功能安全合規的案例
功能安全管理(四):功能安全審核及功能安全評估
作者 | HYZY
出品 | 焉知
知圈 | 進“芯片社群”請加微信13636581676,備注芯片
功能安全開發流程的終點應該是對相關項的安全認可,以確認其達到了生產發布的安全條件。
一、認可措施的關系
ISO 26262標準中定義的認可措施包括認可評審、功能安全審核和功能安全評估三種類型,ISO 26262標準中允許將認可評審和功能安全審核與功能安全評估合并、聯合,以支持相關項類似變型的處理。
下圖1展示了三種認可措施及驗證評審之間的關系,可以看出:
認可評審/驗證評審與功能安全審核相對獨立,分別是針對工作成果及功能安全開發流程;
功能安全評估的范圍最廣,除涵蓋了認可評審、驗證評審和功能安全審核外,還包括安全措施的適宜性和有效性、功能安全實現的論證、安全檔案提供的論證、安全異常原因已按規定關閉等其它內容。
圖 1 認可措施及驗證評審范圍
二、功能安全審核
1、功能安全審核內涵
功能安全審核可類比ASPICE過程能力審核與TS 16949體系審核,可由公司的體系審核員或第三方機構審核員按照ISO 26262標準中對于過程的要求,審核項目開發中的安全流程實施情況。
功能安全審核可與ASPICE過程能力評估一同進行(特別是對于支持過程的審核),但ASPICE過程能力評估不能代替功能安全審核。
展開 安永:智能汽車網絡安全市場準入與合規遵從
啟示
國際標準和法規的相繼頒布,意味著車輛網絡安全已經成為繼主動安全、被動安全、功能安全之后的“第四安全”。尤其是UNECE WP.29 TFCS在傳統的車輛形式審核中加入了對車企和車輛網絡安全的相關要求,已經使網絡安全成為車輛制造商必須應對的監管要求。可以說這些國際標準和法規對全球的各大汽車品牌有著重大和深遠的影響,包括中國的一些走向國際的車企。車輛網絡安全已經進入到從符合標準變成遵從法規的時代。
中國市場
由于網絡安全屬于國家安全戰略,而智能網聯汽車又在2015年被列為中國國家戰略層面的重要產業,因此我國針對智能汽車網絡安全風險,也從政策指導意見以及標準體系建設方面開展了各項相關工作:
啟示
中國是全球汽車消費大國,中國在國際舞臺上的汽車網絡安全標準與合規遵從的標準制定與推進工作越來越嶄露頭角,其制定的各項汽車網絡安全標準對全球的各大國際品牌的車企未來幾年在中國的業務經營與發展,有著積極的指導意義。
三、UN CS and CSMS Regulation法規解讀
法規主要內容:
如UNECE WP.29 TFCS這份準入認證的標題所述,此認證包含了兩部分內容(如下圖所示1):
第一部分是針對車輛制造企業的網絡安全管理體系(CSMS)的評估和認證;
第二部分是在車輛型式認證(VTA)過程中的針對網絡安全的評估和認證;
根據法規以及解釋性文件中的描述,我們可以將智能汽車網絡安全理解為針對車輛制造商的網絡安全管理體系要求,以及針對車輛類型的網絡安全能力要求。并且當車輛制造商申請車輛型式認證時,必須首先滿足自身建立了網絡安全管理體系的要求,然后才有資格證明其車輛類型具備了網絡安全能力。
展開 座椅測試如何幫車企守住合規與安全底線?
新國標已至,合規成為企業入場的必備條件,而科學的座椅測試則是企業筑牢產品品質、提升核心競爭力的關鍵。選擇北京沃華慧通測控技術有限公司的座椅測試解決方案,不僅能幫助企業輕松應對新規要求,規避安全風險,更能通過精準檢測與數據支撐,助力企業優化研發設計、縮短產品迭代周期,在智能座椅賽道穩步前行。未來,隨著行業的持續升級,座椅測試將持續發揮核心賦能作用,而沃華慧通也將以持續的技術創新,推動智能座椅產業向更安全、更舒適、更合規的方向發展,為乘員出行保駕護航。
康謀分享| 揭秘C-NCAP :合成數據如何助力攻克全球安全合規難關?
使汽車企業能夠 “一次構建,全球合規”,在加快上市時間的同時,降低驗證的成本和復雜性。
四、結論
在汽車安全標準日益嚴苛的今天,C-NCAP新規的出臺無疑為汽車行業指明了新的發展方向——從被動安全向主動安全全面轉型。
通過與 GB/T 標準保持一致并利用基于物理的仿真,OEM 和供應商才可以實現遵守、超越,并提供強大、可靠的艙內 AI,進而滿足中國及其他地區最嚴格的安全和監管基準。
因此面對技術實現難點與法規合規的雙重挑戰,車企亟需創新解決方案以提升產品安全性能并加速市場布局。
展開 
EPB系統功能安全筆記 (19): 功能安全的認可措施(Confirmation Measures)理解與辨析
,是否真的能夠實現功能安全。
功能安全--安全分析
來源 | 汽車ECU開發
在ISO26262功能安全中,有多個地方需要進行安全分析,安全分析的質量很重要的決定了功能安全項目的成敗,本文針對ISO26262中提到的各種安全分析進行匯總說明(HARA、FMEA、FTA、FMEDA、SWFMEA、DFA)。
01 HARA
在概念階段,功能安全要求進行HARA分析。
HARA(危害分析與風險評估)目的是識別項目的功能故障引起的危害,對危害事件進行分類,然后定義與之對應的安全目標,以避免不可接受的風險。
HARA分析步驟:
SEC說明:
ASIL等級說明:
QM指的是 質量管理,表示此項功能不影響安全,通過質量管理保證即可。
舉例說明:
HARA分析示例
危害事件 場景分析 S E C ASIL
EPS按照非預期的方向轉向 在城市道路,車輛正常勻速行駛(E4),車輛方向按照非預期轉向,此時駕駛員很難控制(C3),道路兩邊人員較多,可能造成路人或者駕駛員的傷亡(S3) 3 4 3 D
02 FMEA
在系統階段,功能安全要求針對各種失效模式進行分析。
FMEA是一種自下而上的歸納分析方法,用于識別系統失效(failure),找出失效原因(Fault),以及分析失效影響(Effect)。
展開 智能駕駛安全專題 | 功能安全與SOTIF如何融合實施
智駕功能安全平臺
結合客戶工程需求,經緯恒潤會協助構建適配智能駕駛的可靠、自動化功能安全平臺,以基于模型的安全分析為重要手段驅動智能駕駛產品架構及設計不斷持續改進。
Medini為經緯恒潤長期合作的專業功能安全平臺,可以覆蓋ISO-26262、ISO-21448(SOTIF)行業核心過程,針對自動駕駛SOTIF領域的解決方案,可以覆蓋SOTIF安全分析過程(Part5-Part8),同時參與ISO 21448標準制定,隨時更新保持與標準同步。
依托Medini平臺及豐富的API接口可以構建基于模型開發的功能安全平臺,系統功能和系統架構基于SysML模型描述,基于這些系統設計,可以直接生成FMEA表格,以及快速的構建故障樹,進行FTA。
在集成化的平臺里,可以管理安全目標、安全需求,并把安全需求分配給對應的系統和組件。進而,安全需求、系統設計、安全分析三者可以平臺中進行連接、交互和管理。
經緯恒潤從2008年開始研究及實施功能安全,并于同年組建了功能安全團隊,從消化ISO-26262標準到參與2017年GB/T 34590功能安全標準的制定;結合自身汽車電子產品研發實踐,經緯恒潤的功能安全團隊在智駕域、底盤域、動力域、車身域實施國內外100+成功案例,積累了豐富的經驗。迎合市場所需,結合量產產品功能安全落地實施的技術難點,經緯恒潤功能安全團隊以智能駕駛功能安全為主題,陸續發布解決方案系列文章。
經緯恒潤
北京市海淀區知春路7號致真大廈D座6層
郵箱:market_dept@hirain.com
網址:www.hirain.com
展開 6/17 功能安全全生命周期管理--數字化安全管理
在medini指導下完成安全管理活動,取代人工輸入任務,引入自動化和輔助功能。
7/16 基于模型的功能安全分析助力提高BMS安全
簡介:
