道路车辆功能安全等级评估流程和软件功能安全要求_工程院

道路车辆功能安全等级评估流程 和软件功能安全要求 李艳文 中国汽车技术研究中心 汽车工程研究院 Self introduction 中国汽车技术研究中心汽车工程研究院功能安 全评估经理、汽车电子主任工程师； 有6年从事汽车电子和功能安全相关的研究、 设计和测试经验，9年从事电控产品软硬件开 发及CAN总线设计测试经验； 获得TV 南德IEC61508功能安全FSP证书和TV 莱茵 ISO26262道路车辆功能安全FSE证书； 参与了ISO26262标准的国标申报，致力于功能 安全标准的研究和评估测试工作。 道路车辆功能安全等级评估流程道路车辆功能安全等级评估流程 和软件功能安全要求和软件功能安全要求 ISO26262 李艳文李艳文 2012.09.062012.09.06 中国汽车技术研究中心中国汽车技术研究中心 汽车工程研究院汽车工程研究院 主要内容 ISO26262ISO26262标准介绍标准介绍 ISO26262标准软件功能安全要求 车载电控模块功能安全分析举例 中汽中心工程院功能安全评估业务介绍 中国汽车技术研究中心汽车工程研究院 ISO26262标准介绍 ? ISO26262标准概述 ? ISO26262标准产生的背景 ? ISO26262标准内容简介 中国汽车技术研究中心汽车工程研究院 ISO26262标准概述 汽车产业是一个不允许系统失效发生的产业，在 国外，一旦发生失效，汽车厂商将面临官司赔偿与商 誉受损的巨大风险，为了防止系统失效的发生，必须 有一套严谨且可靠的开发流程来让系统开发工程师依 循，因此车辆领域的专家即开始着手发展车辆领域的 功能安全标准，ISO26262道路车辆功能安全标准在 这样的环境与需求下应运而生。 中国汽车技术研究中心汽车工程研究院 ISO26262标准概述 本标准主要来源于IEC61508标准，并着重于车 辆电子/电机系统的功能安全，ISO26262标准的 适用范围为所有3.5吨以下客车（Passenger Cars）上所搭载之电子/电机系统。标准的执行， 将减少因为电子器件失效造成的交通事故和降低潜 在召回风险，所以目前国际大型车企非常重视 ISO26262标准的应用和推广。 中国汽车技术研究中心汽车工程研究院 ISO26262标准概述 为避免实施本标准对车辆产业所造成的冲击， 目前全球的OEM厂商、一级零部件厂商、车用芯 片商、开发工具商皆已开始着手于其产品开发过程 中导入ISO26262标准，或使其软硬件开发工具产 品符合ISO26262标准的要求。 中国汽车技术研究中心汽车工程研究院 ISO26262标准产生的背景 ? 汽车中的功能风险 ? 意外的加减速 ? 意外的加减速损失 ? 意外的转向 ? 降低风险的措施 ? 设计措施 ? 组织措施 ? 安全监控措施 中国汽车技术研究中心汽车工程研究院 ISO26262标准产生的背景 ? 安全，规章，产品责任 ?功能安全问题导致昂贵的召回： 2010年丰田公司由于油门踏板故障召回数百万辆汽车。 2010年丰田公司由于潜在断裂问题召回超过300,000辆普 锐斯。 2010年日产公司由于制动问题和燃油表问题召回超过 500,000辆汽车。 2009年奥迪公司由于传输控制问题召回超过10,000辆汽车 。 ?这些严重的召回事件都与基于电子控制系统失效有关。 中国汽车技术研究中心汽车工程研究院 ISO26262标准产生的背景 ? 汽车中的功能安全举例 ? 汽车电子系统中增长的软件部分 ? 