下载文档原格式
ISO26262功能安全原理与实践1
首先是定义安全要求。
安全目标要求在意外情况下确保驾驶员、乘客和其他道路使用者的安全。
这些安全要求基于安全性能指标,比如最大不可接受失效率和最小故障间隔时间。
其次是确定安全措施。
安全措施是保证系统满足安全要求的措施,包括硬件和软件的措施。
硬件措施包括冗余设计、故障检测、安全监控等方法。
软件措施包括代码检测、故障处理、功能隔离等方法。
安全措施应根据功能安全的分级进行选择,高风险等级的系统需要更严格的措施。
然后是进行安全分析。
安全分析是在整个开发过程中进行的,旨在识别系统可能的安全风险。
安全分析可以采用多种方法,如系统安全性分析(SSA)和模式故障和影响分析(FMEA)。
通过安全分析可以确定相关的安全等级和安全目标。
10-汽车功能安全(ISO26262)系列:软件开发-软件开发模型及安全需求本篇属于汽车功能安全专题系列第10篇内容,我们开始聊汽车功能安全软件开发相关内容。
开始阅读之前强烈建议参考之前系列文章:01 - 汽车功能安全(ISO 26262)系列 - 开篇02 - 汽车功能安全系列之概念阶段开发 - Item Definition & HARA03 - 汽车功能安全(ISO 26262)系列: 概念阶段开发 - 功能安全需求及方案(FSR&FSC)04 - 汽车功能安全(ISO 26262)系列: 系统阶段开发 - 技术安全需求(TSR)及安全机制05 - 汽车功能安全(ISO 26262)系列: 系统阶段开发 - 技术安全方案TSC及安全分析06 - 汽车功能安全(ISO 26262)系列: 系统阶段开发 - 系统安全架构07 - 汽车功能安全(ISO 26262)系列: 硬件开发 - 硬件安全需求,安全设计及安全机制08 - 汽车功能安全(ISO 26262)系列: 硬件开发 - 硬件随机失效概率化评估09 - 汽车功能安全(ISO 26262)系列: 硬件开发 - 随机硬件失效量化FMEDA在功能安全系统开发阶段,我们已经得到了技术层面可实施的技术安全需求TSR,并将其分配至系统架构中的硬件(HW)和软件(SW)组件,接下来以此为基础进行相应硬件和软件功能安全开发。
对于软件功能安全开发而言,具体来讲,主要包括以下内容:•软件开发模型•什么是软件安全需求•软件架构安全设计•软件详细设计•软件安全测试•鉴于内容较多,我们这篇来聊前两部分内容。
01软件开发模型为了更好了解软件及其功能安全开发过程,我们首先来聊聊软件开发模型。
不管是ISO 26262,Aspice还是System Engineering,其开发过程都基于V模型,可以说V模型是汽车工程师必修内容。
对于功能安全而言,软件功能安全开发V模型属于ISO 26262第6部分内容,是系统开发大的V模型中软件开发部分,紧接着第4部分系统开发内容。
ISO 26262:2018新增的半导体在汽车功能安全环境中的设计和使用指南汽车制造商正稳步将更多数量的自动驾驶功能整合到量产新车中,由此带来的功能安全成为整个行业的重中之重。
为了解决这一问题,国际标准化组织(ISO)在2011年制定的ISO 26262标准基础之上,将于2019年3月正式发布国际标准版ISO 26262:2018(最终国际标准版草案已于2018年底发布)。
ISO 26262的第一版是在2006年开始开发并于2011年发布。
它完全取代了IEC 61508,分别处理车辆、系统、硬件和软件。
这一版本只涵盖了3500公斤以下车型的电气和电子系统。
不包括液压和机械系统,专业车辆,如一级方程式赛车,卡车,公共汽车,摩托车,或越野车。
ISO 26262很快成为汽车开发过程中功能性安全的指导标准。
但随后的7年时间里,随着汽车共享化、ADAS及自动驾驶技术的快速导入,这一标准的瓶颈也开始出现。
随着汽车技术的进步,对电子系统能够正常运行而不出故障的绝对确定性的需求也越来越大。
而ADAS和自动驾驶技术的快速发展,正在挑战半导体行业将汽车行业使用的严格安全标准引入其设计过程。
尤其是ISO 26262第一版本虽然包含了硬件开发的部分,但该标准对半导体本身没有具体的指导方针。
ISO 26262:2018包括许多升级,取消了车型重量限制,从而将其覆盖范围扩大到其他车辆类别,包括重型公路汽车、卡车、公共汽车和摩托车。
