汽车功能安全标准“ISO 26262”导入实践(上)
1. 前言
近年來(lái),在汽車領(lǐng)域,隨著自動(dòng)駕駛技術(shù)的持續(xù)創(chuàng)新并迅速發(fā)展,越來(lái)越需要有助于在緊急情況下防患于未然的功能(功能安全)、以及將功能安全標(biāo)準(zhǔn)化的 ISO 26262 等標(biāo)準(zhǔn)。特別是在技術(shù)創(chuàng)新卓著的中國(guó),ISO 26262(功能安全)已被確立為以“GB/T”開(kāi)頭的推薦性國(guó)家標(biāo)準(zhǔn),ISO 26262 的第一版中文譯本“GB/T 34590”已于2017 年 10 月發(fā)布,并且已于 2018 年 5 月起開(kāi)始施行。
在這種背景下,不僅汽車制造商(OEM),越來(lái)越多的汽車電子產(chǎn)品制造商(Tier1)也紛紛加速了功能安全支持,從全球范圍來(lái)看,實(shí)現(xiàn)功能安全已經(jīng)是必經(jīng)之路。
本文將從半導(dǎo)體制造商的角度,在對(duì)功能安全和 ISO 26262 的關(guān)注度日益增加,并需要采取行動(dòng)積極應(yīng)對(duì)的背景下,介紹功能安全和ISO 26262是什么,以及它們?nèi)绾斡绊懽钚碌钠囶I(lǐng)域。
2. 什么是功能安全?
首先,讓我們重新思考一下什么是“功能安全”。
2-1. “安全”的定義
當(dāng)突然被問(wèn)及“請(qǐng)您解釋一下安全是怎樣的狀態(tài)”時(shí),可能很多人都難以立即作答。順便提一下,在安全問(wèn)題相關(guān)的基礎(chǔ)導(dǎo)則--國(guó)際基本安全標(biāo)準(zhǔn)第一版 ISO/IEC Guide 51 中,對(duì)安全的定義是“安全 = 免于不可接受的風(fēng)險(xiǎn)”。這是一句雙重否定句,可能在中文里很難立即理解,但是在英文中被描述為“Freedom from risk which is not tolerable”,可能更容易理解。但是,無(wú)論如何也很難用一句話來(lái)解釋清楚“安全”到底是什么,因此我們先來(lái)解釋一下安全的定義。
“安全”的反義詞是“危險(xiǎn)”。那么,“危險(xiǎn)”是怎樣的狀態(tài)呢?有時(shí)會(huì)將“危險(xiǎn)”狀態(tài)稱為“有風(fēng)險(xiǎn)”。通常,“風(fēng)險(xiǎn)”有大有小。因此,通過(guò)針對(duì)“危險(xiǎn)”(即高風(fēng)險(xiǎn))采取措施并使風(fēng)險(xiǎn)降低到能夠接受范圍,“危險(xiǎn)”狀態(tài)就會(huì)變?yōu)椤鞍踩睜顟B(tài)。換句話說(shuō),“安全”狀態(tài)也可以稱之為“沒(méi)有不可接受的高風(fēng)險(xiǎn)的狀態(tài)”。現(xiàn)在能夠理解開(kāi)頭的“安全 = 免于不可接受的風(fēng)險(xiǎn)”這句話了吧。
2-2. “本質(zhì)安全”與“功能安全”的比較
那么,“功能安全”是什么意思?在介紹“功能安全”時(shí),經(jīng)常引用的術(shù)語(yǔ)是“本質(zhì)安全”。在此我們想通過(guò)與“本質(zhì)安全”的比較來(lái)介紹“功能安全”。“本質(zhì)安全”是一種通過(guò)消除危險(xiǎn)原因來(lái)確保安全的方法。而“功能安全”是通過(guò)功能方面的努力將風(fēng)險(xiǎn)降低到可接受水平來(lái)確保安全的方法。
例如,以道路和鐵路交叉口為例,讓我們來(lái)思考一下應(yīng)該采取什么措施來(lái)避免汽車和火車之間發(fā)生碰撞(圖 1)。
為了消除道路和鐵路交叉的危險(xiǎn)原因,將道路和鐵路分開(kāi),建立交橋來(lái)避免碰撞的做法就是基于“本質(zhì)安全”的思路。按照“本質(zhì)安全”的思路,采用立交橋的做法,可以從物理上消除汽車與火車之間的碰撞。而“功能安全”的方法則可能是通過(guò)設(shè)置鐵路道口來(lái)避免碰撞。在道路與鐵路的交叉處設(shè)置警報(bào)器和欄桿,在鐵路上安裝傳感器,當(dāng)傳感器檢測(cè)到火車接近時(shí),警報(bào)器響起,并降下欄桿。當(dāng)另外的傳感器檢測(cè)到火車已經(jīng)通過(guò)時(shí),警報(bào)器停止,并升起欄木機(jī)。雖然道路與鐵路在物理上仍然交叉,但可通過(guò)設(shè)置鐵路道口的方法將把汽車和火車相撞的風(fēng)險(xiǎn)降低到可接受的水平。這就是“功能安全”的思路。
