当前位置:首页 >> 信息与通信 >>

ISO 26262介绍


ISO26262 是国际标准化组织文件第 26262 号 (ISO 26262) 为机动车辆开发 和测试紧急安全电子系统提供了一个过程框架和程序模型。从电子、电气及可 编程器件功能安全基本标准 IEC61508 派生出来的,主要定位在汽车行业中特 定的电气器件、电子设备、可编程电子器件等专门用于汽车领域的部件,旨在 提高汽车电子、电气产品功能安全的国际标准。 ISO26262 从 2005 年 11 月起正式开始制定,经历了大约 6 年左右的时间, 已于 2011 年 11 月正式颁布,成为国际标准。中国也正在积极进行相应国标的 制定。 安全在将来的汽车研发中是关键要素之一,新的功能不仅用于辅助驾驶, 也应用于车辆的动态控制和涉及到安全工程领域的主动安全系统。将来,这些 功能的研发和集成必将加强安全系统研发过程的需求,同时,也为满足所有预 期的安全目的提供证据。 随着系统复杂性的提高,软件和机电设备的应用,来自系统失效和随机硬 件失效的风险也日益增加, 制定 ISO 26262 标准的目的是使得人们对安全相关 功能有一个更好的理解,并尽可能明确地对它们进行解释,同时为避免这些风 险提供了可行性的要求和流程。 。 ISO 26262 为汽车安全提供了一个生命周期(管理、开发、生产、经营、 服务、报废)理念,并在这些生命周期阶段中提供必要的支持。该标准涵盖功 能性安全方面的整体开发过程(包括需求规划、设计、实施、集成、验证、确 认和配置) 。 ISO 26262 标准根据安全风险程度对系统或系统某组成部分确定划分由 A 到 D 的安全需求等级( Automotive Safety Integrity Level 汽车安全完整性等级 ASIL ) ,其中 D 级为最高等级,需要最苛刻的安全需求。伴随着 ASIL 等级的 增加,针对系统硬件和软件开发流程的要求也随之增强。对系统供应商而言, 除了需要满足现有的高质量要求外还必须满足这些因为安全等级增加而提出 的更高的要求。

系统安全可以从大量的安全措施中获得, 包括各种技术的应用 (如: 机械, 液压,气动,电力,电子,可编程电子元件) 。尽管 ISO26262 是相关于 E/E
1

系统的,但它仍然提供了基于其他相关技术的安全相关系统的框架。 ISO26262 : - 提供了汽车生命周期(管理,研发,生产,运行,服务,拆解)和生命 周期中必要的改装活动。 - 提供了决定风险等级的具体风险评估方法(汽车安全综合等级, ASILs ) - 使用 ASILs 方法来确定获得可接受的残余风险的必要安全要求。 - 提供了确保获得足够的和可接受的安全等级的有效性和确定性措施。 功能安全受研发过程(包括具体要求,设计,执行,整合,验证,有效性 和配置) ,生产过程和服务流程以及管理流程的影响。 安全事件总是和通常的功能和质量相关的研发活动及产品伴随在一起。 ISO26262 强调了研发活动和产品的安全相关方面。 ISO26262 主要用于安装在最大毛重不超过 3.5 吨的乘用车上的一个或多 个 E/E 系统的安全相关系统。 ISO26262 唯一不适用于为残疾人设计的特殊目 的车辆的 E/E 系统。系统研发早于 ISO26262 出版日期的,也不在标准的要求 之内。 ISO26262 表述了由 E/E 安全相关系统,包括这些系统的互相影响,故 障导致的可能的危险行为,不包括电击,火灾,热,辐射,有毒物质,可燃物 质,反应物质,腐蚀性物质,能量释放及类似的危险,除非这些危险是由于 E/E 安全相关系统故障导致的。 ISO26262 对 E/E 系统的标称性能没有要求,对这些系统的功能性性能标 准也没有什么要求(例如:主被动安全系统,刹车系统, ACC 等) ISO26262 主要包括以下几个部分: Part 1 :定义 Part 2 :功能安全管理 Part 3 :概念阶段 Part 4 :产品研发:系统级 Part 5 :产品研发:硬件级 Part 6 :产品研发:软件级 Part 7 :生产和操作 Part 8 :支持过程
2

