汽车功能安全工程师入行指南

汽车电子与软件 2021-09-24 20:43
近年来 ISO 26262 越来越被汽车行业所接受,国内外各大主流汽车企业陆续将 ISO 26262 中定义的需求融入自己的研发体系和流程中。与此同时,各大主流车企也纷纷在开发体系中独立出了功能安全的专职岗位。高缺口、高福利、高发展使得功能安全工程师岗位也成了很多汽车从业者的一个优先级比较高的考虑对象。而相比系统工程师、软件工程师、硬件工程师、测试工程师等这些在汽车研发体系中已经非常成熟的岗位,论发展年头,功能安全工程师这一新兴的岗位着实属于“小弟”。因此,很多工程师朋友在考虑这个岗位时,不免心生很多疑问。基于此,该系列文章试图结合工作经验和见闻,从以下几个方面对功能安全工程师这一岗位进行一个比较全面的介绍,希望能为有意向从事功能安全的同行朋友提供一些有价值的参考。
  • 什么是功能安全?
  • 功能安全如何在企业落地?
  • 功能安全经理的工作定义
  • 主机厂和供应商功能安全合作
  • 系统/软件/硬件功能安全工程师的工作日常
  • 功能安全的前景及一些建议


1 什么是功能安全?

在这里仅从功能安全的定义出发,帮助建立对功能安全的浅显易懂的初印象。

ISO 26262对功能安全的定义为:

Absence of unreasonable risk due to hazards caused by malfunctioning behavior of E/E systems.国标GB/T 34590对这一定义的翻译为:不存在由电子电气系统的功能异常表现引起的危害而导致不合理的风险。从定义展开强调几个关键词。

1.“E/E system”,电子电器架构

功能安全要讨论的对象是E/E架构设计,因此机械/液压/化学等设计都不在ISO 26262的研究范围。换句话说,功能安全只是产品安全的一部分。

2.“hazard”,危害

危害有很多类型,如人身伤害或者财产损失等等。功能安全里的危害仅仅指因为E/E系统的故障行为而引起的对驾驶员或者路人或周边车辆内人员(注意:不仅仅是驾驶员)造成的健康伤害。换句话说,功能安全开发目的是避免伤人,而不是避免你的损伤你的豪车,也不是避免你的豪车被偷。

3.“unreasonable”,不合理的

就像世界上没有永动机一样,世界上也没有100%安全的系统,因此功能安全追求的是将风险控制在合理的范围内,或者说可被接受的范围内。如下图所示。判定风险是否可被接受,需要从两个维度去衡量:危害的严重性和危害发生的频率。举例来说,飞机失事几乎无人生还,但是正因为飞机失事的概率非常低,所以飞机依然是最重要和最受欢迎的交通工具之一。如果汽车上的空调开关出现故障的频率比较高,但故障只会影响驾驶员或乘客舒适性体验,不会造成人员受伤,你很可能等到下个月去4S店时才想起来维修它;但是,如果你的车突然在高速上自动加速,估计你马上停在紧急带弃车而逃,喊着要退车了,因为这种原本可以通过设计规避的故障是不可接受的。这也正是功能安全开发期望避免的故障。

在此补充一下,图中提到两个维度,危害的严重度和危害发生的频率。对功能安全有一些了解的朋友可能会疑惑 :不是有三个参数评价,S(severity 严重度),E(Exposure 曝光度),C(controllability 可控度)来定义ASIL等级吗?其实不冲突,图中的第二个维度频率综合了E值和C值。怎么理解呢?因为“频率”指的是危害发生的频率,而“曝光度”指的是场景的曝光度。驾驶员的可控度是可以将高曝光度的场景下造成危害的频率降低的。举例来说,开高速的场景在日常生活中曝光度比较高,但是如果高速时发生意外加速,有些情况下通过驾驶员的制动干预是可以避免危害的,因此降低了危害发生的频率。


2 功能安全如何在企业落地?

由于ISO 26262的覆盖范围非常广,对整车完整生命周期都进行了功能安全的指导,除了我们熟知的V模型开发过程外,就连生产和报废阶段都考虑在内;再加上各个企业开发流程中存在的的差异性,所有针对“功能安全如何在企业落地”这一问题,很难进行全面的回答。在这里仅谈两点功能安全落地的先决条件。

2.1. 安全文化

“安全文化”这个词乍一听很虚,感觉像是喊组织口号。但实际上,安全文化体现在很多看得见的方面,比如:

  • 成本和进度总是优先于安全和质量,还是安全是最高优先级?
  • 是否确保了与功能安全相关的决策责任是可追溯的?
  • 在所有层面(管理/开发/验证/审核)执行是否有明确的、可追踪的和受控的流程?

