汽車電子電氣系統的功能安全標準 ISO26262(深度介紹)
發布時間:2025-05-11 點擊:31
本文首先介紹功能安全的概念及ISO26262的由來,然后解讀ISO 26262的內容和關鍵概念,最后分析ISO26262的應用方法。
1功能安全的概念及ISO 26262由來
功能安全是指避免由系統功能性故障導致的 不可接受的風險。功能安全關注系統故障后的行 為,而不是系統的原有功能或性能。以采用電子 節氣門的發動機管理系統為例,加速踏板位置傳 感器信號是發動機輸出轉矩主要決定因素,若該 傳感器發生故障使其指示位置大于實際位置,則 可能導致發動機輸出轉矩過大,造成車輛發生非 駕駛員期望的加速,這是發動機管理系統的一個 功能安全風險。從設計上采取措施,使加速踏板 傳感器故障發生時發動機轉矩仍然可控,則提高 了發動機管理系統的安全性。
20世紀90年代,德國、美國相繼頒布了功能安全相關標準(DINV 19250和ISA S 84. 01),在此基礎之上,國際電工協會(IEC)于2000年頒布 了關于電子、電氣和可編程電子系統(E/E/PE)的功能安全國際標準IEC 61508。IEC 61508一經頒布就得到了廣泛采用,在它的基礎上,各個工業應用領域的標準也陸續出臺。
然而,起源于過程工業領域的IEC61508并不完全適用于汽車工業,例如:它沒有考慮汽車工業 的分布式開發模式;它定義了一個與汽車工業不同的生命周期(測試在產品發布后進行);它的量化要求(如失效率)沒有考慮大規模批量生產的情況。隨著安全相關的電子電氣系統在汽車上的廣泛應用,汽車工業對電子電氣系統功能安全標準的需求也越來越迫切。因此,國際標準化組織(ISO)在IEC 61508的基礎上,制定了專門針對汽車電子電氣系統的功能安全標準,即ISO26262。
2 ISO 26262的內容簡介
ISO26262為汽車電子電氣系統的整個生命周期中與功能安全相關的工作流程和管理流程提 供了指導。在ISO26262中,定義了汽車安全生命周期,汽車安全完整性等級(ASIL)兩個關鍵概念,對這兩個關鍵概念的理解是解讀ISO26262的基礎。
2. 1汽車安全生命周期
圖1展示了ISO26262中定義的汽車安全生命周期,包含了從概念設計、產品開發到批產后各階段的主要安全活動。
功能安全的概念設計必須與整個系統的概念 設計同步進行。在概念設計階段,要基于系統定義和系統初步架構,分析可能存在的功能安全風險并評估風險的等級。然后根據功能安全風險定義安全目標和針對每個安全目標的功能安全概 念。
在產品開發階段,ISO26262按汽車工業中常用的V型開發流程定義相關安全活動:V型的左 側是技術安全需求(功能安全概念的技術實現途徑)的制定、系統設計;V型的右側是系統集成、安全確認和發布。硬件和軟件的開發也遵循相似的小V型開發流程。
在批產之后的階段,需要提供必要的文檔及 方法,以保證在生產、售后服務和報廢等環節中,安全目標不被破壞。同時,需要監控售后產品,發現有違背安全目標的案例要采取相應措施。
2. 2汽車安全完整性等級(ASIL)
IEC 61508中通過失效概率的方式定義了安全完整性等級(SIL),但在汽車領域應用實踐中,只有隨機硬件失效可以通過統計數據評估失效概率,軟件失效難以量化評估。因此,ISO 26262中根據汽車行業的特點定義了ASIL。
ASIL在概念設計階段通過對功能安全風險的評估中得到。如果系統的功能安全風險越大,對應的安全要求就越高,則具有更高等級的ASIL。ASIL分為A、B、C、D 4個級別,ASIL D為最高汽車安全完整性等級,對功能安全的要求最高。