Part 9 :基于 ASIL 和安全的分析 Part 10 : ISO26262 导则 ISO26262 适用范围 ISO26262-BMS 电池管理系统 ISO26262-MCU 微控制单元 ISO26262-ECU 电子控制单元 ISO26262-ABS 汽车防抱死制动系统 ISO26262-BAS 制动辅助系统 ISO26262-TPMS 胎压实时监控系统 ISO26262-PEPS 无钥匙进入系统 ISO26262-ESP 车身稳定控制系统 ISO26262-EPS 电子助力转向系统 ISO26262-CCAS 汽车防撞雷达系统 ISO26262-AFS 自适应前照明系统 ISO26262-LDWS 车道偏离预警系统 ISO26262-ASR 牵引力控制系统 ISO26262-EBD 电子刹车力分配系统 ISO26262-EBA 紧急制动辅助系统 ISO26262-VSC 车身稳定控制系统 ISO26262-PAS 停车辅助系统 ISO26262-Seat-belt pre-tensioning 安全带预紧 ISO26262-Electronic brake system 电子制动系统 ISO26262- 电动汽车 (EV) 整车控制系统硬件及软件 ISO26262- 混合动力汽车 (HEV) 整车控制系统硬件及软件

3

VectorCAST 认证文档包含
? ? ? ? ? ? ? ?

工具操作需求( TOR ) : 在可验证的需求上实现 VectorCAST 的功能 项目的作业环境 ( 编译器、平台、目标等。 ) 管理流程的配置 实现验证 VectorCAST 满足特定测试需求的方法 工具认证数据 (TQD): 工具认证的测试数据和结果 重新执行的测试脚本

4

2. 功能安全概念设计 在概念阶段设计项目(或产品)定义、危险分析和风险评估和功能安全概念。 2.1 项目定义 项目定义描述了 EPS 系统的主要功能,如下所述: · 根据司机意图,提供转向支持 · 主动回正 · 向车内其它系统提供转向角度(通过 CAN 网络) 2.2 危险分析和风险评估 危险分析和风险评估需要考虑的要素有:安全功能、失效模式、驾驶场景、严重性、暴露 的可能性、可控性以及安全目标、ASIL 等级、安全时间和安全状态。 根据分析,EPS 系统有如下危险分析和风险评估结果: · 安全目标 1:防止电机产生自主扭矩

5

确保电机不能自主产生扭矩,这样会使车辆转向偏离司机意图。尤其在高速时,这种扭矩 会产生意外的转向,给司机乘客和行人带来危险。这种危险可能源于传感器或电控单元 ECU 的 故障。 ASIL 等级:ASIL-D · 安全目标 2:防止电机产生死锁扭矩 确保电机不能锁死,以至司机不能正常转向。电机死锁可能由电气失效或机械失效导致。 尤其在高速时,这种意外的扭矩会给司机,乘客和行人带来危险。这种危险可能源于电控单元 ECU 的故障,或电机及转向系统的机械故障。 ASIL 等级:ASIL-D · 安全目标 3:防止系统从“安全状态”错误退出,电机产生突发扭矩 这种工况是指当 EPS 系统由于故障,如电机异常等原因,已经进入了所谓的“安全状态”。 但是由于电气故障,EPS 系统错误地从“安全状态”退出,在没有任何告警的情况下,电机重新对 转向系统施加意外的扭矩,从而使司机不能按意图控制转向。 ASIL 等级:ASIL-A · 安全目标 4:防止电机不提供助力 确保系统运行正常,助力施加正确。助力缺失不会导致车辆失控,因为有机械转向系统存 在。一种合理的假设是:当这种故障被检测到后,显示告警信息;司机察觉后,启用“跛行回家” 的行车模式,,比如降低车速等。 ASIL 等级:QM 经过危险分析和风险评估后,以上四个安全目标的最高 ASIL 等级是 ASIL-D。所以 EPS 系 统的最高 ASIL 等级是 ASIL-D。 2.3 功能安全概念 为了实现系统的安全目标,对系统架构中的各个要素(Element),如传感器、控制单元和执 行单元(电机),都有功能安全需求。功能安全需求主要考虑各要素的 ASIL 等级、工作模式、安 全时间、安全状态、功能冗余即容错性能和各要素的初步架构等。它不涉及具体的硬件和软件实 现细节。在 EPS 系统中,采用了如图 2 的初步系统架构,可能的功能安全需求示例如下: · 整个 EPS 系统要求达到 ASIL-D 的要求。(系统) · 安全状态的定义必须确保当系统出现致命故障时,电机的行为不会对转向系统不利影响。 (系统) 6

