中國汽車工程師之家


中國汽車工程師之家--聚集了汽車行業80%專業人士 

論壇口號:知無不言,言無不盡!QQ:542334618 

本站手機訪問:直接在瀏覽器中輸入本站域名即可 

您當前所在位置: 汽車電子 > 查看內容

汽車電子功能安全技術和標準概覽

文章作者頭像
發布:liuxianglong 來源: 牛喀網
PostTime:1-2-2020 11:01
為了提高電子電氣控制器的安全性能,制定一套可行的安全技術標準迫在眉睫,經過業內專家的積極參與,國際電工委員會

以下為文章全文:(本站微信公共賬號:cartech8)


汽車零部件采購、銷售通信錄       填寫你的培訓需求,我們幫你找      招募汽車專業培訓老師

為了提高電子電氣控制器的安全性能,制定一套可行的安全技術標準迫在眉睫,經過業內專家的積極參與,國際電工委員會(International Electrotechnical Commission-IEC)在 1998 年頒布了 IEC61508-功能安全標準。

1、歷史背景

功能安全ADAS系統功能安全培訓課程的概念首先起源于 20 世紀 60-70 年代的航空領域和核技術領域。到了 20 世紀 70-80 年代時,由于當時在世界范圍內,尤其是石油化工領域多次發生爆炸或污染

泄露事情。事故發生的主要原因是因為控制系統相關安全功能失效導致的,而造成功能失效的很重要的一點是由于電子/電氣/可編程控制器產品自身安全功能的不完善。

為了提高電子電氣控制器的安全性能,制定一套可行的安全技術標準迫在眉睫,經過業內專家的積極參與,國際電工委員會(International Electrotechnical Commission-IEC)在 1998 年頒布了 IEC61508-功能安全標準。

2、相關安全標準

IEC61508- 功能安全標準是很多行業通用的國際基礎安全標準,在不同領域得到了發展和應用。比如在過程控制行業的 IEC61511 標準,在核電領域的 IEC61513 標準。還有就是專門針對道路車輛功能安全的 ISO26262 標準。

ISO26262 是 IEC61508 標準在汽車行業中的具體應用,2009 年出版初稿,2011 年 11 月正式頒布。ISO26262 的核心價值在于,它可以通過系統的功能安全研發管理流程,以及針對汽車電子控制器系統/硬件/軟件的系統化驗證和確認方法,保證電子系統的安全功能在面對各種嚴酷條件時不失效,從而保證駕駛員和路人的安全。

ISO 26262 為汽車安全提供規范和推薦做法(如判定汽車安全完整性等級 ASIL),ADAS系統功能安全培訓課程貫穿了產品的整個生命周期(指管理-開發-生產-運行-服務-停運的全過程)。其框架如下:

如上圖所示,ISO26262 分為 10 個部分,分別是:

  • Part 1:定義,

  • Part 2:功能安全管理,

  • Part 3:概念階段,

  • Part 4:產品研發:系統級,

  • Part 5:產品研發:硬件級

  • Part 6:產品研發:軟件級,

  • Part 7:生產和操作,

  • Part 8:支持過程,

  • Part 9:基于ASIL 安全和導向分析,

  • Part 10:ISO26262 導則。

從技術上來說,隨著汽車技術的發展,車載電子控制器的數量日益增多,比如某些豪車上有上百個控制器,幾千個 can 信號,保證其安全的重要性不言而喻。

另外,從法律上來說,這也是必要的,如德國的相關法規還規定假如失效的產品達到了當前最新的技術是可以免責的。因此貫徹 ISO26262 的標準不僅可以提升安全性能和產品內在價值,也提升產品的競爭力。

3、功能安全的定義

3.1 本質安全與功能安全

為了了解功能安全的概念,先得熟悉下 和「本質安全」和「功能安全」的概念。

假如以鐵道的路口為例,比較一下基于兩種安全概念的避免路口事故的方法。這里避免路口事故就是安全目標,為了實現這個目標,可進行如下操作:

首先,如果把鐵道路口撤掉,直接改造成立交橋的形式,讓火車和汽車都走各自的路,這樣就不會發生人或者車輛橫穿鐵道口的事故了。像這樣,根據系統的特性把危險源直接除掉的方法是「本質安全」。

其次,假如我們在鐵道路口設置信號燈和道口自動欄桿,當火車來臨時前閃紅燈,同時將欄桿放下,避免行人或者車輛通過。像這樣通過欄桿的攔截功能及預警燈來抑制事故風險的技術叫做「功能安全」ADAS系統功能安全培訓課程。在這里信號燈和自動欄桿一種安全機制(Safety Mechanism)。理想的情況是不管什么場合都采用 「本質安全」,但事實上,在很多場合里,由于系統自身的原因,不可能把危險源除掉。特別是像車載電控系統這樣非常復雜的電子化系統,以上所述的本質安全很難被實現和應用。因此我們只能采用功能安全,它的目的就是在本質安全無法達到時,盡可能的通過增加安全機制去提高安全等級,實現安全目標。

3.2 電子控制器的功能安全

對于汽車而言,可將汽車看成一個「機器人」,駕駛員給這個「機器人」發送信號,比如踩踏板加油,汽車收到命令然后執行:電噴系統增加噴油,發動機輸出扭矩增加,實現車輛加速。

對于傳統汽車而言,它的結構簡單,且大多數命令都是通過機械方式來實現的,如老式汽車的機械式節氣門等,其失效的可預見性大;而現在汽車,其電子電氣化增強,駕駛員的指令會先轉換成相關信號,然后這些信號傳遞給控制器的處理芯片,然后最終驅動相關的執行器來執行,其失效的可預見性大大降低。

正因為現代汽車隨著電子電氣化的程度越來越高,其整車的安全性很大程度就取決于電子控制器的安全性,比如發動機控制器 ECU,變速箱控制器 TCU,車輛穩定性控制器 ESP 等等。而且電子控制器失效的可預見性非常低,比如芯片/電路受外界干擾等,這很難預料什么情況會出問題。 因此必須考慮電子控制器失效了會怎么辦的問題。

3。3 功能安全考慮的角度

針對電子控制器失效了怎么辦這個問題,首先得確定一個角度。比如極端高溫情況下的 ECU 自燃,爆炸等這種系統本身帶來的風險,這種風險不在功能安全的考慮范圍內。

從產品安全的角度來說,可將其安全分為傳統安全以及由電子/電氣功能安全,傳統安全包括:與觸電、火災、煙霧、熱、輻射、毒性、易燃性、反應性、腐蝕性、能量釋放等相關的危害和類似的危害,除非危害是直接由電子電氣安全相關系統的故障行為而引起的。傳統安全不在功能安全的考慮范圍之內。ADAS系統功能安全培訓課程

根據國際上知名的安全協會的定義,比如英國的 MISARA(The Motor Industry Software Reliability Association 汽車工業軟件可靠性協會),比如德國的德國 VDA 協會(VDA(Verband der Automobilindutrie)德國汽車工業協會)他們是從車輛可控性的角度對功能安全提出要求。而 IEC-61508 強調從人身安全(還可以考慮設備安全)角度提出需求。

因此從車輛可控性和人身安全兩個層面上考慮功能安全就有了著陸點。比如考慮是不是有非駕駛員期望的加速等,而非駕駛員期望的減速其實是降低了安全邊界,但車輛扔被駕駛員控制著。這就是為什么 ECU 不對相關控制器的減扭做監控的原因。

3.4 ISO26262中對功能安全的定義

ISO 26262 是專門用作提升汽車電子電氣產品功能安全的國際標準,它派生于電子、電氣及可編程器件功能安全基本標準 IEC61508。那 26262 是如下定義功能安全這個概念的:

English definition:absence of unreasonable risk due to hazards caused by malfunctioning behavior of E/E systems;

