下载文档原格式
基于ISO26262的车辆电子电气系统故障注入测试方法尚世亮;王雷雷;赵向东【摘要】基于IS026262《道路车辆功能安全》标准,以车辆电子稳定性控制系统(ESC)的故障注入测试为例,依据车辆安全完整性等级(ASIL),定义了诊断覆盖率要求及相应的传感器典型失效模式,设计出适用于菊花链式CAN总线架构的故障注入电路,编写测试案例及评估准则并进行了实车测试.结果表明,所设计的测试方法能够对车辆电子电气系统相关安全机制进行有效验证,且可对系统进行功能安全评估.【期刊名称】《汽车技术》【年(卷),期】2015(000)012【总页数】4页(P49-51,58)【关键词】电子电气系统;故障注入;功能安全评估【作者】尚世亮;王雷雷;赵向东【作者单位】泛亚汽车技术中心有限公司;泛亚汽车技术中心有限公司;泛亚汽车技术中心有限公司【正文语种】中文【中图分类】U463.6随着汽车电控技术的发展,车载电子电气系统应用日益广泛,但车载电子电气系统在为乘员提供极大便利的同时,因系统潜在失效导致的危害风险也大大增加。
2011年ISO26262《道路车辆功能安全》标准发布实施,该标准基于危害分析和风险评估定义了汽车安全完整性等级(ASIL),用其表征车辆系统潜在失效所导致的危害程度。
但在该标准中仅列举了推荐的验证测试方法名称,未提供具体的测试案例或评估准则,这给汽车企业特别是国内整车企业执行该标准造成了困难。
为此,本文以车辆电子稳定性控制系统(ESC)为例,介绍一种基于总线的故障注入测试方法,为如何依照标准进行功能安全验证测试和评估提供借鉴。
ISO26262《道路车辆功能安全》标准中的ASIL共分为A、B、C、D 4个等级,其中ASIL D为最高等级。
依照ASIL等级,该标准定义了贯穿车辆系统全生命周期的一系列要求,同时强调将功能安全验证测试作为检验系统是否满足既定安全要求的重要手段。
该标准对功能安全验证测试的要求涉及流程和技术两方面。
基于iso 26262的驱动电机系统功能安全概念设计及
测试
一、安全分析:
1.失效模式及影响分析(FMEA):采用FMEA分析方法,通过设计过程中的威胁源进行功能安全风险识别,根据风险等级对系统设计细节和实现进行相应的优化,并建立不安全的报警机制。
2.安全状态:基于潜在不安全状态识别技术,实时地检测驱动电机系统运行时的状态,及时发现错误构成信息,及时通知,避免风险。
3.失效诊断与故障容错:采用故障树分析(FTA)技术,详细识别系统的失效模式和失效影响,并避免系统发出报警后出现危害性故障,设计相应的预防措施,避免系统出现不安全漏洞。
4.少数安全方法:采用关联性故障排除算法(CFEA),统一管理多种类型的安全信号,快速诊断出潜在的安全问题,使得系统达到安全可靠。
二、功能安全测试:
1.对系统文件进行安全性测试:利用软件安全性测试方法,进行模块化测试,使
系统文件达到安全性要求。
2.对功能安全指标进行测试:对功能安全指标实施测试,包括冗余备份、控制冗余、单元保护和实验性测试,依据ISO 26262的规范设计出功能安全指标,测试系统安全性。
3.进行安全性测试:利用Monte-Carlo法计算安全阀值,并设置可信认证机制,实施抗攻击性测试,提高系统的安全性能。
4.模拟实验:根据系统性能要求,进行仿真实验评价,以验证系统安全要求及现有设计正确性,满足安全性结论及回归测试。
汽车电子功能安全标准ISO26262解析(三)——硬件部分汽车电子功能安全标准ISO26262解析(三)——硬件部分原创pianpian_zct 最后发布于2017-12-29 13:09:34 阅读数13865 收藏展开1. The necessary activities and processes for the product development at the hardware level include:(1) the hardware implementation of the technical safety concept;(2) the analysis of potential hardware faults and their effects;(3) the coordination with software development.为了满足ISO26262,硬件方面需要做的工作包括:(1) 功能安全概念的硬件实现;(2) 潜在硬件失效及后果分析;(3) 与软件开发协同合作。
2. 硬件功能安全相关工作:硬件功能安全方面相关工作包括:(1) 5.5 initiation of product development at the hardware level: 启动硬件设计具体包括哪些工作包?目的是决定并计划硬件设计每个阶段的功能安全活动。
输入:完善后的项目计划、完善前的安全计划、完善后的集成测试计划输出:完善后的安全计划(2) 5.6 specification of hardware safety requirements: 定义硬件功能安全需求输入:安全计划、安全概念、系统设计说明书、硬件软件接口说明输出:硬件安全需求(包括测试和验证标准)、完善的硬件软件接口说明、硬件安全需求验证报告如何定义硬件功能安全需求,使用什么工具软件,模板如何?They are derived from the technical safety concept and system design specification.硬件功能安全需求来源于系统安全概念和系统设计文档。