值得注意的是,第二版还将包括半导体在汽车功能安全环境中的设计和使用指南。
这一版本将为数字和模拟组件、可编程逻辑器件(PLDs)、多核处理器和传感器以及IP领域的半导体供应商提供更多的支持。
当然,任何汽车半导体的应用还必须满足汽车电子委员会的AEC- Q100《封装集成电路的应力测试合格证书》、AEC Q101(用于分立器件)、AEC- Q102(用于分立光电子器件)、AEC-。
iso26262设计验证方法ISO 26262是一种用于汽车电子系统的功能安全标准,它规定了汽车电子系统的设计、开发和验证过程。
在汽车行业中,由于电子系统在车辆中的重要性越来越高,需要确保这些系统的安全性和可靠性。
因此,通过ISO 26262的设计验证方法,可以对汽车电子系统进行全面的安全评估和验证。
ISO 26262要求在汽车电子系统的设计和开发阶段进行系统安全性分析。
这一步骤旨在识别潜在的安全风险和故障,以及这些故障可能对系统和乘客安全性造成的影响。
通过分析系统的功能和安全需求,可以确定系统的安全目标和安全性指标。
接下来,ISO 26262要求进行硬件和软件的安全性分析。
在硬件方面,通过对电子元件的失效模式和影响分析(FMEDA),可以识别出可能导致系统故障的元件,并评估这些故障对系统安全性的影响。
在软件方面,通过对软件代码的静态和动态分析,可以检测出潜在的安全漏洞和错误,并对其进行修复和验证。
在设计验证阶段,ISO 26262要求进行系统级和组件级的验证。
系统级验证包括功能安全性测试和验证,以确保系统在各种故障条件下的安全性能。
组件级验证包括对电子元件和软件模块的验证,以确保它们符合设计要求,并满足系统的安全目标和指标。
ISO 26262还要求进行安全性验证的过程。
这包括对系统的安全功能进行验证,并评估其对系统安全性的贡献。
验证过程通常包括实际测试、仿真和模拟,以验证系统的安全性能和可靠性。
ISO 26262强调了安全文档的编制和管理。
这些文档包括安全概念、安全需求、安全计划和安全验证报告等。
这些文档的编制和管理是为了确保系统的安全性能和验证过程的可追溯性。
ISO 26262要求进行验证结果的评估和记录。
通过对验证结果的评估,可以确定系统是否满足安全要求,并采取相应的措施进行改进和修正。
同时,验证结果的记录是为了在后续的开发和维护过程中提供参考和依据。
ISO 26262设计验证方法是一种应用于汽车电子系统的安全评估和验证方法。
Automobile Parts 2021.06063Introduction to Functional Safety Development of Electronic Components for New Energy Vehicles Based on ISO 26262基于ISO 26262 的新能源汽车电子电器部件功能安全开发简介收稿日期:2021-03-01作者简介:辛强(1983 ),男,硕士,高级工程师,研究方向为发动机技术及新能源㊂E-mail:㊂DOI :10.19466/ki.1674-1986.2021.06.012基于ISO 26262的新能源汽车电子电器部件功能安全开发简介辛强1,朱卫兵2,胡璟1(1.中国汽车零部件工业有限公司,北京100083;2.上汽通用五菱汽车股份有限公司质量部,广西柳州545007)摘要:为加深理解并提高汽车电子电器部件的功能安全,介绍了功能安全的概念以及电子电器部件安全性的开发过程㊂分析了汽车安全完整性等级(ASIL 等级)评估分级,并通过实例进一步解释了功能安全等级的划分标准㊂基于ISO 26262标准,提出了一个新的汽车功能安全设计方案,并给出了每一个设计环节的注意事项和要求,为汽车电子电器部件功能安全设计开发者提供参考㊂关键词:功能安全;汽车电子电器部件;安全等级评估中图分类号:U463Introduction to Functional Safety Development of Electronic Componentsfor New Energy Vehicles Based on ISO 26262XIN Qiang 1,ZHU Weibing 2,HU Jing 1(1.China Auto Parts &Accessories