什么是功能安全
在汽车行业,ISO26262(GB/T 34590)标准定义为:
absence of unreasonable risk due to hazards caused by malfunctioning behavior of E/E systems.
不存在由电子电气系统的功能异常表现引起的危害而导致的不合理的风险。
按通俗的理解而言,功能安全就是指汽车即便出现了故障,这个故障也是可控的。
什么是ISO26262
ISO26262是从电气、电子及可编程电子器件功能安全基本标准IEC61508派生出来的,主要定位在汽车行业中特定的电气器件、电子设备、可编程电子器件等专门用于汽车领域的部件,旨在提高汽车电子、电气产品功能安全的国际标准。
国际电工委员会(IEC)于1998年发布IEC61508-1,并于2000年完整发布IEC61508,标志着功能安全正式形成共识,成为独立的研究领域。IEC61508发布后,各个行业随之推出行业内的功能安全标准,包括铁路相关标准EN50126/128/129;过程工业标准IEC61511;机械工业标准IEC62601;核工业标准61513等
ASIL(安全完整性等级)
IEC 61508将安全完整性等级(SIL)分成4级,第4级为最高完整性。与之相似,ISO 26262提出了汽车安全完整性等级(ASIL),最低为ASIL A,最高为ASIL D。此外,如图所示,针对ASIL B到ASIL D,ISO 26262分别就单点故障、潜伏故障和硬件故障概率指标(PMHF,业内也称及时故障)提出了建议参数。可检测故障的比例被称为诊断覆盖率。诊断覆盖率是指元器件失效率可以被安全机制诊断出来的百分比;典型值:60%、90%和 99%。
ASIL 的评级
汽车研发人员拿到一份需求文档,首先要做的就是对其中每一项需求进行ASIL评级及 给出目标参数。
一项需求发生故障以后的安全风险,可以用公式 Risk = E * C * S 来表示(Exposures发生概率、Controllability可控度、Severity严重度)
ISO26262中给出了一张标准的ASIL评级表,其中的C1-C3,E1-E4是各种具体分级
FMEDA
FMEA、FTA和FMEDA作为ISO26262三个重要的分析技术,在产品开发过程中发挥了重要的作用,相对于前两种常用的分析技术,FMEDA作为定量分析的核心技术引起了从业者越来越多的关注。
FMEDA计算出硬件架构的三个指标,来验证是否符合相应的安全等级要求。如果系统不符合设计要求,需通过设计优化和分析计算等一系列的迭代活动,改进产品设计,最终设计出符合要求的产品。
FMEDA在沿用FMEA bottom-up方法论的基础上增加了两部分内容,对FMEA进行扩展从而可以完成定量分析:底层故障的各个故障模式失效率(failure rate)、故障模式占比(failure mode distribution)和 故障模式的诊断及诊断覆盖率(Diagnostic Coverage)。
FMEDA流程
(1)根据系统的硬件架构,列出所有的硬件单元,从元器件失效率相关的标准(SN29500、IEC 62380 等)中查询失效率及不同故障模式所占的比例,并将参考失效率根据产品的使用环境转化为可以用于分析计算的失效率
(2)根据故障模式分析的流程图及是否会违反安全要求,逐个确认硬件单元的故障模式是否是安全相关的,是否有相应的安全机制,直至确认该故障模式为安全故障、单点故障或多点故障
(3)参照 ISO26262-5 附录 D 的安全机制目录,确定产品设计过程中所制定的安全机制的诊断覆盖率以用于计算分析。如果相应的诊断覆盖率查不到对应项,需根据之前的项目设计经验评估出相应诊断覆盖率的值
(4)根据 SPFM、LFM 和 PMHF 的公式计算出硬件架构的各项衡量指标,以评估计算分析结果是否符合相应安全等级的衡量指标
(5)假如设计不符合相应安全等级的要求,可以根据FMEDA 分析的相应结果,针对产品设计的薄弱项进行优化迭代直至分析结果可以符合安全等级的要求为止
参考资料及引用
[1] ISO26262:2011 Road Vehicles – Functional Safety
[2] ISO8402:1994 Quality management and quality assurance
[3] Wikipedia.org, item "ISO 26262"
[4] 木城 汽车软件工程师生存手册