功能安全标准ISO26262在汽车电子电器开发中的应用卢静【摘要】功能安全标准ISO26262是汽车业界继品质和环境后,专门面向电子电器部件安全性的国际标准.欧美和韩日厂商在该领域已经有了较深的积累,而我国的厂商在该领域还处于摸索阶段.本文论述了ISO26262标准指定的背景,该标准的核心的功能安全级别ASIL的推导过程,以及标准对不同ASIL等级的系统的方法要求.【期刊名称】《电子世界》【年(卷),期】2016(000)020【总页数】2页(P124-125)【关键词】功能安全;ISO26262;汽车电子电器【作者】卢静【作者单位】南京航空航天大学金城学院车辆工程系【正文语种】中文本文介绍了功能安全标准ISO26262的制定背景和主要内容,从核心内容的功能安全管理、过程管理和支持过程三个方面分别进行了论述。
在此基础上,对功能安全等级ASIL的推导方法,以及标准对不同ASIL等级的指导方法进行了深入的论述和举例说明。
从汽车行业规格的历史动向上可以看出,继品质和环境后,安全成为汽车行业第三个标准要求。
ISO26262建立在电子电气及可编程器件功能安全基本标准IEC61508之上,专门为汽车行业定制,用于汽车行业中特定的电气器件、电子设备、可编程电子器件等专门用于汽车领域的部件,旨在提高汽车电子、电气产品功能安全的国际标准。
[1]ISO26262从2005年起正式开始制定,于2011年11月正式颁布,成为国际标准。
功能安全标准ISO26262适用于安装在最大总质量不超过3.5吨的量产乘用车上的包含一个或多个电子电器系统的与安全相关的系统。
而特殊用途车辆(例如为残疾驾驶者设计的车辆)不包含在适用范围内。
[2]预计在2018年将发布下一代功能安全标准,届时商用车和摩托车也很有可能被定义在适用范围内。
中国也正在积极进行相应国标的制定,目前意见征求稿已经公开,预计2016年末将正式发布相应的道路测量功能安全国家标准。
基于ISO 26262 功能安全标准的测试系统测试方法(上)
摘要:本文针对汽车电子产品功能安全要求,从测试的角度详细分析
了ISO 26262 标准中的具体要求,包括ISO 26262 对测试流程的规定,对硬件集成和测试的规定,对软件集成和测试的规定,以及对产品集成和测试的规定。
ISO26262 标准概述
功能安全标准(ISO26262)是从电子、电气及可编程器件功能安全基本标
准IEC61508[1]派生出来的,主要定位在汽车行业中特定的电气器件、电子设
备、可编程电子器件等专门用于汽车领域的部件,旨在提高汽车电子、电气产
品功能安全的国际标准[2] 。
ISO26262 从2005 年11 月起正式开始制定,经历了大约6 年左右的时间,已于2011 年11 月正式颁布,成为国际标准。
中国也正在积极进行相应国标的
制定。
ISO26262 主要内容包括:
●提供了汽车生命周期(管理,研发,生产,运行,服务,拆解)和生命
周期中必要的改装活动。
●提供了决定风险等级的具体风险评估方法(汽
车安全综合等级,ASILs[5] )。
●使用ASILs 方法来确定获得可接受的残
余风险的必要安全要求。
●提供了确保获得足够的和可接受的安全等级的
有效性和确定性措施。
功能安全受研发过程(包括具体要求,设计,执行,整合,验证,有效性
和配置),生产过程和服务流程以及管理流程的影响。
安全事件总是和通常的功能和质量相关的研发活动及产品伴随在一起。
ISO26262 强调了研发活动和产品的安全相关方面。
收稿日期:2019-10-17基金项目:天津市交通运输科技发展计划项目(2018-27)作者简介:刘凌飞(1993 ),女,硕士研究生,研究方向为新能源汽车与汽车电子控制技术㊂E⁃mail:liulingfei1130@163 com㊂DOI:10 19466/j cnki 1674-1986 2019 11 007基于ISO26262标准的BMS(ASILC)功能安全设计刘凌飞1,李小鹏1,徐征1,沈圣智2(1.天津职业技术师范大学汽车与交通学院,天津300222;2.天津动核芯科技有限公司,天津300350)摘要:随着新能源汽车的发展逐步趋于电气化和智能化,其电子控制器的数量不断增加,电子控制器的功能安全成为影响新能源汽车安全性的首要问题㊂旨在将标准ISO26262-3:2018的开发要求,应用到动力电池管理系统的功能安全开发中㊂通过对动力电池的管理系统进行功能和结构分析,结合应用场景和危险辨识分析得到系统的潜在危害,提出了电池管理系统(BMS)的安全目标及功能安全需求㊂根据动力电池过放危害,进行危害分析与风险评估以确定BMS的汽车完整性等级(ASIL),并提出了一种分解其ASIL以降低开发成本的方法㊂关键词:新能源汽车;BMS;ISO26262标准;ASIL中图分类号:U469㊀㊀文献标志码:B㊀㊀文章编号:1674-1986(2019)11-030-04FunctionalSafetyDesignofBMS(ASILC)BasedonISO26262StandardLIULingfei1,LIXiaopeng1,XUZheng1,SHENShengzhi2(1.SchoolofAutomationandTransportation,TianjinUniversityofTechnologyandEducation,Tianjin300222,China;2.TianjinDongHeXinTechnologyCo.,Ltd.,Tianjin300350,China)Abstract:Asthedevelopmentofnewenergyvehiclesgraduallybecomeselectrifiedandintelligent,thenumberofelectroniccontrollersisincreasing,thefunctionalsafetyoftheelectroniccontrolleristhefirstproblemtoaffectthesafetyofnewenergyvehicles.AimstoapplydevelopmentrequirementsofISO26262-3:2018tothefunctionalsafetydevelopmentofpowerbatterymanagementsystems.Throughthefunctionalandstructuralanalysisofthebatterymanagementsystemofthepowerbattery,combinedwiththesceneanalysisandhazardidentificationtoderivethepotentialhazardofthesystem,thesafetyobjectivesandfunctionalsafetyrequirementsofthebatterymanagementsystem(BMS)wereproposed,andthehazardwasbasedontheover⁃dischargeofthepowerbattery.Hazardanalysisandriskassessmentofover⁃dischargeofpowerbatterytodeterminetheautomotivesafetyintegrationlevel(ASIL)ofBMSandproposeawaytodecomposeitsASILtoreducedevelopmentcosts.Keywords:Newenergyvehicle;Batterymanagementsystem(BMS);ISO26262Standard;Automotivesafetyintegrationlevel(ASIL)0㊀引言随着汽车上电子/电气(E/E)系统的复杂性不断提高,系统失效和随机硬件失效的风险也不断增加㊂据不完全统计,截至2019年上半年,由于动力蓄电池所引发的电动汽车自燃事故已高达40余起㊂动力蓄电池系统作为新能源汽车的能源系统,承担能量的存储与释放,其内部的电子控制器的功能安全直接影响动力蓄电池的安全性㊂为提高汽车的安全性,针对汽车功能安全,国际标准化组织ISO于2018年发布了第二版ISO26262道路车辆功能安全标准[1]㊂电池管理系统(BatteryManagementSystem,BMS)作为动力蓄电池的核心电子控制器,在其系统功能安全设计过程中应用ISO26262标准要求,将有利于提高其安全性㊂本文作者根据ISO26262标准中的危害分析和风险评估方法,介绍了汽车完整性等级(AutomotiveSafetyIntegrationLevel,ASIL)的确定方法,介绍了ASIL分解的原则,并以BMS的等级确定及分解为示例进行介绍㊂1㊀道路车辆功能安全标准ISO262622018年基于IEC61508安全相关电气/电子/可编程电子系统功能安全,ISO26262被制定㊂它是针对公路车辆内的电子/电气系统的汽车开发行业标准[1],包括了汽车电子电气在安全生命周期的开发过程中与安全相关的所有活动的要求㊂从而确保具备安全功能的电子产品的性能,在车辆使用过程中,即使出现功能性失效的情况,车辆也不会发生危险㊂ISO26262:2018标准体系由12个子标准组成,其中Roadvehicles:Functionalsafety:Part12是针对摩托车定制的[1]㊂Part1 Part11的内容如图1所示,其中第4㊁5㊁6部分,兼容 V 形开发流程图[4],其结构框图如图1所示㊂图1㊀ISO26262:2018标准结构依据ISO26262标准进行功能安全设计时,需要进行危害分析和风险评估㊂根据系统的功能,可采用HAZOP㊁FMEA㊁头脑风暴等方法,结合故障可能会出现的情景进行功能故障分析㊂功能故障和驾驶场景的组合称作危害事件㊂危害事件确定后,依据严重度㊁暴露率和可控性评估危害事件的风险级别 汽车完整性等级(ASIL)㊂其中,严重度是驾驶员㊁乘员或者行人等涉险人员在危害事件中遭受伤害的程度;暴露率是指人员处于失效系统所致的危害场景中的概率;可控性是指驾驶员或其他涉险人员通过相应的应急措施,避免事故或伤害的可能性㊂这3个因子的分类及等级评定如表1所示㊂ASIL设置有4个等级,如表2所示㊂其中D等级的级别最高㊁A等级最低;QM表示质量管理,表示只需按照质量管理体系进行系统或功能的开发,不再需要考虑其他安全相关的设计[2]㊂ASIL等级越高,意味着对系统安全性的要求越高㊂表1㊀严重度㊁暴露率㊁可控性分类㊀㊀㊀㊀㊀㊀严重度㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀暴露率㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀可控性㊀㊀㊀㊀㊀㊀㊀等级描述等级描述等级描述S0无伤害E1很低的概率(<1%)C0完全可控(>99%驾驶员)S1轻度和中度伤害E2低概率(1%)C1简单可控(>99%驾驶员)S2严重伤害(有生还可能)E3中度概率(1% 10%)C2一般可控(>99%驾驶员)S3致命伤害E4高概率(>10%)C3很难控制(<99%驾驶员)表2㊀ASIL等级确定严重性等级危险可能性等级可控性等级C1C2C3S1E1QMQMQME2QMQMQME3QMQMAE4QMABS2E1QMQMQME2QMQMAE3QMABE4ABCS3E1QMQMQME2QMABE3ABCE4BCD可将风险R描述为危险事件的功能函数F㊂风险R与危害事件的发生频率f㊁通过人的及时反应而避免损害或损伤的可控性C以及潜在的严重程度S有关,其函数可表示为R=F(f,C,S)(1)式中f是危害事件的暴露率E发生概率λ的函数㊂发生的频率f由以下2个因素确定:(1)需要考虑危害事件的发生频繁度和危害事件涉及的人数,该因素可用危害事件的暴露率E来代替㊂(2)可能导致危险事件的产品故障率λ,该因素受限于硬件随机故障和系统性故障㊂其表达式如式(2)所示㊂f=Eλ(2)2㊀BMS的等级评定2 