽車專家認(rèn)為,為汽車量身定制數(shù)字化駕駛艙可以為OEM帶來(lái)改變。下面列出了此方法提供的一些優(yōu)點(diǎn):
自由度–著手進(jìn)行數(shù)字座艙的定制開(kāi)發(fā)時(shí),你將獲得該產(chǎn)品的專有IP權(quán)利。這有助于根據(jù)你的未來(lái)需求擴(kuò)展解決方案。另一方面,現(xiàn)成的解決方案可能不會(huì)為您提供系統(tǒng)的完整的IP權(quán)利。
展開(kāi) 