作為電動汽車電池系統中最為復雜的控制中心,BMS的安全直接影響著電動汽車的整體安全性,某些功能要求嚴格的BMS,其安全完整性等級要求可以達到ASIL D級,也就是ISO 26262 最高的安全完整性等級。 如何保障BMS的安全,并高效完成其功能安全分析,這給BMS廠商帶來了新的挑戰和巨大的工作量。Ansys medini?提供基于模型的安全性分析和可靠性工程的綜合解決方案,其內置的ISO 26262 安全模板涵蓋一系列安全分析技術,覆蓋整個安全生命周期,高效連接安全需求、安全分析、架構設計,確保追蹤性和一致性,可以有效保障 BMS 的安全,并大大加速和優化安全分析過程。
講師簡介:
楊瑾婧
Ansys SBU 安全與認證高級咨詢。多年來專注于航空、軌道、汽車等領域的安全認證、功能安全分析等,有豐富的行業咨詢和產品應用經驗。
點擊報名:http://event.31huiyi.com/1873747357/index?c=jishulink
展開 經緯恒潤預期功能安全(SOTIF)解決方案為自動駕駛安全保駕護航
· 產品上:一方面,經緯恒潤基于駕駛數據、場景提取算法、聯合分布統計等數據驅動方法,結合安全分析構建關鍵臨界風險場景并進行解算,在整車開發早期提出量化需求指標和測試驗證準則,以便在車輛后期測試階段有較為明確的輸入,避免因定義模糊造成大量重復且無意義的測試驗證工作。另一方面,基于在高級自動駕駛領取多年深耕的經驗,經緯恒潤總結關鍵技術,通過預期功能安全模板、開發實例及定制Workshop給客戶提供專業的咨詢服務。可以更好地助力企業高級別自動駕駛功能“安全”落地。
自動駕駛安全組件是經緯恒潤獨立研發的一種解決方案,通過使用經緯恒潤的自動駕駛安全組件,企業可以節省大量的時間和精力,因為組件已經經過獨立研發和測試,具備符合功能安全和預期功能安全的能力。企業無需從零開始開發安全組件,而是可以直接使用經過驗證的解決方案,從而加快自動駕駛功能的開發進程。此外,自動駕駛安全組件還具備適配結構化和非結構化場景的能力。這意味著無論是在道路上的結構化環境還是復雜的非結構化環境中,組件都能夠提供可靠的安全性支持,確保自動駕駛系統在各種場景下的穩定運行。
經緯恒潤功能安全團隊成立于2008年,系國內較早從事功能安全技術研究的團隊。作為功能安全、預期功能安全國家標準委員會成員,參與GB/T 34590第一版、第二版起草及修訂工作。經緯恒潤在汽車電子產品研發實踐中全面導入功能安全方法論,目前研發流程、生產流程已通過ISO26262的功能安全開發過程認證,功能安全開發過程已達到ASIL-D級別。智能駕駛產品開發內部按照SOTIF流程開發,并通過了ISO21448的預期功能安全開發過程評估。
展開 功能更新 | medini analyze — 符合ISO 26262的功能安全平臺工具
? Mobileye——自動駕駛安全策略的分析
Mobileye將medini analyze作為其自動駕駛安全策略開發的核心工具,將自動駕駛安全目標拆分為功能安全ISO26262安全目標及預期功能安全SOTIF安全目標,系統性解耦了功能安全與預期功能安全之間的關聯關系,不但實現了產品的功能安全開發,并且利用medini analyze積極探索了SOTIF的落地過程。
medini analyze在深耕ISO 26262功能安全的同時,也在持續開發SOTIF、cybersecurity等功能,不久將會推出支持SOTIF和cybersecurity的全新版本,敬請期待!
經緯恒潤
北京市海淀區知春路7號致真大廈D座6層
電話:010-64840808
郵箱:market_dept@hirain.com
網址:www.hirain.com
展開 
【Ansys線上直播回看】基于模型的功能安全分析助力提高BMS安全
『點擊觀看直播回放』
作為電動汽車電池系統中最為復雜的控制中心,BMS的安全直接影響著電動汽車的整體安全性,某些功能要求嚴格的BMS,其安全完整性等級要求可以達到ASIL D級,也就是ISO 26262 最高的安全完整性等級。 如何保障BMS的安全,并高效完成其功能安全分析,這給BMS廠商帶來了新的挑戰和巨大的工作量。
此次網絡直播吸引了眾多觀眾在線觀看,在會后我們也陸續收到在線觀眾以及其他用戶前來詢問,在此附上本場網絡直播錄播內容,供大家回看學習。
▼▼▼2020 Ansys網絡研討會有獎反饋 - 可免費獲取本場錄播和講解資料,參與者均可獲得千元培訓券及技術鄰金幣獎勵!
▼▼▼“更多Ansys近期專題研討會” - 歡迎掃碼報名參加!