1㊀市场车型定位BMS是保护动力电池的使用安全和使用寿命的控制系统㊂通常具有上电自检,对电压㊁电流㊁温度数据进行采样监测,均衡管理,绝缘监控,状态估计(SOC㊁SOH等),高压回路控制,故障诊断,通信,热管理等功能[3]㊂BMS需时刻监控电池的状态,通过检测单体电池的电压㊁电流及温度值,估算动力电池的SOC㊁SOH等值,以确定动力电池的安全状态㊂BMS内部的逻辑计算与控制策略可以防止电池出现过度充电和过度放电的现象,缓解电池组的不一致性,提高电池的利用率[4],保障动力蓄电池的使用安全㊂动力电池系统的BMS控制模块,可分为数据采集与数据通信㊁处理模块,如图2所示㊂该系统由一个主控单元和多个从控单元组成,其中从控单元主要负责单体电压信号采集与均衡处理,主控单元主要负责数据的运算处理㊁系统高压通断㊁热管理及与VCU进行信息交互等㊂图2㊀电动汽车的动力电池系统2 2㊀BMS的危害分析与风险评估对BMS进行危害分析与风险评估时,可将BMS作为一个独立单元,在不考虑其他整车要素的情况下进行㊂首先要对BMS的功能及结构进行分析,可以采用概念阶段所定义的安全生命周期的方法来定义BMS的工作环境和工作状况㊂根据BMS的工作状态,分析其失效或故障状态下可能发生的危害㊂针对BMS的危害至少确定一个安全目标,再根据BMS的安全目标确定其ASIL等级㊂安全目标是最高层面的安全要求,也是危害分析和风险评估的结果[1]㊂结合BMS在动力电池系统中的工作状态,BMS电子控制器的危险动作主要包含过充㊁过放㊁低温充电㊁过度冷却/加热㊁接触器非正常断开/接合㊁过流等㊂以BMS失效为例,该危险事件的危害有:(1)在行驶过程中,BMS失效出现电池过放,引起电池组内部短路和电池包着火㊂(2)高速行驶过程中,高压回路被切断,导致车辆失去动力[2]㊂(3)车辆充电时,由于BMS失效不能保护动力电池,发生过充现象等㊂高速行驶㊁充电是每天都会发生的事情㊂对于不同的失效危害可采取相应的措施,如车辆失去动力后,驾驶员可依靠惯性将车辆驶离主车道,将车辆停靠在路边等待维修处理;车辆充电时着火,驾驶员及乘客可通过门窗逃生等,以保障车辆上人员的生命安全㊂即使危害相同,在不同场景下发生的风险也是不同的,所以需要对不同的驾驶场景进行针对性分析㊂为了简化问题,文中仅对 高速行驶过程中,BMS失效引发电池组过放 这种功能故障进行风险评估㊂根据以上分析,BMS风险评估结果如表3所示㊂驾驶场景是正常道路高速行驶㊂对于同一个安全目标,如果出现评估的ASIL等级不同时,要选择最高的ASIL评定值㊂城市工况低速行驶时,其ASIL的等级会比高速行驶的评定等级低㊂通过以上分析,得出BMS系统的安全目标为防止电池过放,ASIL等级为C㊂安全目标确定后,即可确定BMS在系统级别的安全需求,安全需求需继承安全目标的ASIL等级,并分配至BMS的硬件和软件设计中㊂根据BMS的ASILC的等级要求,在其硬件及软件的开发设计过程中,需要继承ASILC等级的设计需求㊂表3㊀BMS风险评估评估项结果及描述可控性分类说明驾驶员可将车辆驶离主车道并停车,通过车门㊁车窗逃生分类值C3严重度分类说明电池组着火,对行人及驾驶员造成严重伤害分类值S2暴露率分类说明高速㊁加速行驶每天都会发生分类值E4ASILC3 BMS的ASIL分解ISO26262规定,应为每一个安全目标定义至少一项功能安全需求,每条功能安全需求从相关的安全目标继承最高的ASIL,然后将功能安全需求分配给相关项㊂由于在实际的生产过程中需要考虑生产成本,ASIL的等级越高生产成本越高[5]㊂为了降低安全目标的实施成本,可将一个高ASIL等级的安全目标分解为两个相互独立的较低级的安全目标㊂ISO26262标准的第9部分中提出了在满足安全目标的前提下降低ASIL等级的ASIL分解方法[1]㊂3 1㊀ASIL的分解原则如果将一个安全需求分解为两个冗余的安全需求,则原来的安全需求的ASIL等级可以分解到两个冗余的安全需求上[1]㊂由于只有当两个安全需求同时不达标时,才会引发系统失效,所以冗余安全需求的ASIL等级可以比原始的ASIL等级低㊂ASIL分解时,分解对象应具有独立性,否则冗余单元需遵循原始的等级进行开发[1]㊂下面介绍BMS的ASIL分解过程㊂假设BMS的功能实现过程中,将传感器测量到的电压㊁电流及温度信号作为BMS的输入信号,分别记为S1㊁S2㊁S3㊂这3个输入信号是由相互独立的传感器分别检测出的㊂MCU将运算后的输入信号,转化为触发信息并发送给执行器㊂其功能的架构示意如图3所示㊂假设经过危害分析和风险评估后,BMS的ASIL等级为ASILC,安全目标为避免非预期触发执行器,那么BMS的各个部分均继承BMS的ASIL,即传感器㊁MCU㊁执行器都需要按照ASILC的等级开发,如图3所示㊂图3㊀ASIL等级在BMS功能架构上的分配ASIL的分解可以在功能安全概念㊁系统设计㊁硬件设计㊁软件设计阶段等多个阶段进行㊂在将一个高ASIL分解为几个较低级的ASIL部分时,分解部分的括号里的字母为原始需求的ASIL等级㊂例如ASILC等级分为ASILB(C)和ASILA(C)两个分部分,或者ASILC等级还可以分解为ASILC(C)和ASILQM(C)等,如图4所示㊂ASIL等级可分多次进行分解,比如ASILC分解为ASILB(C)和ASILA(C),ASILB(C)还可以分解为ASILB(C)和QM(C)[1],如图5所示㊂图4㊀ASILC分解原理图5㊀ASILB分解原理3 