ISO 26262中定義的ASIL使用3個參數進行評估,分別是:危險對駕駛員或其他交通參與人員造成傷害的嚴重程度S,危險所在工況的發生概率E,危險涉及的駕駛員和其他交通參與人員及時采取控制行動避免特定傷害的能力C。S分為0~ 3級,S0代表無傷害,S3代表危及生命的重傷或致命傷;E分為0~ 4級,E0代表工況不可能發生,E4代表工況是常見的;C分為0~ 3級,C0代表完全可控,C3代表非常難于控制。對于每一個識別到的危險,按表1評估風險等級(即汽車安全完整性 等級),其中QM表示與安全無關。
ISO26262為以上3個參數的評定提供了指 導,下面以發動機管理系統為例進行說明。首先,識別發動機管理系統的可能故障及其影響:發動 機管理系統的一個可能故障是控制發動機輸出過大的轉矩,其影響是造成非駕駛員期望的車輛加速;其次,確定已識別故障可導致危險的工況,例如:工況為車輛高速轉彎、接近失穩;最后,按ISO26262的指導分別評定S、E、C級別:上述工況下 加速,將導致車輛失穩并與其他車輛或路邊設施相撞,可能造成人員死亡,S評為3;上述工況的發 生概率相對較低,E可評為2;車輛失穩后,駕駛員幾乎無法進行有效控制避免傷害,C可評為3;按 表1,ASIL為B(僅為示例,不代表標準明確要求或實際工程應用)。
系統的ASIL等級越高,ISO 26262對設計方法、安全技術、測試方法以及需要達到的技術指標的要求越嚴格,開發流程和工作產品的審核和確認也越嚴格。
3ISO 26262的應用
ISO26262為功能安全相關的開發提供了方法論,將保證汽車電子電氣系統的安全性,減少安全事故的發生,產生巨大的社會效益;與此同時,安全相關的投訴和召回事件的減少也將為汽車企業和供應商帶來經濟效益。然而,ISO 26262涉及汽車電子電氣系統的整個安全生命周期及其管理 過程,滿足該標準對汽車企業及供應商來說必將是巨大的挑戰。為滿足ISO26262,必須在公司安 全文化、工作流程制定、產品設計與開發等方面進行持續的改進。
3. 1公司安全文化
在公司組織內部建立和保持安全文化是ISO26262標準的要求,也是促進功能安全有效實現的前提條件。在具有良好安全文化的公司中:安全 應具有最高優先級;獎勵系統應支持和鼓勵功能安全的有效成果,處罰為取捷徑而危及安全和質量的行為。
3. 2工作流程制定
ISO26262對一個完整的汽車安全生命周期定義了安全活動要求。同時,ISO 26262標準中規定組織內部應建立、執行和保持特定的流程,以滿足標準的各項要求。
在一個公司內部為每一個標準單獨設立一個 流程是不現實的,一個可行的方案是將包括ISO26262在內的所有標準融合為公司內部流程,工程師僅需要按照內部流程工作,即可滿足所有標準。
舉例來講,安全計劃是ISO26262要求的重要流程步驟和工作產品,在公司內部流程中,安全計劃可以不是一個獨立的文檔,而是標準項目計劃的一部分,可以在已有的質量評審中增加相關問題,對其進行檢查。
3. 3產品設計與開發系統的功能安全性主要決定于產品設計。
在產品設計和開發階段即采取措施,盡可能減少甚至避免系統性失效和隨機硬件失效,是提高功能 安全最有效和最經濟的方法,也是使產品滿足ISO26262的必要條件。