圖 1. 本質(zhì)安全與功能安全的思路
如前面的案例所示,“本質(zhì)安全”可以確保絕對(duì)的安全性,但是通常會(huì)很昂貴。相比之下“功能安全”很多時(shí)候只要相對(duì)較低的成本就可實(shí)現(xiàn),但在設(shè)計(jì)時(shí)必須考慮到當(dāng)附加的功能發(fā)生故障時(shí)應(yīng)如何確保安全。在上述“功能安全”的案例中,如果傳感器損壞,那么即使火車接近時(shí),警報(bào)器和欄桿也不會(huì)工作。這樣,就會(huì)立即變?yōu)椤拔kU(xiǎn)”狀態(tài),因此就需要一種即使傳感器損壞也不會(huì)引發(fā)危險(xiǎn)狀態(tài)的設(shè)計(jì)。例如,對(duì)傳感器增加自我診斷電路,設(shè)計(jì)為如診斷出自身有問(wèn)題就會(huì)降下欄桿。這樣即使發(fā)生故障也會(huì)導(dǎo)向安全的方向,這就是“故障安全(Fail Safe)”的思路。或者需要進(jìn)行“冗余設(shè)計(jì)”,比如設(shè)置雙重傳感器,即使一個(gè)傳感器損壞,另一個(gè)傳感器也會(huì)工作,在此期間可以對(duì)損壞的傳感器進(jìn)行修復(fù)。順便提一下,作為雙重保險(xiǎn)的案例,還有鐵路道口警報(bào)器的紅燈、汽車的前燈/尾燈等。這些不僅是出于外觀設(shè)計(jì)的考慮,而且還有雙重保險(xiǎn)的考慮,即使一個(gè)燈滅了也能確保最低限度的安全。
2-3 如何實(shí)現(xiàn)功能安全
為了避免嚴(yán)重事故的發(fā)生,需要基于“人會(huì)犯錯(cuò)”、“東西會(huì)損壞”的考慮來(lái)進(jìn)行制造,因而有了“功能安全”。要想實(shí)現(xiàn)功能安全,需要防止人受到設(shè)計(jì)對(duì)象的動(dòng)作或行為的危害,而要想實(shí)現(xiàn)這一目標(biāo),就需要同時(shí)考慮到“系統(tǒng)性故障”和“隨機(jī)性故障”這兩方面。
“系統(tǒng)性故障”是指在設(shè)計(jì)時(shí)就隱含的潛在故障,通常稱為“Bug(漏洞,缺陷)”。要想防止系統(tǒng)性故障,就需要構(gòu)建一個(gè)不會(huì)引起設(shè)計(jì)漏洞的設(shè)計(jì)流程。具體而言,需要從根據(jù)要求制定規(guī)格開(kāi)始,明確每一個(gè)流程(如設(shè)計(jì)、驗(yàn)證、試制、評(píng)估等),并在各階段進(jìn)行評(píng)審。而且還需要管理各階段制作的表單類文件,確保可以隨時(shí)取用。而“隨機(jī)性故障”則是指制造后發(fā)生的故障。由于不能完全預(yù)防隨機(jī)性故障,因此有必要設(shè)立一種安全機(jī)制,以確保即使發(fā)生這種故障也不會(huì)對(duì)人造成危害。
2-4 半導(dǎo)體的功能安全
隨著以車載和工業(yè)設(shè)備為中心的技術(shù)創(chuàng)新,電子產(chǎn)品變得越來(lái)越高難度,越來(lái)越復(fù)雜,半導(dǎo)體的作用也越來(lái)越大,對(duì)半導(dǎo)體采取功能安全措施的要求也越來(lái)越高。
通常,半導(dǎo)體產(chǎn)品是在硅電路板上形成電路、并被稱為“模塑”的黑色樹(shù)脂固封,因此內(nèi)部是看不見(jiàn)的。然而,在這種小黑塊中卻包含著成千上萬(wàn)的晶體管和電阻等元件,因此,電路和模塊結(jié)構(gòu)等也很復(fù)雜。為了應(yīng)對(duì)這些半導(dǎo)體產(chǎn)品的故障,需要從開(kāi)始設(shè)計(jì)之前的規(guī)格制定階段就納入適當(dāng)?shù)墓δ馨踩拍睢R虼?#xff0c;半導(dǎo)體本身也需要同時(shí)考慮到對(duì)應(yīng)系統(tǒng)性故障和隨機(jī)性故障的“功能安全”支持。
