汽车功能安全基础介绍

1、功能安全具体定义什么是功能安全？为什么要做功能安全？在介绍什么是汽车功能安全之前，我认为有必要先说说什么是“功能安全”？在现代工业控制领域中，可编程电子硬件、软件系统的大量使用，大大提升了自动化程度。但由于设备设计中的缺失，以及开发制造中风险管理意识的不足，这些存在设计缺陷的产品大量流入相关行业的安全控制系统中，已经造成了人身安全、财产损失和环境危害等灾难频出。为此，世界各国历来对石化过程安全控制系统、电厂安全控制系统、核电安全控制系全领域的产品安全性设计技术非常重视，并且将电子、电气及可编程电子安全控制系统相关的安全技术发展为一套成熟的产品安全设计技术，即“功能安全”技术。欧美已经颁布了成套

2、的功能安全相关产品指令和设计标准，并深入到各个领域。比如：核电(EN61513)、工业装备及机器控制(EN62601,ENISO13849-1/2)和过程控制(EN61511)国际上，IEC形成的IEC61508，IEC61511等系列标准已经逐步成为各国家、行业广泛认可的基本功能安全标准，中国也仿效并形成了的相应国家标准，其他行业性功能安全标准也在参照并将逐步形成为国家行业性标准。汽车功能安全(ISO26262)就是由IEC61508改编而来的，它是针对道路车辆电子电气系统的特点所制定的功能安全标准。安全术语在功能安全领域，有一些常见术语，我们必须要理解其含义并能正确区分。在ISO26262

3、标准中，第一部分也是术语，主要对V模型中的术语及其定义进行阐述，其中大概有142个术语。以下是对其中在日常项目中比较常用的术语进行解释，方便大家可以快速的入门。危害：由于财产损失或环境破坏而直接或间接造成的人身伤害或健康损害危险：潜在的危害来源风险：潜在危害的概率和严重程度的组合缓解：采取措施避免/处理风险剩余风险：缓解后仍然存在的风险(无法缓解)可容许风险：基于当前社会价值观在特定环境下可接受的风当系统存在潜在风险，可以采取相应的缓解方法来避免或处理风险。通常情况下，风险是无法完全缓解的，无法被缓解的风险我们称之为残留风险。在当前的社会价值观和法规下，某些风险可被普罗大众所接受和容许，称之为

4、可容许风险。根据相关定义说明，安全的定义泛指于免于不可接受的风险。故障：可导致元件或产品失效的异常情况（类似于危险）错误：计算值、观察值或测量值或者条件与真实值、指定值或理论上正确的值或者条件之间的差异（风险表现）失效：元件无法再按要求执行某项功能故障、错误和失效三者之间存在相关联的关系，我们可以通过以下示例来直观的了解三者之间的相互关系：我们以一个电池充电器为示例。假定，用户代码存在故障，导致现有数据被重写的错误，这类错误可能导致数据被破坏的失效行为，同时，这种错误会导致数据破坏的结果，可能在某些情况下导致电池过热的情况没有被检测的错误,而最终导致电池爆炸的失效行为。【故障】r1故障导致现有

5、数据的重写【错误】数据损坏【失效】4榻坏的数据【故障】*厂r未检測到电池过热【错误】L.J厂r电池爆炸【失afllj这个事例表明，某些情况下，不同的故障和错误会导致不同的结果。什么是安全和特定功能安全？所有电子元件都可能失效，对于电气或者电子系统来说，导致故障的原因通常有两种，一个是系统性或设计缺陷影响，另一个是随机硬件失效影响。而功能安全的目的是检测到失效并作出响应，将风险降低到可接受水平，从而避免人员伤害。通常实现的方法有2点：一是使用稳健可靠的设计流程，将系统设计问题降到最低水平。二是检测随机硬件失效，并且在危险发生前，将系统置于安全状态。标准：关于IEC61508和ISO26262上一

6、节我们介绍了功能安全的定义，这一节我们来讲讲标准。文章开篇我们就提到过了IEC61508，以下我简单介绍一下IEC61508，重点还是会放在ISO26262上。IEC61508IEC61508是一项用于工业领域的国际标准，其名称是：电气/电子/可编成电子安全相关系统（E/E/EP或E/E/PES）的功能安全，由国际电工委员会在2000年发布，其目的是要建立一个可应用于各种工业领域的基本功能安全标准。IEC61508标准起源于工业程序控制领域，该标准涵盖了完整的安全生命周期。从IEC61508衍生出来各种行业相关的功能安全标准，例如ISO26262，是将IEC61508衍生到车辆的电机电子系统的

