午夜视频在线网站,日韩视频精品在线,中文字幕精品一区二区三区在线,在线播放精品,1024你懂我懂的旧版人,欧美日韩一级黄色片,一区二区三区在线观看视频

分享

汽車(chē)功能安全到底哪里有用了?

 yeshuheng 2022-12-12 發(fā)布于浙江

01.

前言

電腦已經(jīng)是大家日常生活中不可或缺重要工具,我們使用電腦來(lái)瀏覽網(wǎng)站、收發(fā)郵件、編輯照片和視頻、瀏覽社交媒體以及在線會(huì)議。在使用電腦的過(guò)程中或多或少會(huì)遇到系統(tǒng)崩潰,卡頓,軟件不響應(yīng)等等問(wèn)題。那為何手機(jī)經(jīng)??D/司機(jī)?可能是因?yàn)椴考匣蜻^(guò)熱,又或是電腦芯片的一個(gè)關(guān)鍵組件失效或者內(nèi)部接插件接觸不良,又或者是軟件的BUG從而導(dǎo)致整個(gè)系統(tǒng)隨機(jī)重啟。

多虧這是安裝在電腦中的處理器,最糟糕的結(jié)果也只是因?yàn)閿?shù)據(jù)的丟失而片刻的沮喪。如果這款處理器安裝在您汽車(chē)的某個(gè)控制系統(tǒng)中,例如轉(zhuǎn)向/制動(dòng)/智能駕駛,那么后果可能會(huì)更嚴(yán)重。

圖片

所有電子元件都會(huì)在某個(gè)時(shí)間點(diǎn)失效,這是無(wú)法更改的事實(shí)。而如今,我們發(fā)現(xiàn)在我們汽車(chē)上越來(lái)越多的執(zhí)行關(guān)鍵功能的電子元件越來(lái)越多,涉及轉(zhuǎn)向、制動(dòng)、智能輔助駕駛等方面。既然電子元件必然會(huì)隨著時(shí)間的流逝出現(xiàn)各種問(wèn)題, 并且我們的電子電氣工程師無(wú)法阻止時(shí)間的流逝,我們?cè)撊绾螏椭褂梦覀冊(cè)南到y(tǒng)設(shè)計(jì)人員來(lái)避免此類(lèi)隨機(jī)事件危及車(chē)輛駕乘人員以及其他交通參與者的生命安全?

答案就是:功能安全。


02.

什么是功能安全

“功能安全”是指避免由系統(tǒng)功能性故障導(dǎo)致的不可接受的風(fēng)險(xiǎn)。功能安全關(guān)注系統(tǒng)故障后的行為,而不是系統(tǒng)的原有功能或性能。

在現(xiàn)代工業(yè)控制領(lǐng)域中,可編程電子硬件、軟件系統(tǒng)的大量使用,大大提升了自動(dòng)化程度。但由于設(shè)備設(shè)計(jì)中的缺失,以及開(kāi)發(fā)制造中風(fēng)險(xiǎn)管理意識(shí)的不足,這些存在設(shè)計(jì)缺陷的產(chǎn)品大量流入相關(guān)行業(yè)的安全控制系統(tǒng)中,已經(jīng)造成了大量的人身安全、財(cái)產(chǎn)損失和環(huán)境危害事故。為此,世界各國(guó)歷來(lái)對(duì)石化過(guò)程安全控制系統(tǒng)、電廠安全控制系統(tǒng)、核電安全控制系全領(lǐng)域的產(chǎn)品安全性設(shè)計(jì)技術(shù)非常重視,并且將電子、電氣及可編程電子安全控制系統(tǒng)相關(guān)的技術(shù)發(fā)展為一套成熟的產(chǎn)品安全設(shè)計(jì)技術(shù),即“功能安全”技術(shù)。