Corp,Beijing 100083,China;2.SAIC-GM-Wuling Automobile Co.,Ltd.,Liuzhou Guangxi 545007,China)Abstract :In order to deeply understanding and improve the functional safety of automotive electronic and electrical components,theconcept of functional safety and the development process of the safety of electronic and electrical components were introduced.The assessmentclassification of ASIL level was analyzed,and the classification standard of functional safety level was further explained through an example.Based on ISO 26262standard,a new automotive functional safety design scheme was proposed,and the notes and requirements of each designlink were given,which provided a reference for the developers of functional safety design of automotive electronic and electrical components.Keywords :Functional safety;Automotive electronic and electrical components;ASIL level0㊀引言随着电子电器部件的集成度要求越来越高,面临的安全问题也越来越严重,如丰田汽车于2010年召回了几百万车辆,主要就是由于汽车电子油门踏板引起的故障㊂功能安全是指避免由系统功能性故障导致的不可接受的风险,在本质安全无法达到时,尽可能增加安全机制㊂从而提高安全等级,保障生命安全㊂目前电子电器产品集成度的增加以及产品上市时间的紧迫性的双重压力,由此引发的故障也越来越多,主流车企,无论欧美系或日韩系,都在认真地研究功能安全并指导自身产品的开发,而忽视功能安全的企业在现代信息传播快速的年代中,将很可能快速丧失技术优势和号召力,最终导致市场份额的大幅下滑㊂因此对汽车电子电器进行设计时,其构建软硬件系统就需要考虑在正常条件及存在故障条件下,控制设备㊁车辆系统的安全功能必须都能够保证,而功能安全就是在车辆本质安全无法达到时,考虑到各种危险因素,增加安全机制从而提高车辆的安全等级,这在电子产品开发中有着非常重要的作用㊂1㊀功能安全的概念及产生ISO 26262是从电气㊁电子及可编程电子安全相关系统的功能安全基本标准IEC 61508派生出来的,功能安全主要关注的是车辆发生系统故障的情况,而不是车辆的原有功能或性能㊂以电子油门的管理系统为例,主要由感知㊁决策㊁执行三部分构成,其中加速踏板位置传感器信号是发动机输出转矩主要决定因素㊂若位置传感器发生故障,感知不准确,将使其与实际位置发生偏离,则可能导致发动机输出转矩过大,造成车辆出现突然加速,引发交通事故,如近期比较热议的电动车高速撞车事件,这就是制动管理系统的一个功能安全风险㊂因此,要从设计上采取措施,就要考虑到加速踏板传感器故障发生时发动机/电机转矩仍然可控,这样才能提高动力系统管理系统的安全性㊂2021.06 Automobile Parts 064Research & Development由于整车企业是直接面对消费者,所以整车厂(OEM)需要对产品的安全性负责,OEM可以要求零部件厂提供符合功能安全的产品,这样可以减少主机厂的很多工作㊂OEM通过和供应商签订开发接口协议(DIA),明确双方责任,通过DIA协议,供应商需要承担功能安全的责任㊂但在新的环境下,建立功能安全架构是双方的责任,如OEM在概念设计阶段就要对相关车辆部件的安全等级进行明确,然后开展系统开发,零部件供应商在前期就要介入相关软硬件的产品开发,并保证合规性,直至整车合规㊂2㊀汽车电子电器部件安全性的开发流程传统车辆的质量控制体系主要以ISO9001㊁TS16949㊁采购技术参数以及版本控制为主,但是随着新能源汽车技术的发展,特别是软件定义汽车的年代,面临越来越多的新的问题,因此需要引入功能安全对电子电器的软硬件进行产品质量过程的控制,其中包括风险分析㊁ASIL等级分级㊁安全概念㊁可溯源性等等㊂ISO26262标准针对汽车的电子电器系统,通过增加安全机制使系统达到可接受的安全程度㊂主要构成包括3个部分:(1)功能安全的管理,建立每个过程的安全开发;(2)安全产品的相关开发,包括概念开发㊁系统开发和实际开发;(3)生产和运维,从整个生命周期对产品的安全性提出要求㊂ISO26262标准对于功能安全的制定采用了汽车软件工程中常用的扩展V模型,如图1所示㊂图1㊀基于ISO26262V模型开发过程㊀㊀由图可知,其开发过程如下:(1)概念阶段是扩展模型V的翅膀,与安全相关的项目是由它来定义的,为后续执行工作提供对该项目的全面了解㊂(2)V模型的左半部分是由系统级的产品安全工程需求定义㊁系统设计㊁硬件级产品安全功能需求定义㊁硬件设计㊁软件级的产品功能安全需求定义㊁软件设计开发所构成㊂(3) V模型的右半部分主要关注于前部分涉及的各个过程的验证和确认㊂3㊀汽车功能安全等级评估在对ISO26262标准中的系统进行功能安全设计时,前期非常重要的一个步骤是对系统进行危害分析和风险评估,从而识别出系统的危害,并根据相关危害情况对危害的风险等级 汽车安全完整性等级(AutomotiveSafety Integration Level,ASIL)进行评估㊂风险分析的流程,主要包括场景分析,在不同驾驶环境下识别风险,可以用的工具包括FMEA㊁FTA等;然后根据风险参数进行危害度分析,从而确定ASIL,明确要达到的安全目标;最后复审,验证分类的正确性和一致性[2]㊂ISO26262标准规定,ASIL有A㊁B㊁C㊁D4个等级,其中A是最低等级,D是最高等级㊂ASIL等级决定了对系统安全性的要求,ASIL等级越高,对系统的安全性要求越高,也意味着为实现安全付出的代价越高,相关的硬件诊断覆盖率越高,所对应的开发成本增加,开Automobile Parts 2021.06065样一来即便助力方向错误,由于助力有限,驾驶员还是可以控制汽车[3]㊂(3)形成软件安全需求和硬件安全需求,这些安全需求,可以作为软/硬件设计的依据,同时也继承了相同的ASIL 等级㊂王旭阳.参照ISO26262的安全低功耗AUTOSAR 基础软件模块[D].杭州:浙江大学,2013.[3]沈学强.功能安全的人因影响及量化分析研究[D].北京:华北电力大学,2014.[4]耿莉莉.基于ISO26262标准的安全关键嵌入式软件开发技术与工具[D].杭州:浙江大学,2013。
ISO 26262-1 词汇表ISO26262是基于IEC61508标准演化而来的一项标准,旨在满足道路车辆电子电气系统领域的特定需求。
这种改编适用于由电子电气元件和软件组件组成的安全系统的整个生命周期内的所有活动。
安全是未来汽车发展的关键问题之一。
一些新的功能,在驾驶员辅助、动力、车内动态控制和主动&被动安全系统等方面日益牵涉到越来越多的系统安全工程。
这些功能的开发和集成会增加对安全系统开发流程、并证明所有合理的系统安全目标都得到满足的证据的需求程度。
随着技术复杂度、软件内容和机电一体化程度的不断提高,系统失效和随机硬件失效的风险也越来越大。
ISO 26262会提供适当的要求和流程来避免这些风险。
系统安全是通过一系列安全措施来实现的,通过应用各种技术(例如机械、液压、气动、电气、电子、可编程电子),并在开发过程的各个层面上应用。
尽管ISO26262涉及到电子电气系统的功能安全,但是它也会提供其他系统常用安全技术的框架。
ISO26262可以:a)提供车辆安全生命周期的支持(管理、开发、生产、操作、服务、报废);b)提供车辆专用的风险评估方法(ASIL,Automotive Safety Integrity Levels,汽车安全完整性等级);c)使用ASIL评级提出可实施的功能安全需求,来避免不合理的剩余风险;d)向供应商提供功能安全需求。
