一、功能安全基础:ISO 26262概述、ASIL等级定义、功能安全生命周期、安全目标与安全状态

大家好,我是老张。在汽车电子这行摸爬滚打了十几年,今天咱们来聊聊功能安全。说实话,我刚入行那会儿,ISO 26262还没普及,大家做项目全凭经验。后来出了几次召回事件,才意识到功能安全不是闹着玩的。

这一章,我带你过一遍功能安全的基础概念。别嫌枯燥,这些都是后面做故障注入测试的根基。你想想看,连安全目标都没搞清楚,你怎么知道该往哪里注入故障?

1.1 ISO 26262到底是什么?

ISO 26262,全称是「道路车辆功能安全标准」。它最早在2011年发布,2018年出了第二版。说白了,它就是一套方法论,告诉你如何把电子电气系统的风险控制在可接受的范围内。

我个人习惯把ISO 26262理解成一套「安全语言」。有了这套语言,OEM、Tier1、芯片供应商之间才能顺畅沟通。比如你说「这个功能要达到ASIL C」,大家就知道该做到什么程度。

核心思想:功能安全不是消除所有故障,而是把风险降到可接受的水平。记住,绝对安全是不存在的。

1.2 ASIL等级——你的系统有多「危险」?

ASIL,全称是Automotive Safety Integrity Level,汽车安全完整性等级。它分四个等级:A、B、C、D。ASIL A要求最低,ASIL D最高。

怎么确定ASIL等级?看三个参数:

  • 严重度(Severity):出事了,人伤得重不重?
  • 暴露率(Exposure):这种情况发生的概率高不高?
  • 可控性(Controllability):驾驶员能不能及时反应过来?

举个例子。电动助力转向系统,如果失效了,车可能失控。严重度是S3(生命危险),暴露率是E4(每次开车都可能遇到),可控性是C3(驾驶员很难控制)。查表,ASIL D。嗯,最高等级。

参数 等级 说明
严重度(S) S0~S3 S0:无伤害,S3:生命危险
暴露率(E) E0~E4 E0:几乎不暴露,E4:每次驾驶都暴露
可控性(C) C0~C3 C0:完全可控,C3:几乎不可控

避坑指南:我曾经在一个项目里,把ASIL等级定低了。原因是只考虑了单一故障,没考虑多故障叠加。结果评审时被安全专家怼了回来。记住,ASIL分解时要考虑独立性。

1.3 功能安全生命周期——从生到死

功能安全生命周期,说白了就是一套流程。从概念阶段开始,到生产、运行、退役,每个阶段都有明确的活动和产出。

我把它分成三个阶段:

  1. 概念阶段:定义功能、识别危险、确定安全目标。
  2. 产品开发阶段:系统级、硬件级、软件级的设计与验证。
  3. 生产与运行阶段:生产控制、售后监控、报废处理。

你可能会问:「老张,这跟测试有什么关系?」关系大了。每个阶段都有对应的测试活动。比如概念阶段要做安全分析(FMEA、FTA),产品开发阶段要做故障注入测试,生产阶段要做生产测试。

注意:很多团队只重视开发阶段的测试,忽略了概念阶段的安全分析。结果呢?后期发现安全目标定义错了,整个项目推倒重来。我见过不止一次。

1.4 安全目标与安全状态

安全目标,是功能安全的核心。它告诉你:「当某个危险事件发生时,系统应该做什么(或不做什么)。」

举个例子。对于电动助力转向系统,一个安全目标可能是:「当转向助力失效时,系统应确保驾驶员仍能通过机械连接控制车辆。」

安全状态,则是系统在达到安全目标后所处的状态。比如上面那个例子,安全状态就是「机械转向模式」。

这里有个关键点:安全状态不一定是「停机」。有时候,系统需要降级运行,而不是直接关掉。比如制动系统,你总不能说「刹车失效了,我关机吧」——那车就停不下来了。

我的经验:定义安全状态时,一定要考虑「故障容错时间间隔」(FTTI)。也就是说,从故障发生到系统进入安全状态,中间有多长时间。这个时间窗口内,系统必须能安全地处理故障。

1.5 小结

这一章,我们聊了ISO 26262的来龙去脉,ASIL等级怎么定,功能安全生命周期长什么样,以及安全目标和安全状态是什么。这些都是后面做故障注入测试的基础。

下一章,我会带你深入故障注入测试的具体方法。到时候,咱们会用到这些概念。你先把基础打牢,后面才能玩得转。

课后思考:你手头的项目,安全目标定义清楚了吗?安全状态是「停机」还是「降级」?FTTI是多少?如果答不上来,嗯,你可能需要重新审视一下你的安全概念。

好了,今天就到这儿。我是老张,咱们下章见。