· 系统必须在安全时间内进入安全状态。(控制单元) · 控制单元必须包括电机控制通道和电机监控通道。(控制单元) · 控制通道和监控通道都能获得集成于车辆接口的传感器信号。(传感器和控制单元) · 控制通道和监控通道都能获得集成于执行单元的传感器信号。(传感器和控制单元) · 控制通道和监控通道所用的传感器信号必须独立。(传感器) · 控制通道根据扭矩传感器输入和其它来自车身网络的相关输入计算助力需求。(控制单元) · 控制通道控制执行单元,产生所需助力。(控制单元) · 监控通道根据独立的扭矩传感器输入和其它来自车身网络的相关输入, 校验控制通道是否 正确计算了助力需求。(控制单元) · 监控通道根据独立的传感器输入,校验控制通道是否正确控制了执行单元。(控制单元) · 监控通道能够独立的使系统进入安全状态。(控制单元) · 系统电源监控的实现必须独立于电机控制通道和电机监控通道。(控制单元) · 系统时钟监控的实现必须独立于电机控制通道和电机监控通道。(控制单元) · 其它需求可参考图 2 的 EPS 功能安全概念。

7


赞助商链接
相关文章:
ISO 26262中的ASIL等级确定与分解
本文首先介绍ISO 26262 标准中的危害分析和风险评估阶段中的 ASIL 等级确定方法, 然后介绍了 ASIL 分解的原则,并辅以实例进行说明。 2. 危害分析和风险评估 ...
符合ISO26262标准的软件测试解决方案
符合ISO26262标准的软件测试解决方案_电子/电路_工程科技_专业资料。符合 ISO26262 标准的软件测试解决方案 随着汽车行业的迅速发展,汽车电子电器 E/E 系统在汽车中...
ThreadingTest针对车载软件测试ISO26262标准的解决方案
ThreadingTest针对车载软件测试ISO26262标准的解决方案_计算机软件及应用_IT/计算机...ThreadingTest 测试工具介绍 ThreadingTest(简称“TT” )是创新型的系统级白盒...
GL Studio—符合ISO26262标准的HMI开发工具_图文
20 年来致力 于为用户提供灵活、可靠的符合 ISO-26262 标准的汽车 HMI 基于模型的开发解决方案. 产品介绍 GL Studio 为设计师和程序员提供 了定制化的 UI 开发...
26262 study
(1.32) necessary requirements of ISO 26262 and safety measures (1.110) to apply for avoiding an unreasonable residual risk (1.97), with D ...
BMS功能安全开发流程详解_图文
了解学习关于 ISO26262,看了一些文章,本身从事 BMS 相关的工 作,想做一个关于 BMS 功能安全开发流程的笔记,分三篇文章,第一篇是关于 BMS 和 ISO26262简介...
汽车电子电气系统功能安全标准IS026262的几点探讨
1 ISO26262 进展 1.1 ISO26262 内容简介 ISO26262(Road vehicles-Functional safety)道路车辆功能安全系列 标准于 2011 年 11 月 15 日正式颁布,该标准的目的...
V模型开发流程
ISO-26262 包含了管理、开发、生产、经营、服务及退役各 阶段的流程及方法,其...图九系统功能测试 四、 结论 在本文的介绍中可发现基于模型化设计与 V-Model ...
...新安全手册资料包可简化ISO 26262认证流程
STM8A 车用微控制器的新安全手册资料包可简化 ISO 26262 认证流程 中国,2015 年 8 月 17 日——意法半导体(STMicroelectronics,简称 ST;纽约证券 交易所代码:...
支持ASIL D 应用的安全集成硬件解决方案
本文讨论了对各种安全架构的实施,并介绍了一个创新的集成安全解决方案,以 简化系统级功能安全设计,包括遵从 ISO 26262 标准。 什么是功能安全? 根据定义, “功能...
更多相关标签: