在线工博会

莱茵TüV:ISO 26262全新定义汽车功能安全 7/31/2014
为节省流量,手机版未显示文中的图片,请点击此处浏览网页版
ISO 26262 功能安全标准为汽车安全相关系统的开发提供了指导,然而标准的实施还面临种种挑战。
随着汽车电子系统复杂性的不断提升,越来越多的控制单元具备与安全相关的功能,这也给车辆带来了更多的安全隐患。与安全相关的软件和硬件出现任何一个失效,都有可能会给人员、设备及环境带来严重的后果,而由此引发的车辆召回也会给企业带来巨大的经济损失。如何在产品设计阶段就规避潜在的风险,成为汽车制造商迫切需要解决的问题。
从电子、电气及可编程器件功能安全基本标准IEC 61508 派生出来的ISO 26262 于2011 年11 月正式颁布,主要定位于汽车行业中与功能安全相关的电子、电气系统及可编程电子系统,旨在提高汽车电子、电气产品功能安全。该标准的出现不仅使人们对安全相关功能有了更好的理解,同时也为避免系统软硬件的失效提供了可行性的要求和流程。
从整体到细节
ISO 26262 强调研发活动和产品生产的各个方面,涵盖了功能安全方面的整体开发过程,包括需求规划、设计、实施、集成、验证、确认和配置等。此外,新标准还根据安全风险程度对系统或系统部件划分由A 到D 的安全需求等级(Automotive Safety Integrity Level,汽车安全完整性等级ASIL)。安全风险等级越高,针对系统软硬件开发流程的要求也就越高。除了更高的要求,开发方式的改变也是企业在实施新标准时面临的问题。
“以前,工程师在产品开发时考虑的是产品在正常工作情况下能否实现某些功能,但是在标准出来之后,他需要考虑在出现故障时,系统能否保证安全,所以在设计思路方面有了变化,”莱茵检测认证服务(中国)有限公司副总经理赵斌表示。“此外,新标准还需要企业从整体系统化的角度考虑安全问题,包括从设计、管理,甚至整个生命周期方面去考虑。”
事实上,ISO 26262 不仅仅从整体的角度来确保产品的功能安全,还从更细致的层面对零部件进行分析。“以前工程师在开发的时候采用潜在失效模式与后果分析(Failure Mode and Effects Analysis,FMEA),看每个功能框可能出现什么故障,这些故障会不会导致危险,如果可能导致危险的话,需要做哪些设计来改进,这种分析都是按一个个功能框来分析,并没有细到零部件层面,所以有一定的局限性。”赵斌说道。

(图片)

