道路车辆功能安全等级评估流程和软件功能安全要求李艳文中国汽车技术研究中心汽车工程研究院Self introduction•中国汽车技术研究中心汽车工程研究院功能安全评估经理、汽车电子主任工程师;•有6年从事汽车电子和功能安全相关的研究、设计和测试经验,9年从事电控产品软硬件开发及CAN总线设计测试经验;•获得TÜV南德IEC61508功能安全FSP证书和TÜV莱茵ISO26262道路车辆功能安全FSE证书;•参与了ISO26262标准的国标申报,致力于功能安全标准的研究和评估测试工作。道路车辆功能安全等级评估流程道路车辆功能安全等级评估流程和软件功能安全要求和软件功能安全要求ISO26262李艳文李艳文2012.09.062012.09.06中国汽车技术研究中心中国汽车技术研究中心汽车工程研究院汽车工程研究院主要内容••ISO26262ISO26262标准介绍标准介绍•ISO26262标准软件功能安全要求•车载电控模块功能安全分析举例•中汽中心工程院功能安全评估业务介绍中国汽车技术研究中心汽车工程研究院ISO26262标准介绍ISO26262标准概述ISO26262标准产生的背景ISO26262标准内容简介中国汽车技术研究中心汽车工程研究院ISO26262标准概述汽车产业是一个不允许系统失效发生的产业,在国外,一旦发生失效,汽车厂商将面临官司赔偿与商誉受损的巨大风险,为了防止系统失效的发生,必须有一套严谨且可靠的开发流程来让系统开发工程师依循,因此车辆领域的专家即开始着手发展车辆领域的功能安全标准,ISO26262道路车辆功能安全标准在这样的环境与需求下应运而生。中国汽车技术研究中心汽车工程研究院ISO26262标准概述本标准主要来源于IEC61508标准,并着重于车辆电子/电机系统的功能安全,ISO26262标准的适用范围为所有3.5吨以下客车(Passenger Cars)上所搭载之电子/电机系统。标准的执行,将减少因为电子器件失效造成的交通事故和降低潜在召回风险,所以目前国际大型车企非常重视ISO26262标准的应用和推广。中国汽车技术研究中心汽车工程研究院ISO26262标准概述为避免实施本标准对车辆产业所造成的冲击,目前全球的OEM厂商、一级零部件厂商、车用芯片商、开发工具商皆已开始着手于其产品开发过程中导入ISO26262标准,或使其软硬件开发工具产品符合ISO26262标准的要求。中国汽车技术研究中心汽车工程研究院ISO26262标准产生的背景汽车中的功能风险¾意外的加减速¾意外的加减速损失¾意外的转向降低风险的措施¾设计措施¾组织措施¾安全监控措施中国汽车技术研究中心汽车工程研究院ISO26262标准产生的背景安全,规章,产品责任……¾功能安全问题导致昂贵的召回:•2010年丰田公司由于油门踏板故障召回数百万辆汽车。•2010年丰田公司由于潜在断裂问题召回超过300,000辆普锐斯。•2010年日产公司由于制动问题和燃油表问题召回超过500,000辆汽车。•2009年奥迪公司由于传输控制问题召回超过10,000辆汽车。•……¾这些严重的召回事件都与基于电子控制系统失效有关。中国汽车技术研究中心汽车工程研究院ISO26262标准产生的背景汽车中的功能安全举例¾汽车电子系统中增长的软件部分¾功能安全相关的汽车电子零部件自适应前灯(Adaptivefrontlight)防抱死制动系统(Anti-lockingbrakingsystem)车辆稳定性控制(Vehiclestabilitycontrol)牵引力控制(Tractioncontrol)电子制动力分配(Electronicbrakeforcedistribution)紧急刹车辅助(Emergencybrakeassist)防止碰撞(Collisionprevention)车道偏离警告系统(Lanedeparturewarningsystem)自适应动力转向(Adaptivepowersteering)辅助停车(Parkingassistant)自适应悬架控制(Adaptivesuspensioncontrol)电子制动系统(Electronicbrakesystem)安全带预张紧(Seat-beltpre-tensioning)安全气囊(Airbags)驾驶员睡意检测(Driverdrowsinessdetection)驾驶监测系统(Drivermonitoringsystem)自适应远光灯辅助(Adaptivehighbeam(lights)assistant)自适应巡航控制系统(Adaptivecruisecontrol)自主巡航控制(Autonomouscruisecontrol)轮胎压力监测系统(Tirepressuremonitoringsystem)自动前灯的高度调整(Automaticfrontlightheightadjustment)……中国汽车技术研究中心汽车工程研究院ISO26262标准产生的背景ISO26262 和IEC61508标准¾IEC61508是一项用于工业领域的国际标准,其名称是《电气/电子/可编程电子安全相关系统的功能安全》,是一个基本的功能安全标准应用于各种工业行业。¾ISO26262是道路车辆功能安全标准,由IEC61508演变而来适合汽车行业的功能安全标准。中国汽车技术研究中心汽车工程研究院ISO26262标准内容简介ISO26262标准的重要性¾ISO26262于2011年11月成为正式的ISO标准,欧盟ECE法规和产品责任法对ISO26262标准都有相关的指向和要求,未来ISO26262标准对汽车行业的影响程度将会大大加强。¾ISO26262标准可以使供应商清楚定义项目开发流程与功能安全相关的系统/硬件/软件应共同遵循的目标,基于ISO26262标准的应用,有利于国内电控零部件达到国际上汽车行业的功能安全要求。中国汽车技术研究中心汽车工程研究院ISO26262标准内容简介功能安全管理与质量管理¾功能安全管理涉及到了技术要求,通过对系统/软件/硬件的各部分要求,实现产品的功能安全目标。¾质量管理是针对产品批量生产阶段的要求,功能安全着重于单个产品从开发到成熟过程的要求。中国汽车技术研究中心汽车工程研究院ISO26262标准内容简介ISO26262标准的适用范围¾汽车行业开发商•整车开发商:所有3.5吨以下客车(PassengerCars)。•安全相关的车辆电机与电子系统开发商:如动力控制系统…•安全相关的车辆电子零部件开发商:如电子控制器、电机、电池模块…•安全相关的车辆电子组件开发商:如微控制器、软件模块…¾车辆功能安全相关的不同项目人员•公司管理层:公司产品主管、研发主管、质量主管•项目管理者:项目经理、产品经理•相关研发人员:系统工程师、软/硬件工程师、质量工程师•相关业务人员中国汽车技术研究中心汽车工程研究院ISO26262标准内容简介ISO26262标准文档内容架构ISO26262标准共分为十个部分:第一部分:词汇表第二部分:功能安全管理第三部分:概念阶段第四部分:产品开发:系统层第五部分:产品开发:硬件层第六部分:产品开发:软件层第七部分:产品和操作第八部分:支持过程第九部分:汽车安全完整性等级导向和安全导向分析第十部分:指南中国汽车技术研究中心汽车工程研究院标准第一部分:词汇表¾功能安全内在安全完全避免危险的根源功能安全通过安全措施确保达到一定的安全水平中国汽车技术研究中心汽车工程研究院标准第一部分:词汇表¾安全(Safety):不存在不可接受的风险;¾风险(Risk):出现伤害的概率和该伤害严重性的组合;¾伤害(Damage):由于对财产或环境的破坏而导致的直接或间接对人体健康或人身的损伤(死亡);¾车辆安全完整性等级(ASIL):描述了风险降低的等级,D-安全等级最高,A-安全等级最低;¾工作产品和文档:9标准的每一部分都定义和要求了需要提供的文档,称为工作产品;9支持进程中定义的工作产品表现形式为文档;9文档用于保证可追溯性和可再生产性,对汽车电子功能安全产品是必须的。