功能安全受到开发流程(需求规范、设计、实现、集成、验证、确认和配置)、生产和服务流程、管理流程的影响。
安全问题与以功能为导向、以质量为导向的开发活动和工作产品交织在一起。
ISO 26262阐述了开发活动和工作产品等安全相关的内容。
1 名称解释:1.1allocation:分配;将需求分配给架构级元件。
1.2anomaly:异常;指偏离期望的一些条件,这些条件包括需求、说明书、设计文档、用户文档、标准或者经验。
1.3architecture:架构;代表相关项/功能/系统/元件的构造块及构造块的边界和接口,且相关的功能已经分配给了硬件/软件元件。
iso26262标准ISO 26262标准是针对汽车电子系统的功能安全性制定的国际标准,旨在确保汽车电子系统在整个生命周期中的安全性。
该标准适用于所有的电子系统,包括电子控制单元(ECU)、传感器、执行器等,涵盖了整个汽车电子系统的开发、生产、操作和维护过程。
首先,ISO 26262标准对汽车电子系统的安全性进行了全面的分析和评估。
它要求在整个汽车电子系统的开发过程中,对潜在的危险和故障进行全面的分析和评估,以确保在任何情况下系统都能够安全可靠地运行。
通过对系统的安全性进行全面的分析和评估,可以有效地减少因故障导致的事故风险,提高汽车电子系统的安全性。
其次,ISO 26262标准对汽车电子系统的开发过程进行了详细的规定。
它要求在汽车电子系统的开发过程中,必须严格遵循一系列的安全性要求和规范,包括对系统的需求分析、架构设计、软硬件开发、集成测试等方面进行详细的规定,以确保系统在开发过程中就具备了足够的安全性。
此外,ISO 26262标准还对汽车电子系统的生产、操作和维护过程进行了规范。
它要求在汽车电子系统的生产、操作和维护过程中,必须严格遵循一系列的安全性要求和规范,包括对系统的生产过程、操作过程和维护过程进行详细的规定,以确保系统在整个生命周期中都能够安全可靠地运行。
总的来说,ISO 26262标准是一项非常重要的国际标准,它对汽车电子系统的安全性进行了全面的规定,涵盖了整个汽车电子系统的开发、生产、操作和维护过程。
通过严格遵循ISO 26262标准,可以有效地提高汽车电子系统的安全性,减少因故障导致的事故风险,保障驾驶人员和行人的生命安全。
因此,我们在汽车电子系统的开发过程中,必须严格遵循ISO 26262标准的要求,确保系统具备足够的安全性,为汽车行业的可持续发展做出贡献。
09-汽车功能安全(ISO26262)系列:硬件开发-随机硬件失效量化FMEDA本篇属于汽车功能安全专题系列第09篇内容,主要来聊汽车功能安全硬件开发中如何利用FMEDA进行硬件架构度量(SPFM,LFM)及随机失效PMHF的计算。
开始阅读之前强烈建议参考之前系列文章:01 - 汽车功能安全(ISO 26262)系列 - 开篇02 - 汽车功能安全系列之概念阶段开发 - Item Definition & HARA03 - 汽车功能安全(ISO 26262)系列: 概念阶段开发 - 功能安全需求及方案(FSR&FSC)04 - 汽车功能安全(ISO 26262)系列: 系统阶段开发 - 技术安全需求(TSR)及安全机制05 - 汽车功能安全(ISO 26262)系列: 系统阶段开发 - 技术安全方案TSC及安全分析06 - 汽车功能安全(ISO 26262)系列: 系统阶段开发 - 系统安全架构07 - 汽车功能安全(ISO 26262)系列: 硬件开发 - 硬件安全需求,安全设计及安全机制08 - 汽车功能安全(ISO 26262)系列: 硬件开发 - 硬件随机失效概率化评估在上一篇我们已经介绍了,硬件概率化度量基本背景知识以及计算公式,那这些量化指标到底怎么计算呢?答案就是FMEDA01FMEDA步骤FMEDA(Failure Modes Effects and Diagnostic Analysis) 是一种评估系统安全架构和实施的强大方法,多用于硬件定量分析。
