当前位置 博文首页 > Allen Roson:ISO26262-道路车辆功能安全
目录
?
ISO26262-道路车辆功能安全
1.ISO 26262概念
2.ISO 26262基本框架
3. 什么是功能安全
4.安全管理
4.1 产品发布后的安全管理
4.2 开发阶段安全管理
4.3 整体的安全管理
?
ISO 26262《道路车辆功能安全》国际标准是针对总重不超过3.5吨八座乘用车,以安全相关电子电气系统的特点所制定的功能安全标准,基于IEC 61508《安全相关电气/电子/可编程电子系统功能安全》制定,在2011年11月15日正式发布。
?
Part 1:定义
Part 2:功能安全管理
Part 3:概念阶段
Part 4:产品研发:系统级
Part 5:产品研发:硬件级
Part 6:产品研发:软件级
Part 7:生产和操作
Part 8:支持过程
Part 9:基于ASIL 和安全的分析
Part 10:ISO26262 导则
?
从ISO 26262的结构构成可以看到,标准涵盖了全生命周期的安全要求,功能安全管理、概念阶段、系统研发、硬件研发、软件研发、生产和操作过程、售后,但比例最大的是站在产品设计阶段这个时间节点上,考虑怎样从设计上实现产品安全,可以基于原有的功能实现安全,也可以额外添加功能,实现安全。总之,标准给设计研发阶段的流程要求和建议比较详细,是研发技术人员开发产品的好参考。标准的基本认知是系统过于复杂以后,复杂的相互作用,使得外人很难通过测试或者预测的方式,全面估计失效的位置和失效方式。因此使得预防显得非常重要。
IEC 61508中有一段标准原文:“安全是指避免会造成人体健康损害或人身损伤的不可接受风险,而这种风险是由于对财产或环境的破坏而直接或者间接地导致的。功能安全是整体安全的一部分,它依赖于一个系统或设备对其输入的正确响应。例如,在电机绕组上装一个热传感器,可以在电机过热前实现断电的过热保护装置。是功能安全的一个例子。但采用特殊的隔热材料来抵御高温就不是功能安全的例子(虽然这也是实现安全的一个例子,并能抵御同样的危险)”基于这段的定义和阐述,对功能安全有几个方面的理解:
(1) 功能安全在规定其他安全设计流程等细节之前,首先是一种意识,一种思考问题的角度,一种设计人员的方法论。从理论层面和流程层面,建立安全保障的防火墙。
(2) IEC61508讨论的安全功能都是由电气、电子、可编程电子技术实现的,与机械的、材料的等等其他手段相区别,但可以同时施加在一个系统中。这个区分并不是说其余安全形势不重要或者安全效果没有电子电气的好,只是这个标准所提示的安全系统不对那些措施做出考虑和评价。安全功能系统,可以与原来的功能系统融合在一起,也可以以独立的形式存在。
(3) 功能安全系统分两部分,功能安全要求和安全完整性要求。安全功能要求,由危险分析决定,需要清晰阐述某个具体的安全功能的目的,实现方法;安全完整性要求,由风险评估确定,按照一个安全功能能够完整执行的可能性的大小,安全等级划分成4个级别,SIL1最低,SIL4最高。安全等级越高,发生危险的概率越低。安全功能要求,需要清晰表述的要素一般包括风险相关参数,风险发生频率,措施实施后造成最严重后果是怎样的,事故率上限是多少等等。安全完整性也可以分成两部分看待,一个是指定系统的风险评估结果,具体落实到哪个安全措施必须实施,这个评估跟风险发生后的危害性高低、风险发生的频率有关。另一个是确定应对这个风险的安全措施的等级。风险越评估结果越严重,需要配置的安全等级也越高。进一步说明安全完整性要求。原来系统中,可能出现危险的频率越高,则要求安全功能的等级必须相应提高。比如一个开门断电安全功能,系统开门频率是每天10次和每年1次,则对这个安全功能要求的安全等级前者比后者要高。总体上,安全功能追求的是人们能够接受的一个事故率的范围。
?
ISO26262所有的要求最终都是为了打造一款“安全”产品而做的要求,可以从三个层面阐述功能安全的管理:
?