7、安全标准。而IEC60335或IEC60730是将IEC61508延伸到家用电气电子系统的安全标准。AutomotiveAviationMedicalMachinery寺RailwayAutomotiveAviationMedicalMachinery寺Railway今NuclearPower今ProcessIndustryHousehaldAppliancesFurnaces图2IEC61508与多种安全标准的关系在不同的功能安全标准中，安全等级的命名方式也有所不同。例如，IEC61508里使用了SIL1-4来定义由低到高的安全完整性等级，而ISO26262里面则采用了ASILA到D来定义安

8、全完整性等级，IEC60730则采用了A类到C类来定义安全完整性等级。IEC61508C2SIL等级1到斗ISO26262ISO26262T汽ASILAfljASILDIEC607MTinh1血吳到亡娄图3功能安全标准ISO26262什么是ISO26262?ISO26262由IEC61508改编而来，针对公路车辆电子电气系统的特点所制定的功能安全标准。其在2011年正式发布，并在2018年更新。第一版对车辆范围规定为3.5吨以下的乘用车，第二版则将卡车、摩托车等车辆也包括在内。ISO26262仅针对于安全相关电子电机系统，包含电机、电子与软件、零件，而不应用于非电子电机系统，例如机械、液压等。

9、ISO26262应用于由电气、电子与软件组件构成的安全相关系统的安全生命周期里的全部活动。ISO26262可解决ISO26262未解决批量生产中客车的E/E系统性能最大总重量达到3.5吨未解决特殊用途车辆的需求E/E系统故障可能引发的危险因冒烟、发热和可燃性等问题引发的危险ISO26262的具体内容是什么？ISO26262里面的安全生命周期主要包含三个阶段：概念阶段、产品开发阶段、产品生产和运作阶段。具体内容内容包括：Part1:定义术语Part2:功能安全管理Part3:概念阶段Part4:产品开发：系统层面Part5:产品开发：硬件层面Part6:产品开发：软件层面Part7：生产、运行、

10、服务和报废Part8:支持过程Part9:基于ASIL和安全的分析Part10:ISO26262导则Part11:半导体应用指南Part1是定义标准中使用的术语的词汇表。Part2中的功能安全管理定义了涉及安全相关系统开发的组织和人员应满足的要求。在Part3概念阶段，ISO26262给出去了灾害分析和风险评估的要求。主要做三件事:项目定义、安全生命周期初始化、灾害分析和风险评估。在Part3中获得的安全需求，将在技术安全中详细说明，并分解在Part4系统层面的安全设计中。然后，根据硬件和软件层面的开发安全要求（Part5和6）进行系统集成，最后对系统级功能安全进行测试验证。在开发阶段，完成系

11、统级产品设计后，将技术安全需求规范分解到相应的软硬件技术安全需求规范里，进而开展软硬件级产品设计，而在硬件层面（Part5），必要的活动和产品开发过程包括技术安全概念的硬件实现、潜在的硬件故障及影响分析、与软件开发的协调。在Part6的软件层面开发中，通过V字模型流程，遵循技术安全概念，实施软件安全要求的导出、软件架构设计、软件单体设计和细化。并在此基础上实施编码，完成编码后，进行软件单元测试，软件集成（模块组合）和集成测试，以及软件安全要求的验证。Part7规定了直到废弃前的批量生产、服务、市场监管的安全要求。Part8规定了对供应商的开发委托要求，所要支持的系统过程（安全要求的管理、配置管

12、理、变更管理、验证、书面化），以及软件工具认证、软件组件认证、硬件组件规定与认证有关的要求，对多个过程进行横向参与。Part9提供了关于ASIL认定和技术分析方法的指导，并且与第8部分一样，涉及多个流程。Part10是作为Partl9的补充，对特定项目的解说及事例的指南。尽管对于Part5对于硬件层面已经有相关说明，但是关于半导体层面的要求还是有限的。因此，Part11针对半导体技术应用，提供了相应的指导，（3）系统级开发过程基于V模型的开发流程：nn2represeiatsISO6_LVikrjibuljr1|s-SiXlT-ill工-4dspcnriwii-阿“tI-TSjrynwuRem