但是在采用ISO 26262 后,情况就发生了改变。他以该标准对降低系统随机失效的方式为例指出,ISO 26262 主要采用诊断和冗余两种方式来达到这个目的。一种情况是,系统自动诊断出故障,然后进入安全状态;另外一种情况是,系统采取冗余设计,其中一个元件出现故障,另外一个还可以继续工作,从而确保系统的安全性。
“但是冗余并不总能达到预计效果,比如在两个传感器的冗余设计中,如果这两个传感器都是一个厂家生产的,而在生产时假如产品有共同的缺陷,比如在温度超过40 度时,传感器便失效,在这种情况下,即使系统有冗余,也无法解决问题。再比如说,在双CPU 的冗余设计中,CPU 采用相同的供电电源,如果电源出现故障,两个CPU 都无法工作,在这种情况下,冗余也没有起到作用。所以, 实施ISO 26262,需要工程师从更细致的层面把冗余及诊断综合进行考虑,这是一个非常复杂的过程。”
实施面临的挑战
ISO 26262 虽然是一个新标准,但是严格上来说并不是一个全新的标准,它基于IEC 61508,因此在要求和流程方面与其相比有很大的相似性,只不过ISO 26262 对于软硬件的开发要求更适合于汽车行业。因此在新标准实施方面,各个企业面临不同的情况。
“主要有两类公司,一类是国际性公司,他们之前就在研究这些标准,而且许多此类企业都参与了标准的制定,在实施方面并没有什么问题;还有一类是国内企业,但是也不能一概而论,有些企业在产品研发时经常与欧洲企业合作,他们也没有问题,还有一些纯本土企业则稍逊一些,在实施新标准方面面临一定的挑战。”赵斌说道。
事实上,国际上一些企业,包括一些本土企业,在ISO 26262 没有制定之前, 都是按照IEC 61508 标准的规范进行产品开发的,这些企业在过渡到新标准的过程中自然就顺利很多。
而对于那些本土企业,在产品开发中既没有建立较高的企业标准,也没有严格执行IEC 61508 标准,在实施ISO 26262 过程中就会遇到较大的困难。总结起来, 赵斌认为:“最大的困难主要表现在两个方面,一是人才,有关功能安全的人才培养在之前几乎为零,没有人才的储备做事情就很难;再一个就是经验,功能安全标准的核心是它将软件和硬件的要求描述得非常详细,但是因为缺乏相关经验, 工程师根本不知道怎么做。”
此外,甚至有些企业在接触功能安全之后,遇到重重困难后选择了放弃。究其原因, 赵斌认为,首先,这个标准并非法规强制性标准,并无法引起企业的重视;其次,标准的实施不仅仅会带来大量额外的工作,也会增加系统的成本(比如冗余设计额外增加的零部件),整个研发及产品的成本就会随之增加,在下游用户没有强制性要求的情况下, 许多企业并不愿意承担这部分成本。
有望被市场强制
汽车功能安全之所以逐渐受到国内外汽车厂商的重视,是因为一旦系统出现故障, 其带来的损失是难以估量的。无论是出于社会责任还是为了减少不必要的损失,即使没有ISO 26262 和IEC 61508 标准,一流的汽车厂商都会主动建立和执行严苛的产品开发体系和准则。市场总是在发展,企业也同样如此,有着长远发展愿景的成长型企业一定会不断完善自己的开发流程,执行更高的标准,不仅可以提高产品的质量,提升企业的竞争力,还可以帮助其进入对功能安全有严苛要求的一流汽车厂商的供应链,打开更多的发展空间。
“比如汽车行业的ISO/TS16949 质量管理体系就不是一个强制性标准,但是今天在汽车行业已经被广泛采用,如果哪个企业不实施,基本很难在行业里生存,”赵斌说道。“我认为ISO 26262 最终也会被整车厂及整个行业普遍采纳,它将变成一个门槛,任何一家企业如果不严格执行的话就会被淘汰。因此我个人认为,从某种程度上说,ISO 26262 即使不被法规强制,最终也会被市场强制。”
以培训为切入点
ISO 26262 源于欧洲,对于大多数中国本土企业来说,它还是一个新鲜事物,很多企业不仅没有专门的功能安全部门,也缺乏相关的人才。人才培养无论对于企业,还是整个汽车行业来说,都是标准实施的基础。鉴于此,在功能安全认证服务领域有多年经验的德国莱茵TüV 集团最早从2010 年开始便在中国开展针对ISO 26262 标准的培训项目,开设培训课程,为汽车企业培养功能安全专家。
“与许多其他标准或质量体系一样,在推行初期都是以培训为切入点,让大家有基本的了解,然后再开展更深入的工作,”赵斌说道。据他介绍,目前莱茵TüV 提供280 多种培训项目,包括软硬件的设计,甚至更加细节的培训如电路的设计等。学员培训后通过考核,并具有3 年以上的相关工作经验,就能取得功能安全工程师证书。目前,莱茵TüV 在全球已经颁发了8,500 多张证书,而在中国也已颁发了500 多张证书。
在证书类别方面,莱茵TüV 主要提供三种,分别为功能安全工程师、功能安全经理以及功能安全专家。“我们对学员的资质要求和考核非常严格,比如我们对功能安全专家的要求是至少需要有十年以上的相关经验,此外还需要写两个在实际工作中如何满足ISO 26262 标准的论文,通过我们评估后才可以获得证书。”赵斌说道。“目前我们在全球范围内对外办法的功能安全专家证书大概有八十多个,还不仅仅是在汽车行业,因此可以说,这方面的人才还是非常紧缺的。”
除了培训,莱茵TüV 针对ISO 26262 的服务还包含产品的认证和咨询以及企业管理体系的认证。在产品方面,莱茵TüV 针对与汽车电子安全相关的产品进行认证和评估,包括咨询服务。这个过程涉及产品的整个生命周期,包括从需求阶段到概念阶段再到设计阶段,以及之后的集成、测试、确认、生产及安装等。在企业管理体系方面,莱茵TüV 可以按照标准对企业当前的功能安全管理体系进行认证,而对于没有建立功能安全管理体系的企业,莱茵TüV 还可以帮助他们建立并实施一套合适的功能安全体系。
“不过,现在中国市场在ISO 26262 实施方面依然是‘雷声大雨点小’,话题很热,但是真正执行的企业并不多,这需要一个过程,因此目前依然以培训为主,但是我们马上也将启动其他有关产品认证和管理系统的项目。”赵斌说道。“中国很多企业大多数不希望成为第一个吃螃蟹的人,但是我认为再过两年左右的时间,这个市场会得到快速发展。”

电脑版 客户端 关于我们
佳工机电网 - 机电行业首选网站