2㊀BMS的ASIL分解以预防过放功能为例,在动力电池运行过程中,为了防止动力电池出现过放现象,可以通过BMS计算出动力电池的SOC,并判断SOC值是否在安全范围内[4]㊂如果电池的SOC过低,就存在电池过放的趋势,需要将该信息发送给其他控制单元,以提示整车做出对应措施㊂除此之外,当BMS检测到电池处于深度放电的状态时,可以断开高压回路,以阻断放电电流㊂因此,为达到防止电池组中的一个或多个电池深度放电的安全目标,需要达到以下安全需求:(1)确定电池组的SOC并传达给其他控制器㊂如果电池组的SOC不在规定的操作范围内,系统需要跟踪到电池的能量流并做出反应㊂此外,如果超出了电池组SOC的限定值,则应将该信息传达到车辆的其他系统㊂(2)如果检测到深度放电状态,则应在较短的时间内切断放电电流㊂为保护电池免受损坏并防止深度放电(深度放电可使电池内部短路并导致热事件和火灾)引起的危险后果,如果检测到深度放电状态,系统应切断放电电流㊂根据以上需求分析,结合BMS的工作环境及BMS与内㊁外部部件之间的联系进行需求分配㊂假设动力电池的负载只有驱动电机,那么BMS需要实现与电池组及电力电子控制单元之间的交流,即处理电池组内电芯的数据,接收电力电子控制单元的信息,根据数据进行决策判断㊂因此,可将BMS的安全目标分解为断开高压回路和负载需求降为零,且这两个功能安全需求是相互独立的㊂将BMS的ASILC等级分别分配至BMS及其他电力电子控制器的功能需求,分解情况如图6所示㊂图6㊀预防过放目标的ASIL分解经过分解后,较高的ASILC的BMS安全目标,被分解为按照ASILB(C)等级设计的BMS功能安全需求及按照ASILA(C)等级设计的电力电子控制器㊂通过对功能安全需求的分配与分解,使得BMS功能逻辑及开发变得简单,整体成本得以降低㊂4㊀结语以BMS为例介绍了ISO26262标准中安全目标及其ASIL等级确定的方法㊂如果产品的安全需求的ASIL等级较高,成本高,可通过ASIL分解以降低ASIL等级,降低生产成本㊂在分解的过程中,遵循安全目标的ASIL等级在被开发阶段的安全需求继承的原则㊂以BMS预防过放为例,介绍了ASIL的分解原则和步骤㊂通过对功能及结构进行分析,对系统的架构进行调整,实现了ASIL的分解㊂为针对ASIL等级高而带来的开发成本高㊁开发周期长及技术要求高等方面的问题,提供了一种解决方法㊂参考文献:[1]RoadVehiclesFunctionalSafety:ISO/DIS26262[S].GenevaIEC,2018.[2]朱叶.基于ISO26262的动力电池系统高压功能安全概念[J].汽车零部件,2013(10):97-100.ZHUY.HighvoltagefunctionalsafetyconceptaboutbatterysystembasedonISO26262perspective[J].AutomobileParts,2013(10):97-100.[3]李晓宇.电动汽车电池管理系统测试平台的研制[D].哈尔滨:哈尔滨工业大学,2013.[4]印凯.基于功能安全的BMS设计方法及其可靠性的研究[D].上海:上海交通大学,2017.[5]彭忆强,芦文峰,邓鹏毅,等.新能源汽车 三电 系统功能安全技术现状分析[J].西华大学学报(自然科学版),2018,37(1):54-61.PENGYQ,LUWF,DENGPY,etal.Analysisofstateoftheartfornewenergyvehiclefunctionalsafetytechnologies[J].JournalofXihuaUniversity(NaturalScienceEdition),2018,37(1):54-61.。
基于ISO26262的车辆电子电气系统故障注入测试方法随着汽车电子化程度的提高,车辆电子电气系统的可靠性和安全性也成为汽车制造商和用户关注的问题。
为了确保车辆电子电气系统的安全性和可靠性,国际标准化组织(ISO)制定了ISO26262标准,该标准为汽车电子系统提供安全性的规范和指导,并确保车辆电子电气系统具有适当的安全性规格和验证方法。
故障注入测试是一种测试方法,旨在模拟特定的故障情况并评估系统的响应。
在车辆电子电气系统开发中,故障注入测试是非常重要的一步,可以有效验证车辆电子电气系统是否符合ISO26262标准,同时也有助于提高系统的可靠性和安全性。
下面就介绍一种基于ISO26262的车辆电子电气系统故障注入测试方法。
第一步:确定故障模式和效果分析(FMEA)在故障注入测试之前,需要进行故障模式和效果分析(FMEA)。
这个步骤是识别车辆电子电气系统中的潜在故障模式和评估其可能的效果。
其目的是为了确定潜在的故障模式,并对这些故障模式进行分类和分析,以确定哪些故障对系统具有重大的安全风险。
对于每个潜在的故障,需要进行评估以确定其可能的效果,并确定如果发生这种故障,系统的响应如何。
第二步:确定故障注入点在进行故障注入测试之前,需要确定故障注入点。
故障注入点是指在车辆电子电气系统中通常处于接收或处理数据或信息的特定点。
这些点可以是传感器、控制器等。
通过注入故障,可以验证车辆电子电气系统的响应。
第三步:确定故障注入类型在确定故障注入点后,需要确定故障注入类型。
故障注入类型可以包括电气故障、软件故障、物理故障等。
对于每种类型的故障,需要定义注入故障的方法和过程。
第四步:制定测试计划制定测试计划是进行故障注入测试的关键步骤。
测试计划应包括要测试的故障模式、注入故障的类型、故障注入点、实施测试的设备、测试环境以及测试过程等方面。