功能安全相关的汽车电子零部件 自适应前灯（Adaptivefrontlight） 防抱死制动系统（Anti-lockingbraking system） 车辆稳定性控制（Vehiclestabilitycontrol） 牵引力控制（Tractioncontrol） 电子制动力分配（Electronicbrakeforce distribution） 紧急刹车辅助（Emergencybrakeassist） 防止碰撞 （Collisionprevention） 车道偏离警告系统（Lanedeparture warningsystem） 自适应动力转向（Adaptivepowersteering） 辅助停车（Parkingassistant） 自适应悬架控制（Adaptivesuspension control） 电子制动系统（Electronicbrakesystem） 安全带预张紧（Seat-beltpre-tensioning） 安全气囊（Airbags） 驾驶员睡意检测（Driverdrowsinessdetection） 驾驶监测系统 （Drivermonitoringsystem） 自适应远光灯辅助（Adaptivehighbeam（lights） assistant） 自适应巡航控制系统（Adaptivecruisecontrol） 自主巡航控制（Autonomouscruisecontrol） 轮胎压力监测系统（Tirepressuremonitoringsystem） 自动前灯的高度调整（Automaticfrontlightheight adjustment） 中国汽车技术研究中心汽车工程研究院 ISO26262标准产生的背景 ? ISO26262 和 IEC61508标准 ? IEC61508是一项用于工业领域的国际标准，其名称是电气/电子/可 编程电子安全相关系统的功能安全，是一个基本的功能安全标准应用 于各种工业行业。 ? ISO26262是道路车辆功能安全标准，由IEC61508演变而来适合汽车行 业的功能安全标准。 中国汽车技术研究中心汽车工程研究院 ISO26262标准内容简介 ? ISO26262标准的重要性 ?ISO26262于2011年11月成为正式的ISO标准，欧盟 ECE法规和产品责任法对ISO26262标准都有相关的指向 和要求，未来ISO26262标准对汽车行业的影响程度将 会大大加强。 ?ISO26262标准可以使供应商清楚定义项目开发流程与 功能安全相关的系统/硬件/软件应共同遵循的目标，基 于ISO26262标准的应用，有利于国内电控零部件达到 国际上汽车行业的功能安全要求。 中国汽车技术研究中心汽车工程研究院 ISO26262标准内容简介 ? 功能安全管理与质量管理 ?功能安全管理涉及到了技术要求，通过对系统 /软件/硬件的各部分要求，实现产品的功能安 全目标。 ?质量管理是针对产品批量生产阶段的要求，功 能安全着重于单个产品从开发到成熟过程的要 求。 中国汽车技术研究中心汽车工程研究院 ISO26262标准内容简介 ? ISO26262标准的适用范围 ?汽车行业开发商 整车开发商：所有3.5吨以下客车（PassengerCars）。 安全相关的车辆电机与电子系统开发商：如动力控制系统 安全相关的车辆电子零部件开发商：如电子控制器、电机、 电池模块 安全相关的车辆电子组件开发商：如微控制器、软件模块 ?车辆功能安全相关的不同项目人员 公司管理层：公司产品主管、研发主管、质量主管 项目管理者：项目经理、产品经理 相关研发人员：系统工程师、软/硬件工程师、质量工程师 相关业务人员 中国汽车技术研究中心汽车工程研究院 ISO26262标准内容简介 ? ISO26262标准文档内容架构 ISO26262标准共分为十个部分： 第一部分：词汇表 第二部分：功能安全管理 第三部分：概念阶段 第四部分：产品开发：系统层 第五部分：产品开发：硬件层 第六部分：产品开发：软件层 第七部分：产品和操作 第八部分：支持过程 第九部分：汽车安全完整性等级 导向和安全导向分析 第十部分：指南 中国汽车技术研究中心汽车工程研究院 标准第一部分：词汇表 ?