01.
序
电脑已经成为我们日常生活中不可或缺的工具。我们使用电脑浏览网站,收发电子邮件,编辑照片和文章,浏览社交媒体和举行在线会议。在使用电脑的过程中,或多或少会出现系统崩溃、卡顿、软件反应迟钝等等问题。那为什么手机经常卡/驱动?可能是因为元器件老化或过热,电脑芯片某个关键部件故障或内部连接器接触不良,也可能是软件BUG导致整个系统随机重启。
由于安装在计算机中的处理器,最坏的结果只是由于数据丢失而产生的一瞬间的沮丧。如果这个处理器安装在你车的一个控制系统里,比如转向/刹车/智能驾驶,后果可能更严重。
所有的电子元件都会在某个时间点出现故障,这是不可改变的事实。如今,我们发现越来越多的电子元件在我们的汽车中执行关键功能,涉及转向、制动、智能辅助驾驶等。由于电子元件随着时间的推移必然会出现各种问题,而我们的电子电气工程师可以如果时间不能停止流逝,我们如何帮助使用我们组件的系统设计人员避免这种危及车辆乘员和其他交通参与者生命的随机事件?
答案是:功能安全。
02.
什么是功能安全?
"功能安全指避免由系统功能故障引起的不可接受的风险。功能安全关注的是系统失效后的行为,而不是系统原有的功能或性能。
在现代工业控制领域,可编程电子软硬件系统的广泛使用大大提高了自动化程度。然而,由于设备设计的缺失和开发制造中风险管理意识的缺乏,这些存在设计缺陷的产品大量流入相关行业的安全控制系统,造成了大量的人身安全、财产损失和环境危害。正因如此,世界各国一直高度重视石油化工过程安全控制系统、电厂安全控制系统、核电安全控制系统等各个领域的产品安全设计技术,将电子、电气、可编程电子安全控制系统相关技术发展成为一套成熟的产品安全设计技术,即功能安全技术。
欧美发布了一整套功能安全相关的产品指令和设计标准,已经渗透到各个领域,如:汽车(ISO26262)轨道控制(sindic x)、核电(EN 61513)、工业设备和机器控制(EN 62601、EN ISO13849-1/2)、过程控制(EN 61511)等。IEC 61508、IEC 61511等系列标准已逐渐成为各个国家和行业广泛认可的基本功能安全标准。我国也模仿并形成了相应的国家标准,其他行业的功能安全标准也正在被参考,并将逐步成为国家行业标准。
ISO26262源自IEC61508,是电子、电气和可编程设备功能安全的基本标准。主要针对汽车行业中专门用于汽车领域的特定电气器件、电子设备、可编程电子器件等元器件。它是提高汽车电子和电气产品功能安全性的国际标准。国内对应的标准是GB/T 34590。
随着系统复杂性的提高,软件和机电设备的应用,来自系统故障和随机硬件故障的风险也在增加。制定ISO 26262标准的目的是使人们对安全相关功能有更好的理解,并尽可能清楚地解释它们。同时为规避这些风险提供了可行的要求和流程。
ISO 26262为汽车安全提供了生命周期(管理、开发、生产、运营、服务、报废)概念,并在这些生命周期阶段提供必要的支持。本标准涵盖了功能安全的整体开发过程(包括需求规划、设计、实现、集成、验证、确认和配置)。
根据安全风险程度,ISO 26262对系统或系统的一部分进行定义,并将其划分为汽车安全完整性等级ASIL(Automotive Safety Integrity Level ),其中D级最高,要求最严格的安全要求。随着ASIL水平的提高,对系统硬件和软件开发过程的要求也在加强。对于系统供应商来说,除了现有的质量要求之外,由于功能安全级别的提高,他们还必须满足这些更高的要求。
整车主要模块/功能的功能安全级别
03.