歐美已經(jīng)頒布了成套的功能安全相關(guān)產(chǎn)品指令和設(shè)計(jì)標(biāo)準(zhǔn),并深入到各個(gè)領(lǐng)域,如:汽車(chē)(ISO26262)軌道控制(EN 5012X)、核電(EN 61513)、工業(yè)裝備及機(jī)器控制(EN 62601, EN ISO 13849-1/2)、過(guò)程控制(EN 61511)等,國(guó)際上,IEC形成的 IEC 61508,IEC 61511 等系列標(biāo)準(zhǔn)已經(jīng)逐步成為各國(guó)家、行業(yè)廣泛認(rèn)可的基本功能安全標(biāo)準(zhǔn),中國(guó)也仿效并形成了的相應(yīng)國(guó)家標(biāo)準(zhǔn),其他行業(yè)性功能安全標(biāo)準(zhǔn)也在參照并將逐步形成為國(guó)家行業(yè)性標(biāo)準(zhǔn)。

ISO26262是從電子、電氣及可編程器件功能安全基本標(biāo)準(zhǔn)IEC61508派生出來(lái)的,主要定位在汽車(chē)行業(yè)中特定的電氣器件、電子設(shè)備、可編程電子器件等專(zhuān)門(mén)用于汽車(chē)領(lǐng)域的部件,旨在提高汽車(chē)電子、電氣產(chǎn)品功能安全的國(guó)際標(biāo)準(zhǔn),國(guó)內(nèi)對(duì)應(yīng)的標(biāo)準(zhǔn)即為GB/T 34590。

圖片

隨著系統(tǒng)復(fù)雜性的提高,軟件和機(jī)電設(shè)備的應(yīng)用,來(lái)自系統(tǒng)失效和隨機(jī)硬件失效的風(fēng)險(xiǎn)也日益增加,制定ISO 26262標(biāo)準(zhǔn)的目的是使得人們對(duì)安全相關(guān)功能有一個(gè)更好的理解,并盡可能明確地對(duì)它們進(jìn)行解釋?zhuān)瑫r(shí)為避免這些風(fēng)險(xiǎn)提供了可行性的要求和流程。

ISO 26262為汽車(chē)安全提供了一個(gè)生命周期(管理、開(kāi)發(fā)、生產(chǎn)、經(jīng)營(yíng)、服務(wù)、報(bào)廢)理念,并在這些生命周期階段中提供必要的支持。該標(biāo)準(zhǔn)涵蓋功能性安全方面的整體開(kāi)發(fā)過(guò)程(包括需求規(guī)劃、設(shè)計(jì)、實(shí)施、集成、驗(yàn)證、確認(rèn)和配置)。

圖片

ISO 26262標(biāo)準(zhǔn)根據(jù)安全風(fēng)險(xiǎn)程度對(duì)系統(tǒng)或系統(tǒng)某組成部分確定劃分由A到D的安全需求等級(jí)(Automotive Safety Integrity Level 汽車(chē)安全完整性等級(jí)ASIL),其中D級(jí)為最高等級(jí),需要最苛刻的安全需求。伴隨著ASIL等級(jí)的增加,針對(duì)系統(tǒng)硬件和軟件開(kāi)發(fā)流程的要求也隨之增強(qiáng)。對(duì)系統(tǒng)供應(yīng)商而言,除了需要滿足現(xiàn)有的質(zhì)量要求外還必須滿足這些因?yàn)楣δ馨踩燃?jí)增加而提出的更高的要求。

圖片

整車(chē)主要模塊/功能的功能安全等級(jí)


03.

故障-錯(cuò)誤-失效

  • 故障

功能安全中定義的故障是指可引起要素或相關(guān)項(xiàng)失效的異常情況。

故障可以分為永久故障和非永久故障,其分類(lèi)如下圖所示。

圖片

永久性故障是指發(fā)生并持續(xù),直到被移除或修復(fù)的故障。也就是說(shuō)永久性故障發(fā)生了必須采取相應(yīng)的措施才能夠使其恢復(fù)其正常運(yùn)行。其中系統(tǒng)性故障一般表現(xiàn)為永久性故障。

非永久性故障可以分為間歇性故障和瞬態(tài)故障。間歇性故障是指故障一再的發(fā)生,然后消失。當(dāng)一個(gè)組件處于損壞的邊緣時(shí),或者例如由于開(kāi)關(guān)的電涌(電壓的瞬態(tài)激烈變化),間歇性故障可能會(huì)發(fā)生。某些系統(tǒng)性故障(例如時(shí)序混亂)也可能導(dǎo)致間歇性故障。