功能安全 内在安全 完全避免危险的根源 功能安全 通过安全措施确保达到一定 的安全水平 中国汽车技术研究中心汽车工程研究院 标准第一部分：词汇表 ?安全（Safety）：不存在不可接受的风险； ?风险（Risk）：出现伤害的概率和该伤害严重性的组合； ?伤害（Damage）：由于对财产或环境的破坏而导致的直接或间接 对人体健康或人身的损伤（死亡）； ?车辆安全完整性等级（ASIL）：描述了风险降低的等级，D-安全等 级最高，A-安全等级最低； ?工作产品和文档： ? 标准的每一部分都定义和要求了需要提供的文档，称为工作产品； ? 支持进程中定义的工作产品表现形式为文档； ? 文档用于保证可追溯性和可再生产性，对汽车电子功能安全产品是 必须的。 中国汽车技术研究中心汽车工程研究院 标准第二部分：功能安全管理 ? 目的 ?减少人为错误的发生率； ?减少系统故障的残余风险； ?机构化设计控制； ?可持续发展的质量和安全监控； ?可追溯性； ?可再生产性； ?通过失效预防减少失效成本。 ? 整体功能安全管理 ?产品开发阶段的功能安全管理； ?产品发布后的功能安全管理。 ? 项目经理负责执行功能安全管理 ?公司安全经理、部门安全经理、项目安全经理。 中国汽车技术研究中心汽车工程研究院 标准第三部分：概念阶段 ? 项目定义 ? 定义和描述项目； ? 提供对项目的充分理解，以便使得安全生命周期中定义的每一项活 动可以执行。 ? 安全生命周期启动 ? 对新的开发和之前已存在项目的修改做出区别； ? 定义将要执行的安全生命周期活动 。 ? 危险分析和风险评估 ? 对项目的危害识别并进行分类，制定相关安全目标来预防或减轻这 些危险，避免不合理的风险。 ? 功能安全概念 ? 为了引出功能安全的要求，将安全目标分配给项目初级架构元素或 外部降低风险的措施，以确保所要求的功能安全。 中国汽车技术研究中心汽车工程研究院 标准第四部分：产品开发-系统级 ? 系统级产品开发的启动 ? 技术安全要求中的规格 ? 系统设计 ? 项目集成和测试 ? 安全验证 ? 功能安全评估 ? 产品发布 中国汽车技术研究中心汽车工程研究院 标准第五部分：产品开发-硬件级 ? 硬件产品开发的启动 ? 硬件安全规格的要求 ? 硬件设计 ? 硬件架构指标 ? 对由于硬件随机失效引起的违反安全目 标进行评估 ? 硬件集成和测试 中国汽车技术研究中心汽车工程研究院 标准第六部分：产品开发-软件级 ? 软件级产品开发的启动 ? 软件安全要求的规格 ? 软件架构设计 ? 软件单元设计与执行 ? 软件单元测试 ? 软件集成和测试 ? 软件安全要求的验证 中国汽车技术研究中心汽车工程研究院 标准第七部分：生产和运营 ? 生产 ? 建立一个安全相关产品的生产计划； ? 通过相关产品制造商或主管生产过程的人或组织 来达到功能安全。 ? 操作、维护和废弃 ? 为了维持车辆操作期间的功能安全，定义了安全 相关产品的维护、客户信息和维修指南的范围； ? 提供拆卸前涉及的有关安全的活动要求。 中国汽车技术研究中心汽车工程研究院 标准第八部分：支持过程 ? 分布式开发接口 ? 安全管理和安全规格要求 ? 配置管理 ? 变更管理 ? 验证 ? 文档 ? 软件工具资质 ? 软件组件资质 ? 硬件组件资质 ? 以证明可用论据 中国汽车技术研究中心汽车工程研究院 标准第九部分：汽车安全完整性等级导向和安全导向分析 ? ASIL等级分解要求 ? 提供安全要求分解的规则和指南，得到ASIL下一等级的细节剪裁。 ? 元素共存标准 ? 提供元素间共存条件： 安全相关的子元素和非安全相关的子元素; 分配给安全相关的子元素以不同的ASIL要求。 ? 相关失效分析 ? 确定任何单一事件或单一的原因，他们导致项目元素间的独立性无效 ，项目元素要求要遵守它的安全目标。 ? 安全分析 ? 检查故障和失效对产品和元件的功能、特性和设计的影响。安全分析 还提供哪些导致违背安全目标或安全要求条件和原因的信息。此外， 安全分析还有助于确定那些在危害分析和风险评估阶段从未考虑到的 新的功能或非功能危害。 中国汽车技术研究中心汽车工程研究院 ISO26262标准介绍 ISO26262ISO26262标准软件功能安全要求标准软件功能安全要求 车载电控模块功能安全分析举例 中汽中心工程院功能安全评估业务介绍 中国汽车技术研究中心汽车工程研究院 ISO26262标准软件功能安全要求 软件在安全生命周期中的位置 中国汽车技术研究中心汽车工程研究院 ISO26262标准软件功能安全要求 ISO26262-6产品开发软件层要求 中国汽车技术研究中心汽车工程研究院 ISO26262标准软件功能安全要求 软件开发流程规范 ? SPICE Software Process Improvement and Capability Determination 软件过程改进和能力测试 ? CMMI Capability Maturity Model Integration 能力成熟度模型 ? ISO26262 集成了SPICE和CMMI的一些内容，增加了安全相关的规定 中国汽车技术研究中心汽车工程研究院 ISO26262标准软件功能安全要求 产品开发软件层启动 ?目的 ?计划和启动该子阶段的功能安全活动 ?输入 ?将用到以下信息： 总体项目计划（精确的） 安全计划（精确的） 项目集成和测试计划（精确的） 技术安全概念 系统测试规范 ?进一步支持信息： 建模和编程语言的设计和编码指南 （来自外部资料） 方法应用指南、工具应用指南（来自外部资料） 可利用的合格软件组件 ?工作产品 ?安全规划（精确的） ?软件验证计划（精确的） ?建模和编程语言的设计和编码准则 ?软件工具应用准则 中国汽车技术研究中心汽车工程研究院 ISO26262标准软件功能安全要求 软件安全需求规范 ?目的 ?规定软件安全要求，它们来源于技术安全概念和系统设计规范。 ?细化ISO26262-4，第6条款提出的硬件-软件接口要求 ?验证软件安全要求与技术安全概念和系统设计规范的一致 ?输入 ?需要提供以下信息：技术安全概念、系统设计规范、安全计划（精确 的）、硬件-软件接口规范、软件验证计划 ?进一步支持信息：硬件设计规范、建模和编程语言的设计和编码指南 、软件工具应用指南、方法应用指南 （来自外部资料） 、可用的合 格软件组件 ?工作产品 ?软件安全要求规范， ?硬件-软件接口规范（精确的）， ?软件验证计划（精确的）， ?软件验证报告。 中国汽车技术研究中心汽车工程研究院 ISO26262标准软件功能安全要求 软件架构设计 ?目的 ?开发一种实现软件安全要求的软件架构设计。 ?验证软件架构设计。 ?输入 ?需要提供以下信息：软件安全要求规范、安全计划（精确的）、软件 验证计划（精确的）、软件验证报告（精确的） ?其他支持信息：技术安全概念、系统设计规范、建模和编程语言的设 计与编码指南、方法应用指南（来自外部资料）、软件工具应用指南 、可利用的合格的软件组件。 ?工作产品 ?软件架构设计规范， ?安全计划（精确的）， ?软件安全要求规范（精确的）， ?安全分析报告， ?相关联失效分析报告， ?软件验证报告（精确的） 中国汽车技术研究中心汽车工程研究院 ISO26262标准软件功能安全要求 软件单元设计和实现 ?目标 ?根据软件架构设计和相关软件安全要求规定软件单元； ?实现所规定的软件单元； ?验证软件单元设计和它们的实现。 ?输入 ?