隨著我國汽車工業的不斷強大和新能源汽車的快速發展,車輛電控系統故障所引發的功能失效、新能源車輛熱失控等安全問題逐步增加,中國汽車產業正進入以安全為主導的新時期。將影響我國整個汽車產業的重要事件,GB/T《道路車輛功能安全》發佈,將很快到來。對剛剛起步的新能源汽車及其零部件企業,或許影響更大,應提前做好準備。
一、我國對汽車功能安全需求的緊迫性
2012年8月,國家標準化管理委員會於(國標委綜合[2012]50號),下達了推薦性國家標準GB/T《道路車輛功能》的制定任務。
2015年7月,工信部下達《關於汽車安全標準體系建設》,明確強調以功能安全技術和標準為重點,完善我國汽車安全標準體系。
2016年1月,工信部進一步提出要求,就新能源汽車電池管理系統、充電系統安全隱患與功能安全技術的關係、預防處理措施開展研究。制定新能源汽車電控系統功能安全技術開發、測試評價標準規範。
2016年8月,質檢總局、國標委、工信部印發《裝備製造業標準化和質量提升規劃》,在節能與新能源汽車領域,加快構建包括整車及關鍵系統部件功能安全和信息安全在內的汽車安全標準體系。
目前,電動知家獲悉中國汽車技術研究中心牽頭制訂國內道路車輛功能安全標準GB/T《道路車輛功能安全》,報批稿已上報國標委,預計於2017年底或2018年初發布實施。
GB/T《道路車輛功能安全》一旦正式發佈,將提高我國傳統汽車和新能源汽車關鍵電控系統的功能安全技術水平,同時對企業尤其是新能源汽車關鍵電控零部件企業提出了更高的要求。雖然現在看GB/T《道路車輛功能安全》還是推薦標準,但電動知家認為不久的將來一定會成為強制性標準。目前,新能源和傳統汽車整車、電控系統的設計開發,已不同程度導入功能安全要求,如果到現在企業還沒意識到重要性,或許將在這一輪大浪淘沙中被淘汰。
二、ISO26262背景
安全是未來汽車發展面臨的首要問題之一。汽車的新功能不僅僅在輔助駕駛範圍。還有車輛動態控制和主動被動的安全系統等日益觸及的安全工程領域。隨著系統複雜性的提高、軟件和機電設備的應用,來自系統失效和隨機硬件失效的風險也日益增加。在汽車開發領域迫切需要先進的開發流程和技術來保證汽車的使用安全。在這樣的背景下,ISO組織在2011年11月份正式頒佈了和汽車相關的功能安全標準ISO26262。
道路車輛功能安全規範——ISO26262是由ISO國際標準化組織聯合IEC國際電工協會共同制定的,源於電子、電氣及可編程器件功能安全基本標準IEC61508 ,主要定位在汽車行業中特定的電氣器件、電子設備、可編程電子器件等專門用於汽車領域的部件,旨在提高汽車電子、電氣產品功能安全,使人們對於安全相關的功能有一個全面的理解,並儘可能地對它們進行解釋,同時為避免這些失效提供了可行的要求和具體的流程。
ISO26262 在2011年11月15日正式公佈,已經成為國際標準,一共由10個部分組成,如下所示,提供並支持一個汽車安全生命週期(管理,研發,生產,經營,服務,報廢)和風險等級的具體風險評估方法,劃分汽車安全綜合等級(Automotive Safety IntegrityLevel ASIL):A到D,其中D級為最高等級,要求最嚴格,針對系統硬件和軟件的開發流程要求也隨之增加。歐美日車企和零部件企業已將ISO26262作為汽車電子和新能源車輛的事實上強制標準執行。
三、車輛功能安全的開發流程詳解
ISO 26262的開發流程首先是從項目定義開始的。其包括了項目的功能、接口、環境條件、法規要求、危險等內容。也包括項目的其他相關功能、系統和組件決定的接口、邊界條件等。
3.1概念開發
根據項目是新產品研發或者既有產品更改決定後續的流程。稱之為安全生命週期初始化。如果是既有產品更改,就要對產品進行影響分析,影響分析的結果決定整個生命週期中的哪些流程可以省略,不用考慮。就是通過這個階段確定下來的。ASIL全稱是車輛安全完整性等級。標準中用A、B、C、D 4個級別來規定項目或者單元所需的ISO 26262要求以及安全措施,來避免不合理的殘餘風險,D代表最大嚴格度,A代表最小嚴格度。一旦項目的ASIL等級確定下來.項目的後續所有開發流程及開發方法都要按照相應的ASIL等級要求進行開發。因此這個階段在功能安全開發的整個流程中至關重要。危害分析和風險評估時,要充分考慮發生危害時汽車所在駕駛情景的暴露率、交通參與者對事故的可控性以及危害對交通參與者造成傷害的嚴重程度。通過這3個指標確定項目的ASIL等級。同時為每一個風險設立安全目標,並根據項目的ASIL等級給安全目標確定合適的ASIL等級。
