功能安全本是一个更宽泛的话题,但是在汽车电子领域的功能安全,几乎等同于产品开发过程中对ISO26262标准的贯彻。
一、ISO26262:Road vehicles — Functional safety 标准
该标准只针对汽车电子电器系统。会牵涉到与安全相关的电气、电子和软件等相关组件。相比较于其他消费类电子产品,汽车产品的开发过程中,安全始终是一个关键性问题。对于汽车一些重要的子系统,如驾驶辅助系统、动力系统、车辆动态控制系统、主被动安全系统等,都涉及安全工程领域。随着汽车电子产品的技术复杂度提高及软件、机电一体化的大量应用,系统失效和随机的硬件失效的风险大大提升。ISO26262可以:
a. 提供车辆安全生命周期的支持(管理、开发、生产、操作、服务、拆解);
b. 提供车辆专用的风险评估方法(ASIL,Automotive Safety Integrity Levels,汽车安全完整性等级);
c. 使用ASIL评级提出可实施的功能安全需求,来避免不合理的剩余风险;
d. 向供应商提供功能安全需求。
功能安全受到开发流程(需求、设计、实现、集成、验证、确认和配置)、生产和服务流程、管理流程的影响。
- Vocabulary 一些词汇在功能安全范畴内的含义
a. 什么叫架构(Architecture)?表征一些Building Blocks(如项目item/功能function/系统system/元素element)的结构,以及这些Building Blocks之间的边界和相互之间的接口,以及功能在硬件和软件元素中的分配关系。
b. 什么叫评估(Assessment)?表征对一些项目(item)和元素(element)的特性进行的考核。
c. 什么叫审查(audit)?表征对实施过程的检查。
d. 什么叫标定数据(calibration data)?表征开发过程中,软件构建完成后,需要匹配的数据;注意只是数据,那些可执行、可编译的代码一定不是标定数据。例如,标定参数(Parameters,车辆怠速的引擎转速、发动机特性图)、车辆特性参数(自适应值,例如节流阀限位器)、配置参数(例如国家代码、左舵右舵等)。
e. 什么叫级联故障(cascading failure)? 表征某个item的element故障后导致其他元素或者该item的其他元素故障。
f. 什么叫共因失效(common cause failure)? 表征两个或两个以上的元素或项目的故障由同一个原因导致。
g. 什么叫关联故障(dependent failures)? 表征无法简单按照概率的方式来估计的故障。例如,假如A和B发生的故障为各位Pa和Pb,那么A和B同时发生故障的概率Pab不等于Pa乘以Pb的概率。级联故障和共因失效都是关联故障的一种。
h. 什么叫剩余故障/剩余风险(residual fault/residual risk)? 表征一部分违反了safety goal、安全机制却无法覆盖的硬件故障。例如,某个失效模式中,有60%的故障可以被安全机制覆盖,那么另外40%的无法被覆盖的错误就叫做剩余故障。这个40%,就叫做剩余风险。
i. 什么叫组件(component)? 表征经过逻辑化拆分的、技术向的、分解后的、非系统级别的、包含不止一个硬件或软件单元的元素。
j. 什么叫配置数据(configuration data)? 表征在软件构建过程中,那些能够控制软件构建过程的数据(一般以参数形式存在),例如软件构建脚本、XML配置文件等。
k. 什么叫确认测量/评审(confirmation measure/review)? 确认测量:对功能安全开发过程的确认评审、审查或评估等行为。确认评审:确认产品满足ISO26262标准响应的ASIL等级。
l. 什么叫降级(degradation)? 在失效发生后的一系列安全策略设计,包括功能的减少、性能的减少,或两者皆有。
m. 什么叫可控性(controllability)? 表征相关人员通过外部测量工具的支持,及时避免系统的特定失效或损害的能力。在危害分析与风险评估(Hazard Analysis and Risk Assessment)中,参数C即表征潜在的可控性。
n. 什么叫检测故障(detected fault)? 表征那种可以通过一种安全机制、在规定时间内被检测出的故障。一种常用的专用安全机制实现方式是:检测出错误后、通过仪表盘上的报警装置提醒驾驶员。
o. 什么叫剩余故障
p. 什么叫嵌入式软件(embedded software)? 表征在处理元素中执行的全集成软件。常见的处理元素包括:MCU、FPGA、ASIC, 甚至更加复杂的组件或子系统。
q. 什么叫失效(failure)? 表征元素不再具备执行功能能力的情况。
r. 什么叫故障(fault)? 导致元素失效(failure)的异常状态,叫做故障(fault)。
s. 什么叫冗余(redundancy)? 为了达到安全目标(safety goal)或特定安全需求,而采取的类似于重复功能组件(Duplicated functional components)的方案,来增加系统的有效性和良好的故障检测性。
t. 什么叫鲁棒设计(robust design)? 在有无效输入或其他恶劣环境下运行的系统能够正常运行的设计,叫做鲁棒设计。对于软件的鲁棒性,是指软件能够在各种无效的输入和无效的条件干扰的情况下,正常运行。对于硬件的鲁棒性,是指硬件能够免疫来自环境压力、拥有稳定的使用寿命的能力。
u. 什么叫双点失效/故障(dual-point failure/fault)? 两个相互独立的都出现故障,才导致的不满足safety goal的失效,叫做双点失效。这种失效引起的异常状态叫做双点故障。
v. 什么叫应急操作/应急操作间隔(emergency operation/ emergency operation interval)? 所谓应急操作,是定义在报警与降级概念(warning and degradation concept)阶段的一种降级功能(degraded functionality),指能将系统从故障状态稳定到安全状态的功能。应急操作间隔就是应急操作起作用的指定时间跨度。
w. 什么叫故障响应时间(fault reaction time)? 指系统从检测出故障到达到安全状态的时间跨度。
x. 什么叫容错时间间隔(fault tolerant time interval)? 指一个系统在发生故障后、有一定时间恢复、保证不发生重大破坏的时间间隔。
(TBD)先占坑