轿车上电子/电气体系数量不断的添加,一些高端豪华轿车上有多达70多个ECU(Electronic Control Unit电子操控单元),其间安全气囊体系、制动体系、底盘操控体系、发动机操控体系以及线控体系等都是安全相关体系。当体系呈现毛病的时分,体系有必要转入安全状况或许转换到降级形式,防止体系功用失效而导致人员伤亡。失效或许是由于规范过错人为原因的过错、环境的影响等等原因引起的。为了完成轿车上电子/电气体系的功用安全规划,路途车辆功用安全规范 ISO 26262于2011年正式发布,为开发轿车安全相关体系供给了攻略,该规范的根底是适用于任何职业的电子/电气/可编程电子体系的功用安全规范IEC 61508。
ISO 26262规范中对体系做功用安全规划时,前期重要的一个进程是对体系进行损害剖析和风险评价,辨认出体系的损害并且对损害的风险等级——ASIL等级(Automotive Safety Integration Level,轿车安全完整性等级)进行评价。ASIL有四个等级,别离为A,B,C,D,其间A是最低的等级,D是最高的等级。然后,针对每种损害确认至少一个安全方针,安全方针是体系的第一流其他安全需求,由安全方针导出体系级其他安全需求,再将安全需求分配到硬件和软件。ASIL等级决议了对体系安全性的要求,ASIL等级越高,对体系的安全性要求越高,为完成安全支付的价值越高,意味着硬件的确诊覆盖率越高,开发流程越严厉,相应的开发本钱添加、开发周期延伸,技能要求严厉。ISO 26262中提出了在满意安全方针的前提下下降ASIL等级的办法——ASIL分化,这样能够处理上述开发中的难点。
本文首要介绍了ISO 26262规范中的损害剖析和风险评价阶段中的ASIL等级确认办法,然后介绍了ASIL分化的准则,并辅以实例进行阐明。
2. 损害剖析和风险评价
根据ISO 26262规范进行功用安全规划时,首要辨认体系的功用,并剖析其所有或许的功用毛病(Malfunction),可选用的剖析办法有HAZOP,FMEA、脑筋风暴等。假如在体系开发的各个阶段发现在本阶段没有辨认出来的毛病,都要回到这个阶段,进行更新。功用毛病在特定的驾驭场景下,才会形成伤亡事情,比方近光灯体系,其间一个功用毛病便是灯非预期平息,假如在乌黑的夜晚行进在山路上,驾驭员看不清路途状况,或许会掉入山崖,形成车毁人亡;假如此功用毛病产生在白日就不会产生任何的影响。所以进行功用毛病剖析后,要进行情形剖析,辨认与此毛病相关的驾驭情形,比方:高速公路超车、车库泊车等。剖析驾驭情形主张从公路类型:比方国道、城市路途、村庄路途等;路面状况:比方湿滑路面、冰雪路面、枯燥路面;车辆状况:比方转向、 超车、制动、加快等;环境条件:比方:风雪交加、夜晚、地道灯;交通状况:拥堵、顺利、红绿灯等;人员状况:不如乘客、路人等几个方面去考虑。功用毛病和驾驭场景的组合叫做损害事情(hazard event), 损害事情确认后,根据三个因子——严重度(Severity)、露出率(Exposure)和可控性(Controllability)评价损害事情的风险等级——ASIL等级。其间严重度是指对驾驭员、乘员、或许行人等涉险人员的损伤程度;露出率是指人员露出在体系的失效能够形成损害的场景中的概率;可控性是指驾驭员或其他涉险人员能够防止事端或损伤的或许性。这三个因子的分类在表1中给出。
ASIL等级的确认根据这三个影响因子,表2中给出了ASIL的确认办法,其间D代表最高等级, A代表最低等级,QM表明质量办理(Quality Management),表明依照质量办理体系开发体系或功用就足够了,不必考虑任何安全相关的规划。确认了损害的ASIL等级后,为每个损害确认至少一个安全方针,作为功用和技能安全需求的根底。
表2 ASIL等级确认
下面以EPB(Electrical Park Brake)体系为例介绍怎么进行损害剖析和风险评价。
EPB较传统的驻车制动器,除了驻车功用,还有动态起步辅佐功用、紧急制动功用以及主动驻车功用等。这儿咱们以驻车功用为例,当驻车时,驾驭员经过按钮或其它办法宣布制动恳求,EPB体系在轿车的后轮上施加制动力,以防止车非预期滑行。该体系的损害有:非预期制动失效、非预期制动发动。相同的损害在不同的场景下的风险是不一样的,所以咱们要对不同的驾驭场景进行剖析。为了简化问题,这儿咱们仅对”非预期制动失效”这种功用毛病进行风险评价。表3给出了EPB风险评价表,在该表中咱们考虑的驾驭场景是车停在斜坡上,驾驭员不在车上。假如驾驭员在车上的话,驾驭员可经过踩刹车操控轿车滑行,可控性添加,那么所评价的ASIL等级会比表中的ASIL D低,可是关于同一个安全方针,假如评价的ASIL等级不同的话,要挑选ASIL等级最高的那个。