瞬態(tài)故障是指發(fā)生一次且隨后消失的故障。瞬態(tài)故障可由電磁干擾引起,其可導(dǎo)致位翻轉(zhuǎn)。比如由于單粒子翻轉(zhuǎn)效應(yīng)(SEU)和單粒子瞬態(tài)脈沖(SET)發(fā)生的軟錯(cuò)誤,均為瞬態(tài)故障。(單粒子翻轉(zhuǎn)是宇宙中單個(gè)高能粒子射入半導(dǎo)體器件靈敏區(qū),使器件邏輯狀態(tài)翻轉(zhuǎn)的現(xiàn)象。)

  • 錯(cuò)誤

ISO 26262中定義的錯(cuò)誤是指計(jì)算的、觀測(cè)的、測(cè)量的值或條件與真實(shí)的、規(guī)定的、理論上正確的值或條件之間的差異。錯(cuò)誤可由未預(yù)見(jiàn)的工作條件引起或由所考慮的系統(tǒng)、子系統(tǒng)或組件的內(nèi)部故障引起。故障可表現(xiàn)為所考慮要素內(nèi)的錯(cuò)誤,該錯(cuò)誤可最終導(dǎo)致失效。

比如由于宇宙中單個(gè)高能粒子射入半導(dǎo)體器件靈敏區(qū),使存儲(chǔ)器邏輯狀態(tài)翻轉(zhuǎn)的單粒子翻轉(zhuǎn)效應(yīng)SEU,使得軟件中某個(gè)bit位從0到1或者從1變成0是屬于一個(gè)軟錯(cuò)誤(硬件沒(méi)有損害)。

從上可以看出故障,錯(cuò)誤和失效的大概關(guān)系是故障可引起錯(cuò)誤,錯(cuò)誤再導(dǎo)致失效。下文會(huì)再做詳細(xì)說(shuō)明。

  • 失效

失效,按照ISO26262的定義是要素按要求執(zhí)行功能的能力的終止。(英文:terminationof the ability of an element to perform a function as required)

注:不正確的規(guī)范是失效的來(lái)源之一。

在這里失效針對(duì)的是功能的喪失或者終止。比如對(duì)于電機(jī)控制器來(lái)說(shuō),其主要的功能之一是根據(jù)整車(chē)控制器VCU的扭矩請(qǐng)求,對(duì)電機(jī)進(jìn)行轉(zhuǎn)矩和轉(zhuǎn)速的控制,因此無(wú)論輸出的扭矩非預(yù)期的偏大或者偏小都是一種失效。

1.系統(tǒng)性失效和隨機(jī)硬件失效

在功能安全中依據(jù)失效的原因可以將失效分為兩種:系統(tǒng)性失效和隨機(jī)硬件失效。而功能安全的主要目的就是盡可能的將由于這兩類(lèi)失效導(dǎo)致的整車(chē)層面安全風(fēng)險(xiǎn)降低到一個(gè)可以接受的水平。

(1)系統(tǒng)性失效(systematic failure)

以確定的方式與某個(gè)原因相關(guān)的失效,只有對(duì)設(shè)計(jì)或生產(chǎn)流程、操作規(guī)程、文檔或其它相關(guān)因素進(jìn)行變更后才可能排除這種失效。

系統(tǒng)性失效存在三個(gè)特征:

A- 僅僅進(jìn)行正確維護(hù)而不加修改的情況下,無(wú)法消除故障。

B-通過(guò)模擬失效原因可以使其重復(fù)出現(xiàn)。

C-是人為錯(cuò)誤引起,失效原因比如:安全要求規(guī)范的錯(cuò)誤;硬件的設(shè)計(jì),制造,安裝,操作的錯(cuò)誤;軟件的設(shè)計(jì)和實(shí)現(xiàn)的錯(cuò)誤等。