01、生 产
提到生产,我们很容易联系到流水线,每个工人做的事情都比较简单重复,但是串起来就可以组成一个产品,假如这个过程某一步不合格,则就可能影响到产品的安全(比如烧错了程序),因此为了确保产品无缺陷,增加一步下线检测,只有下线检测通过(现场数据)才允许产品出厂。所以这里的安全管理,就是通过相关人员、一定的手段,获取监控数据,确保生产的产品安全。
02、维 修
有车的都知道,车坏了要去4S店,为啥我们相信4S店,是因为我们认为他们是经过专业培训的,懂操作流程和操作规范。一般产品维修也有维修的流程,维修人员操作规范等,同时会对维修人员进行一定的培训,因为错误的的操作、错误的维修流程可能导致产品变砖头,因此这里的安全管理就是维护好这些操作规范、维修流程、以及培训好维修人员等。
03、报 废
产品的报废也需要按照一定的流程,否则可能造成环境、人身的危害,这里的安全管理就是规定产品如何报废,如何回收等。比如动力电池含有众多的重金属,需要让专门的部门,按照专门的回收流程来回收,确保产品在报废过程中不影响到环境以及人身安全。
?
01、人 员
要做开发,必须要有相应能力的开发人员,否则一切都免谈,那么开发阶段需要什么样的开发人员、需要多少开发人员那就得好好管理起来了。
对于功能安全产品开发来说,首先需要系统工程师,系统工程师对整个产品可以从系统角度去思考和定义产品,同时系统工程师清晰的了解市场上同类产品的相关参数,因此可以去定义有竞争的产品,其次系统工程师应该了解软件、硬件甚至生产工艺等,以确保系统设计出的产品可以真正落地。
对于功能安全产品来开发说,其次需要硬件工程师,硬件工程师则针对电源、芯片等和业务相关的硬件设计有相关经验,同时硬件应对市面上的元器件选型有一定了解,方便采购,再者提到功能安全,需要能够进行FMEDA分析,懂FMEA技术。
还需要软件人员,软件人员不仅需要懂得编码,懂得MISARC,还需要懂汽车电子主流的软件架构,包括Autosar、Osek等,另外汽车电子盛行的MBD开发等,当然不懂测试的开发不是好开发,单元测试集成测试都得懂。
此外还需要测试相关人员,能够对设计的产品进行软硬件层面、系统层面以及整车层面的验证,一般测试人员需要懂产品的功能以及非功能性需求,懂测试技术,懂HIL等等。
02、计 划
产品开发一定要有计划,不能走到哪算哪,因此针对每个开发阶段都需要有详细的计划,包括系统开发计划和验证计划、硬件的开发和验证计划、软件的开发和验证计划、测试与测试计划。
计划不是一成不变的,需要根据开发阶段的上游开发完成情况,去实时更新计划,确保计划的可行性。
03、?文 档
开发阶段会释放出大量的Work Product,那么这些文档一般都需要有相关的版本、模板、要求等,还需要有相关的维护责任人,确保每个文档的质量,同时为了满足追溯的要求,应对每个文档,甚至文档中的每个项,建立关联关系,确保从上到下开发的一致性。
04、其 他
这里主要说一说支持过程,这里放到开发阶段,因为这些可以和开发阶段结合一起来做,包括流程管理、配置管理以及变更管理。流程管理就是根据实际的开发
?
上升到公司层面的管理,主要涉及一些大的方面,下面九脑汇学院分别从几个方面进行说明。
01、文 化
文化的概念很大,这里仅仅说安全文化,所谓的安全文化,就是公司提倡一些有利于提升产品安全的事情,比如鼓励按照流程做事,鼓励代码规范编写、硬件规范设计、测试规范执行、文档规范编写等行为,反对违背安全流程的行为等等,同时应该将安全文化在人员中传播,包括讲座、会议、讨论等形式,也必须有一部分人以身作则,树立榜样等。
02、人 力
涉及到公司层级的人力,包括对人员的能力评级,建立人员的上升通道,针对功能安全来说,需要有功能安全认证的工程师,同时培养专业的功能安全工程师、功能安全经理等。
03、质 量
公司应有专门的质量部,质量部负责发布相关的质量规范,负责产品的质量审查,同时推进公司的质量体系建设,确保产品符合相关的质量认证体系。
?
?
cs