随着我国汽车工业的不断强大和新能源汽车的快速发展,车辆电控系统故障所引发的功能失效、新能源车辆热失控等安全问题逐步增加,中国汽车产业正进入以安全为主导的新时期。将影响我国整个汽车产业的重要事件,GB/T《道路车辆功能安全》发布,将很快到来。对刚刚起步的新能源汽车及其零部件企业,或许影响更大,应提前做好准备。
一、我国对汽车功能安全需求的紧迫性
2012年8月,国家标准化管理委员会于(国标委综合[2012]50号),下达了推荐性国家标准GB/T 《道路车辆功能》的制定任务。
2015年7月,工信部下达《关于汽车安全标准体系建设》,明确强调以功能安全技术和标准为重点,完善我国汽车安全标准体系。
2016年1月,工信部进一步提出要求,就新能源汽车电池管理系统、充电系统安全隐患与功能安全技术的关系、预防处理措施开展研究。制定新能源汽车电控系统功能安全技术开发、测试评价标准规范。
2016年8月,质检总局、国标委、工信部印发《装备制造业标准化和质量提升规划》,在节能与新能源汽车领域,加快构建包括整车及关键系统部件功能安全和信息安全在内的汽车安全标准体系。
目前,电动知家获悉中国汽车技术研究中心牵头制订国内道路车辆功能安全标准GB/T《道路车辆功能安全》,报批稿已上报国标委,预计于2017年底或2018年初发布实施。
GB/T《道路车辆功能安全》一旦正式发布,将提高我国传统汽车和新能源汽车关键电控系统的功能安全技术水平,同时对企业尤其是新能源汽车关键电控零部件企业提出了更高的要求。虽然现在看GB/T《道路车辆功能安全》还是推荐标准,但电动知家认为不久的将来一定会成为强制性标准。目前,新能源和传统汽车整车、电控系统的设计开发,已不同程度导入功能安全要求,如果到现在企业还没意识到重要性,或许将在这一轮大浪淘沙中被淘汰。
二、ISO26262背景
安全是未来汽车发展面临的首要问题之一。汽车的新功能不仅仅在辅助驾驶范围。还有车辆动态控制和主动被动的安全系统等日益触及的安全工程领域。随着系统复杂性的提高、软件和机电设备的应用,来自系统失效和随机硬件失效的风险也日益增加。在汽车开发领域迫切需要先进的开发流程和技术来保证汽车的使用安全。在这样的背景下,ISO组织在2011年11月份正式颁布了和汽车相关的功能安全标准ISO26262。
道路车辆功能安全规范——ISO26262是由ISO国际标准化组织联合IEC国际电工协会共同制定的,源于电子、电气及可编程器件功能安全基本标准IEC61508 ,主要定位在汽车行业中特定的电气器件、电子设备、可编程电子器件等专门用于汽车领域的部件,旨在提高汽车电子、电气产品功能安全,使人们对于安全相关的功能有一个全面的理解,并尽可能地对它们进行解释,同时为避免这些失效提供了可行的要求和具体的流程。
ISO26262 在2011年11月15日正式公布,已经成为国际标准,一共由10个部分组成,如下所示,提供并支持一个汽车安全生命周期(管理,研发,生产,经营,服务,报废)和风险等级的具体风险评估方法,划分汽车安全综合等级(Automotive Safety IntegrityLevel ASIL):A到D,其中D级为最高等级,要求最严格,针对系统硬件和软件的开发流程要求也随之增加。欧美日车企和零部件企业已将ISO26262作为汽车电子和新能源车辆的事实上强制标准执行。
三、车辆功能安全的开发流程详解
ISO 26262的开发流程首先是从项目定义开始的。其包括了项目的功能、接口、环境条件、法规要求、危险等内容。也包括项目的其他相关功能、系统和组件决定的接口、边界条件等。
3.1概念开发
根据项目是新产品研发或者既有产品更改决定后续的流程。称之为安全生命周期初始化。如果是既有产品更改,就要对产品进行影响分析,影响分析的结果决定整个生命周期中的哪些流程可以省略,不用考虑。就是通过这个阶段确定下来的。ASIL全称是车辆安全完整性等级。标准中用A、B、C、D 4个级别来规定项目或者单元所需的ISO 26262要求以及安全措施,来避免不合理的残余风险,D代表最大严格度,A代表最小严格度。一旦项目的ASIL等级确定下来.项目的后续所有开发流程及开发方法都要按照相应的ASIL等级要求进行开发。因此这个阶段在功能安全开发的整个流程中至关重要。危害分析和风险评估时,要充分考虑发生危害时汽车所在驾驶情景的暴露率、交通参与者对事故的可控性以及危害对交通参与者造成伤害的严重程度。通过这3个指标确定项目的ASIL等级。同时为每一个风险设立安全目标,并根据项目的ASIL等级给安全目标确定合适的ASIL等级。