和FMEA定性分析不同,FMEDA在FMEA 自下而上的方法论基础上增加了对硬件故障定量化的评估内容,包括模式失效率(Failure rate)、故障模式占比(Failure mode distribution)和对应的安全机制诊断覆盖率(Diagnostic coverage),对FMEA进行扩展从而可以完成定量分析,是计算硬件概率化度量指标的有效手段,其具体流程如下图所示:具体而言,包括以下几个步骤:步骤1: 计算失效率首先,需要根据系统硬件架构,罗列所有硬件单元,为了方便分析和计算,可以对硬件单元按照类型进行分组。
iso26262对应的国标ISO 26262是指针对汽车电子安全性的国际标准,广泛应用于汽车行业。
而对于中国而言,针对汽车电子的安全性标准则是GB/T 33527-2017。
GB/T 33527-2017标准从安全概念出发,以汽车电子的安全性确保为核心目标,明确了汽车电子系统的开发、实施和验证的要求,并且重点强调了安全性需求的制定和需求分析的规定,以确保整个系统的有效性和可靠性。
该标准主要适用于车辆内部电子、电气系统(包括电动系统、通信与控制装置、主席部件、传感器和执行器)的设计、生产、测试、维护和迭代过程,并主要关注汽车电子的功能安全、硬件和软件安全等方面的要求。
相对于GB/T 33527-2017,ISO 26262则是一项国际行业标准,被广泛用于汽车电子领域。
该标准是由国际标准化组织(ISO)针对用于汽车电子系统的功能安全起草的全球性标准。
其中,功能安全的概念是指通过车辆内部电子、电气系统领域的必要措施来确保乘客和其他交通参与者的人身安全。
ISO 26262标准共分为十个部分,总体分为以下几个阶段:第一阶段:引入功能安全管理第二阶段:对产品架构、设计以及测试进行功能安全实施要求第三阶段:确定相应的安全完整性级别(ASIL)和相应的开发和安全证明要求第四阶段:制定相应的安全计划和度量规则,以监控和管理功能安全活动总的来说,ISO 26262可帮助汽车电子系统设计者遵循一个标准的安全流程,包括各个环节的规划、实现和验证,并且能够为汽车制造商提供一种可重复、可量化的方法来评估各个环节的安全性。
综上所述,虽然GB/T 33527-2017和ISO 26262都是面向汽车电子安全性的标准,但ISO 26262更为全球化,适用于全球范围内制造商,而GB/T 33527-2017是基于中国国内标准,适用于中国汽车行业市场。
无论是ISO 26262还是GB/T 33527-2017,对于实现汽车电子的安全性,都是非常必要和重要的。
ISO26262作者:彭斐编辑整理:IO酱近年来,汽车行业大量的技术创新都来源于汽车电子领域。
如今业界所说的汽车智能化,实则就是汽车电子化程度越来越高后实现的各种智能控制。
随着汽车电子技术的发展,动力传动系统、车身电子系统、驾驶员辅助系统等汽车电子系统日趋复杂,与功能安全的相关性不断提高,与安全相关的软件和硬件出现任何一个失效,都有可能会给人员、设备及环境带来严重的后果,而由此引发的车辆召回也会给企业带来巨大的经济损失。
如何在产品设计阶段就规避潜在的风险,已成为汽车制造商迫切需要解决的问题。
ISO26262是一个功能安全标准,命名为“道路车辆-功能安全”,由10个部分组成。
从2005年11月起,由ISO的TC22(道路车辆技术委员会)、SC3(电子电器分技术委员会)、WG16(功能安全工作组)及全球约30家汽车大厂商联合开始制定,历经约6年时间,于2011年11月15日作为ISO标准正式颁布。
整个生命周期的功能安全ISO26262功能安全标准是目前非常前沿的标准,它从电子、电气及可编程器件功能安全基本标准IEC61508派生出来, 主要定位在汽车行业中特定的电气件、电子设备、可编程电子器件等专门用于汽车领域的部件。
该标准从产品的整个生命周期进行评估,从需求开始,到概念设计、软件设计、硬件设计,包括最终的生产、操作,整个生命周期都提出了严格的要求,来保证安全相关的电子产品的功能性失效不会造成危险的发生。
此外,新标准还根据安全风险程度对系统或系统部件划分由A到D的安全需求等级(Automotive Safety Integrity Level,汽车安全完整性等级ASIL)。
安全风险等级越高,针对系统软硬件开发流程的要求也就越高。
除了更高的要求,开发方式的改变也是企业在实施新标准时面临的问题。
美国exida公司的高级安全专家灵誉森表示,ISO26262第二版预计将于2018年正式上路,ISO26262第二版会更加深入功能安全的开发,包括汽车智能化下的自动驾驶,结合功能安全和汽车安全,并改正ISO26262第一版存在的不足。
