安全性是汽车研发制造最关注的要素。
一款新型汽车无论集成多么先进的驾驶功能,设计者都需要提供充足的证据以证明新增加的功具备足够的安全性以满足整车安全的要求。随着汽车电气化和智能化程度的提高,整车电气和电子系统的复杂性也随之提升。电子/电气系统复杂性的提升带来了系统失效和随机失效风险的增高,随之带来的汽车安全的不确定性,这成为了当今汽车智能化变革路上最大的挑战。
2011年国际标准化组织道路车辆技术委员会基于IEC61508(2000年首次发布)对“道路汽车” 的电气/电子系统的特殊安全性进行了梳理,提出了与汽车功能安全相关的电气/电子硬件和软件以及相关组件在设计、生产、服务以及报废全生命周期的安全要求及验证要求。ISO26262《公路汽车功能安全性》正式诞生。目前ISO26262认证是产品进入汽车电子/电气零部件及系统供应链体系的必要条件。
ISO26262的具体要求
ISO26262为车辆全生命周期(包括产品研发、生产、使用、维保和报废)中保证电子/电气系统的功能安全提供了相应的安全保证措施,如提供了如何评估/改善/验证安全性的要求、方法和管控流程,同时还提供了包括机械、液压、气压等其他技术在内的安全性保证框架。
ISO26262从整车功能安全性角度出发,通过对功能相关项的危害分析、风险评估、确定汽车安全完整性等级(ASIL),进而确定安全目标。
为达成安全目标,细分了功能相关项,组成相关项的电子/电气系统,组成系统的各组件,以及组成各组件的元器件几层,针对每个层级制定相应的功能安全概念和技术安全概念,并通过评审、验证等手段对相关项安全性是否达成和有效进行评价。
评审一般针对在系统开发过程中,为达成相关项安全目标所做工作而形成的工作成果而进行评审(走查/检查/认可评审),工作成果包括约86类成果文件,涵盖了从产品概念提出阶段直至报废全生命周期功能安全活动的文档资料,也包括研制方和供应商的管理文件。
对于电子组件和元器件研制和制造者,ISO26262提供相应的安全认证指南。针对ISO26262进行专门开发的电子组件或元器件,需按照ISO26262-5的开发要求安全活动进行开发和验证。
而对货架电子组件或元器件,开发阶段并没有引入ISO26262的安全概念,需根据ISO26262-8对硬件要素的评估要求进行安全功能评估和背离安全目标风险评估。对于此类货架电子组件和元件器在评估时,根据产品的特性、评估难度的差异以及要素在安全概念中的作用进行分类(Class Ⅰ-Class Ⅲ)。
Class Ⅰ
在ISO26262-11-2011版本中,此类被评估要素只需经过ISO16750或AEC-Q相应的标准认证即可,而在2018版本中,此类要素不需要进行单独评估,而是在更高的集成层面进行评估即可。
Class II
Class II类要素的特点是工作模式多样,但内部同样不具备安全诊断和控制机制,如传感器,没有集成IP内核的集成电路属于此类要素。此类要素的评估需按照ISO26262-8采用分析(对数据、文件、模型、记录的分析)和测试(针对功能,使用环境的安全性进行试验验证)进行评估,被评估的要素对外界应力的鲁棒性测试按照ISO26262-5进行评估。
评估的目的是分析和验证要素的功能性能是否能够符合其规范,以及满足其预期用途。这些性能要求应充分考虑被评估要素在正常环境下以及造成故障发生环境下的性能要求。
Class III
Class III类要素的特点是工作模式多样,而且必须要在考虑实际工作情况下才能对其功能性能进行评估,内部嵌入安全诊断和控制机制,如MCU、DSP、集成IP内核的集成电路属于此类要素。对Class Ⅲ类要素评估最为复杂和苛刻,此要素除了要满足如Class Ⅱ类要素安全评估各项要求外,还要采用额外的评估措施,以能够说明背离安全目标和安全要求的风险足够低。额外的评估措施包括但不限于:
a) 需要根据具体的使用功能和使用环境完成安全相关功能的验证。
b)最好具备类似使用场景的使用历程,以作为硬件安全评估的支撑依据。
c)硬件内部要具备独立多样化的执行诊断功能的内核,能够进行芯片安全性的监控。
d)硬件的开发过程执行了某些安全标准,且安全标准与ISO26262的ASIL等级相当。正因如此ISO26262中对非按照ISO26262开发的Class Ⅲ类要素的评估是不建议采纳的,希望此类要素能够在未来的升级时充分按照ISO26262-5硬件层开发要求进行升级。