接下來的功能安全概念的環節要考慮系統的基本架構,將由安全目標得到的整體安全需求分配到項目的元素中去。同時具體和細化定位到每個項目元素中的功能安全要求。超出邊界條件的系統和其他技術可以作為功能安全概念的一部分來考慮。對其他技術的應用和外部措施的要求不在ISO 26262考慮的範圍之內。
3.2系統級開發
有了具體的安全需求之後,接下來就是進行系統級開發了。可以從安全需求得到技術安全要求規範,系統級開發的過程基於V模型的開發流程。在V模型的左邊首先是“系統級產品開發的啟動”,這個環節主要是依據實際情況更新項目計劃和安全計劃。還需要創建測試計劃、確認計劃和評估計劃;接下來要明確技術安全需求規範,技術安全需求規範是從功能安全要求和系統或者單元的架構設計中得到的。在這個規範裡主要描述了識別和控制系統自身故障,以及其它系統故障的機制、安全狀態的達到或保持措施、警示和降級方案的措施等。有了技術安全需求規範之後.就進入到了系統設計階段。系統設計階段主要完成這幾項工作:上述各項安全措施如何實現、進一步細化系統架構、藉助安全分析的安全設計驗證(FMEA,FTA)、明確硬件和軟件的接口規範等。系統設計之後就進入到了具體的硬件設計和軟件設計階段。
系統級開發的V模型右邊的流程首先是項目集成和測試。這主要是測試所設計的安全功能是否滿足技術安全需求,每個安全需求都應該被驗證,並且要選用ASIL相關的測試方法。項目在集成和測試之後,就要進行安全確認。安全確認可以由公司內部的研發工程師開展,主要是站在整車層面確認系統設計是否能夠完全實現最初的安全目標和安全需求。安全確認之後是安全評估,安全評估一般是找第三方進行,通過評估來確認是否所有工作都正確、完整地開展了,並且安全等級是否達到了相應ASIL的要求。安全評估完成之後,最後一個階段就是產品發佈。在這一階段需要制定生產和操作計劃。以及對產品的生產、操作、服務和拆解的相關要求。通過這些相關的計劃和要求以及規章制度。保證產品在生產和使用環節滿足功能安全的要求。
3.3硬件開發
系統級開發之後.硬件級的產品開發也要符合V模型概念。V模型左邊的第1個環節是硬件級產品研發的啟動。這個過程主要是計劃活動,根據項目的大小和複雜程度。來計劃和確定這個階段的活動和支持過程,然後確定硬件安全需求規範。軟、硬件安全需求規範都是由系統階段的技術安全需求規範拆分得到的。根據硬件安全需求規範,要進行硬件設計,硬件設計包括硬件架構設計和硬件詳細設計。硬件架構設計應表示出所有硬件組件及彼此間的關聯,並且要實現規定的硬件安全需求。應該清楚地描述出硬件安全需求和硬件組件之間的關係.可充分信賴的硬件組件可以考慮複用。在硬件架構設計時,還應考慮安全相關硬件組件失效的非功能因素。比如:振動、水、塵、EMI等。硬件詳細設計是指在電氣原理圖級別上的設計,應表示出硬件組件的零部件問的相互關聯。
接下來是計算硬件的量化指標。在功能安全開發的過程中有3個指標是可以量化的,分別是單點故障指標、潛在故障指標和隨機硬件失效率。前2個指標表示的是所設計的安全功能的能力,也可以簡單理解為安全機制的優劣,指標越高,表示所設計的安全機制越好。最後一個指標表示硬件的可靠性,這個指標越高,可以簡單理解為安全機制越耐用。對於不同ASIL等級的產品。這3個指標的要求是不同的,因此在這個階段需要計算一下量化指標,看看是否滿足相應的ASIL等級要求。
在硬件設計的最後階段就是進行硬件集成與測試,主要測試設計的硬件是否能夠實現預期的功能。
3.4軟件開發
在硬件級的產品開發的同時,軟件級的產品開發也應符合V模型思想。軟件級產品與傳統開發流程相比,多了軟件安全需求規範和驗證軟件安全需求2個環節。軟件安全需求規範也是從技術安全需求規範而來,至於驗證軟件安全需求這個環節,ISO 26262規定了硬件在環、搭建電子控制器網絡環境和實車測試等嚴格的測試環境的要求。除此之外。對於軟件架構設計、軟件單元設計和實現、軟件單元測試、軟件集成和測試這4個環節。ISO 26262也規定必須要根據具體的ASIL等級選用不同的設計和測試方法。
3.5總結
道路車輛功能安全標準ISO26262就是通過上述的這些流程階段,以及每個階段所必須考慮的措施、方法和具體技術的要求,將各個階段的要求和如何滿足要求的措施都進行逐一落實。通過流程和技術兩方面的共同約束才可以設計、製造出滿足功能安全要求的安全產品。
閱讀更多 電動知家 的文章
