什么是功能安全?
目前汽车电子的现状和趋势:
汽车的功能越来越多,而且很多功能是基于软件来实现的,较为复杂
由系统故障和硬件故障导致的风险越来越大
汽车很多新的功能是与安全相关的
传统汽车,司机的动作是机械传递的,而且只有基本的功能,如行驶、制动、停车、转向等。现在,司机的动作则转化为信号,该信号会被处理转化,然后通过线束传递给设备,信号再被转化为力,用于控制车辆。
安全当然是最重要的,但由于技术、成本等原因,不可能有100%的安全,所以危险的风险,我们应考虑“可接受的风险”。
功能安全是通过增加一些功能措施,确保安全达到可接受的水平。功能措施(安全性功能)需要评估,而且要定量评估。
在ISO 26262标准中,功能安全的定义是:不存在由电子电气系统的功能异常表现引起的危害而导致不合理的风险。如果是安全相关的功能,是由电气/电子/可编程电子系统。它的中心思想是将风险减小到可接受的水平。ISO 26262仅关注由电子电气系统导致的危险的风险,由机械系统导致的危险风险不在该标准范围之内。
ISO 26262是汽车功能安全标准,它只关注不超过3.5吨的乘用车。2018版标准增加了商用车和摩托车。主要的内容有以下几点:
为了将电子控制系统导致的风险降低到可接受水平,在研发的每一个阶段应考虑什么?
风险和降低风险的清楚定义>例如,风险分析和措施的定量评估
整个公司的组织架构和管理系统要支持功能安全的实现>例如,功能安全组织架构,V-V开发模式
法规和标准的分析:要分析强制性法规和行业法规,并在产品研发过程中考虑法规符合性。
2.功能安全管理和过程
成立功能全管理系统,制作功能安全手册,功能安全计划,工作守则,培训等文件。另外要成立功能安全组织,要任命功能安全经理和评审员,负责监督功能安全的实现。
工作的产品:要保留做决定的各种文件和凭证,以便证明安全的历史可以追溯。要编制相关文件和数据用于解释产品的功能安全,要从产品研发的各个阶段进行分析,并制定计划推进,这些是产品的关键要求。
3.概念阶段
如何处理风险?首先,要分析驾驶的情况并调查风险;其次,将风险分类,例如严重程度,发生的可能性和可控性等方面分类;然后,定义ASIL(汽车安全完整性等级)等级,再定义安全目标;最后进行危害分析和风险评估评审。
危害和风险分析:参数S(严重性)
危害和风险分析:参数E(可能性)
危害和风险分析:参数C(可控性)
危害和风险分析:风险
将ASIL分配到每个危险事件,如果是QM, ISO 26262不适用,ASIL D是最高级别。
ASIL级别,风险必须是整车的风险,所以ASIL级别必须由整车制造商来定义。如果ASIL等级很高,风险(受伤或死亡)的可能性则很高,那么就要求有严格的应对措施。