故障-错误-失败
故障
函数中定义的失效是指能够导致元件或相关项目失效的异常情况。
故障可分为永久性故障和非永久性故障,其分类如下图所示。
永久性故障是指发生并持续到故障被消除或修复的故障。也就是说,当永久性故障发生时,必须采取相应的措施恢复其正常运行。其中,系统性故障一般是永久性故障。
非永久性故障可分为间歇性故障和瞬时故障。间歇性故障是指反复出现然后消失的故障。当组件处于损坏边缘时,或者例如由于开关的浪涌(电压的瞬时剧烈变化),可能会出现间歇性故障。一些系统故障(如时序混乱)也可能导致间歇性故障。
瞬时故障是指出现一次后就消失的故障。电磁干扰可能会导致瞬时故障,从而导致位翻转。例如,由单粒子翻转效应(SEU)和单粒子瞬态脉冲(set)引起的软错误就是瞬态故障。(单粒子翻转是宇宙中单个高能粒子射入半导体器件的敏感区域,导致器件逻辑状态翻转的现象。)
错误
ISO 26262定义的误差是指计算、观察和测量的值或条件与真实的、规定的和理论上正确的值或条件之间的差异。不可预见的工作条件或所考虑的系统、子系统或组件的内部故障都可能导致错误。失败可以表现为所考虑的元素中的错误,这最终会导致失败。
例如,由于宇宙中单个高能粒子注入到半导体器件的敏感区域,翻转存储器逻辑状态的单粒子翻转效应SEU使软件中的一个位从0变到1或从1变到0,这就是软错误(硬件没有损坏)。
从图中可以看出,故障、错误和失败的一般关系是:故障会导致错误,错误会导致失败。下面会详细解释。
失去效力
根据ISO26262的定义,失效是一个元素的终止按要求履行其职能的能力。(英语:根据需要终止元件执行功能的能力)
注意:不正确的规格是失败的原因之一。
这里的失败是指功能的丧失或终止。例如,对于电机控制器来说,其主要功能之一就是根据整车控制器VCU的转矩要求来控制电机的转矩和转速。所以输出扭矩无论是出乎意料的大还是小都是失败的。
1.系统故障和随机硬件故障
根据故障原因,故障在功能安全上可分为两类:系统故障和随机硬件故障。功能安全的主要目的是将这两种故障导致的整车级别的安全风险尽可能降低到可接受的水平。
(1)系统性失败。
以某种方式与某种原因有关的故障,只有在设计或生产过程、操作程序、文件或其他相关因素改变后才能消除。
系统性失败有三个特征:
A-仅通过正确的维护而不进行修改是无法排除故障的。
它可以通过模拟失败的原因来重复。
C-是人为错误造成的,故障原因是,例如,安全要求和规范的错误;硬件设计、制造、安装和操作中的错误;软件设计和实现中的错误等。
软件故障和部分硬件故障是系统性故障。比如编码时,不考虑使用数据类型的错误。一个变量(例如精度为1,偏移量为0)本来应该是U16,但却用了U8,这样计算出来的最大值只能达到255。这里的软件错误是一个系统性的失败。
(2)随机硬件故障
根据ISO 26262的定义,随机硬件故障是指在硬件元件的生命周期内,意外发生且服从概率分布的故障。并且可以在合理的精度范围内进行预测。
意外发生是指虽然硬件设计是正确的,比如电子元器件的选择,电阻值,电容值,电路设计等。都是正确的,设备符合质量标准。但是不可能预测故障会在哪里发生,以什么形式发生。
服从概率分布意味着可以在合理的精度内预测故障。如通过可靠性或分析得到的失效率。
硬件的随机故障是由物理过程引起的,例如疲劳、物理退化或环境压力。比如上面说的位翻转,比如开路、短路、电阻漂移等等。
2.相关失败和无关失败
此外,功能安全中定义了相关故障和无关故障。
相关失效是指同时或连续失效的概率不能表示为每次失效的无条件概率的简单乘积。例如,当故障A和故障B同时发生的概率不等于两个故障概率时,用数学关系式表示为Pab=Pa*Pb,故障A和B可以定义为相关故障。相反,不相关故障可以表示为每个故障的无条件概率的简单乘积。
相关故障可分为共因故障和级联故障。
共因失效是指由单个特定事件或相关项目中的根源引起的两个或多个元素的失效。如下图所示。我们可以不能避免随机故障的发生。因此,功能安全在系统中构建安全监控和缓解机制,以解决随机故障。安全机制可以持续监控汽车中的制动信号,以检查其是否偏离预期范围。如果它确实偏离了预期的范围,安全机制将标记可能的问题,并需要检查它们。
级联故障
由于原因导致的故障
故障、错误和失效之间的关系
故障、错误和失效之间的关系如下图所示。该图描述了三种不同类型原因(系统软件问题、随机硬件问题和系统硬件问题)从故障到错误以及从错误到故障的发展过程。
系统性故障是由设计和规格问题引起的;软件故障和一些硬件故障是系统性的。
随机硬件故障是由物理过程引起的,例如疲劳、物理退化或环境压力。
在组件级别,每种不同类型的故障都会导致不同的故障。但是,组件级别的故障是相关项目级别的故障。
04.
