1. 功能安全概述:ISO 26262标准背景、功能安全定义、ASIL等级划分、EPS系统功能安全目标
1.1 ISO 26262标准背景——它从哪来?
说起功能安全,咱们得先聊聊ISO 26262这个标准。它其实是IEC 61508(工业领域的功能安全标准)在汽车行业的“定制版”。
我记得2011年ISO 26262第一版刚发布时,很多同行都觉得“又多了一个要应付的标准”。但后来大家慢慢发现,这玩意儿真能救命。为什么?因为汽车电子系统越来越复杂,一个软件bug或者硬件失效,可能直接导致车毁人亡。
ISO 26262覆盖了从概念设计到生产、运行、报废的全生命周期。说白了,它教你如何系统地避免“系统出故障导致人受伤”。
核心要点:ISO 26262不是教你造更牛的车,而是教你造“出错了也不会害人”的车。
1.2 功能安全定义——到底什么是“安全”?
很多人一听到“功能安全”,就以为是“系统不出错”。其实不对。
功能安全的官方定义是:不存在由电子电气系统故障行为导致的不可接受的风险。
嗯,这句话有点绕。我换个说法:系统可以出故障,但不能因为故障导致人受伤。
举个例子:EPS(电动助力转向)系统如果突然失去助力,方向盘变重,这算不算功能安全问题?
- 如果车速很低(比如停车场),司机还能控制,风险可接受——不算功能安全问题。
- 如果高速行驶中突然失去助力,甚至反向助力,司机可能失控——这就是不可接受的风险。
我在项目中遇到过不少工程师纠结“这个故障算不算安全相关”。我的判断标准很简单:如果故障发生后,驾驶员需要超常能力才能避免事故,那就算。
个人经验:做功能安全分析时,别只盯着“系统会不会坏”,要盯着“人会不会死”。
1.3 ASIL等级划分——安全等级怎么定?
ISO 26262把安全等级分成了四个:ASIL A、B、C、D。D是最严格的,A是最宽松的。还有一个QM(质量管理),意思是“常规质量管控就行,不用额外安全措施”。
ASIL等级怎么定?看三个因素:
- 严重度(Severity):故障导致人员受伤的严重程度(S0~S3)
- 暴露率(Exposure):故障发生时,人员处于危险场景的概率(E0~E4)
- 可控性(Controllability):驾驶员或其他人员能控制住局面的能力(C0~C3)
然后查表得出ASIL等级:
| 严重度(S) | 暴露率(E) | 可控性(C) | ASIL等级 |
|---|---|---|---|
| S2 | E4 | C2 | ASIL C |
| S3 | E3 | C3 | ASIL D |
| S1 | E2 | C1 | ASIL A |
你想想看,EPS系统如果失效,严重度通常很高(S2~S3),暴露率也高(每次开车都暴露),可控性嘛……高速上突然转向失效,驾驶员基本控制不住(C3)。所以EPS系统通常要求ASIL C或ASIL D。
避坑指南:我曾经见过一个项目,把EPS的ASIL等级定成了B,理由是“我们还有机械备份”。结果审核时被挑战:机械备份的可靠性数据呢?失效概率计算呢?最后不得不重新评估,浪费了两个月。所以,ASIL等级别往低了定,除非你有充分证据。
1.4 EPS系统功能安全目标——我们要保护什么?
功能安全目标,说白了就是“系统必须做到什么,才能保证安全”。对于EPS系统,常见的安全目标有:
- SG1:防止非预期的转向助力输出(比如方向盘自己转)
- SG2:防止转向助力丧失(突然没助力)
- SG3:防止转向助力反向(你往左打,它往右推)
每个安全目标都要分配一个ASIL等级。比如SG1和SG3通常是ASIL D,因为后果太严重了。SG2可能是ASIL C,因为失去助力虽然危险,但驾驶员还能用力掰方向盘。
我记得在做一个L3级自动驾驶的EPS项目时,客户要求所有安全目标都是ASIL D。我当时就问了:“失去助力也要ASIL D?”客户说:“对,因为L3级下驾驶员可能在看视频,没准备接管方向盘。”嗯,这个逻辑我认。
核心原则:安全目标不是拍脑袋定的,它来源于危害分析和风险评估(HARA)。每个安全目标都要有对应的安全机制来保证。
1.5 我的几点建议
做功能安全这么多年,我总结了几条经验:
- 别把功能安全当成“文档工程”。很多公司做功能安全就是写一堆文档,然后束之高阁。其实文档是手段,不是目的。
- ASIL等级决定了你的开发成本。ASIL D要求更高的诊断覆盖率、更多的冗余、更严格的开发流程。定等级时要想清楚,别盲目求高,也别为了省钱往低定。
- EPS系统是功能安全的“重灾区”。转向系统直接关系到车辆横向控制,一旦失效,后果严重。所以EPS工程师必须把功能安全刻在脑子里。
好了,第一章就聊到这儿。下一章我们讲危害分析与风险评估(HARA),这是功能安全最核心的一步,也是很多工程师觉得最头疼的一步。到时候我会分享一些实战中的“坑”和“捷径”。
课后思考:如果你的EPS系统同时有ASIL D和ASIL B的安全目标,你会怎么设计架构?是全部按ASIL D做,还是分区处理?这个问题没有标准答案,但值得你想想。