軟件故障和部分的硬件故障是屬于系統(tǒng)性故障。比如coding的時(shí)候沒(méi)有考慮使用數(shù)據(jù)類(lèi)型的錯(cuò)誤,某變量(比如精度為1,offset為0)本應(yīng)該使用U16的,結(jié)果用成了U8,使得計(jì)算的最大數(shù)值只能到255。這里的軟件bug是屬于系統(tǒng)性失效。

(2)隨機(jī)硬件失效(random hardware failure)

按照ISO 26262的定義,隨機(jī)硬件失效是在硬件要素的生命周期中,非預(yù)期發(fā)生并服從概率分布的失效。并且可在合理的精度范圍內(nèi)進(jìn)行預(yù)測(cè)。

非預(yù)期發(fā)生的含義是盡管硬件的設(shè)計(jì)是正確的,比如電子元器件的選型,電阻值,電容值,電路設(shè)計(jì)等都是正確的,且器件是符合質(zhì)量標(biāo)準(zhǔn)的。但是卻無(wú)法預(yù)知在哪里發(fā)生,以怎樣的形式發(fā)生的失效。

服從概率分布的含義是失效可以在合理的精度范圍內(nèi)進(jìn)行預(yù)測(cè)。比如通過(guò)可靠性或者分析得到失效率。

隨機(jī)硬件失效的起因是由于物理過(guò)程,比如疲勞、物理退化或環(huán)境應(yīng)力等。比如上面提到的位翻轉(zhuǎn),比如電阻的開(kāi)路,短路,阻值漂移等等。

2.相關(guān)失效和非相關(guān)失效

此外功能安全中還定義了相關(guān)失效和非相關(guān)失效。

相關(guān)失效是指失效同時(shí)或相繼發(fā)生的概率不能表示為每個(gè)失效無(wú)條件發(fā)生概率的簡(jiǎn)單乘積。比如當(dāng)失效A和失效B同時(shí)發(fā)生的概率不等于兩個(gè)失效概率的乘機(jī),用數(shù)學(xué)關(guān)系式表示為Pab =Pa*Pb,失效A和B可被定義為相關(guān)失效。反之非相關(guān)失效可以表示為每個(gè)失效無(wú)條件發(fā)生概率的簡(jiǎn)單乘積。

相關(guān)失效可以分為共因失效和級(jí)聯(lián)失效。

共因失效是指在相關(guān)項(xiàng)中,有一個(gè)單一特定事件或根源引起的兩個(gè)或多個(gè)要素的失效。如下圖所示。我們無(wú)法避免隨機(jī)故障的發(fā)生,因此,功能安全在系統(tǒng)中構(gòu)建安全監(jiān)控和緩解機(jī)制,從而解決隨機(jī)故障。功能安全機(jī)制可持續(xù)監(jiān)控汽車(chē)中的制動(dòng)信號(hào),從而檢查它是否偏離預(yù)期范圍。如果確實(shí)偏離了預(yù)期范圍,安全機(jī)制會(huì)標(biāo)記出可能出現(xiàn)的問(wèn)題并需要對(duì)其進(jìn)行檢查。

圖片

級(jí)聯(lián)失效

圖片

公因失效


  • 故障,錯(cuò)誤和失效之間的關(guān)系

故障,錯(cuò)誤和失效之間的關(guān)系如下圖所示。圖中從三個(gè)不同類(lèi)型的原因(系統(tǒng)性軟件問(wèn)題、隨機(jī)硬件問(wèn)題和系統(tǒng)性硬件問(wèn)題)描述了故障到錯(cuò)誤并從錯(cuò)誤到失效的發(fā)展過(guò)程。

系統(tǒng)性故障起因于設(shè)計(jì)和規(guī)范的問(wèn)題;軟件故障和部分硬件故障是系統(tǒng)性的。

隨機(jī)硬件故障起因于物理過(guò)程,比如疲勞、物理退化或環(huán)境應(yīng)力。

在組件層面,每個(gè)不同類(lèi)型的故障會(huì)導(dǎo)致不同的失效。然而,組件層面的失效是相關(guān)項(xiàng)層面的故障。

圖片


04.