3. 與 ISO 26262 相關(guān)的標(biāo)準(zhǔn)
我們已經(jīng)對(duì)“功能安全”的概念有所了解,下面來(lái)概述介紹本文的主題--功能安全標(biāo)準(zhǔn)“ISO 26262”。另外,請(qǐng)記住功能安全標(biāo)準(zhǔn)不僅僅局限于汽車領(lǐng)域,在其他領(lǐng)域也有各種功能安全標(biāo)準(zhǔn)。
3-1 主要的標(biāo)準(zhǔn)
在詳細(xì)介紹“ISO 26262”標(biāo)準(zhǔn)之前,先來(lái)介紹一下主要標(biāo)準(zhǔn)。首先,“ISO”是指 International Organization for Standardization(國(guó)際標(biāo)準(zhǔn)化組織),是總部位于瑞士日內(nèi)瓦的非政府機(jī)構(gòu),旨在制定并推廣國(guó)際標(biāo)準(zhǔn)(IS:International Standard)。其中 ISO 9001(質(zhì)量管理體系)和 ISO 14001(環(huán)境管理體系)是非常有名的標(biāo)準(zhǔn),估計(jì)很多人可能都聽(tīng)說(shuō)過(guò)。
其次是“IATF 16949”,汽車行業(yè)的國(guó)際質(zhì)量管理體系標(biāo)準(zhǔn)。順便提一下,IATF 標(biāo)準(zhǔn)是由國(guó)際汽車工業(yè)特別工作組制定的。“IATF 16949”是在“ISO 9001:2015”的基礎(chǔ)上添加了汽車工業(yè)相關(guān)的必要事項(xiàng),因此必須與 ISO 9001 一起使用。“ISO 26262”是以已經(jīng)存在“IATF 16949”這樣的質(zhì)量管理體系為前提制定的。
3-2? ISO 26262 的由來(lái)及其他功能安全標(biāo)準(zhǔn)
前面提到的 ISO 26262 是汽車電氣/電子系統(tǒng)相關(guān)的“功能安全”標(biāo)準(zhǔn),是基于 IEC 61508(也被稱為功能安全的母標(biāo)準(zhǔn))制定的(圖 2)。
IEC 61508 是由 IEC(International Electrotechnical Commission:國(guó)際電工委員會(huì))制定的電氣、電子、可編程電子系統(tǒng)的功能安全國(guó)際標(biāo)準(zhǔn),對(duì)象為工廠、發(fā)電廠、機(jī)械、鐵路、醫(yī)療設(shè)備、家用電器等。ISO 26262 是遵循 IEC 61508 的基本思路和框架,并根據(jù)汽車的電氣/電子系統(tǒng)進(jìn)行修改而成的。
圖 2. 功能安全的標(biāo)準(zhǔn)體系
順便提一下,在其他行業(yè)中也有很多基于 IEC 61508 的功能安全標(biāo)準(zhǔn)。具有代表性的標(biāo)準(zhǔn)有:流程工業(yè)(IEC 61511)、工業(yè)機(jī)械(IEC 62061)、機(jī)械類的控制系統(tǒng)(IEC13849)、可調(diào)速電力驅(qū)動(dòng)系統(tǒng)(IEC61800-5-2)、家用電器(IEC 60335-1)、核能(IEC 61513)、鐵路(IEC 62278)、機(jī)器人設(shè)備(ISO13482)、醫(yī)療設(shè)備(IEC 60601)、電梯(EN81)、爐用電氣設(shè)備(EN50156-1)等。
應(yīng)該指出的是,雖然 ISO 26262 旨在實(shí)現(xiàn)功能安全,但它并不是法律。因此,不遵守 ISO 26262 標(biāo)準(zhǔn)并不違法。但是,汽車制造商不會(huì)購(gòu)買不符合標(biāo)準(zhǔn)的產(chǎn)品。汽車制造商通過(guò)根據(jù) ISO 26262 設(shè)計(jì)電氣/電子系統(tǒng)來(lái)證明能夠確保汽車的安全。而且,設(shè)計(jì)應(yīng)確保即使發(fā)生了電氣/電子系統(tǒng)故障,也不會(huì)造成人身(不僅包括駕駛員和乘客,還包括行人等)傷害。
3-3 如何滿足 ISO 26262 標(biāo)準(zhǔn)?