中国汽车技术研究中心汽车工程研究院标准第二部分:功能安全管理¾目的9减少人为错误的发生率;9减少系统故障的残余风险;9机构化设计控制;9可持续发展的质量和安全监控;9可追溯性;9可再生产性;9通过失效预防减少失效成本。¾整体功能安全管理9产品开发阶段的功能安全管理;9产品发布后的功能安全管理。¾项目经理负责执行功能安全管理9公司安全经理、部门安全经理、项目安全经理。中国汽车技术研究中心汽车工程研究院标准第三部分:概念阶段¾项目定义9定义和描述项目;9提供对项目的充分理解,以便使得安全生命周期中定义的每一项活动可以执行。¾安全生命周期启动9对新的开发和之前已存在项目的修改做出区别;9定义将要执行的安全生命周期活动。¾危险分析和风险评估9对项目的危害识别并进行分类,制定相关安全目标来预防或减轻这些危险,避免不合理的风险。¾功能安全概念9为了引出功能安全的要求,将安全目标分配给项目初级架构元素或外部降低风险的措施,以确保所要求的功能安全。中国汽车技术研究中心汽车工程研究院标准第四部分:产品开发-系统级¾系统级产品开发的启动¾技术安全要求中的规格¾系统设计¾项目集成和测试¾安全验证¾功能安全评估¾产品发布中国汽车技术研究中心汽车工程研究院标准第五部分:产品开发-硬件级¾硬件产品开发的启动¾硬件安全规格的要求¾硬件设计¾硬件架构指标¾对由于硬件随机失效引起的违反安全目标进行评估¾硬件集成和测试中国汽车技术研究中心汽车工程研究院标准第六部分:产品开发-软件级¾软件级产品开发的启动¾软件安全要求的规格¾软件架构设计¾软件单元设计与执行¾软件单元测试¾软件集成和测试¾软件安全要求的验证中国汽车技术研究中心汽车工程研究院标准第七部分:生产和运营¾生产9建立一个安全相关产品的生产计划;9通过相关产品制造商或主管生产过程的人或组织来达到功能安全。¾操作、维护和废弃9为了维持车辆操作期间的功能安全,定义了安全相关产品的维护、客户信息和维修指南的范围;9提供拆卸前涉及的有关安全的活动要求。中国汽车技术研究中心汽车工程研究院标准第八部分:支持过程¾分布式开发接口¾安全管理和安全规格要求¾配置管理¾变更管理¾验证¾文档¾软件工具资质¾软件组件资质¾硬件组件资质¾以证明可用论据中国汽车技术研究中心汽车工程研究院标准第九部分:汽车安全完整性等级导向和安全导向分析¾ASIL等级分解要求9提供安全要求分解的规则和指南,得到ASIL下一等级的细节剪裁。¾元素共存标准9提供元素间共存条件:•安全相关的子元素和非安全相关的子元素;•分配给安全相关的子元素以不同的ASIL要求。¾相关失效分析9确定任何单一事件或单一的原因,他们导致项目元素间的独立性无效,项目元素要求要遵守它的安全目标。¾安全分析9检查故障和失效对产品和元件的功能、特性和设计的影响。安全分析还提供哪些导致违背安全目标或安全要求条件和原因的信息。此外,安全分析还有助于确定那些在危害分析和风险评估阶段从未考虑到的新的功能或非功能危害。中国汽车技术研究中心汽车工程研究院•ISO26262标准介绍••ISO26262ISO26262标准软件功能安全要求标准软件功能安全要求•车载电控模块功能安全分析举例•中汽中心工程院功能安全评估业务介绍中国汽车技术研究中心汽车工程研究院ISO26262标准软件功能安全要求软件在安全生命周期中的位置中国汽车技术研究中心汽车工程研究院ISO26262标准软件功能安全要求ISO26262-6产品开发软件层要求中国汽车技术研究中心汽车工程研究院ISO26262标准软件功能安全要求软件开发流程规范SPICE–SoftwareProcessImprovementandCapabilityDetermination–软件过程改进和能力测试CMMI–CapabilityMa