安全性是汽車研發(fā)制造最關(guān)注的要素��。
一款新型汽車無(wú)論集成多么先進(jìn)的駕駛功能���,設(shè)計(jì)者都需要提供充足的證據(jù)以證明新增加的功具備足夠的安全性以滿足整車安全的要求。隨著汽車電氣化和智能化程度的提高����,整車電氣和電子系統(tǒng)的復(fù)雜性也隨之提升。電子/電氣系統(tǒng)復(fù)雜性的提升帶來(lái)了系統(tǒng)失效和隨機(jī)失效風(fēng)險(xiǎn)的增高����,隨之帶來(lái)的汽車安全的不確定性�����,這成為了當(dāng)今汽車智能化變革路上最大的挑戰(zhàn)���。
2011年國(guó)際標(biāo)準(zhǔn)化組織道路車輛技術(shù)委員會(huì)基于IEC61508(2000年首次發(fā)布)對(duì)“道路汽車” 的電氣/電子系統(tǒng)的特殊安全性進(jìn)行了梳理,提出了與汽車功能安全相關(guān)的電氣/電子硬件和軟件以及相關(guān)組件在設(shè)計(jì)��、生產(chǎn)���、服務(wù)以及報(bào)廢全生命周期的安全要求及驗(yàn)證要求。ISO26262《公路汽車功能安全性》正式誕生�����。目前ISO26262認(rèn)證是產(chǎn)品進(jìn)入汽車電子/電氣零部件及系統(tǒng)供應(yīng)鏈體系的必要條件����。
ISO26262的具體要求
ISO26262為車輛全生命周期(包括產(chǎn)品研發(fā)、生產(chǎn)���、使用�����、維保和報(bào)廢)中保證電子/電氣系統(tǒng)的功能安全提供了相應(yīng)的安全保證措施���,如提供了如何評(píng)估/改善/驗(yàn)證安全性的要求��、方法和管控流程�,同時(shí)還提供了包括機(jī)械���、液壓��、氣壓等其他技術(shù)在內(nèi)的安全性保證框架�����。
ISO26262從整車功能安全性角度出發(fā)���,通過(guò)對(duì)功能相關(guān)項(xiàng)的危害分析、風(fēng)險(xiǎn)評(píng)估�����、確定汽車安全完整性等級(jí)(ASIL),進(jìn)而確定安全目標(biāo)����。
為達(dá)成安全目標(biāo),細(xì)分了功能相關(guān)項(xiàng)���,組成相關(guān)項(xiàng)的電子/電氣系統(tǒng)�,組成系統(tǒng)的各組件����,以及組成各組件的元器件幾層,針對(duì)每個(gè)層級(jí)制定相應(yīng)的功能安全概念和技術(shù)安全概念���,并通過(guò)評(píng)審�、驗(yàn)證等手段對(duì)相關(guān)項(xiàng)安全性是否達(dá)成和有效進(jìn)行評(píng)價(jià)�。
評(píng)審一般針對(duì)在系統(tǒng)開發(fā)過(guò)程中,為達(dá)成相關(guān)項(xiàng)安全目標(biāo)所做工作而形成的工作成果而進(jìn)行評(píng)審(走查/檢查/認(rèn)可評(píng)審)�,工作成果包括約86類成果文件��,涵蓋了從產(chǎn)品概念提出階段直至報(bào)廢全生命周期功能安全活動(dòng)的文檔資料�����,也包括研制方和供應(yīng)商的管理文件。
對(duì)于電子組件和元器件研制和制造者�����,ISO26262提供相應(yīng)的安全認(rèn)證指南��。針對(duì)ISO26262進(jìn)行專門開發(fā)的電子組件或元器件�����,需按照ISO26262-5的開發(fā)要求安全活動(dòng)進(jìn)行開發(fā)和驗(yàn)證��。