为所有的可能性做好准备。
事实上,函数中描述的问题在我们的日常家庭和工作场所中也会经常出现。如果你曾经注意到你的手机因为长时间暴露在阳光下而自动关机,这是因为手机在实时监测手机的温度。当温度上升到危险阈值时,手机会自动关机,防止电池过热起火。这是典型的功能安全机制在起作用。
功能安全可以不能避免随机硬件故障的发生,但功能安全可以在系统中建立安全监控和相应的安全机制,以更好地应对随机故障,降低安全风险。例如,功能安全机制可以持续监控车内某个传感器的信号,以检查其是否偏离预期范围。一旦发现偏离预期范围,安全机制将被触发,系统将进入预定义的工作状态。在这种预定义状态下,相应的功能不会造成安全风险。
为了预测这些潜在的危险,系统级的功能安全工程师必须知道所有可能的原因以及这些危险故障在电路级发生的可能性,以及如何设计相应的软硬件来实现对故障的及时准确诊断。具有功能安全的集成电路可以将风险降低到可接受的水平,其诊断覆盖范围应在FMEDA中规定。
然而,要确保产品满足功能安全要求,对随机硬件故障的充分准备只是其中之一。另一个风险源是开发过程本身的系统故障。无论诊断覆盖率有多高,在创建功能安全应用时,必须遵循适当的程序,以有效避免人为因素导致的故障(系统性故障)3354,这也是标准系统的最大好处。无论功能安全措施设计得多好,严格的质量管理流程是实现功能安全的前提条件之一。
执行功能安全活动时,遵守规则非常重要。这一过程必须从一开始就考虑到安全,还必须创造一种支持安全的文化。一个完整的开发过程必须包括以下重要方面:
管理:包括团队的组织架构,如明确不同岗位的定义和职责,创建安全文化,定义安全生命周期,定义职能安全支持的级别。安全生命周期的设置包括制定成功的计划、选择合适的开发工具以及确保团队接受足够的培训。
要求的可追溯性以及故障检测和控制措施(功能安全要求)。为了准确地追踪需求,需求的定义必须清晰、精确和唯一。可追溯性水平取决于完整性的要求,文件可以是高水平的;产品需要涵盖从故障检测到验证的所有方面。必须详细验证——计划流程。
文档管理和问题管理。勘误表必须妥善管理和使用。为了实现文件的精确控制,文件本身的版本信息和标识ID必须清晰、准确和唯一,文件更改的记录也必须保证完整性。在产品开发过程中,所有在设计和验证阶段出现的与功能安全相关的问题,从问题出现到问题关闭的全过程都必须进行详细的记录和验证。
05.
摘要
最后,让强调功能安全标准中功能安全的定义避免由系统功能故障导致的不可接受的风险。
的标准描述总是严谨而晦涩的。简单来说,就是某个功能在使用过程中出现故障,就会造成伤害。该功能与功能安全相关。因此,将功能安全翻译成功能安全。举个稍微不太恰当的例子:比如椅子(标准中提到的E/E没有用,是因为这些产品和系统比椅子的直观描述更复杂,功能更多)。椅子之所以成为椅子,关键的一点在于,椅子是为了让人坐而设计、生产和使用的。"让人坐是椅子的核心功能。一把可以不能坐着。不要被称为椅子。在澄清了函数的椅子,我们可以描述功能安全椅子的如下:椅子在人们坐着的时候应该是安全的,它不会摔倒或刺伤他人,也就是说,人们坐在椅子上不会受到伤害。
安全,按照一般的概念,就是没有危险,没有威胁,没有事故。根据这个概念,安全性是不可控的。因为这是一个绝对安全的概念,而绝对安全是不存在的。然而,在ISO 26262,安全被定义为没有不可接受的风险,将绝对安全转化为相对风险控制,使通过风险控制解决安全问题成为可能,为安全的实现提供了路径-功能安全的本质是风险控制。
功能安全是一个复杂而庞大的系统,涉及的内容繁多而复杂。为了更好地理解功能安全端到端、全系统、全生命周期的科学理论和方法,了解和掌握功能安全的基本概念是非常必要和重要的。
审计刘清
标签:故障功能系统