要想滿足 ISO 26262 標(biāo)準(zhǔn),就需要從“流程支持”和“產(chǎn)品支持”這兩方面來(lái)對(duì)應(yīng)。這種標(biāo)準(zhǔn)中所說(shuō)的“流程”是指包括輸入、處理、輸出在內(nèi)的整個(gè)流程,“流程支持”是指在包括開(kāi)發(fā)步驟在內(nèi)的整個(gè)開(kāi)發(fā)流程中進(jìn)行對(duì)應(yīng)。要求通過(guò)完善公司內(nèi)部規(guī)定和開(kāi)發(fā)標(biāo)準(zhǔn)等,來(lái)建立開(kāi)發(fā)時(shí)所需的文件和評(píng)審等開(kāi)發(fā)流程。
“產(chǎn)品支持”是指在產(chǎn)品功能方面的對(duì)應(yīng),在設(shè)計(jì)的產(chǎn)品中設(shè)置一種安全機(jī)制,能夠在產(chǎn)品的哪里發(fā)生了故障時(shí)檢測(cè)出該故障,并進(jìn)行某種處理,從而避免危險(xiǎn)。接下來(lái)再稍微具體一些思考一下流程支持和產(chǎn)品支持。
前面介紹過(guò),從“人會(huì)犯錯(cuò)”的角度看,設(shè)計(jì)時(shí)隱含的潛在故障(=即 Bug,缺陷,漏洞)是系統(tǒng)性故障,作為避免這種系統(tǒng)性故障的對(duì)策,就需要流程支持。要想在設(shè)計(jì)時(shí)不存在潛在缺陷,應(yīng)規(guī)定開(kāi)發(fā)時(shí)所需的文件和評(píng)審等,并將其作為文檔保留以用作證據(jù)。所有的軟件故障都是系統(tǒng)性故障。
另外,前面也介紹過(guò),從“東西會(huì)損壞”的角度看,將市場(chǎng)(或工廠)發(fā)生的故障歸為隨機(jī)性故障(或隨機(jī)性硬件故障),作為應(yīng)對(duì)這種隨機(jī)性故障的對(duì)策,就需要產(chǎn)品支持。在設(shè)計(jì)時(shí)需要考慮到各種余量以避免產(chǎn)品損壞。從功能安全的角度出發(fā),要求即使發(fā)生故障也不會(huì)造成人身傷害。
因此,需要設(shè)立一種安全機(jī)制,以確保能夠檢測(cè)出故障并針對(duì)不同的故障做出適當(dāng)?shù)奶幚怼T谠O(shè)計(jì)初期的規(guī)格探討階段,需要研究并探討每種功能可能會(huì)發(fā)生的故障,以及針對(duì)該故障應(yīng)該設(shè)立什么樣的安全機(jī)制。產(chǎn)品支持是指為了對(duì)應(yīng)隨機(jī)性故障從而增加安全機(jī)制。
3-4 設(shè)計(jì)者的產(chǎn)品責(zé)任
可能您沒(méi)有聽(tīng)說(shuō)過(guò)“產(chǎn)品責(zé)任(Product Liability)”吧。產(chǎn)品責(zé)任是指由于產(chǎn)品的缺陷,造成了人身傷害或財(cái)產(chǎn)損失,甚至危及人的生命安全時(shí),應(yīng)該由產(chǎn)品的生產(chǎn)者承擔(dān)賠償責(zé)任。設(shè)計(jì)者需要證明自己設(shè)計(jì)的產(chǎn)品不存在設(shè)計(jì)缺陷(即 Bug),因此設(shè)計(jì)者需要保留設(shè)計(jì)依據(jù)和設(shè)計(jì)時(shí)的假設(shè)等各種證據(jù),因此應(yīng)對(duì)產(chǎn)品責(zé)任也可以被視為流程支持的一部分。
汽車功能安全標(biāo)準(zhǔn)“ISO 26262”導(dǎo)入實(shí)踐(下),請(qǐng)持續(xù)關(guān)注我
總結(jié)
以上是生活随笔為你收集整理的汽车功能安全标准“ISO 26262”导入实践(上)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 不要怂!就是干!
- 下一篇: 谈谈NiTE 2手部跟踪在彩色图像上的显