测试计划应该是详细的,并明确故障模拟过程的每个阶段、测试依赖项和测试结果的评估方法。
《基于ISO26262的汽车电子功能安全:方法与应用》读书札记目录一、内容描述 (2)1.1 书籍简介 (3)1.2 ISO26262标准概述 (4)二、汽车电子功能安全基础 (5)2.1 功能安全概念 (6)2.2 ISO26262标准体系 (8)2.3 功能安全等级 (9)三、ISO26262在汽车电子中的应用 (11)3.1 驱动电机控制系统 (12)3.2 电池管理系统 (14)3.3 传感器与执行器 (15)3.4 车载通信系统 (17)四、功能安全方法与技术 (18)4.1 安全需求分析 (19)4.2 安全完整性等级 (21)4.3 故障模式与影响分析 (22)4.4 控制器设计与测试 (24)4.5 人机界面设计 (26)五、案例分析 (27)5.1 案例一 (29)5.2 案例二 (29)六、实践与建议 (30)6.1 企业实施功能安全的步骤 (32)6.2 政策建议与行业标准 (33)七、总结与展望 (35)7.1 本书总结 (36)7.2 未来发展趋势 (37)一、内容描述《基于ISO2的汽车电子功能安全:方法与应用》是一本关于汽车电子系统功能安全的专业书籍,作者通过对国际标准化组织(ISO)2标准的研究和实践,详细介绍了汽车电子功能安全的基本概念、原则、方法和技术。
本书旨在帮助读者深入了解汽车电子功能安全的重要性,掌握相关的理论知识,并能够将其应用于实际的汽车电子系统中。
本书共分为五个部分:第一部分为引言,介绍了汽车电子功能安全的背景、意义和发展趋势;第二部分为ISO2标准概述,详细解读了ISO2标准的体系结构、架构和要求;第三部分为基础知识和方法,包括汽车电子系统的安全性分析、故障模式与影响分析(FMEA)、耐久性测试等方面的内容;第四部分为实际应用案例,通过分析典型的汽车电子系统实例,展示了如何将ISO2标准应用于实际项目中;第五部分为结论和展望,总结了本书的主要内容,并对未来汽车电子功能安全的发展进行了展望。
iso26262设计验证方法ISO 26262是一种用于汽车电子系统的功能安全标准,它规定了汽车电子系统的设计、开发和验证过程。
在汽车行业中,由于电子系统在车辆中的重要性越来越高,需要确保这些系统的安全性和可靠性。
因此,通过ISO 26262的设计验证方法,可以对汽车电子系统进行全面的安全评估和验证。
ISO 26262要求在汽车电子系统的设计和开发阶段进行系统安全性分析。
这一步骤旨在识别潜在的安全风险和故障,以及这些故障可能对系统和乘客安全性造成的影响。
通过分析系统的功能和安全需求,可以确定系统的安全目标和安全性指标。
接下来,ISO 26262要求进行硬件和软件的安全性分析。
在硬件方面,通过对电子元件的失效模式和影响分析(FMEDA),可以识别出可能导致系统故障的元件,并评估这些故障对系统安全性的影响。
在软件方面,通过对软件代码的静态和动态分析,可以检测出潜在的安全漏洞和错误,并对其进行修复和验证。
在设计验证阶段,ISO 26262要求进行系统级和组件级的验证。
系统级验证包括功能安全性测试和验证,以确保系统在各种故障条件下的安全性能。
组件级验证包括对电子元件和软件模块的验证,以确保它们符合设计要求,并满足系统的安全目标和指标。
ISO 26262还要求进行安全性验证的过程。
这包括对系统的安全功能进行验证,并评估其对系统安全性的贡献。
验证过程通常包括实际测试、仿真和模拟,以验证系统的安全性能和可靠性。
ISO 26262强调了安全文档的编制和管理。
这些文档包括安全概念、安全需求、安全计划和安全验证报告等。
这些文档的编制和管理是为了确保系统的安全性能和验证过程的可追溯性。
ISO 26262要求进行验证结果的评估和记录。
通过对验证结果的评估,可以确定系统是否满足安全要求,并采取相应的措施进行改进和修正。
同时,验证结果的记录是为了在后续的开发和维护过程中提供参考和依据。
ISO 26262设计验证方法是一种应用于汽车电子系统的安全评估和验证方法。
ISO 26262对汽车电子产品EMC的影响郭远东;王春霞【摘要】汽车上大量应用的电气、电子和可编程电子器件,在实现产品多功能化和高性能化的同时,也带来了功能安全问题.EMC作为汽车电子产品的一个重要指标,在功能安全领域也逐渐地引起人们的重视.IS0 26262标准对EMC提出了更高和更新的要求.介绍了IS0 26262标准及其要求,重点分析其对汽车电子产品EMC带来的影响.【期刊名称】《电子产品可靠性与环境试验》【年(卷),期】2014(032)002【总页数】4页(P51-54)【关键词】电磁兼容;功能安全;汽车电子;安全完整性;全寿命周期【作者】郭远东;王春霞【作者单位】工业和信息化部电子第五研究所,广东广州 510610;工业和信息化部电子第五研究所,广东广州 510610【正文语种】中文【中图分类】TN03;U463.60 引言电磁干扰可以对产品的功能安全造成严重的后果,在某些情况下,甚至当该产品已经完全满足某项适用的电磁兼容法规或标准时,一些非预期的外界电磁干扰仍然可以引发功能安全事件。
随着科技的日益进步,以及电气/电子/可编程电子的大规模使用,这种情况令人愈发担忧。
IEC 61508[1]系列标准,是功能安全领域的基础标准。
它针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统(E/E/PE)的整体安全生命周期,建立了一个基础的评价方法。
ISO 26262[2]系列标准,是从IEC61508中派生出来的,主要定位在汽车行业中特定的、由电气/电子/可编程电子(E/E/PE)组成的、执行安全相关功能的部件和系统,旨在提高汽车的功能安全。
