徽州骆驼 · 6月14日

ASIL D级别的产品在设计上有哪些要求?

注明:文章内容由行业工程师口述及资料整理,仅代表个人观点,如果更好的建议和补充,可以留言互动!

ASIL D级别是ISO 26262标准中定义的最高安全等级,适用于那些一旦发生故障可能会导致非常严重后果的汽车电子电气系统。

设计ASIL D级别的产品,意味着必须采取一系列极端严格的设计、验证和管理措施,确保系统的安全性和可靠性。

设计ASIL D级别的产品,需要高度的工程技术和管理严谨性,确保在极端条件下也能提供最高水平的安全保障。这要求开发团队具备深厚的技术知识、丰富的经验和对标准深入理解,以及高度的责任感。

image.png

01 ASIL D 级产品在设计上的一些要求

ASIL D 级产品在设计上的一些要求:

硬件设计

  • 极高的元器件质量标准,通常选用经过严格认证和筛选的器件。
  • 采用多重冗余的硬件结构,包括传感器、执行器等。
  • 实现非常高的诊断覆盖率,能检测到极其微小的故障隐患。
  • 对硬件的失效率目标设定为极低水平。

软件设计

  • 采用更加严格和复杂的软件架构,具备高度的健壮性和容错性。
  • 进行极为细致的代码审查和验证,包括形式化验证等高级方法。
  • 强化软件的故障响应和恢复机制,确保系统能快速从故障中恢复。
  • 对软件的安全性测试要求极其严格,包括各种异常场景和极端情况的测试。

系统集成

  • 进行全面而深入的系统安全分析,运用多种分析方法确保安全性无死角。
  • 设计全面的安全策略和措施,涵盖各种可能的故障情况。
  • 严格的系统集成测试和验证,确保各组件协同工作时的安全性。
  • 对系统与外部环境的交互进行详细分析和风险应对设计。

生产与维护

  • 极其严格的生产过程控制,包括对生产工艺和环境的严格监控。
  • 详细的可追溯性要求,确保任何生产环节的问题都能被追踪和解决。
  • 制定专门的高要求维护计划和流程,对维护人员进行高度专业的培训。
  • 定期进行严格的安全评估和更新,以适应不断变化的情况。

在整个 ASIL D 系统开发流程中,通过在 QMS 系统中创建和独立跟踪这些报告,能够有效地监控和管理开发过程,及时发现和解决问题,确保最终产品达到 ASIL D 级别的功能安全标准。这有助于提高产品的质量和可靠性,保障用户的安全和利益。以下是对重要阶段及其相关工作成的详细阐述:

规划阶段

在这一阶段,明确产品的功能、性能以及安全要求至关重要。通过仔细定义和跟踪每个工作成果,为后续的开发工作奠定基础。需要确定系统的边界、识别潜在的危险和风险、制定安全目标等。这些工作成果将作为整个开发过程的指导和评判标准。

开发阶段

这是工作量最大的阶段,需要完成众多工作成果和可交付成果。包括硬件设计、软件设计、系统集成等。硬件方面要确保其可靠性和容错性;软件方面要进行严谨的编码和测试。同时,系统集成要确保各个组件之间的协调配合,以满足 ASIL D 级别的安全要求。

验证/确认阶段

在此阶段生成的工作成果对于确保系统的安全性和正确性起着关键作用。验证工作主要是检查设计和实现是否符合前期定义的要求,包括各种测试活动。确认则侧重于评估系统在实际使用场景中的表现是否满足预期。功能安全审计报告检查安全措施的执行情况,功能安全评估报告对系统整体的安全性进行综合评估。

评估和产品发布阶段

这一阶段的工作成果是对整个开发过程的总结和最终确认。评估包括对系统性能、安全性等多方面的综合考量。只有在所有评估都通过后,产品才能正式发布。在此阶段的功能安全评估报告将为产品的最终放行提供重要依据。

02 ASIL D 级别产品设计失败的可能原因

为了避免 ASIL D 级别产品设计失败,企业需要采取一系列措施,包括明确需求、进行充分的验证和确认、建立安全文化等。同时,企业还需要不断改进和完善产品设计,以确保产品的安全性和可靠性。

然后在设计过程中,有可能会有因为项目和评估问题导致失败的案列,不过暂时公开渠道的信息,还没有公开报道的ASIL D失败产品的案例。

但是我们也要总结和注意,以下是一些可能导致 ASIL D 级别产品设计失败的原因:

