首页 > 制动知识 > 正文
汽车的安全要求及ISO 26262标准
作者: 见下文 来源: 汽车零部件 日期: 2012年10月刊

汽车设计中的安全要求及ISO 26262标准

还宏生

德国大陆集团车身电子系统部

随着汽车电子在汽车设计中的应用越来越广泛,如何防止由于随机故障或系统故障而引发危险的事故成为汽车电子设计工程师面临的问题。2011年11月随着ISO26262正式发布以来,汽车安全性越来越受到国内汽车从业者的重视。文中介绍了ISO26262规范以及如何在设计中满足规范的要求以提高汽车产品在使用中的安全性。

1 汽车电子安全设计的理由和目标

汽车在行驶中,由于电子零件失效或设计缺陷导致部分功能的失效而引发事故在以往有深刻的教训。在设计中,如何避免功能失效引发人身伤害事故,或将危险事故发生的可能降到社会可接受的程度成为汽车系统设计的一大挑战。设计的安全标准受到地域、环境和当时技术条件的限制。如果在产品设计的一开始没有很好地考虑安全性要求,汽车使用中不但可能危及人的生命,而且企业不得不花费巨额的资金和人力去弥补产品的缺陷,甚至危及企业的生存。图1表示危险事故可能性和危害程度的关系。

\

2 汽车安全性设计流程

在ISO26262标准中,涉及安全的产品设计定义了几个重要阶段,系统架构定义阶段、开发设计阶段、测试验证和评估阶段,如图2所示。

\

系统架构定义阶段:包含功能ASIL级别的定义、ASIL整车系统分配、控制模块框架结构及相互关系、整车级和零件级的安全概念、安全目标、安全状态、单点故障度(SPFM)、潜在故障都(LFM)和硬件随机故障目标值(PMHF)等等。

产品开发阶段:产品安全规格定义、软硬件接口、硬件开发和软件开发、测试规范等。

测试验证阶段:包括软硬件安全性能测试、系统集成测试、失效率和故障度计算、测试和计算结果和开发工具评估。

3 汽车功能安全等级

汽车功能安全等级的确认是设计的前提,否则可能陷入过度设计或弱设计。安全等级的评判由三个因素决定:伤害严重程度、发生概率和可控程度。

伤害严重程度指在某一功能失效的情况下,发生事故时对人体的伤害程度,包含驾驶人员、乘员和行人以及环境。伤害程度分为无伤害、轻度伤害、重度伤害但无生命危险、重度伤害并可能危及生命,分别对应0~3四个等级。

发生概率是故障发生时,在何种情况下发生伤害事故,包括行驶速度、路况、天气等等,分别对应1~4四个等级。

可控程度指在故障发生时,驾驶人员对车辆的控制能力。从控制比较简单、通常可以控制和难以控制,分别对应1~3三个等级。

汽车功能安全等级由以上三项决定。不同国家、地区道路状况不同,驾车、行人走路习惯也不同,可能会得出不同的级别。同一功能在不同的驾驶情况下也会有不同ASIL等级评判。ASIL级别参考表1。

\

4 安全概念

电子模块零件随机失效和系统失效是汽车系统设计必须考虑的问题。一旦电子零件失效导致关键功能丧失,必须让司机能够最有效控制车辆,避免危险的发生,最大限度保护乘车人员和行人的安全是产品设计者必需认真对待的问题。所以设计概念是一旦失效,汽车应该能在一定的时间内恢复功能,保持或切换到最低限度安全状态,同时提供必要的报警信息以帮助驾驶人员避免事故的发生。

以上面汽车安全气囊为例,在快速行车时一旦误触发,可能会造成严重事故。所以系统设计的概念是保证在行驶过程中在未碰撞情况下不打开气囊,安全状态应该是不打开气囊。

5 对待危险故障的对策方案

对待分析中任何可能导致危险的失效都必须确定设计的安全目标,故障发生时应该保持的安全状态。对于有高安全等级功能要求,零件的随机故障率就会超过ISO26262设定的故障值,对于这些关键功能需要提供冗余度设计以防单个故障引起功能失效从而引发人身伤害事故。

对策包含:系统方案和指标的确定,硬件软件的设计和验证。ISO26262第五和第六部分定义了硬件和软件的要求。硬件部分要求如表2和表3所示。

\

汽车各项功能由个或多个控制模块

\

\

\

(转载请注明来源: 汽车制动网/chebrake.com 责任编辑:elizabeth)

推荐好友:
加入收藏: 加入收藏夹
】【打印本页】【发表评论】【关闭窗口
 
   
   
 
联系电话:021-50325218
Copyright 2007 www.chebrake.com. All rights reserved.
© 2007 汽车制动网 版权所有|法律声明 沪ICP备13016240号-2