基于ISO 26262 功能安全标准的汽车电子系统测试方法
(中)
(接上期)
产品集成和测试
集成和测试阶段包含3 个阶段:
●第一个阶段是产品包含的每个元素的硬件和软件的集成,即软硬件集成;●第二个阶段是组成一个产品的所有元素的集成来形成一个完整的系统,称为系统集成;●第三个阶段是和车辆内其他系统的产品以及车辆自身的集成,即车辆集成。
集成和测试阶段实现两个主要的目标:
●集成阶段的第一个目标是按照它的需求和ASIL 等级,测试对安全需求的符合性;●第二个目标是为了验证,是否正确实现了针对安全需求的系统设计。
该阶段的要求和建议如下章节所述。
集成和测试的计划和规范
⒈为了验证系统设计符合功能和技术安全需求,集成测试活动应按照
ISO 26262-8:2011 中的验证方法来执行。
以下的测试目标在下面几个表中一一列出:
●功能安全和技术安全需求的正确实现;●正确功能的性能,安全机制的准确性和时间性能;●接口的一致性以及实现的正确性;●安全机制的诊断或者错误覆盖的有效性;●鲁棒性等级。
⒉根据系统设计规范、功能安全概念、技术安全概念以及集成测试计划,需要制定一个集成和测试的机制,并提供证据证明达成所有的测试目标。
集成。
基于FPGA的汽车ECU设计充分符合AUTOSAR和ISO 26262标准汽车产业利用可重配置硬件技术,可灵活地综合车载功能。
当今的汽车制造商正在把越来越多的高级功能添加到汽车电子控制单元(ECU)中,以改善驾驶体验,增强安全性,当然还期望超过同类竞争产品的销量。
在这种情况下,汽车开放系统架构(AUTOSAR)计划和功能安全国际标准ISO26262 正在快速成为汽车ECU 设计的技术和架构基础。
为了满足新车型日益提高的功能需求,汽车电子产品的密度不断增大,FPGA 厂商也正在不断推出更大型的器件。
这些器件能够集成所有的应用,而且与前代器件相比,功耗更低,价格更具竞争力。
这种趋势意味着可重配置计算技术在汽车产业将会得到进一步推广和应用。
我们推出了一种具有开创性的方法,即使用可编程FPGA 器件而非基于MCU 的平台作为ECU 的基础,设计出一款能够同时满足AUTOSAR 和ISO 26262 标准的汽车ECU。
我们的设计方法对可重配置硬件的关键特性,比如并行性、可定制性、灵活性、冗余性和多功能性进行了充分的探索。
在概念设计完成后,我们希望在原型中实现设计。
为此,赛灵思Zynq-7000 可扩展处理平台成为了理想选择。
该款FPGA平台将ARM 双核Cortex-A9 MPCore 硬处理器和具备动态部分可重配置功能的28 nm 赛灵思7 系列可编程逻辑器件完美结合在一起,不但可充分满足所需要求,而且还配备有CAN 和以太网等车载网络常用的片上通信控制器。
新兴应用目前汽车计算能力借助通过通信网络互连的ECU来分配。
在未来几年内,由于机动车辆中新应用的兴起,这样的计算能力有望进一步提高。
这些新应用包括安全和驾驶员辅助功能、车辆间通信功能、舒适性和控制功能、车载娱乐功能以及为数众多的混合动力电动技术。
毫无疑义,车辆电子设备的数量预计还会增加。
根据分析人员的预测,汽车应用半导体市场的规模将在未来五年内以8% 的年均复合增长率(CAGR)增长。
汽车电子功能安全标准ISO26262解析(八)——ASIL等级分解汽车电子功能安全标准ISO26262解析(八)——ASIL等级分解原创pianpian_zct 最后发布于2018-01-18 11:14:55 阅读数6399 收藏展开ISO 26262-9 Clause 5 Requirements decomposition with respect to ASIL tailoringThe objective of this clause is to provide rules and guidance for decomposing safety requirements into redundant safety requirements to allow ASIL tailoring at the next level of detail.本章节的目的是为安全需求分解提供规则和指导,以便于将需求分解为冗余的安全需求,并使得下一级别的ASIL裁剪成为可能。
