什么是汽车功能安全
对舒适驾驶体验不断增长的需求,以及更高级别的安全性和效率,导致基于ECU的车辆设计的复杂性和功能性增加。汽车电子技术的进步需要近100个ECU的集成,为主动安全系统、Telematics、被动安全系统、发动机管理和Infotainment等提供驱动。由于对ECU的依赖性增加(即使进行一定程度的集成后减少了ECU的数量),转而采用具有中央域控制器的更高度集成的系统架构,功能安全性成为设计汽车系统的基本要求。
汽车功能安全性可定义为汽车系统设计的关键要素,提供高水平的可靠性。让人们能够检测、诊断并有效地减轻任何故障,从而确保在发生任何故障时的操作安全性。ISO 26262标准将功能安全性定义为“不能由于电气/电子系统的故障行为导致的危险而存在不合理的风险(absence of unreasonable risk due to hazards caused by malfunctioning behavior of electrical/electronic systems)”。
功能安全性确保汽车系统安全运行,即使遇到任何故障,也会继续运行。
为什么需要汽车功能安全
汽车工业向先进半导体技术的转变对可靠性和安全性提出了重大挑战。随后开发的自动驾驶技术涉及从硅部件到软件代码的多种操作复杂性,这也为防呆操作带来了重大挑战。制造商和系统设计人员无法应对这些迫在眉睫的挑战可能是灾难性的,导致潜在的生命或财产损失,并会触发对整个供应链的监管行动或法律影响。虽然并非所有错误或故障都会对生命或财产造成直接风险,但涉及主/被动安全系统和动力传动系统的功能却是关键的。
所有这些安全性和可靠性挑战使功能安全成为汽车产品开发周期的关键组成部分。在汽车应用的硬件和软件设计阶段,必须将功能安全性作为固有设计元素。这将使汽车系统能够识别和检测故障,并减轻故障,提供一定程度的风险承受能力。
ISO 26262功能安全标准
汽车功能安全标准由ISO 26262标准建立,该标准是IEC 61508(国际电工委员会,IEC)的改编,原本是消费类电子市场的功能安全标准。
ISO 26262作为汽车行业的功能安全标准,适用于最大总重量为3,500 kg的乘用车及配备一个或多个电子电气子系统的乘用车。该标准通过为系统或部件分配风险级别并建立测试过程,在整个汽车产品开发周期中提供法规和建议。ISO 26262定义的整个产品生命周期包括管理、开发、生产、运营、服务和退出阶段。所有功能安全方面及系统定义、系统设计、安全评估和安全验证都包含在ISO 26262标准的开发部分中。
ISO 26262标准所涉及的功能安全的主要功能包括:
- 为各种系统建立汽车安全生命周期,并在安全生命周期中支持必要的活动
- 通过确定汽车安全完整性等级(ASIL)等风险类别,建立汽车专用安全方法
- 使用ASIL确定达到可接受的风险承受能力水平的最低安全要求
- 提供测试和验证措施,以确保达到所需的可接受安全水平
为评估功能安全风险等级,ISO 26262将E/E系统和组件的故障分为两类故障:
- 系统故障:在开发、生产或维护阶段引起的任何系统或部件故障。可以通过修改设计或制造过程或涉及的其他操作过程来解决这些故障。
- 随机故障:部件生命周期内由随机缺陷/故障引起的硬件部件故障。处理这些类型的故障涉及在软硬件元件的设计和验证阶段引入安全机制,使其能够识别和纠正故障。用于纠正随机故障的安全机制包括纠错码(ECC)、循环冗余校验(CRC)、硬件冗余校验(HRC)和内置自测(BIST)。
ASIL
ASIL是ISO 26262标准中提到的风险分类系统。针对可能的故障评估系统/部件的预期响应,目前的车辆可能将遵守ASIL安全标准。根据在危急情况下评估可能结果的严重程度,所需的ASIL评级范围从A到D。A是最不严格的安全等级,D是最严格的安全等级。
- 故障:故障或错误导致部分或完全系统故障
- 危害分析:由于故障而发生意外情况的可能性
- 风险分析:危险的可能性,危险的严重程度,危险的可控性
- ASIL确定:达到可承受风险所需的降低风险水平
ASIL标准也符合ECU内的软件代码,因为汽车ECU本质上是可编程的,包含数百万行嵌入式软件代码。每个软件堆栈都可以包含符合不同ASIL等级的安全关键指令和非安全关键指令。ISO 26262标准提到了两种方法,如果软件代码包括不同的ASIL评级如下:
- 根据最高ASIL评级开发整个软件堆栈
- 或者确保ASIL等级较低的软件代码不会干扰ASIL等级较高的软件代码
结论
随着半导体内容的相应增长和实现全自动驾驶的要求,汽车技术的进步迫使对汽车功能安全性的需求。功能安全标准,例如ISO 26262,旨在弥合主机厂、Tier 1、半导体公司和软件开发商之间的差距。实施全球公认的功能安全标准的利益相关方还应关注产品开发阶段的风险分析和设计考虑因素,以便最终的系统符合最高要求的功能安全水平。
对于汽车利益相关方而言,在整个价值链中建立功能安全标准需要根据特定领域和应用的要求采用最佳安全机制。例如,非安全关键应用程序就不需要遵守安全关键应用程序所遵循的相同功能安全级别。因此,选择最佳的安全机制需要仔细分析开发成本和有效性之间的权衡。
建立一个通用的功能安全标准来评估系统或部件的安全性,这也将使未来的半自动和全自动车辆更容易符合最高的功能安全标准。然而,也有一些共识认为ISO 26262本身对于高度自动化和完全自动化的车辆来说是不够的,因此标准的发展仍在继续。被称为SOTIF的框架(Safety of the Intended Functionality under ISO designation PAS 21448)将通过在AV系统过程的每个步骤中引入安全要求来验证和演示高度复杂系统的预期功能,从而补充ISO 26262。因此,SOTIF与ISO 26262相比,可以更加完整地进行验证。