『或點擊此處進入報名通道』
立即提交作品參加Ansys“仿真的藝術”圖片作品大賽
為紀念公司成立50周年,Ansys于近期推出全新“仿真的藝術”圖片作品大賽,讓您有機會充分發揮自身超強的建模能力,開展巧奪天工的設計,并展示您精彩的作品。歡迎提交采用Ansys仿真解決方案制作的設計作品,可選擇的參賽仿真設計主題有16類,涵蓋主要物理領域和新興技術。
『或點擊此處進入報名通道』
展開 功能更新丨HyperMesh:被動安全報告管理器ASRM 2024.1,助力汽車安全開發效率再升級
<p>Altair被動安全報告管理器(Altair Safety Report Manager, ASRM)2024.1版本目前已經正式發布。這個版本通過高度自動化的報告生成能力、廣泛的法規支持及新增模塊功能,為汽車碰撞安全分析與合規驗證提供了一站式解決方案,顯著提升開發效率與決策速度。</p><p><br></p><p><strong>核心功能亮點有哪些?</strong></p><p><br></p><p><strong>1、全流程自動化報告生成</strong></p><p><br></p><p>ASRM支持從數據輸入到PPT/HTML報告生成的全自動化流程,覆蓋模型信息、仿真質量統計、乘員保護要求、結構評估等關鍵內容。用戶可根據需求自定義模塊組合,快速生成符合全球主流安全法規的“第一眼報告”(First Sight Report),減少人工操作誤差,縮短開發周期。</p><p><img src="https://mmbiz.qpic.cn/mmbiz_png/x0yLiaf5fF6yibYKGX2Id7WI7ibFMwjVzOibdiayj000JMTUDkrxbagVAAxR8PdNyCso91EWpaicg1ibrpxveicXddh3Wg/640?wx_fmt=png&from=appmsg"></p><p><br></p><p><strong>2、多場景法規全覆蓋</strong></p><p><br></p><ul><li><strong>碰撞類型</strong>:支持前碰、側碰、后碰及座椅碰撞等多種場景。
展開 如何理解預期功能安全
當前汽車行業熱度非常高的三個標準為預期功能安全ISO21448,功能安全ISO26262和網絡安全ISO21434,其中預期功能安全對于系統開發者來說比較陌生,容易將它與功能安全混為一談,預期功能安全要解決的問題是什么,為什么要在功能安全之外還要考慮預期功能安全,網上已經有很多的資料去講,本篇談談對預期功能安全概念的理解。
背景
Road vehicles - safety of the intended functionality SOTIF(道路車輛 預期功能安全)標準在2019年1月作為公開技術規范發布(ISO/PAS 21448),正式版預計將于2022年發布,目前PAS版本共有29頁+23頁附件,重點關注SAE自動化level 1和level 2駕駛輔助功能。
這個規范用于降低由于系統的預期功能不足(設計不足或性能局限)或可預見的人員誤操作導致的不可接受風險,這也是預期功能安全概念的定義,適用的電子系統為安全功能受外部環境影響的功能,來自于傳感器和處理算法,典型的有AEB自動緊急制動系統、車道保持系統等高級駕駛輔助系統。
預期功能安全概念
功能安全在于解決系統內的隨機失效和系統性失效引起的危害,造成安全事故,包括硬件故障、軟件故障,而系統功能正常時出現的危害不在功能安全考慮的范圍內,由于使用傳感器或算法的性能限制,駕駛人員對系統的誤操作,SOTIF規范的推出旨在解決這一類問題。下圖來自中國汽車標準化技術委員會在2020年發布的《預期功能安全國際標準ISO21448及中國實踐白皮書》,用于說明功能安全與預期功能安全概念的區別。
展開 詳解功能安全概念階段
派生的過程中,功能安全需求獨立于系統的技術架構,還要給功能安全需求分配唯一的ID,當前狀態及對應ASIL等級屬性。下面是一個表格形式的功能安全需求的例子:
1.7 功能安全概念(Functional Safety Concept)
功能安全概念(Functional Safety Concept)是Part 3的最后一個活動。雖然在產品開發尚未進入系統設計階段(Part 4),但此時需要假設一個系統架構(System Architectural Design),因為功能安全概念需要在整車的架構上實現。功能安全概念階段需要描述必要的功能安全需求,并分配這些安全需求到系統的功能要素(Element)上。在ISO 26262中,功能安全概念階段要求達成以下目標:
指定與相關項安全目標相符功能行為(Functional Behavior)或者降級的功能行為(Degraded Functional Behavior)。系統功能的降級是指如果由于故障不能正確的運行,需要系統工作在一個功能或性能受限的狀態。一般系統降級要設計降級的策略,如近光燈系統,降級策略要求至少有一個燈可以工作。
根據安全目標,指定針對合適的手段及時檢測和控制相關的故障的限制條件
在相關項的層面上,設計策略或者措施用來達成要求的容錯能力,或者基于相關項本身、駕駛員或者外部措施以減輕相關故障造成的影響
分配功能安全需求到系統架構或者外部措施上
驗證功能安全概念并指定功能安全確認標準,這里的驗證是指對設計過程的驗證(Verification),主要是檢查設計過程的正確性。
2 功能安全概念階段相關技術
為保障功能安全概念階段的活動能夠正確實施,對應每個活動都有一系列的實施方法。本節對涉及到的一些重要技術手段進行介紹。
展開 