随着现代汽车中电子/电气系统的广泛应用,对于汽车电子系统的功能安全性也提出了更高的要求。为了确保这一安全性,国际标准化组织(ISO)基于IEC 61508发布了ISO 26262标准,目的是确保现代汽车中使用的电子/电气系统在整个生命周期内满足功能安全的要求,降低车辆电子/电气系统引发的潜在危险和风险,提高道路上的汽车安全性。
汽车功能安全是一个非常大的话题,本文作为开篇,主要聊聊以下几个比较基础的问题:
什么是功能安全?它能起到什么作用?
汽车功能安全标准ISO 26262的框架和特点。
实施功能安全开发的必要性在哪里?
功能安全认证的特点。
什么是功能安全?它能起到什么作用?
功能安全在ISO 26262中的解释为:不存在由电气/电子系统的功能异常表现引起的危害而导致不合理的风险。这里我们可以简单的把功能安全的概念划分为两个层面:
避免故障(电气/电子系统的功能异常表现)发生;
当故障发生时保障安全,即避免人身伤亡。
因为我们所在的世界,人和物都无法做到完美无缺。汽车开发工程师在汽车电子/电气系统开发中,包括软件和硬件,不可避免地存在人为疏忽或错误,这就会引起系统功能的失效(系统性失效)。而诸如控制器、传感器、执行器这样的硬件,由于自身老化,外部环境因素等也会引发功能失效(硬件随机失效)。从这里我们可以认识到,故障可以避免,故障难以完全避免。但即使故障发生,依然可以做些什么来避免伤亡。
因此功能安全的开发在质量管理体系的基础上,对流程和方法做了更加具体和严谨的约束,以尽可能降低人为结构性的系统性失效。针对硬件随机失效,进行概率化度量,用安全机制尽可能降低随机硬件失效,并在故障发生时导入安全状态,避免对人身、财产造成伤害。
汽车功能安全标准ISO 26262的框架和特点
从上图来看,整个ISO 26262标准分为12个部分,其中的核心为第2部分到第9部分:
第1部分是专有名词的解释,可以将其理解为一本解读标准的字典;
第2部分和第8部分给出了功能安全开发过程中在管理和支持方面的要求;
第3部分提供了整车和相关项层面确定产品定义,安全目标、ASIL等级的要求和方法,以形成功能安全概念;
第4部分到第6部分确立了功能安全产品的开发模型——V模型。对从需求到设计再到验证的整个开发过程进行了规范;
第9部分对功能安全开发的重要环节——安全分析提出了要求。注意,这里的要求在落地时仍需要借鉴其它成熟的方法,仅仅关注ISO 26262本身是不够的;
第10和11部分是实施指南,其中包括大量概念的深度解读和示例,是让功能安全体系落地并顺利展开的有力帮助;
第12部分专门针对摩托车企业。
ISO 26262有部分方法论的特点,既有抽象的方面又有具体的内容。
说它具体,是因为标准给出了明确的工作产出物,部分产出物的内容要求非常具体,与ASPICE过程参考模型相比要细致很多。
说它抽象,是因为除了大体上的流程方法,标准对具体的操作和实施没有给出明确的答案,导致不同开发商对功能安全理解也不近相同,很多人甚至认为功能安全开发难以落地。但在我们秒尼科的专业解读和指引下,功能安全开发体系从无到有从建立到应用将不再是难以逾越的鸿沟。