接下来的功能安全概念的环节要考虑系统的基本架构,将由安全目标得到的整体安全需求分配到项目的元素中去。同时具体和细化定位到每个项目元素中的功能安全要求。超出边界条件的系统和其他技术可以作为功能安全概念的一部分来考虑。对其他技术的应用和外部措施的要求不在ISO 26262考虑的范围之内。
3.2系统级开发
有了具体的安全需求之后,接下来就是进行系统级开发了。可以从安全需求得到技术安全要求规范,系统级开发的过程基于V模型的开发流程。在V模型的左边首先是“系统级产品开发的启动”,这个环节主要是依据实际情况更新项目计划和安全计划。还需要创建测试计划、确认计划和评估计划;接下来要明确技术安全需求规范,技术安全需求规范是从功能安全要求和系统或者单元的架构设计中得到的。在这个规范里主要描述了识别和控制系统自身故障,以及其它系统故障的机制、安全状态的达到或保持措施、警示和降级方案的措施等。有了技术安全需求规范之后.就进入到了系统设计阶段。系统设计阶段主要完成这几项工作:上述各项安全措施如何实现、进一步细化系统架构、借助安全分析的安全设计验证(FMEA,FTA)、明确硬件和软件的接口规范等。系统设计之后就进入到了具体的硬件设计和软件设计阶段。
系统级开发的V模型右边的流程首先是项目集成和测试。这主要是测试所设计的安全功能是否满足技术安全需求,每个安全需求都应该被验证,并且要选用ASIL相关的测试方法。项目在集成和测试之后,就要进行安全确认。安全确认可以由公司内部的研发工程师开展,主要是站在整车层面确认系统设计是否能够完全实现最初的安全目标和安全需求。安全确认之后是安全评估,安全评估一般是找第三方进行,通过评估来确认是否所有工作都正确、完整地开展了,并且安全等级是否达到了相应ASIL的要求。安全评估完成之后,最后一个阶段就是产品发布。在这一阶段需要制定生产和操作计划。以及对产品的生产、操作、服务和拆解的相关要求。通过这些相关的计划和要求以及规章制度。保证产品在生产和使用环节满足功能安全的要求。
3.3硬件开发
系统级开发之后.硬件级的产品开发也要符合V模型概念。V模型左边的第1个环节是硬件级产品研发的启动。这个过程主要是计划活动,根据项目的大小和复杂程度。来计划和确定这个阶段的活动和支持过程,然后确定硬件安全需求规范。软、硬件安全需求规范都是由系统阶段的技术安全需求规范拆分得到的。根据硬件安全需求规范,要进行硬件设计,硬件设计包括硬件架构设计和硬件详细设计。硬件架构设计应表示出所有硬件组件及彼此间的关联,并且要实现规定的硬件安全需求。应该清楚地描述出硬件安全需求和硬件组件之间的关系.可充分信赖的硬件组件可以考虑复用。在硬件架构设计时,还应考虑安全相关硬件组件失效的非功能因素。比如:振动、水、尘、EMI等。硬件详细设计是指在电气原理图级别上的设计,应表示出硬件组件的零部件问的相互关联。
接下来是计算硬件的量化指标。在功能安全开发的过程中有3个指标是可以量化的,分别是单点故障指标、潜在故障指标和随机硬件失效率。前2个指标表示的是所设计的安全功能的能力,也可以简单理解为安全机制的优劣,指标越高,表示所设计的安全机制越好。最后一个指标表示硬件的可靠性,这个指标越高,可以简单理解为安全机制越耐用。对于不同ASIL等级的产品。这3个指标的要求是不同的,因此在这个阶段需要计算一下量化指标,看看是否满足相应的ASIL等级要求。
在硬件设计的最后阶段就是进行硬件集成与测试,主要测试设计的硬件是否能够实现预期的功能。
3.4软件开发
在硬件级的产品开发的同时,软件级的产品开发也应符合V模型思想。软件级产品与传统开发流程相比,多了软件安全需求规范和验证软件安全需求2个环节。软件安全需求规范也是从技术安全需求规范而来,至于验证软件安全需求这个环节,ISO 26262规定了硬件在环、搭建电子控制器网络环境和实车测试等严格的测试环境的要求。除此之外。对于软件架构设计、软件单元设计和实现、软件单元测试、软件集成和测试这4个环节。ISO 26262也规定必须要根据具体的ASIL等级选用不同的设计和测试方法。
3.5总结
道路车辆功能安全标准ISO26262就是通过上述的这些流程阶段,以及每个阶段所必须考虑的措施、方法和具体技术的要求,将各个阶段的要求和如何满足要求的措施都进行逐一落实。通过流程和技术两方面的共同约束才可以设计、制造出满足功能安全要求的安全产品。