為一切可能性做好準(zhǔn)備

功能安全中描述的問(wèn)題其實(shí)也會(huì)經(jīng)常出現(xiàn)在我們?nèi)粘5募彝ズ凸ぷ鲌?chǎng)所。如果您曾經(jīng)注意到,你的手機(jī)因?yàn)殚L(zhǎng)時(shí)間放在陽(yáng)光下而自動(dòng)關(guān)機(jī),這是因?yàn)槭謾C(jī)實(shí)時(shí)的在監(jiān)控手機(jī)的溫度,一點(diǎn)溫度上升到危險(xiǎn)閾值,手機(jī)就會(huì)自動(dòng)關(guān)機(jī)防止電池過(guò)溫起火,這就是一個(gè)典型的功能安全機(jī)制在起作用。

功能安全無(wú)法避免隨機(jī)硬件故障的發(fā)生,但是功能安全可以在系統(tǒng)中構(gòu)建安全監(jiān)控以及對(duì)應(yīng)的安全機(jī)制,更好的應(yīng)對(duì)隨機(jī)故障,降低安全風(fēng)險(xiǎn)。例如,功能安全機(jī)制可持續(xù)監(jiān)控汽車(chē)中的某個(gè)傳感器的信號(hào),從而檢查它是否偏離預(yù)期范圍。一旦發(fā)現(xiàn)偏離了預(yù)期范圍,安全機(jī)制就會(huì)被觸發(fā),將系統(tǒng)帶入到預(yù)先定義好的一種工作狀態(tài)當(dāng)中,這這種預(yù)定義的狀態(tài)下,對(duì)應(yīng)功能不會(huì)產(chǎn)生安全風(fēng)險(xiǎn)。

為了預(yù)測(cè)這些潛在的危險(xiǎn),系統(tǒng)層面的功能安全工程師必須了解這些電路層面危險(xiǎn)故障的所有可能原因、發(fā)生的可能性以及如何設(shè)計(jì)對(duì)應(yīng)的軟硬件實(shí)現(xiàn)對(duì)故障的及時(shí)&準(zhǔn)確的診斷。實(shí)現(xiàn)了功能安全的集成電路可以將風(fēng)險(xiǎn)降低到可接受的水平,并在失效模式、影響和診斷分析 (FMEDA) 中具體說(shuō)明其診斷覆蓋范圍。

然而,要確保產(chǎn)品滿足功能安全要求,為應(yīng)對(duì)隨機(jī)硬件失效做好充足準(zhǔn)備只是其中之一。另一個(gè)風(fēng)險(xiǎn)來(lái)源是開(kāi)發(fā)過(guò)程本身的系統(tǒng)失效。因?yàn)闊o(wú)論診斷覆蓋率多高,打造功能安全應(yīng)用的時(shí)候都必須遵循合適的流程才能有效避免人為因素引入的失效(系統(tǒng)性失效)——這也是標(biāo)準(zhǔn)體系最大的益處。無(wú)論功能安全措施設(shè)計(jì)得如何完善,嚴(yán)格的質(zhì)量管理流程都是實(shí)現(xiàn)功能安全的前提條件之一。

開(kāi)展功能安全活動(dòng)的時(shí)候,“循規(guī)蹈矩”非常重要。這個(gè)過(guò)程必須從一開(kāi)始就將安全納入考慮,而且還必須營(yíng)造支持安全的文化。完整的開(kāi)發(fā)流程必須包含以下幾個(gè)重要方面:

  • 安全管理:包括團(tuán)隊(duì)組織架構(gòu),具體內(nèi)容如:明確不同職位的定義和職責(zé)、打造安全文化、定義安全生命周期,定義功能安全支持級(jí)別。安全生命周期的設(shè)定包括制定一份成功計(jì)劃,選擇合適的開(kāi)發(fā)工具,確保團(tuán)隊(duì)接受充分的培訓(xùn)。

  • 需求管理和故障檢測(cè)及控制措施(功能安全需求)的可追溯性。為精確實(shí)現(xiàn)需求追溯,需求本身定義必須要明確,精準(zhǔn),且具備唯一性。追溯等級(jí)取決于完整性的要求,文件可以高等級(jí);產(chǎn)品則需要從故障檢測(cè)到驗(yàn)證等各個(gè)環(huán)節(jié)面面俱到——計(jì)劃過(guò)程不得空穴來(lái)風(fēng),必須經(jīng)過(guò)詳細(xì)驗(yàn)證。

