汽车功能安全概述

来源:功能安全学习笔记

各位想学习了解汽车功能安全的工程师们,大家看到10部分(2018版增加到12部分)的ISO26262标准,是不是不知道从何看起?尤其是咱们这些理工男,宁愿坐在电脑前设计电路、调调电路板、写写代码也不想去看这枯燥无味的标准,其实我非常能理解大家的心情,因为我以前也经历过跟大家一样的复杂心情。但我学习这个标准后发现这个标准真的非常好,能提高工程师的开发思维及产品开发的严谨性等。为了让广大工程师们更容易理解本标准和受益,本人将自己理解的本标准知识采用工程师思维方式跟大家一起学习交流,分享自己的拙见。咱们一起争取尽快把这套标准吃透,让更多的中国工程师学习先进的开发理念,更好的运用到设计开发当中,为中国的新能源汽车行业添砖加瓦,奉献自己的一份力量。

一、宏观了解ISO26262

大家请看图1,如果在一处没有到过的地方,身处图中位置大家知道自己在哪里吗?而且要求你找到水源,你该如何找?我相信大多数人都不知道自己在哪儿,也很难找到水源。

汽车功能安全概述
图1: 森林中某处

如果我这时给你一张地图如图2并告诉你现在的方位红圆圈位置或者带你坐上直升机指给你看现在的位置,找水源是不是容易许多。

汽车功能安全概述
图2: 森林全貌

目前大家就好比在如图1的处境,对标准所了解的内容相对片面、零碎,没有一个全局性、系统性的了解,还未找到其中紧密的联系,所以看起来会比较累毫无头绪感,需要看很多遍才能够理解。以下是我根据实际项目经验思考总结所出,希望大家看后能有所收获。

在ISO26262标准的第二部分中明确指出此标准是建立在IATF16949或同等质量体系的基础之上。我们可以理解成,要导入ISO26262标准说明公司已经建立符合质量体系标准要求且实施的比较好。也可以理解,ISO26262标准上面的活动要求只是在原来质量体系标准活动的要求上额外增加活动或优化细化原来的活动要求(以细化为主)。也就是说如果大家对质量体系有很深的了解,对学习和掌握ISO26262有很大的帮助。我们打一个不太准确的比喻,假如产品没有流程及质量体系所开发出来的产品质量就像图3的船一样,只能在近海或湖中使用,稍微大点的风浪就会把船打翻,产量大些质量问题一大堆,PPM很高;如果通过了质量体系认证并认真执行后做出来的产品质量就像图4的军舰一样能航海远行,产量大些问题也不太,PPM已经很不错了;但如果想把产品质量再提升一个台阶,像咱们国家最近新研发的航母一样如图5,能远航还有很强的抗击打能力,那就需要引入ISO26262标准体系指导开发产品,如果真的把ISO26262标准体系很好的应用到产品开发当中去,保证产品质量会超出你的预期。图片

汽车功能安全概述
图3:简单的鱼船

汽车功能安全概述
图4:军舰

汽车功能安全概述
图5:航母

二、ISO26262解决什么问题

ISO26262标准既然这么好,可能很多人就会问,它到底能解决什么问题,在标准的引言中明确指出,通过提供适当的要求和流程,避免或降低因汽车产品中电子电气系统的功能因系统性失效和随机硬件失效造成对人身(司机、行人等)伤害的风险。换言之功能安全是指检测到潜在的危险情况,从而启动保护和纠正措施,以防止发生危险时事件或提供缓解措施以减少或降低危险事件的后果。功能安全是整体安全的一部分,取决于系统或设备是否正确的相应其输入。功能安全的本质就是避免失效,降低风险。系统性失效可以简单理解成因设计考虑不足造成的产品功能失效;随机硬件失效就是器件本身的设计寿命到了(如:器件退化或老化)造成的产品功能失效。

三、ISO26262使用什么方法来解决系统性失效和随机硬件失效

大家还记得读书时考试的分数及考题分布吗?60分是及格,70分是良好,80分以上是优。ISO26262也是有等级的说法,就是功能安全等级,它分为四个等级,分别是:ASIL A; ASIL B; ASIL C; ASIL D;我们可以把它理解成ASILA对应原来考试的60分,ASIL D对应原来考试的90分,不用我说大家也知道哪个安全等级更好。现在功能安全等级理解了,它又如何跟系统性失效和随机硬件失效关联呢?咱们可以把系统性失效和随机硬件失效当成试卷上的两大类考题,里面有三道考题如表1。

类别 ASIL B ASIL C ASIL D
潜伏故障度量 ≥60% ≥80% ≥90%
随机硬件失效目标值 <10-7h <10-7h <10-8h
单点故障度量 ≥90% ≥97% ≥99%

表1:功能安全ASIL等级评判标准

如果要达到ASIL B,量化指标分别是:潜伏故障度量值:≥60%;随机硬件失效目标值:

四、确定ASIL等级

大家己经知道为什么要有ASIL等级及要达相应ASIL等级的指标和要求。现在还差一个如何确定功能的ASIL等级?确定ASIL等级的方法目前标准上提供了两种方法,第一种是通过标准Part3概念阶段中的危害分析和风险评估得出来,这个一般由整车厂站在整车层面的角度对功能的失效进行危害分析和风险评估得出来的ASIL等级;第二种是在Part10中第9章讲的方法独立于环境的要素进行功能安全开发(SEooC,俗称功能安全假设),翻译过来的话就是不用站在整车角度去进行危害分析和风险评估得出ASIL等级,而是通过假设某个功能的ASIL等级进行开发。知道上面信息后接下来告诉大家如何去看标准。

五、看标准

在每个部分的第五章开始就是讲相应活动的要求,先从每个章节最后工作成果那里看,每个工作成果后面都写了有哪几个要求得出来的,再对应去看相应的要求,这也就是做这个活动的要求。就像前面我讲的那样你要考80分就要做哪些事,以及做这些事需要达到什么要求。

最新文章