系統性失效往往由產品設計缺陷導致。在設計中應用演繹的和歸納的分析方法,是及早識別 并避 免 潛在 系 統 性 失 效 行 之 有 效 的 途 徑。ISO26262要求所有功能安全相關的設計均需采用 歸納分析方法,如失效模式和影響分析(FMEA);并要求具有ASILC和D的功能安全相關設計還 需采用演繹分析方法,如故障樹分析(FTA)。除此之外,重用久經實踐驗證并受信任的設計、安全架構和標準接口等,也是避免系統性失效的有效途徑。ISO 26262鼓勵重用受信任的設計原則,并規定對于具有ASILD的系統,棄用受信任的設計原則的決定需要論證。
隨機硬件失效是指由系統中某一個或幾個元 器件的隨機故障導致的失效,是功能安全風險另一個主要來源。ISO 26262制定了量化指標,如表2、3,用 以 評 價 系 統 在 此 方 面 的 安 全 性。產品 硬 件設計必須達到要求的指標,才能滿足ISO26262要求。
硬件架構指標主要用于衡量硬件架構的合理 性。其中單點故障指標等于除單點故障和殘余故障之外的故障占所有故障的比率。以前文所述發
動機管理系統為例,假設對于加速踏板傳感器沒有任何診斷和安全機制,加速踏板傳感器信號線與電源短接將被視為加速踏板完全踩下,直接導 致車輛發生非駕駛員期望的加速。如此,該故障即成為一個單點故障,將導致低的單點故障指標,可能無法達到ASILB的要求。提高單點故障指標的一個方法是設計診斷功能,例如設計加速踏 板傳感器信號線對電源短路的診斷。由于診斷功能具有一定的覆蓋率,在某些工況下可能不能檢查到目標故障,該單點故障未被診斷功能覆蓋的部分將成為殘余故障。因此,設計診斷功能可以降低單點故障指標,但作用有限。降低單點故障指標的另外一種方法是設計冗余概念,如設計兩 個獨立的加速踏板傳感器,使其信號可相互校驗。如此,兩個傳感器同時發生故障才可能導致失效發生,單點故障轉化為多點故障(此處為兩點故 障),單點故障指標得到了提高。
潛伏故障指標等于安全故障和非潛伏故障占 多點故障的比率。在上例中,如果診斷功能故障,可能不會被檢測到或被駕駛員察覺,在這種情況下如果發生短路,將導致安全風險。該診斷功能的故障可視為潛伏故障。與單點故障指標相同,設計 冗 余、診斷 等 安 全 機 制,可減 少 潛 伏 故 障,提高潛伏故障指標。
高的硬件架構指標表明系統具有好的安全架 構,但并不一定代表系統足夠安全。如上例中的冗余概念,如果兩只傳感器的失效率都很高,那么系統仍可能無法滿足表3中隨機硬件失效率指標 的要求。ISO 26262規定隨機失效率考慮單點故障、殘余故障和雙點故障,在硬件元件本身失效率的基礎上,考慮診斷和監控技術覆蓋率,可得出該隨機失效率指標。因此,降低該指標需要結合低失效率的硬件和高診斷覆蓋率的安全機制。
ISO26262是針對汽車電子電氣系統的功能安全標準,是IEC61508在汽車行業中的應用。該標準定義了完整的汽車安全生命周期,提供了一 套方法用于評估汽車安全完整性等級ASIL,并基于ASIL定義了用于實現安全目標的安全活動要求。作為ISO組織發布的國際標準,其實施將規范汽車電子電氣系統的功能安全相關開發,為保 障汽車安全提供幫助,將產生相應的社會和經濟效益。
同時,ISO26262的實施也帶來巨大的挑戰:整車廠商和供應商要在公司安全文化、工作流程制定和產品設計與開發等方面進行持續改進,以 滿足ISO26262要求,提高產品的安全性與競爭力。
ISO9001認證初審第一階段審核目的
專利侵權糾紛中合法來源抗辯,并非不侵權抗辯
兩化融合貫標簡介,兩化融合貫標流程及注意事項
ISO14001:2015環境管理體系標準
為什么ISO9001認證有利于雙方快速達成協議?