13、MprodUnjXn,?f4：rK4.wni7jndJ-Concrptpihinirhi111H店iaI蓟i.PrCMiucLdCYLlDpuicnSi*L1.hespicmIcvdmlldMlNbQfKFilQ口Ojservicend12allvn就1呂讯斜forWHrfcHcycIcsl-SIrp-:Im卫注疋jfb-n中Eurqfrk血白SdEcyTiQuirfe|2-7lkmdff=d：aim=vjTyrnt.IIi.11iJ；.-.-I.=IZ-Yrlidh!ir.iesra&jiWjnd:-i:.7略rnlurlL!：!H,SvpponlnproccsM?4i-7sblrmiiid

14、fcrmrrpiJi*aiJCcuhWfURLMlmtPK*t=Ji.ilE呻巧RwsImpfglui、birijlllviysJrmIEnr#!BbtSTT-EiFfiinninffnrprnSltllivKnpeswlkrn-hwIw亠厨drfiornmlAMnkft15BnorhicTdrvcEnimitinJiI电hiiritwiiTh-v-rlJ$CreIZ:-siry畑pmp-CTnUHiMinwJFTi!hiSiruirS7h-d：iKCMB43EwaJuMfaA&aiwmMmmmbElAiiIoninLive-rifelyIn(rSty1tvrl(AJL-ir1cfiledai

15、t-d*ifc4.y-iftrlriCMJjn;i.lysEl1iOLiSdDJIncsiinISO26262IigureJOverviewoftheISO26262seriesofstuiKUircKs图4功能安全V模型在V模型的左边，首先是系统及产品开发的确认，这个环节主要是依据实际情况更新项目计划和安全计划，还需要创建测试计划、确认计划和评估计划。左边的流程首先是项目集成和测试，主要是测试所设计的安全功能是否满足技术安全需求，每一个安全需求都应该被验证，而且要选用ASIL相关的测试方法。项目在集成和测试之后就要进行安全确认，主要是在整车层面确认系统设计是否能够完成，实现最终的安全目标和安

16、全需求。安全需求确认之后是安全评估，通过评估来确认，是否所有工作都正确完整的开展了，而且安全等级是否达到了相应的ASIL的要求。ASIL汽车安全等级1.什么是ASIL?如上节所述，ASIL等级这个概念来源于IEC61508,其通过失效概率的方式定义了安全完整性等级（SIL）。但是在汽车界，只有硬件随机失效可以通过统计数字评估失效概率，软件失效却难以量化，因此ISO26262根据汽车的特点定义了ASIL。ASIL是ISO26262标准的关键部分，用户需要根据可能的危害，分析系统的预期功能。ASIL提出这样一个问题：“如果车辆发生故障，驾驶员和相关行人会怎样？”例如，让我们以雨刷系统为例。安全分析

17、将确定丧失雨刷功能会对驾驶员的视线造成何种影响。ASIL指导如何选择适当的方法，以达到一定程度的产品完整性。ISO26262从三个因素（下面会介绍哪三个因素）来考虑安全完整性等级（ASIL），不同的安全完整性等级对应了不同的技术组织和工作流程的严格程度。安全完整性等级使用ASILA到D进行由低到高的定义，分为QM,A、B、C、D五个等级，ASILD是最高的汽车安全完整性等级，对功能安全的要求最高。一般是在产品概念设计阶段对系统进行危害分析和风险评估，识别出系统的危害，如果系统的安全风险越大，对应的安全要求级别就越高，其具有的ASIL的等级也越高。QM适用于ISO26262标准，只需满足一般汽车

18、产品质量管控系统即可，例如TS16949或者IATF16949。2.执行危险分析并确定ASIL风险评估使用严重度、暴露概率和可控度这三个因素来决定ASIL等级。严重性级别：涉及到可能对人员造成了伤害的严重程度，而对物品造成的损坏不属于ISO2626的范畴。暴露水平：由车辆工作时间百分比和发生频率所决定。可控性：是指驾驶员或其他面临危险的人员，能够控制出现的危险事件以及避免特定伤害的概率评估值。图5确定汽车安全完整性等级每个危险都应该使用严重程度、暴露概率和可控度来确定每个危险事件的ASIL等级，并为每个危险事件制定相对应的安全目标，以避免不合理的风险。严匝取度E1QMQMS2E2AE3QWABE4ABCEl0MGMAS3QMAE3ABC4C0图6QM（质量管理）中不包含ISO26262要求安全分析在系统级别，安全分析取决于ASIL等级。通常的分析方法包括：演绎法和归纳法。对于任何等级的ASIL，小师妹强烈建议总是采用归纳分析，更推荐是选择性试用演绎法分析。演绎法通常使用故障树FTA来实现，是自上而下的分析方法，即从危险效果来分析可能的原因。而归纳法是自下而上的分析方法，通常使用失效模式影响分析FME