  1. 需求不明确或不完整:如果产品的需求没有被明确地定义或不完整,可能会导致设计的产品无法满足安全要求。
  2. 设计错误:在设计过程中,如果出现错误,例如硬件设计错误、软件算法错误等,可能会导致产品无法满足安全要求。
  3. 验证和确认不充分:如果产品的验证和确认不充分,可能会导致产品在实际使用中出现故障,从而无法满足安全要求。
  4. 缺乏安全文化:如果企业缺乏安全文化,员工对安全要求的重视程度不够,可能会导致产品设计失败。
  5. 外部因素:一些外部因素,例如环境因素、电磁干扰等,也可能会影响产品的安全性和可靠性。

03 ASIL D级别产品设计的难点?

ASIL D级别产品设计的难点有哪些?

  1. 极高的可靠性要求:需要确保在几乎所有可能的情况下都不会出现故障,这对设计、验证和测试提出了巨大挑战。
  • 系统设计:需要采用先进的设计理念,如故障预测与容忍、错误控制策略,确保系统在各种潜在故障状态下仍能安全操作。
  • 可靠性建模态分析:进行详细可靠性、鲁棒图分析(RBDT)、失效率分析等,以量化评估系统的可靠性,确保在极端条件下仍能满足要求。
  • 验证压力测试:模拟极端条件下的测试,如极端温度、电压波动、振动、电磁干扰等,确保系统可靠性。
  1. 复杂的冗余设计:实现有效的硬件和软件冗余,且要保证冗余部分之间的协调和切换无误,增加了系统的复杂性。
  • 硬件冗余:不仅仅是物理冗余,还包括电路设计的智能冗余,如自我检测、自我修复功能,确保硬件故障时无缝切换。
  • 软件冗余:采用软件架构设计如N版本控制、多样化设计,确保软件层面上的错误不传播,同时保证软件更新与切换的无缝性。
  • 协调机制:设计高效的协调机制,确保冗余部分之间信息同步、切换逻辑无误,如仲裁机制、健康检查、状态同步等。
  1. 严格的验证与确认工作量:大量的测试和分析工作,包括各种极端情况和边界条件的验证,耗费大量时间和资源。
  • 全面测试矩阵:制定详尽的测试计划,覆盖功能、性能、边界条件、异常处理、极限情况,确保所有安全功能验证。
  • 仿真与模拟:使用高精度仿真工具、硬件在环、软件在环等,模拟真实环境,提前检测潜在问题,减少实物测试成本和时间。
  • 迭代验证:不断反馈和迭代验证,基于测试结果调整设计,确保每一步都满足ASIL D标准,此过程需高度组织和资源密集。
  1. 技术更新的跟进:汽车技术不断发展,要及时将最新的技术和方法融入设计,同时确保不引入新的风险。
  • 持续学习:团队需跟踪汽车电子、软件、AI、通信等领域的最新技术趋势,保持设计先进性。
  • 安全技术融合:评估新技术引入的安全风险,确保安全融合,如采用加密、网络安全技术时,考虑其对系统安全影响。
  • 合规性:与标准更新同步,ISO 26262等标准持续演进,需定期回顾设计,确保符合最新要求,避免合规风险。

image.png

04 ASIL D在故障注入测试注意什么?

ASIL D级别产品设计,在进行故障注入测试时,需要注意以下几点:

  1. 选择合适的故障模型:根据产品的特点和应用场景,选择合适的故障模型进行注入测试。
  2. 确定故障注入的位置和时间:根据系统的架构和功能,确定故障注入的位置和时间,以确保能够覆盖到关键的部分。
  3. 控制故障注入的强度和持续时间:故障注入的强度和持续时间应该根据实际情况进行控制,以避免对系统造成过大的损害。
  4. 收集和分析测试结果:在故障注入测试后,需要收集和分析测试结果,以评估系统的可靠性和安全性,并确定是否需要进行进一步的改进。

另外,ASIL D 系统安全等级是功能安全中的最高级别,对其进行故障评估具有极其重要的意义,针对 ASIL D 系统安全等级进行 ASIL 系统故障评估对于保障产品的功能安全、提升行业整体水平以及满足市场和法规要求都具有不可替代的重要作用。

