service服务目录

服务目录
IS026262 汽车功能安全

IS026262 汽车功能安全

  • 专业服务保障
  • 一对一全程指导
  • 高效快捷体验
11111
在线咨询

产品介绍

  汽车功能安全标准于2011年作为ISO标准正式颁布,此后,汽车业界开始采纳应用该标准。

  虽然标准的采纳是自愿的,但在这样的背景和趋势之下,无论是汽车厂商还是零部件供应商,为了满足ISO 26262的要求,要尽快调整体制,完善规章制度,构筑基于规格的生产流程,并由负责ISO 26262认证的第三方机构进行认证。

  一、功能安全

  什么是功能安全?所谓的“功能安全”,就是通过安全功能和安全措施来避免不可容许的功能风险的技术总称。功能安全(Function Safety)的“功能”指的是监控受控对象和控制器的安全装置起的作用。通常我们将计算机作为安全装置,如果控制器发生故障,则该计算机将会关闭受控对象,并向用户发出危险警告。安全装置所实现的这种安全性作用,被称为“功能安全”。功能安全可以说是通过使用计算机等的安全装置所设计出的安全措施。

  但是,在这里不得不提醒大家,安全本身并不是通过增加某种电子安全设备来保证的,而是通过“去除”导致危险发生的设计或机械故障的安全机制来保证。这种安全机制被称为“本质安全”。

  举个栗子,这是一个非常经典的例子:

  比如在铁路道口,我们常常有这样的危险顾虑,就是有人或者车辆进入到了铁道入口,和火车相撞,导致死亡。“本质安全”就是从根本上避免危险的措施,把危险源直接“除掉”,方法是可以把这个铁道道口改为立交桥。但是在某些情况或某些制约下,不能把铁道道口“除掉”,自然就会想到附加一个安全设施,这就是功能安全。因为某些制约,不得不设置铁路道口,但大家还要想避免这样的交通事故,那怎么办呢?这是功能安全。

  欧美已经颁布了成套的功能安全相关产品指令和设计标准,并深入到各个领域,在核电行业、石油、化工、电厂等过程工业,工业机器、电梯扶梯、智能电网、家电软件评估、汽车行业、医疗软件评估领域广泛应用。

  这里,我们只谈汽车功能安全。

  二、功能安全制定的历程

  功能安全标准化的运动起源于20世纪90年代。

  上世纪70年代开始,随着各种现代化及其的使用,以及工业生产过程的自动化程度越来越高,以电气、电子、可编程电子产品的大量应用为标志的现代化控制系统越来越多的渗透到各个领域,参与着各种控制过程。

  但是,工业文明在给人类带来利益的同时,也带来了灾难。由于系统设计不合理、设备元器件故障或失效、软件系统的故障导致的事故、人身伤害、环境污染,越来越频繁的危及着我们的生命安全和赖以生存的环境。

  人们开始认识到,必须采取措施,用标准和法规来规范领域内安全相关系统的使用,使技术在安全的框架内发展,使人类既能尽可能享受新技术带来的安全和舒适,同时又能掌控危险。功能安全标准研究从此展开。

  然而,安全控制系统或设备执行安全功能时的可靠性问题,限制了用户使用新技术的积极性。由于没有公认的评价体系,制造商很难说服用户使用新技术,尤其在关系人身财产安全的重要领域使用新技术。另外,不同行业对安全要求的不同,也限制了安全设备的产业化生产规模。制造商迫切需要一个公认的标准来建立一个与用户对接的公共平台。

  于是,2000年5月,国际电工委员会正式发布了IEC61508标准,名为《电气/电子/可编程电子安全相关系统的功能安全》。

  IEC61508中,系统中的安全设备(减少风险的手段)由中继控制器或PLC(Programmable logic控制器)等设备构成,我们把安全设备将实现其安全功能的可靠性的概率称为安全完整性水平,即SIL(Safety Integrity Level)。换句话说,基于这个等级标准,即,如果与构成安全系统的部件的故障率低,则由此构成的整个安全系统的故障率也是低的。

  但是,有一种观点认为,在SIL定义中加入概率因素并不合适的。为什么不合适呢?那是因为功能安全标准不仅涉及了硬件部分,还涉及了软件部分。仅论硬件故障发生的概率,除了初始故障和损耗故障以外,偶发故障基本是随机发生的,如果把设计错误分开,那么加入概率因素是非常合适的。与此相对的软件故障可不是随机的了,所以软件故障(bug)是很难去计算其发生的概率的。例如,如果软件的设计中混入了bug,只要其发生路径和条件具备,那么故障的发生概率就是百分百!

  针对这个问题,对IEC 61508重新修订制定了ISO 26262标准。2011年11月,ISO 26262正式颁布。

  ISO 26262 不同于 IEC 61508,它“不是一个可靠性标准”,它并没有为可接受失效概率设定准确的数字。ISO 26262基于概率论的定量危害分析仅限适用于硬件,其次,基于目标产品的使用条件和使用方法,针对整个系统进行危害分析和风险评估,识别出系统危害并对危害的风险等级——ASIL等级(Automotive Safety Integration Level,汽车安全完整性等级)进行评估。IEC 61508定义了安全完整性等级 (SIL),而 ISO 26262 则定义了汽车安全完整性等级 (ASIL)。

  ASIL有四个等级,分别为A,B,C,D,其中A是最低的等级,D是最高的等级。然后,针对每种危害确定至少一个安全目标,安全目标是系统的最高级别的安全需求,由安全目标导出系统级别的安全需求,再将安全需求分配到硬件和软件。ASIL等级决定了对系统安全性的要求,ASIL等级越高,对系统的安全性要求越高,为实现安全付出的代价越高,意味着硬件的诊断覆盖率越高,开发流程越严格,相应的开发成本增加、开发周期延长,技术要求严格。