经过以上剖析,得出EPB体系的安全方针为:防止制动失效,ASIL等级为D。
3. ASIL分化准则
经过上节介绍的损害剖析和风险评价,咱们得出体系的安全方针和相应的ASIL等级,从安全方针能够推导出开发阶段的安全需求,安全需求承继安全方针的ASIL等级。假如一个安全需求分化为两个冗余的安全需求,那么本来的安全需求的ASIL等级能够分化到两个冗余的安全需求上。由于只有当两个安全需求一起不满意时,才导致体系的失效,所以冗余安全需求的ASIL等级能够比原始的安全需求的ASIL等级低。ISO 26262规范的第9章给出了ASIL分化的准则,如图1所示。
分化后的ASIL等级后边括号里是指明原始需求的ASIL等级,比方ASIL D等级分化为ASIL C(D)和ASILA(D)等,由于集成和需求的验证依然根据其原始的ASIL等级。ASIL 分化能够在安全生命周期的多个阶段进行,比方功用安全概念、体系规划、硬件规划、软件规划阶段。并且ASIL等级能够分屡次进行,比方ASIL D等级分为ASIL C(D)和ASILA(D),ASIL C(D)还能够持续分化为 ASIL B(D)和ASIL A(D )。
可是ASIL 分化的一个最重要的要求便是独立性,假如不能满意独立性要求的话,冗余单元要依照本来的ASIL等级开发。所谓的独立性就冗余单元之间不该产生隶属失效(Dependent Failure),隶属失效分为共因失效(Common Cause Failure)和级联失效(Cascading Failure) 两种。共因失效是指两个单元由于一起的原因失效,比方软件仿制冗余,冗余单元会由于同一个软件bug导致两者都失效,为了防止该共因失效,咱们选用多种软件规划办法。级联失效是指一个单元失效导致另一个单元的失效,比方一个软件组件的功用呈现毛病,写入另一个软件组件RAM中,导致另一个软件组件的功用失效,为了操控该级联失效,咱们选用内存办理单元,能够探测到不合法写入RAM的状况。
下面以一个比方介绍ASIL 分化的进程。
假定功用F,其输入信号为S1,S2,S3,这三个信号别离丈量不同的物理量,是彼此独立的,经过ECU内部的逻辑运算后,发送触发信息给履行器Actuator,功用F的架构示意图如图2所示。假定经过损害剖析和风险评价后,功用F的ASIL等级为ASIL D,安全方针为防止非预期触发履行器。那么功用F的各个部分承继ASIL等级,即传感器、ECU、履行器都需求依照ASIL D 等级开发,如图3所示。
经过进一步的剖析发现,当速度V》阈值时,非预期触发履行器,才干形成风险。那么咱们在功用F的架构中,参加一个安全机制,安全机制的功用是当检测到速度V大于阈值时,不允许触发履行器。那么功用F的架构变为如图4所示。
图4 参加安全机制后的架构
功用F和安全机制是冗余安全需求,一起来满意安全方针,因而能够将功用F本来的ASIL等级在这两个需求上进行分化,分化为ASIL D(D)和QM(D),分化后的ASIL等级如图5所示。
图5 ASIL分化后架构示意图
本来的传感器S1、S2、S3依照QM开发,速度传感器依照ASIL D开发,ECU里边的软件,本来的逻辑按QM开发,安全机制的逻辑依照ASIL D开发,不同ASIL等级的软件存在于一个ECU内,为了确保软件之间的独立性,确保两者之间不彼此影响,需求考虑内存保护机制,适宜的调度特点来确保存储空间和CPU时刻的独立性,这样会添加软件开发的许多本钱。那么咱们进一步采纳硬件上的别离来确保独立性,咱们挑选一个本钱很低的简略的芯片(比方PGA, Programmable Gate Array)来运转安全机制中的软件(如图6所示)。需求留意的是PGA要运用独立的电源和时钟。
图6 改善的ASIL分化后架构示意图
经过分化后,依照ASIL D开发的功用逻辑简略,使得开发变得简略,全体本钱也得以下降。
4. 定论
本文以EPB为例介绍了ISO 26262规范中安全方针及其ASIL等级确认的办法,安全方针的ASIL等级被开发阶段安全需求承继,假如安全需求的ASIL等级高,那么需求进行ASIL分化以下降ASIL等级,本文以实例介绍了ASIL分化的准则和进程。ASIL分化并没有在ISO 26262中被强制要求履行,可是咱们能够经过对体系进行剖析、进而对体系架构进行调整,完成ASIL分化,能够处理因ASIL等级高而带来的开发本钱、开发周期和技能要求等方面的问题。