点击上方蓝字谈思实验室
获取更多汽车网络安全资讯
01
为什么需要定义功能安全接受准则
汽车功能安全旨在避免因汽车电子电气系统(E/E系统)故障导致的不合理风险,确保随机硬件失效和系统性失效不会引发安全系统的错误功能,从而防止人员伤亡。ISO 26262标准全面覆盖了汽车电子电气系统开发的生命周期,包括管理、开发、生产、运营、服务和报废等阶段。功能安全等级(ASIL)分为QM(质量管理)、A、B、C、D五级,等级越高,功能安全要求越严格,所需安全措施越严密,E/E失效导致危害事件的概率越低。”
尽管ISO 26262在硬件开发阶段提供了针对随机硬件失效的FMEDA指标作为硬件开发的接受准则,但缺乏功能安全整体的接受准则。这导致功能安全开发过程中难以准确把握开发程度,可能因要求过严而增加不必要的开发成本,或因要求过松而无法有效规避风险。因此,引入功能安全整体接受准则指标具有重要意义。
02
如何定义功能安全接受准则
ISO 26262标准并未明确功能安全接受准则的定义。为了制定这一准则,可以从功能安全的定义出发,即“不存在E/E失效导致的不合理伤害”。这可以理解为需要将E/E失效导致的危害降低至社会可接受的水平。考虑到功能安全与SOTIF(预期功能安全)均要求不存在不合理伤害,且SOTIF直接引用了ISO 26262中不合理风险的定义,因此可以尝试借鉴SOTIF的接受准则定义方式。
以ISO 21448附录C.2.1为例,提到了自动紧急制动(AEB)的SOTIF接受准则AH=10-8/h。尽管这个数值非常小,但车辆数量足够多、运行时间足够长时,危害事件仍可能发生。例如,某车型生命周期内销量预计为100万辆,每辆车使用时间为6000小时(每年400小时,生命周期15年),则由于AEB导致的严重伤害次数为60次(10-8 /h * 6000h/辆*106辆)。对于AEB等辅助驾驶系统,社会容忍度稍高,但如果是E/E失效引起的,接受程度可能会大幅降低。因此,直接参考SOTIF的值对功能安全而言并非最佳选择,需进行适当调整。
为消除运行时间的影响,引入总运行时间Ttotal参数,将功能安全接受准则定义为:RAC=Ttotal* AH = Ttotal*RHB* PE|HB * PC|E *PS|C,即车辆整个生命周期内由于E/E失效导致的严重伤害事件总次数。假设当前社会接受程度较低,RAC可定义为小于1的值,例如 RAC<1。
03
功能安全接受准则的用途
确定功能安全设计目标
有了功能安全接受准则后,可推导出需要满足的危害行为指标要求RHB,用于设计合理的监控和诊断要求,避免过度设计或残余风险过大。例如,根据功能安全接受准则、车辆预计销量和使用时间、HARA分析中的S、E、C评级,可得到RHB接受准则。进而根据失效模型,进一步分解针对不同失效模式的失效率要求和安全机制覆盖度要求。
残余风险评估
在实际开发过程中,无法完全消除风险,存在残余风险。此时,功能安全接受准则可用于定量评估残余风险。以硬件失效为例,按照ASIL B FMEDA要求的100 fit作为失效率进行残余风险评估。由于硬件失效不一定直接导致危害行为RHB,假设按50%可能性计算RHB=50 fit。
S、E、C采用附录中的值,PE|HB=0.05,PC|E=0.1,PS|C=0.1。AH=RHB* PE|HB * PC|E *PS|C= 50fit * 0.05*0.1*0.1=2.5*10-11/h。同样按照100万销量,每辆车6000h运行时间,那么由于功能安全失效导致的危害次数为RAC=6000h/辆*106辆*2.5*10-11 /h =0.15。0.15小于1,可以认为是一个小概率事件,这种残余风险对于功能安全的整体接受准则是可以一个接受的值。
04
总结
功能安全接受准则作为一种功能安全定量分析方式,为功能安全设计提供了选择依据,同时也可用于残余风险定量评估。通过引入总运行时间等参数,制定符合社会接受程度的功能安全接受准则,有助于确保汽车电子电气系统的功能安全。
来源:汽车安全与质量
end
精品活动推荐
专业社群
部分入群专家来自:
新势力车企:
特斯拉、合众新能源-哪吒、理想、极氪、小米、宾理汽车、极越、零跑汽车、阿维塔汽车、智己汽车、小鹏、岚图汽车、蔚来汽车、吉祥汽车、赛力斯......
外资传统主流车企代表:
大众中国、大众酷翼、奥迪汽车、宝马、福特、戴姆勒-奔驰、通用、保时捷、沃尔沃、现代汽车、日产汽车、捷豹路虎、斯堪尼亚......
内资传统主流车企:
吉利汽车、上汽乘用车、长城汽车、上汽大众、长安汽车、北京汽车、东风汽车、广汽、比亚迪、一汽集团、一汽解放、东风商用、上汽商用......
全球领先一级供应商:
博世、大陆集团、联合汽车电子、安波福、采埃孚、科世达、舍弗勒、霍尼韦尔、大疆、日立、哈曼、华为、百度、联想、联发科、普瑞均胜、德赛西威、蜂巢转向、均联智行、武汉光庭、星纪魅族、中车集团、赢彻科技、潍柴集团、地平线、紫光同芯、字节跳动、......
二级供应商(500+以上):
Upstream、ETAS、Synopsys、NXP、TUV、上海软件中心、Deloitte、奇安信、为辰信安、云驰未来、信大捷安、信长城、泽鹿安全、纽创信安、复旦微电子、天融信、奇虎360、中汽中心、中国汽研、上海汽检、软安科技、浙江大学......
人员占比
公司类型占比
更多文章
关于涉嫌仿冒AutoSec会议品牌的律师声明
一文带你了解智能汽车车载网络通信安全架构
网络安全:TARA方法、工具与案例
汽车数据安全合规重点分析
浅析汽车芯片信息安全之安全启动
域集中式架构的汽车车载通信安全方案探究
系统安全架构之车辆网络安全架构
车联网中的隐私保护问题
智能网联汽车网络安全技术研究
AUTOSAR 信息安全框架和关键技术分析
AUTOSAR 信息安全机制有哪些?
信息安全的底层机制
汽车网络安全
Autosar硬件安全模块HSM的使用
首发!小米雷军两会上就汽车数据安全问题建言:关于构建完善汽车数据安全管理体系的建议