The ASIL, as an attribute of the safety goal, is inherited by each subsequent safety requirement.每一条安全需求都从安全目标继承ASIL等级。
The functional and technical safety requirements are allocated to architectural elements, starting with preliminary architectural assumptions and ending with the hardware and software elements.通过最初的架构假设,功能性和技术性的安全需求被分配给架构的每一个硬件和软件模块。
During the allocation process, benefit can be obtained from architectural decisions and the existence of independent architectural elements. This offers the opportunity:在ASIL等级分配的过程中,架构的决定性和架构中每个模块的独立存在性为我们提供了如下机会:1) to implement safety requirements redundantly by these independent architectural elements;通过使用这些独立的架构模块,来冗余地实现安全需求。
汽车电子功能安全标准ISO26262解析(六)——硬件集成测试汽车电子功能安全标准ISO26262解析(六)——硬件集成测试原创pianpian_zct 最后发布于2018-01-11 13:20:17 阅读数3477 收藏发布于2018-01-11 13:20:17展开Hardware integration and testing activities shall be performed in accordance with ISO 26262-8: 2011, Clause 9.硬件集成测试按照ISO26262-8:2011 Clause9 进行。
If ASIL decomposition is applied, the corresponding integration activities of the decomposed elements, and the subsequent activities, are applied at the ASIL before decomposition.如何理解硬件集成测试的测试项目定义方法如表10所示。
1a: analysis of requirements 需求分析1b: analysis of internal and external interfaces 内部和外部接口分析1c: generation and analysis of equivalence classes 相同或类似产品的测试案例分析1d: analysis of boundary values边界值分析1e: knowledage or experience based error guessing可能出现的问题经验分析1f: analysis of functional dependencies功能相关性分析1g: analysis of common limit conditions, sequences and sources of dependent failures常规极限条件、序列、失效相关源1h: analysis of environmental conditions and operational use cases环境条件和正常工作情况分析1i: standards if existing标准1j: analysis of significant variants最大版本分析,包括通过worst case计算得到的最坏情况结果硬件测试种类为了验证与硬件安全需求相关的安全机制被完整且正确地实施的硬件集成测试方法包括:功能测试、电测、错误注入测试。