而對(duì)貨架電子組件或元器件�,開發(fā)階段并沒(méi)有引入ISO26262的安全概念,需根據(jù)ISO26262-8對(duì)硬件要素的評(píng)估要求進(jìn)行安全功能評(píng)估和背離安全目標(biāo)風(fēng)險(xiǎn)評(píng)估�����。對(duì)于此類貨架電子組件和元件器在評(píng)估時(shí)����,根據(jù)產(chǎn)品的特性、評(píng)估難度的差異以及要素在安全概念中的作用進(jìn)行分類(Class Ⅰ-Class Ⅲ)�。
Class Ⅰ
Class Ⅰ類組件或元器件屬于最簡(jiǎn)單的認(rèn)證要素(電子組件/元器件的統(tǒng)稱),被動(dòng)元件和分立器件屬于此類要素���,共性特點(diǎn)工作模式較少��,工作參數(shù)能夠全面評(píng)價(jià)且內(nèi)部沒(méi)有故障診斷和控制機(jī)制���。在ISO26262-11-2011版本中���,此類被評(píng)估要素只需經(jīng)過(guò)ISO16750或AEC-Q相應(yīng)的標(biāo)準(zhǔn)認(rèn)證即可,而在2018版本中����,此類要素不需要進(jìn)行單獨(dú)評(píng)估,而是在更高的集成層面進(jìn)行評(píng)估即可���。
Class II類要素的特點(diǎn)是工作模式多樣�,但內(nèi)部同樣不具備安全診斷和控制機(jī)制��,如傳感器�,沒(méi)有集成IP內(nèi)核的集成電路屬于此類要素。此類要素的評(píng)估需按照ISO26262-8采用分析(對(duì)數(shù)據(jù)����、文件���、模型�、記錄的分析)和測(cè)試(針對(duì)功能,使用環(huán)境的安全性進(jìn)行試驗(yàn)驗(yàn)證)進(jìn)行評(píng)估��,被評(píng)估的要素對(duì)外界應(yīng)力的魯棒性測(cè)試按照ISO26262-5進(jìn)行評(píng)估��。
評(píng)估的目的是分析和驗(yàn)證要素的功能性能是否能夠符合其規(guī)范���,以及滿足其預(yù)期用途���。這些性能要求應(yīng)充分考慮被評(píng)估要素在正常環(huán)境下以及造成故障發(fā)生環(huán)境下的性能要求。
Class III
Class III類要素的特點(diǎn)是工作模式多樣�����,而且必須要在考慮實(shí)際工作情況下才能對(duì)其功能性能進(jìn)行評(píng)估���,內(nèi)部嵌入安全診斷和控制機(jī)制���,如MCU、DSP�����、集成IP內(nèi)核的集成電路屬于此類要素。對(duì)Class Ⅲ類要素評(píng)估最為復(fù)雜和苛刻�����,此要素除了要滿足如Class Ⅱ類要素安全評(píng)估各項(xiàng)要求外��,還要采用額外的評(píng)估措施����,以能夠說(shuō)明背離安全目標(biāo)和安全要求的風(fēng)險(xiǎn)足夠低。額外的評(píng)估措施包括但不限于:
a) 需要根據(jù)具體的使用功能和使用環(huán)境完成安全相關(guān)功能的驗(yàn)證�。
b)最好具備類似使用場(chǎng)景的使用歷程,以作為硬件安全評(píng)估的支撐依據(jù)���。
c)硬件內(nèi)部要具備獨(dú)立多樣化的執(zhí)行診斷功能的內(nèi)核�����,能夠進(jìn)行芯片安全性的監(jiān)控���。
d)硬件的開發(fā)過(guò)程執(zhí)行了某些安全標(biāo)準(zhǔn),且安全標(biāo)準(zhǔn)與ISO26262的ASIL等級(jí)相當(dāng)�����。正因如此ISO26262中對(duì)非按照ISO26262開發(fā)的Class Ⅲ類要素的評(píng)估是不建議采納的,希望此類要素能夠在未來(lái)的升級(jí)時(shí)充分按照ISO26262-5硬件層開發(fā)要求進(jìn)行升級(jí)�。