  • 文檔管理和問(wèn)題管理??闭`表必須得到妥善管理和使用。為實(shí)現(xiàn)文檔的精確管控,文檔本身版本信息和識(shí)別ID必須要明確,精準(zhǔn),且具備唯一性,文檔變更的記錄也需要保證完整性。產(chǎn)品在開(kāi)發(fā)過(guò)程中對(duì)于設(shè)計(jì)和驗(yàn)證階段所出現(xiàn)的所有功能安全相關(guān)的問(wèn)題,從問(wèn)題出現(xiàn)->關(guān)閉的整個(gè)過(guò)程必須經(jīng)過(guò)詳細(xì)記錄和驗(yàn)證。


05.

總結(jié)

最后,我們?cè)賮?lái)強(qiáng)調(diào)一下功能安全標(biāo)準(zhǔn)中對(duì)功能安全的定義“避免由系統(tǒng)功能性故障導(dǎo)致的不可接受的風(fēng)險(xiǎn)”。

標(biāo)準(zhǔn)的描述從來(lái)都是嚴(yán)謹(jǐn)而晦澀,簡(jiǎn)單來(lái)說(shuō),就是一個(gè)功能在它的使用過(guò)程中如果出現(xiàn)故障了會(huì)帶來(lái)傷害,這個(gè)功能就是功能安全相關(guān)的。因此Functional Safety翻譯為“功能的安全”更為貼切。舉個(gè)略顯不恰當(dāng)?shù)睦樱喝缫话岩巫樱ú皇褂脴?biāo)準(zhǔn)里說(shuō)的E/ E,是因?yàn)檫@些產(chǎn)品和系統(tǒng)比較復(fù)雜,功能比較多不如椅子這種描述的直觀)。椅子之所以成為椅子,其中核心的一點(diǎn)就是其設(shè)計(jì)、生產(chǎn)和使用的目的是讓人坐在上面?!白屓俗笔且话岩巫拥暮诵墓δ?。一把不能坐的椅子不能稱(chēng)其為椅子。明晰了椅子“功能”后,我們可以將椅子的“功能安全”描述為:一把椅子在人坐的時(shí)候應(yīng)該是沒(méi)有危險(xiǎn)的,不會(huì)倒、不會(huì)扎到人等,即人坐到椅子上的時(shí)候不會(huì)產(chǎn)生傷害。

安全,按一般的概念是沒(méi)有危險(xiǎn),不受威脅,不出事故。按照這樣的概念,安全是不可控制的。因?yàn)檫@是一個(gè)絕對(duì)安全的概念,而絕對(duì)安全是不存在的。但是在ISO 26262中將安全定義為“不存在不可接受的風(fēng)險(xiǎn)”,這樣就將絕對(duì)化的安全轉(zhuǎn)化為相對(duì)化的風(fēng)險(xiǎn)控制,使得可以通過(guò)控制風(fēng)險(xiǎn)的手段來(lái)解決安全問(wèn)題,為安全的實(shí)現(xiàn)提供了可供遵循的路徑—“功能的安全的本質(zhì)就是控制風(fēng)險(xiǎn)”。

功能安全是一個(gè)復(fù)雜而龐大的體系,涉及的內(nèi)容多而繁雜,而要更好地理解功能安全的端到端、全系統(tǒng)和全生命周期的科學(xué)理論與方法,了解和掌握就是功能安全的基本概念非常必要的且重要的。

------------- END --------------

    本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間,所有內(nèi)容均由用戶(hù)發(fā)布,不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購(gòu)買(mǎi)等信息,謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請(qǐng)點(diǎn)擊一鍵舉報(bào)。
    轉(zhuǎn)藏 分享 獻(xiàn)花(0

    0條評(píng)論

    發(fā)表

    請(qǐng)遵守用戶(hù) 評(píng)論公約

    類(lèi)似文章 更多