目前,所有的功能安全标准都要求在整个风险管理过程中将EMC纳入其中。
ISO 26262作为汽车电子领域的功能安全标准,其对汽车零部件和系统的EMC提出了明确而具体的新要求。
1 ISO 26262系列标准介绍1.1 基本概念a)全生命周期安全相关系统执行过程中的必要活动,发生始于概念阶段,并终于安全相关系统不再能使用时的一段时间内。
符合ISO26262标准的软件测试解决方案随着汽车行业的迅速发展,汽车电子电器E/E系统在汽车中的作用不断提高,ECU开发所占用的时间和成本也越来越高。
与此同时,越来越多的电子控制系统(例如车身稳定控制系统ESP,防抱死制动系统ABS,自适应前照明系统AFS等)具有与安全相关的功能,因此对ECU的安全要求也越来越高。
为了减少产品的开发时间和成本,降低由于安全问题而导致的维护甚至召回的风险,越来越多的整车厂和供应商开始重视汽车领域的功能安全问题,ECU软件功能安全的问题也成为汽车行业迫切需要解决的问题,车辆功能安全标准ISO 26262就在这样的环境和需求下应运而生,并于2011年11月正式发布第一版本,该标准是当前汽车业中最流行、最复杂、也是最重要的一份标准。
ISO 26262的目标是通过避免汽车E/E 系统故障行为可能导致的危害来提高E/E系统的功能安全。
ISO 26262采用车辆安全完整性等级(ASIL)来判断系统的功能安全程度,ASIL由ASIL A(最低)、ASIL B、ASIL C及ASIL D(最高)四个等级组成,ASIL等级越高表示系统的功能安全评估越严格,相应的表示系统正确执行安全功能,或者说的避免该功能出错的概率越高,即系统的安全可靠性越高。
ISO 26262标准的组成架构由十个规范和信息指导文件组成,其中ISO 26262—4/5/6阐述的是系统级/硬件级/软件级的产品开发,使用嵌套的V模型定义了每个开发阶段的过程以及相应的工作产品。
本解决方案主要阐明了在软件级产品开发阶段如何去理解ISO 26262的要求,并且指出了在实际的软件开发过程中如何结合ISO 26262的软件测试生命周期,通过包括软件测试工作的执行以及过程控制等方面来确保ECU 软件质量满足ISO 26262软件级功能安全相应等级的要求。
基于V模式的ISO26262软件测试生命周期如图所示,基于V模式的ISO 26262—6软件测试生命周期可以划分为五个阶段:静态分析需求和功能需求:在软件级产品开发初始化阶段和软件安全需求规范制定阶段确定了一些基本的嵌入式软件静态分析需求和功能需求,这部分内容是以后设计和测试的基础;架构验证:在软件架构设计阶段,我们可以使用人工分析的方式来验证和测试软件架构层的内容,但是有条件的话最好使用合适的架构设计工具,在设计的过程中同时进行架构验证;静态测试:在软件单元设计和实现阶段同时进行静态测试,可以使用开发辅助工具来进行静态测试,这样不必因为静态测试的活动而改变开发流程。
中汽研功能安全标准是指中国汽车研究技术中心(简称中汽研)制定的一系列功能安全标准,旨在确保汽车电子电气系统在设计和实施过程中符合相关的功能安全要求。
这些标准包括ISO 26262:2010、ISO 26262:2018等。
中汽研功能安全标准的核心要求包括:1. 安全生命周期管理:汽车制造商需要制定安全生命周期管理计划,包括安全分析、安全评估、安全改进等,以确保电子电气系统的安全性。
2. 安全分析:汽车制造商需要分析电子电气系统的各个组件,识别潜在的安全风险,并采取相应的措施来降低风险。
3. 安全评估:汽车制造商需要定期对电子电气系统进行安全评估,以确保其符合相关的功能安全标准。
评估过程包括对安全风险的评估、对安全控制措施的评估等。
4. 安全控制措施:汽车制造商需要采取相应的安全控制措施来降低安全风险,例如采用冗余设计、故障隔离、安全管理等措施。
在实际操作中,中汽研功能安全标准的具体应用主要体现在以下几个方面:首先,需要明确风险优先级:在评估过程中,需要根据系统的不同风险程度确定优先级,对于影响生命安全的严重等级风险需要重点进行评估。
其次,需要进行系统安全性分析:需要对汽车电子电气系统进行详细的安全性分析,包括硬件、软件、通信等多个方面。
再次,需要制定安全开发流程:需要制定一套符合功能安全标准的开发流程,确保电子电气系统的安全性设计能够得到有效的实施。
最后,需要进行安全生命周期管理:在整个汽车生命周期内,需要持续关注电子电气系统的安全性,并进行必要的改进和升级。
总之,中汽研功能安全标准对于保障汽车电子电气系统的安全性具有重要意义。
在实际应用中,需要严格按照标准要求进行安全生命周期管理、安全分析、安全评估和安全控制措施的实施,以确保汽车的安全性能和可靠性。
同时,也需要不断跟进功能安全标准的更新和发展,及时调整和改进相关措施,以满足日益严格的功能安全要求。
基于ISO26262的整车电源模式管理系统功能安全概念设计童菲
【期刊名称】《机电一体化》
【年(卷),期】2015(0)7
【摘要】将ISO26262的第3部分概念设计阶段应用于无钥匙启动车辆的电源模式管理系统开发过程中。
通过系统潜在危害分析及ASIL等级评估,提出该系统的初步功能安全目标以及功能安全概念,并将之分配到系统的架构元素,得出了符合ISO26262概念阶段要求的系统功能安全设计框架。
总结了该部分在实际工作中的应用经验和建议。
【总页数】5页(P63-67)
【关键词】电源模式管理;功能安全ASIL;ISO26262;安全概念
【作者】童菲
【作者单位】泛亚汽车技术中心有限公司
【正文语种】中文
【中图分类】U463.63
【相关文献】
1.基于ISO26262的商用车车身电控系统功能安全设计 [J], 王启彬; 刘洪梅; 曹鲁明; 张静; 孟国龙
2.基于ISO26262的电子换挡系统功能安全概念阶段研究 [J], 杨晓彤; 何放; 黄德健
3.基于ISO26262的纯电动汽车整车控制器概念设计 [J], 孙振耀; 孙仁云; 王瀚; 张杨; 杨文浩
4.基于ISO26262的重型商用车PCC系统功能安全设计 [J], 王国晖;霍炜;王玉海;李兴坤;郑旭光;臧政
5.基于ISO26262的EV用动力电池系统功能安全设计 [J], 白志浩;张丽;吴肇苏因版权原因,仅展示原文概要,查看原文内容请购买。
基于ISO 26262 功能安全标准的汽车电子系统测试方法
(中)
(接上期)
产品集成和测试
集成和测试阶段包含3 个阶段:
●第一个阶段是产品包含的每个元素的硬件和软件的集成,即软硬件集成;●第二个阶段是组成一个产品的所有元素的集成来形成一个完整的系统,称为系统集成;●第三个阶段是和车辆内其他系统的产品以及车辆自身的集成,即车辆集成。
集成和测试阶段实现两个主要的目标:
●集成阶段的第一个目标是按照它的需求和ASIL 等级,测试对安全需求的符合性;●第二个目标是为了验证,是否正确实现了针对安全需求的系统设计。
该阶段的要求和建议如下章节所述。
集成和测试的计划和规范
⒈为了验证系统设计符合功能和技术安全需求,集成测试活动应按照
ISO 26262-8:2011 中的验证方法来执行。
以下的测试目标在下面几个表中一一列出:
●功能安全和技术安全需求的正确实现;●正确功能的性能,安全机制的准确性和时间性能;●接口的一致性以及实现的正确性;●安全机制的诊断或者错误覆盖的有效性;●鲁棒性等级。
⒉根据系统设计规范、功能安全概念、技术安全概念以及集成测试计划,需要制定一个集成和测试的机制,并提供证据证明达成所有的测试目标。
集成。
基于ISO26262的车辆电子电气系统故障注入测试方法
1.故障模式和效果分析(FMEA):在执行故障注入测试之前,需要进
行故障模式和效果分析以识别潜在的故障模式。
通过分析可能的故障和其
对系统的影响,可以制定合适的测试策略。
2.故障注入:根据确定的故障模式,设计和实施故障注入测试。
注入
的故障可以包括硬件故障(例如断线、短路)和软件故障(例如错误输入、错误处理)。
这些故障将在系统运行期间以控制的方式引入。
3.监测和记录:在进行故障注入测试期间,需要监测和记录系统的响应。
这可以包括监测系统的输出以及故障注入引起的任何异常行为。
记录
的数据可以用于后续的分析和评估。
4.故障恢复测试:在注入故障后,需要测试系统的恢复能力。
这可以
包括系统的自动故障检测和恢复机制的测试,以及系统重启后的功能验证。
5.故障影响分析:在测试完成后,需要对故障注入的影响进行评估。
这可以包括评估系统对不同类型故障的响应能力以及系统的安全性能。
6.结果评估和改进:基于故障注入测试的结果,需要对系统的设计和
实施进行评估。
如果发现了安全漏洞或改进的空间,可以采取相应的措施
进行改进。
汽车电子功能安全标准ISO26262解析(六)——硬件集成测试汽车电子功能安全标准ISO26262解析(六)——硬件集成测试原创pianpian_zct 最后发布于2018-01-11 13:20:17 阅读数3477 收藏发布于2018-01-11 13:20:17展开Hardware integration and testing activities shall be performed in accordance with ISO 26262-8: 2011, Clause 9.硬件集成测试按照ISO26262-8:2011 Clause9 进行。
If ASIL decomposition is applied, the corresponding integration activities of the decomposed elements, and the subsequent activities, are applied at the ASIL before decomposition.如何理解硬件集成测试的测试项目定义方法如表10所示。
1a: analysis of requirements 需求分析1b: analysis of internal and external interfaces 内部和外部接口分析1c: generation and analysis of equivalence classes 相同或类似产品的测试案例分析1d: analysis of boundary values边界值分析1e: knowledage or experience based error guessing可能出现的问题经验分析1f: analysis of functional dependencies功能相关性分析1g: analysis of common limit conditions, sequences and sources of dependent failures常规极限条件、序列、失效相关源1h: analysis of environmental conditions and operational use cases环境条件和正常工作情况分析1i: standards if existing标准1j: analysis of significant variants最大版本分析,包括通过worst case计算得到的最坏情况结果硬件测试种类为了验证与硬件安全需求相关的安全机制被完整且正确地实施的硬件集成测试方法包括:功能测试、电测、错误注入测试。