《16949理解與實施》連載——8.3.6 設計和開發更改
質量管理體系認證包括哪些
國際標準ISO9000中對信息的定義,iso9000對信息的定義
1功能安全的概念及ISO 26262由來
功能安全是指避免由系統功能性故障導致的 不可接受的風險。功能安全關注系統故障后的行 為,而不是系統的原有功能或性能。以采用電子 節氣門的發動機管理系統為例,加速踏板位置傳 感器信號是發動機輸出轉矩主要決定因素,若該 傳感器發生故障使其指示位置大于實際位置,則 可能導致發動機輸出轉矩過大,造成車輛發生非 駕駛員期望的加速,這是發動機管理系統的一個 功能安全風險。從設計上采取措施,使加速踏板 傳感器故障發生時發動機轉矩仍然可控,則提高 了發動機管理系統的安全性。
20世紀90年代,德國、美國相繼頒布了功能安全相關標準(DINV 19250和ISA S 84. 01),在此基礎之上,國際電工協會(IEC)于2000年頒布 了關于電子、電氣和可編程電子系統(E/E/PE)的功能安全國際標準IEC 61508。IEC 61508一經頒布就得到了廣泛采用,在它的基礎上,各個工業應用領域的標準也陸續出臺。
然而,起源于過程工業領域的IEC61508并不完全適用于汽車工業,例如:它沒有考慮汽車工業 的分布式開發模式;它定義了一個與汽車工業不同的生命周期(測試在產品發布后進行);它的量化要求(如失效率)沒有考慮大規模批量生產的情況。隨著安全相關的電子電氣系統在汽車上的廣泛應用,汽車工業對電子電氣系統功能安全標準的需求也越來越迫切。因此,國際標準化組織(ISO)在IEC 61508的基礎上,制定了專門針對汽車電子電氣系統的功能安全標準,即ISO26262。
2 ISO 26262的內容簡介
ISO26262為汽車電子電氣系統的整個生命周期中與功能安全相關的工作流程和管理流程提 供了指導。在ISO26262中,定義了汽車安全生命周期,汽車安全完整性等級(ASIL)兩個關鍵概念,對這兩個關鍵概念的理解是解讀ISO26262的基礎。
2. 1汽車安全生命周期
圖1展示了ISO26262中定義的汽車安全生命周期,包含了從概念設計、產品開發到批產后各階段的主要安全活動。
功能安全的概念設計必須與整個系統的概念 設計同步進行。在概念設計階段,要基于系統定義和系統初步架構,分析可能存在的功能安全風險并評估風險的等級。然后根據功能安全風險定義安全目標和針對每個安全目標的功能安全概 念。
在產品開發階段,ISO26262按汽車工業中常用的V型開發流程定義相關安全活動:V型的左 側是技術安全需求(功能安全概念的技術實現途徑)的制定、系統設計;V型的右側是系統集成、安全確認和發布。硬件和軟件的開發也遵循相似的小V型開發流程。
在批產之后的階段,需要提供必要的文檔及 方法,以保證在生產、售后服務和報廢等環節中,安全目標不被破壞。同時,需要監控售后產品,發現有違背安全目標的案例要采取相應措施。
2. 2汽車安全完整性等級(ASIL)
IEC 61508中通過失效概率的方式定義了安全完整性等級(SIL),但在汽車領域應用實踐中,只有隨機硬件失效可以通過統計數據評估失效概率,軟件失效難以量化評估。因此,ISO 26262中根據汽車行業的特點定義了ASIL。
ASIL在概念設計階段通過對功能安全風險的評估中得到。如果系統的功能安全風險越大,對應的安全要求就越高,則具有更高等級的ASIL。ASIL分為A、B、C、D 4個級別,ASIL D為最高汽車安全完整性等級,對功能安全的要求最高。