应提供以下信息：安全计划（精确的）、 软件验证计划（精确的） 、 软件架构设计规范、 软件安全要求规范（精确的）、 软件验证报 告（精确的）。 ?工作产品 ?软件单元设计规范， ?软件单元实现， ?软件验证报告。 中国汽车技术研究中心汽车工程研究院 ISO26262标准软件功能安全要求 软件单元测试 ? 目的 ?证明软件单元满足软件单元规范，且不包含非期望功能。 ? 输入 ?需提供到以下信息：安全计划（精确的）、软件验证计划（精 确的）、软件单元设计规范、 软件单元实现、软件验证报告（精确的） ?进一步支持信息：方法应用指南（从外部资源）、软件工具应 用指南、业已存在的软件组件（从外部资源） ?工作产品 ?软件验证计划（精确的） ?软件验证规范 ?软件验证报告 中国汽车技术研究中心汽车工程研究院 ISO26262标准软件功能安全要求 软件集成和测试 ?目的 ?集成软件组件; ?说明软件架构设计由嵌入式软件正确实现。 ?输入 ?应提供以下信息：安全计划（精确的）、软件验证计划（精确的）、软件 结构设计规范、软件单元实现、软件验证规范、软件验证报告（精确的） ?进一步支持信息：方法应用指南（来自外部资源）、软件工具应用指南 ?工作产品 ?软件验证计划（精确的）， ?软件验证规范（精确的）， ?嵌入式软件， ?软件验证规范 中国汽车技术研究中心汽车工程研究院 ISO26262标准软件功能安全要求 软件安全要求验证 ?目的 ?证明嵌入式软件满足软件安全的要求。 ?输入 ?应提供以下信息：安全计划（精确的）、软件验证计划（精确的）、 软件安全要求规范（精确的）、软件架构设计规范、软件验证规范（ 精确的）、软件验证报告（精确的）、集成测试报告（精确的） ?进一步支持信息：系统设计规范、技术安全概念、验证计划、方法应 用指南（来自外部资源）、 软件工具应用指南 ?工作产品 ?软件验证计划（精确的）， ?软件验证规范（精确的）， ?软件验证报告（精确的） 中国汽车技术研究中心汽车工程研究院 ISO26262标准介绍 ISO26262标准软件功能安全要求 车载电控模块功能安全目标举例车载电控模块功能安全目标举例 中汽中心工程院功能安全评估业务介绍 中国汽车技术研究中心汽车工程研究院 车载电控模块功能安全分析举例 安全相关的系统 安全相关系统的功能是用来减小风险并且达到/保持安 全状态; 安全功能总是针对一个安全回路而言，不是针对一个 设备或部件。 中国汽车技术研究中心汽车工程研究院 车载电控模块功能安全分析举例 ? 危害分析和风险评估 ?基于项目定义，确定项目的安全目标，避免不合理的风险； ?分析ASIL等级要考虑到如下因素：严重性、曝光率、可控性。 ? 在危害分析时，每个危险事件都应当确定一个安全目 标 ?安全目标是项目的最高级安全要求，安全目标不是项目的技术 解决方案，而是项目的功能目标； ?每个安全目标在ASIL中都有相应的危险性事件规定； ?如果有类似的安全目标规定，可以将这些安全目标组合成一个 安全目标，但是组合成的安全目标应该是每个安全目标中最高 的； ?如果安全目标可以通过转变到一某一特定的状态来实现，那么 针对每一个安全目标应该有一个要求来指定其安全状态，以实 现安全目标。安全状态如：关机，上锁，汽车停止等。 中国汽车技术研究中心汽车工程研究院 车载电控模块功能安全分析举例 ? 严重性（S）： ? 曝光率（E）： ? 可控性（C）： 中国汽车技术研究中心汽车工程研究院 级别S0S1S2S3 描述无伤害轻微的伤害严重和危及生命的伤 害（存活概率高） 危及生命伤害（存活概率 不确定），致命的伤害 级别E0E1E2E3E4 描述不可靠非常低的概率低概率中等概率非常高的概率 级别C0C1C2C3 描述总体可控简单可控一般可控难控制或不可控 车载电控模块功能安全分析举例 ASIL等级确定 中国汽车技术研究中心汽车工程研究院 车载电控模块功能安全分析举例 自动变速箱DCT电控模块功能安全目标分析 a) 防止发动机转矩意外增加 ?