当我们进入汽车行业开展相关业务的时候,经常会遇到一些专有名词和英文缩写,比如ISO 26262,ASIL,TCL等,这些名词和缩写的解释通常非常专业,让人摸不着头脑,读完之后仍是一头雾水。因此,我们用通俗的语言进行解读,帮你从头梳理和理解这些概念。
ISO 26262
在智能汽车领域,我们经常会看到的一个英文缩写就是ISO 26262,ISO 26262是汽车的一个安全性国际标准,此标准主要定位在汽车中特定的电气器件、电子设备、可编程电子器件等专门用于汽车领域的部件,旨在提高汽车电子、电气产品的功能安全。为什么汽车行业对ISO 26262如此重视呢?这是因为每一辆生产出来的汽车上路之后都会融入我们的日常生活,一旦汽车上的软硬件设备和系统发生失效或故障,都有可能危害到人类的生命财产安全,后果可能是相当严重的。为了让人们对汽车安全相关功能有一个更好的理解,以及指导电子设备和系统设计人员该如何避免这些风险,ISO组织制定了汽车功能安全管理体系,称为ISO 26262。
ISO 26262做了哪些规定呢?简单地说,ISO 26262为汽车安全提供了一个生命周期理念:管理、开发、生产、经营、服务、报废。同时标准涵盖功能性安全方面的整体开发过程:需求规划、设计、实施、集成、验证、确认和配置。
如果上面的解释仍然让你感到迷惑,那么一句话概括,就是对我们产品开发和设计来说,从项目最开始的阶段就需要把安全相关的理念加入到产品规划和设计中。把安全管理加入到产品规划和设计的具体做法,我们暂不在本文做过多叙述。
ISO 26262是不是强制性的呢?
答案是,目前ISO 26262还只是一个推荐标准,并不是强制性标准。
那我设计的电子设备和系统不符合ISO 26262会怎样?
首先,电子设备和系统会一级一级整合到整车中,汽车生产厂商是汽车最终生产者(简称车厂)。在可预见的未来,世界级车厂、包括国内的主流车厂都会要求与安全相关的产品要符合ISO 26262中的标准。
另外,中国也积极参与了ISO 26262标准的制定,虽然未来ISO 26262在中国的执行方式待定,业界认为强制执行的可能性较大。
最后,ISO 26262对于电子设备和系统制造商来说是一个保护性措施。ISO 26262是目前最先进的汽车安全标准,在可能的事故诉讼中,若是由已通过ISO 26262的电子设备和系统导致的故障,只需承担有限责任。
通过上面的解读,您是否对ISO 26262有了更多了解呢?当我们接受了ISO 26262的概念,开始进入产品设计时,会遇到下个重要概念ASIL。
ASIL
ASIL,英文全称是Automotive Safety Integration Level,中文是汽车安全完整性等级。ASIL描述系统能够实现指定安全目标的概率高低。
汽车上的全部电子电气系统都会划分安全等级,包括系统、子系统、电子零件等。其目的是使相关人员和部门统一认识,避免因为目标含混不清,职责不明确造成的风险;另一方面,避免在同一个安全要素上重复投入资源,出现分布不均而出现的资源浪费,一个风险点有几个安全保障,而另一个故障点却没有人意识到。通过系统性,全生命周期的思考方式,实现全面的规划安全功能的目的。
ASIL有四个等级,分别为A,B,C,D,其中A是最低的等级,D是最高的等级。越高的级别,对设计所要求的功能安全性越高,这种要求包括对故障的覆盖率,设计流程的可追溯,设计软件的可信赖证明等。举其中一个例子来说,ASIL A等级对系统单点故障的覆盖率要求达到90%以上;而ASIL D等级对系统单点故障的覆盖率要求达到99%以上。对于ASIL等级的认证要求是有很多项的,上面提到的单点故障的要求只是其中一项。在众多项ASIL等级认证要求中,常会被误解的一项是TCL。
TCL
TCL的英文全称是Tool Confidence Level,中文我们称为工具信赖度。因为我们在做电子产品和系统设计时都会使用软件进行设计辅助(EDA),因此这里的工具通常指的是我们产品开发使用的软件工具。
工具信赖度(TCL)的意义是在开发过程中使用的软件工具的功能必须能正确运行,因为软件工具所出现的故障可能会在产品开发过程中引入你的产品。
工具信赖度(TCL)也是分等级的,有两个标准可以用于确定TCL:工具影响(TI)和工具错误检测(TD)。TI用于评估正在接受评估的软件工具是否对正在开发的设计产生直接的安全相关影响。TI1意味着对设计没有直接影响(例如Microsoft Excel的使用),而TI2则表示对设计有直接影响(例如,Synopsys DesignCompiler®synthesis的使用)。TD确定了您的信赖度,即有措施可以预防和/或检测工具故障。TD1意味高信赖度;TD2表示中等程度的信赖度;而TD3表示较低的信赖度。因此我们可以用下表建立TCL:
ISO26262-8表3
确定工具信赖度(TCL)
工具错误检测
TD1
TD2
TD3
工具影响
TI1
TCL1
TCL1
TCL1
TI2
TCL1
TCL2
TCL3
正在开发的项目或元件的TCL和相应的汽车安全完整性等级(ASIL)决定了需要完成哪种类型的工具资格认证。TCL1的工具,意味着不需要进一步的认证;而对TCL2或TCL3的工具需要结合项目执行额外的工具认证。这时,TCL就跟ASIL联系起来了,如下图所示。
1a – 1d 表示不同的鉴定方法,我们在现阶段可以先不去追究其细节。其中,++表示该方法被强烈建议用于所对应的ASIL,+表示该方法被建议用于所对应的ASIL。
根据上述表格和设计ASIL等级的要求,我们只要执行的附加鉴定方法,就可以使用TCL2或TCL3中评估的软件工具。