ISO 26262中定義的ASIL使用3個參數進行評估,分別是:危險對駕駛員或其他交通參與人員造成傷害的嚴重程度S,危險所在工況的發生概率E,危險涉及的駕駛員和其他交通參與人員及時采取控制行動避免特定傷害的能力C。S分為0~ 3級,S0代表無傷害,S3代表危及生命的重傷或致命傷;E分為0~ 4級,E0代表工況不可能發生,E4代表工況是常見的;C分為0~ 3級,C0代表完全可控,C3代表非常難于控制。對于每一個識別到的危險,按表1評估風險等級(即汽車安全完整性 等級),其中QM表示與安全無關。
ISO26262為以上3個參數的評定提供了指 導,下面以發動機管理系統為例進行說明。首先,識別發動機管理系統的可能故障及其影響:發動 機管理系統的一個可能故障是控制發動機輸出過大的轉矩,其影響是造成非駕駛員期望的車輛加速;其次,確定已識別故障可導致危險的工況,例如:工況為車輛高速轉彎、接近失穩;最后,按ISO26262的指導分別評定S、E、C級別:上述工況下 加速,將導致車輛失穩并與其他車輛或路邊設施相撞,可能造成人員死亡,S評為3;上述工況的發 生概率相對較低,E可評為2;車輛失穩后,駕駛員幾乎無法進行有效控制避免傷害,C可評為3;按 表1,ASIL為B(僅為示例,不代表標準明確要求或實際工程應用)。
系統的ASIL等級越高,ISO 26262對設計方法、安全技術、測試方法以及需要達到的技術指標的要求越嚴格,開發流程和工作產品的審核和確認也越嚴格。
3ISO 26262的應用
ISO26262為功能安全相關的開發提供了方法論,將保證汽車電子電氣系統的安全性,減少安全事故的發生,產生巨大的社會效益;與此同時,安全相關的投訴和召回事件的減少也將為汽車企業和供應商帶來經濟效益。然而,ISO 26262涉及汽車電子電氣系統的整個安全生命周期及其管理 過程,滿足該標準對汽車企業及供應商來說必將是巨大的挑戰。為滿足ISO26262,必須在公司安 全文化、工作流程制定、產品設計與開發等方面進行持續的改進。
3. 1公司安全文化
在公司組織內部建立和保持安全文化是ISO26262標準的要求,也是促進功能安全有效實現的前提條件。在具有良好安全文化的公司中:安全 應具有最高優先級;獎勵系統應支持和鼓勵功能安全的有效成果,處罰為取捷徑而危及安全和質量的行為。
3. 2工作流程制定
ISO26262對一個完整的汽車安全生命周期定義了安全活動要求。同時,ISO 26262標準中規定組織內部應建立、執行和保持特定的流程,以滿足標準的各項要求。
在一個公司內部為每一個標準單獨設立一個 流程是不現實的,一個可行的方案是將包括ISO26262在內的所有標準融合為公司內部流程,工程師僅需要按照內部流程工作,即可滿足所有標準。
舉例來講,安全計劃是ISO26262要求的重要流程步驟和工作產品,在公司內部流程中,安全計劃可以不是一個獨立的文檔,而是標準項目計劃的一部分,可以在已有的質量評審中增加相關問題,對其進行檢查。
3. 3產品設計與開發系統的功能安全性主要決定于產品設計。
在產品設計和開發階段即采取措施,盡可能減少甚至避免系統性失效和隨機硬件失效,是提高功能 安全最有效和最經濟的方法,也是使產品滿足ISO26262的必要條件。
系統性失效往往由產品設計缺陷導致。在設計中應用演繹的和歸納的分析方法,是及早識別 并避 免 潛在 系 統 性 失 效 行 之 有 效 的 途 徑。ISO26262要求所有功能安全相關的設計均需采用 歸納分析方法,如失效模式和影響分析(FMEA);并要求具有ASILC和D的功能安全相關設計還 需采用演繹分析方法,如故障樹分析(FTA)。除此之外,重用久經實踐驗證并受信任的設計、安全架構和標準接口等,也是避免系統性失效的有效途徑。ISO 26262鼓勵重用受信任的設計原則,并規定對于具有ASILD的系統,棄用受信任的設計原則的決定需要論證。