安全目标：当车辆起步或行进时，系统应防止由于发动机转矩 意外增加而导致的车辆非预期加速。 ?安全状态： 车速小于等于10km/h，应该使得发动机转矩的增加量（大于需 要的驱动力矩）=YYNm（等同于增加的加速度2m/s2）； 车速大于10km/h，应该使得发动机转矩的增加量（大于需要的 驱动力矩）=XXNm（等同于增加的加速度1m/s2）； ?ASIL等级分析：ASILB 中国汽车技术研究中心汽车工程研究院 ISO26262标准软件功能安全要求 ASIL分析 中国汽车技术研究中心汽车工程研究院 C1C2C3 S1 E1QMQMQM E2QMQMQM E3QMQMA E4QMAB S2 E1QMQMQM E2QMQMA E3QMAB E4ABC S3 E1QMQMA E2QMAB E3ABC E4BCD 车载电控模块功能安全分析举例 b) 防止车辆启动时错误的行驶方向； c) 防止车辆行进时系统转换为错误的行驶方向； d) 防止车辆意外起步； e) 防止车辆前进中系统意外的转为R档； f) 防止系统（双离合器）意外粘和； g) 防止系统在车辆以滑行模式行进过程中的非法降档 中国汽车技术研究中心汽车工程研究院 ISO26262标准介绍 ISO26262标准软件功能安全要求 车载电控模块功能安全分析举例 中汽中心工程院功能安全评估业务介绍中汽中心工程院功能安全评估业务介绍 中国汽车技术研究中心汽车工程研究院 中汽中心工程院功能安全评估业务介绍 中国汽车技术研究中心汽车工程研究院多年 来在进行道路车辆功能安全标准的研究和成果 转化方面做了大量工作，致力于成为汽车行业 认可的道路车辆功能安全权威评估机构。 中国汽车技术研究中心汽车工程研究院 中汽中心工程院功能安全评估业务介绍 ? 车辆功能安全评估流程介绍 车辆功能安全评估可分为五个阶段 ? 1、安全理念认可： 包括安全管理计划审核、验证与确认计划审核、功能/ 安全需求规格说明书审核、安全相关的文档体系评估 、产品生产质量管理文档评估、已采用的故障避免措 施评估。 ? 2、功能/基本安全试验： ?安全相关的EMC试验、环境试验、化学试验等； ?故障注入测试； ?FMEDA分析、安全相关的功能测试； 中国汽车技术研究中心汽车工程研究院 中汽中心工程院功能安全评估业务介绍 ? 功能安全评估流程 ? 3、硬件安全完整性分析与测试： 包括危险与风险分析、系统边界分析与安全要求分配 、系统模块级FMEA分析、模块内FMEDA（失效模式 、效果和诊断分析）、故障注入测试、系统建模与安 全参数计算。 ? 4、软件安全性分析与测试： 包括软件代码安全性分析、软件架构安全分析、软件 测试工作完善性分析、HIL咨询测试、项目开发工具 安全适用性分析。 ? 5、功能安全等级认定： 认定车载电控产品功能安全等级，出具车载电控产品 的安全完整性等级测评盖章报告。 中国汽车技术研究中心汽车工程研究院 中汽中心工程院功能安全评估业务介绍 ? 车辆功能安全评估设备资源 ? ISO26262专用分析系列工具 ? 整车和零部件EMC实验室 ? 环境测试实验室 ? 安全相关的功能测试设备 中国汽车技术研究中心汽车工程研究院 中汽中心工程院功能安全评估业务介绍 ISO26262专用分析系列工具 ? 基于ISO26262标准的合规性分析软件； ? FMEDA分析工具（包括硬件失效率计算）； ? FTA故障注入测试 ? 软件安全性分析 中国汽车技术研究中心汽车工程研究院 中汽中心工程院功能安全评估业务介绍 整车和零部件EMC实验室 ?整车抗扰性检测： ISO11451、ECER10 ?零部件传导及辐射发射