首先,通过这种评估可以全面、深入地识别系统中潜在的故障模式及其可能导致的后果。这有助于提前采取针对性的措施来降低风险,确保系统在各种情况下的安全性。

其次,它能够帮助确定系统在硬件和软件设计上需要满足的严格要求。例如,确定需要采用何种冗余设计、何种容错机制等,以保障系统在故障发生时仍能维持必要的功能。

再者,这种评估为验证和确认工作提供了明确的方向和标准。可以根据评估结果来设计测试用例,以验证系统是否满足 ASIL D 级别的安全要求。

而且,它也是确保整个产业链上下游协同工作的重要手段。零部件供应商、系统集成商等都可以依据 ASIL 系统故障评估来进行各自的工作,以保障最终产品的整体安全性。

此外,行业普遍认可这种做法还因为它符合相关法规和标准的要求。在汽车等对安全性要求极高的领域,遵循 ASIL 系统故障评估是确保产品合规性的关键。

05 ASIL D级别产品设计成功案例

分享一些ASIL D级别产品设计成功案例

ASIL D级别设计在汽车领域中的应用,这些系统设计都强调了硬件和软件的多重冗余、严格的故障检测与诊断、复杂的安全策略,以及持续的验证与确认,确保在最苛刻条件下也能提供最高的安全性能。

ASIL D级别的产品设计在汽车行业中主要集中在那些对安全至关重要的系统上,如制动系统、转向、动力系统、自动驾驶控制单元等。

  • 制动系统:制动系统是汽车中最重要的安全系统之一,ASIL D 级别的功能安全目标要求制动系统在任何情况下都能可靠地工作,即使在系统出现故障时也能确保车辆的制动性能,避免发生事故。
  • 转向系统:转向系统的功能安全也至关重要,ASIL D 级别的要求确保转向系统在各种工况下都能准确响应驾驶员的操作,防止转向失控。
  • 动力系统:包括发动机和变速器等,ASIL D 级别要求这些系统在运行过程中不会出现故障,以避免车辆突然失去动力。
  • 安全气囊系统:安全气囊系统需要在碰撞发生时迅速准确地展开,保护乘客的安全。ASIL D 级别的功能安全目标确保安全气囊系统的可靠性和准确性。
  • 自动驾驶系统:随着自动驾驶技术的发展,ASIL D 级别的功能安全目标在自动驾驶系统中也得到了广泛应用。这些目标要求自动驾驶系统在各种复杂的环境和工况下都能安全可靠地运行,确保乘客和行人的安全。

由于安全性和保密性,详细的商业案例往往不会完全公开。以下是一些公开渠道的信息,如有更多的信息请留言分享,以下内容仅供参考!

  • Waymo公司的自动驾驶平台:虽然未直接提及特定的ASIL等级,Waymo等自动驾驶公司致力于构建安全冗余设计,采用多重传感器融合、决策冗余和安全计算单元,体现了ASIL D级别的设计原则。
  • ZF ProAI自主驾驶系统:ZF,德国汽车零部件供应商,其ProAI自动驾驶系统设计遵循ISO 262626262,通过冗余设计,包括硬件和软件,确保安全决策的可靠性。
  • 博世博世的ESP系统:博世集团的电子稳定程序(ESP)和高级制动系统,采用ASIL D级别设计,通过冗余硬件和软件设计,确保在任何单一故障下仍能保持车辆稳定。
  • 大陆集团MK C域控制器:大陆集团的MK域控制器,集成了多个安全关键功能如制动、转向控制,遵循ASIL D设计,通过复杂冗余设计和安全机制确保功能安全。
  • 电驱动单元冗余设计:电动汽车的动力总成系统,特别是电驱动单元,采用ASIL D级别设计,实现电机、逆变频器、电池管理的冗余设计,确保动力安全。
  • 线控转向系统:现代线控转向系统,如ZF的Servolectric Steer-by-Wire或博世的Servo Steering,采用ASIL D级别设计,通过冗余设计确保转向控制的可靠性。
  • 车载网络架构:安全的车载网络设计,如AUTOS,如黑莓的QNX,采用ASIL D级别设计原则,确保网络通信安全,包括加密、防火墙、安全认证机制。
  • 车规级芯片设计:芯驰科技发布的高性能高可靠车规 MCU E3“控之芯”系列产品,是全球首款 ASIL D 级高性能高可靠车规级 MCU。
作者:凹凸小O
来源:汽车功能安全

推荐阅读:

更多汽车电子干货请关注汽车电子与软件专栏。欢迎添加极术小姐姐微信(id:aijishu20)加入技术交流群,请备注研究方向。
推荐阅读
关注数
5715
内容数
460
汽车电子与软件行业的相关技术报道及解读。
目录
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
安谋科技学堂公众号
关注安谋科技学堂
实时获取安谋科技及 Arm 教学资源
安谋科技招聘公众号
关注安谋科技招聘
实时获取安谋科技中国职位信息