隨機硬件失效是指由系統中某一個或幾個元 器件的隨機故障導致的失效,是功能安全風險另一個主要來源。ISO 26262制定了量化指標,如表2、3,用 以 評 價 系 統 在 此 方 面 的 安 全 性。產品 硬 件設計必須達到要求的指標,才能滿足ISO26262要求。
硬件架構指標主要用于衡量硬件架構的合理 性。其中單點故障指標等于除單點故障和殘余故障之外的故障占所有故障的比率。以前文所述發
動機管理系統為例,假設對于加速踏板傳感器沒有任何診斷和安全機制,加速踏板傳感器信號線與電源短接將被視為加速踏板完全踩下,直接導 致車輛發生非駕駛員期望的加速。如此,該故障即成為一個單點故障,將導致低的單點故障指標,可能無法達到ASILB的要求。提高單點故障指標的一個方法是設計診斷功能,例如設計加速踏 板傳感器信號線對電源短路的診斷。由于診斷功能具有一定的覆蓋率,在某些工況下可能不能檢查到目標故障,該單點故障未被診斷功能覆蓋的部分將成為殘余故障。因此,設計診斷功能可以降低單點故障指標,但作用有限。降低單點故障指標的另外一種方法是設計冗余概念,如設計兩 個獨立的加速踏板傳感器,使其信號可相互校驗。如此,兩個傳感器同時發生故障才可能導致失效發生,單點故障轉化為多點故障(此處為兩點故 障),單點故障指標得到了提高。
潛伏故障指標等于安全故障和非潛伏故障占 多點故障的比率。在上例中,如果診斷功能故障,可能不會被檢測到或被駕駛員察覺,在這種情況下如果發生短路,將導致安全風險。該診斷功能的故障可視為潛伏故障。與單點故障指標相同,設計 冗 余、診斷 等 安 全 機 制,可減 少 潛 伏 故 障,提高潛伏故障指標。
高的硬件架構指標表明系統具有好的安全架 構,但并不一定代表系統足夠安全。如上例中的冗余概念,如果兩只傳感器的失效率都很高,那么系統仍可能無法滿足表3中隨機硬件失效率指標 的要求。ISO 26262規定隨機失效率考慮單點故障、殘余故障和雙點故障,在硬件元件本身失效率的基礎上,考慮診斷和監控技術覆蓋率,可得出該隨機失效率指標。因此,降低該指標需要結合低失效率的硬件和高診斷覆蓋率的安全機制。
ISO26262是針對汽車電子電氣系統的功能安全標準,是IEC61508在汽車行業中的應用。該標準定義了完整的汽車安全生命周期,提供了一 套方法用于評估汽車安全完整性等級ASIL,并基于ASIL定義了用于實現安全目標的安全活動要求。作為ISO組織發布的國際標準,其實施將規范汽車電子電氣系統的功能安全相關開發,為保 障汽車安全提供幫助,將產生相應的社會和經濟效益。
同時,ISO26262的實施也帶來巨大的挑戰:整車廠商和供應商要在公司安全文化、工作流程制定和產品設計與開發等方面進行持續改進,以 滿足ISO26262要求,提高產品的安全性與競爭力。
ISO9001認證初審第一階段審核目的
專利侵權糾紛中合法來源抗辯,并非不侵權抗辯
兩化融合貫標簡介,兩化融合貫標流程及注意事項
ISO14001:2015環境管理體系標準
為什么ISO9001認證有利于雙方快速達成協議?
《16949理解與實施》連載——8.3.6 設計和開發更改
質量管理體系認證包括哪些
國際標準ISO9000中對信息的定義,iso9000對信息的定義