沒有由電子、電氣系統故障行為導致的危險所引起的不合理風險。

我們來分解下這段話:

A。沒有風險:absence of risk

B.沒有不合理風險:unreasonable

C.沒有由電子、電氣系統故障行為導致的危險所引起的不合理風險

其中的關鍵詞是不合理風險,什么是不合理風險呢,比如車輛行駛時安全氣囊蹦出來了,這是不合理風險,這是功能安全需要避免的問題。

總體來說,功能安全是指避免由系統功能性故障導致的不可接受的風險。它關注的是系統發生故障之后的行為,而不是系統的原有功能或性能。因此功能安全的目的就是當系統發生故障后,將系統進入安全的可控模式,避免對人身、財產造成傷害。

4、ASIL汽車安全完整性等級

4。1 危險事件的確定

對電子控制器 ECU 來說,引起失效主要是兩個方面:軟件和硬件。

軟件失效:比如沒有考慮分母可能為 0;變量公式定義錯誤,導致精度丟失;

硬件失效:如下圖所示可以分為傳感器失效;ECU 硬件失效(比如 CPU 或者 RAM/ROM 失效);執行器失效;

依據 ISO 26262 標準進行功能安全設計時,首先識別系統的功能,并分析其所有可能的功能故障(Malfunction)或失效,可采用的分析方法有 HAZOP,FMEA、頭腦風暴等。

功能故障在特定的駕駛場景下才會造成傷亡事件,比如近光燈系統,其中一個功能故障就是燈非預期熄滅,如果在漆黑的夜晚行駛在山路上,駕駛員看不清道路狀況,可能會掉入懸崖,造成車毀人亡;如果此功能故障發生在白天就不會產生任何的影響。

所以進行功能故障分析后,要進行情景分析,識別與此故障相關的駕駛情景,比如:高速公路超車、車庫停車等。分析駕駛情景建議從公路類型(國道,高速),路面情況,(濕滑、冰雪);車輛狀態(轉向、 超車、制動、加速等),環境條件(風雪雨塵、夜晚、隧道燈),人員情況(乘客、路人)等幾個方面去考慮。功能故障和駕駛場景的組合叫做危害事件(hazard event)。

危害事件確定后,根據三個因子——嚴重度(Severity)、暴露率(Exposure)和可控性(Controllability)評估危害事件的風險級別——也就是 ASIL 等級。

4.2 ASIL等級

ASIL 等級的定義是為了對失效后帶來的風險進行評估和量化以達到安全目標,其全稱是 Automotive Safety Integration Level-- 汽車安全完整性等級。這個概念來源于 IEC61508,其通過失效概率的方式定義了安全完整性等級(SIL)。但是在汽車界只有硬件隨機失效可以通過統計數字評估失效概率,軟件失效卻難以量化,因此 26262 根據汽車的特點定義了 ASIL。

如上節所述 ASIL 的評定,一般是在產品概念設計階段對系統進行危害分析和風險評估,識別出系統的危害,如果系統的安全風險越大,對應的安全要求級別就越高,其具有的ASIL的等級也越高。ASIL 分為 QM,A、B、C、D 五個等級,ASIL D 是最高的汽車安全完整性等級,對功能安全的要求最高。

4.3 危險分析和風險評定

對于汽車系統,特定危險的風險決定于以下三個因素:

A.危險事件所導致傷害或損失的潛在嚴重性 (Severity of failure, S)

B。指人員暴露在系統失效能夠造成危害的場景中的概率 OR 理解為危險事件可能發生的駕駛工況的可能性 (probability of exposure, 簡稱 E)

C。危險所涉及的駕駛員和其它交通人員通過及時的反應避免特定傷害或損失的能力 (controllability, 簡稱 C)

然后分別將嚴重性 S、可能性E和可控性 C 分成 4 個等級,如下表所示,其中 QM 代表與安全無關:

按照以上的劃分并進行組合相加得到 5 個 ASIL 等級(QM,A,B,C,D),原則是:

A. 基本可控 C0 的組合不考慮;

B. 無傷害 S0 的組合不考慮;

C。 其余組合相加等于 7 分為 ASIL A,等于 8 分為 ASIL B,等于 9 分為 ASIL C,等于 10 分為最高等級 ASIL D;ASIL A、B、C、D 都是與功能安全相關的(Safety Relevant Function)

D. 其余的得分安全評定為 QM,代表與安全無關的功能(Non Safety Relevant Function)

下面舉幾個例子進行說明:

EPB(Electrical Park Brake)電子手剎

以電子手剎的駐車功能為例,當駐車時,駕駛員通過按鈕或者其他方式觸發制動請求,EPB 在汽車的后輪上施加制動力,以防止車非期望的滑行。該系統的危害有非期望的制動失效,非期望的制動啟動。相同的危害在不同場景下風險也是不一樣的,因此也要對不同場景進行分析。分析如下表所示:

得出了 EPB 系統的安全目標為:防止非期望的制動,ASIL 等級為 D

根據上面的分析,不難得出其它例子的 ASIL 等級,比如:

4.4 功能安全目標的分解

通過上危害分析和風險評估,我們得出系統或功能的安全目標和相應的 ASIL 等級,當 ASIL 等級確定之后,就需要對每個評定的風險確定安全目標,安全目標是最高級別的安全需求。安全目標確定以后就需要在系統設計,硬件,軟件等方面進行設計和實施,驗證。

從安全目標可以推導出開發階段的安全需求,安全需求繼承安全目標的 ASIL 等級。如果一個安全需求分解為兩個冗余的安全需求,那么原來的安全需求的 ASIL 等級可以分解到兩個冗余的安全需求上。因為只有當兩個安全需求同時不滿足時,才導致系統的失效,所以冗余安全需求的 ASIL 等級可以比原始的安全需求的 ASIL 等級低。ISO 26262 標準的第 9 章給出了 ASIL 分解的原則。ISO 26262 中提出了在滿足安全目標的前提下降低 ASIL 等級的方法——ASIL 分解,這樣可以解決上述開發中的難點。

ASIL 分解的一個最重要的要求就是獨立性,如果不能滿足獨立性要求的話,冗余單元要按照原來的 ASIL 等級開發。所謂的獨立性就冗余單元之間不應發生從屬失效(Dependent Failure),從屬失效分為共因失效(Common Cause Failure)和級聯失效(Cascading Failure)兩種。共因失效是指兩個單元因為共同的原因失效,比如軟件復制冗余,冗余單元會因為同一個軟件 bug 導致兩者都失效,為了避免該共因失效,我們采用多種軟件設計方法。級聯失效是指一個單元失效導致另一個單元的失效,比如一個軟件組件的功能出現故障,寫入另一個軟件組件 RAM 中,導致另一個軟件組件的功能失效。

具體降解的方法如下所示,比如應按照下列之一對一個 ASIL D 的要求進行分解:

1) 一個 ASIL C(D) 的要求和一個 ASIL A(D) 的要求;

2) 一個 ASIL B(D) 的要求和一個 ASIL B(D) 的要求;

3) 一個 ASIL D(D) 的要求和一個 QM(D) 的要求,

其它 ASIL 等級分解可如下圖所示:


[文章糾錯]

文章網友提供,僅供學習參考,版權為原作者所有,如侵犯到

你的權益請聯系qchjl_admin@126。com,我們會及時處理。

會員評價:

0 發表評論

|小黑屋|手機版|Archiver|汽車工程師之家★汽車技術交流學習網★車輛設計論壇 ( )

GMT+8, 7-4-2020 23:52 , Processed in 0.152663 second(s), 23 queries .

Powered by X3.2

© 2001-2013

竞技竞猜下注 太阳城sunbet申博 PT老虎机 澳门网上葡京真人 幸运老虎机