从这些方面可以看出,安全文化并不只是空虚的口号,而是实实在在地体现在公司的开发流程中的。优秀的安全文化一定意味着企业有非常完善的开发流程。否则功能安全只是空中楼阁,落地无从谈起。于此同时,完善的流程也意味着要增加相应的岗位和工程师们的工作量,甚至是升级开发工具,开发成本也随之上升。

2.2. 人员配置

针对这一点,不同的企业也有一些出入,但是,功能安全开发比较成熟的企业间至少有一点是能达成一致的,那就是不可能是由一个功能安全开发工程师同时负责系统/软件/硬件所有的功能安全开发。就算有这种万里挑一的全才,也得考虑如此庞大的工作量会不会把人才赶跑了。

一个完善的功能安全开发团队通常定义三个角色:

  • 系统功能安全工程师
  • 软件功能安全工程师
  • 硬件功能安全工程师

每个角色负责下图中的一个V模型开发活动。

对于后两个角色,如果是开发一个全新的产品,由于工作量大,人员配置比较充足的企业会独立于软/硬件开发工程师之外再指派两个工程师担任;如果是基于企业已经量产的产品,根据不同客户的需求做修改,由于工作量相对减少很多,那么软/硬件功能安全工程师通常由软/硬件开发工程师兼任。但是不论是开发全新产品还是基于已有产品修改,系统功能安全工程师一般是专门的岗位。在很多企业系统功能安全工程师也称为功能安全经理,负责统筹协调整个产品的功能安全开发工作。


3 功能安全经理的工作定义

也正是由于上文提到的原因,市场上功能安全岗位的招聘绝大多数都是系统功能安全工程师,也就是功能安全经理。这里从网上分别选择一个较为典型的OEM和供应商的招聘信息,由此来窥见一些功能安全经理的工作内容。

可以看出,主机厂和供应商对功能安全经理的职责定义侧重点有一些不同,这也是主机厂和供应商之间的合作模式决定的。另外,相信大家也可以理解,为什么系统层的功能安全开发需要专门的人负责了,因为工作量实在有点大。尤其是现阶段国内功能安全开发的理念和方法论还没有到深入人心的程度,如果遇到客户不懂,软硬件工程师也不懂,那么光是对外交流和对内沟通就需要花大量的时间。如果一个项目足够大,客户新需求足够多,可能不止一个系统功能安全工程师。


4 主机厂和供应商功能安全合作

主机厂和供应商共同遵守ISO 26262中定义的要求,合作完成某个产品的开发,这一合作模式被称为“分布式开发(Distributed Development)”。而分布式开发的前提则是明确双方的责任范围和边界,这部分内容最终以双方共同商议并签署的DIA (开发接口协议,development interface agreement) 呈现,后续双方在功能安全开发过程中的协作将完全依照DIA为指南进行。

DIA模板一般都是由主机厂提供给供应商。虽然各个厂家的DIA模板不尽相同,但是大同小异,主要内容都是ISO 26262中各个章节要求的产出物的集合,而DIA的主要目的则可以概括为:

  • 明确主机厂和供应商在开发过程中各自的责任范围
  • 明确供应商提交给主机厂的的递交物内容
  • 明确供应商提供给主机厂的递交物形式(如文档或者现场展示)
  • 明确主机厂对供应商功能安全开发阶段评估的方式(如评估次数和具体内容)

某客户提供给供应商的DIA模板截图

因为DIA的内容是供应商对功能安全开发的报价依据,所以在项目报价阶段就需要完成DIA。这里顺便提一句,主机厂和供应商间签订DIA是一个漫长的谈判过程,原因是主机厂和供应商各自打的算盘正好是对立的:主机厂希望在预算范围内尽可能要求供应商提供更多的递交物;而供应商则出于保密考虑尽可能拒绝客户的递交物要求。在DIA的谈判过程中,理论上供应商的整个项目团队都需要参与其中。功能安全经理起到协调作用,负责对主机厂解释功能安全开发流程,对内部解释DIA各项条目的含义;各个环节的开发人员需要基于功能安全经理的解释确定他所涉及的条目能否满足主机厂要求以及如何满足;项目经理则负责最终拍板,拍板的依据则主要考量开发经费和开发资源的对等性。

当主机厂和供应商明确了功能安全的合作范围和内容之后,功能安全开发工作将由双方的功能安全经理作为接口来统筹和协调,保障功能安全需求在主机厂和供应商之间被正确传递与执行。

同时,对于主机厂或供应商各自内部的功能安全开发来说,正如前面提到,功能安全经理通常也就是系统功能安全工程师,他将作为系统层的接口协调系统与软硬件团队的功能安全工作,保证系统层和软/硬件层功能安全需求的互相传递和执行。

功能安全开发过程交流示意图


5 系统/软件/硬件功能安全工程师的日常工作

不管对主机厂还是供应商,在一个客户项目中,很少遇到要从零开始开发一个全新的产品,一般都是基于现有的产品作为base进行开发,以满足新的项目需求,功能安全也是如此。围绕项目需求与平台Base不同的部分进行功能安全开发,识别不同点的活动称作FSIA(functional safety impact analysis)。我们前面提到,一个完善的功能安全开发团队通常定义三个角色:

  • 系统功能安全工程师
  • 软件功能安全工程师
  • 硬件功能安全工程师

每个角色负责下图中的一个V模型开发活动。

功能安全开发中的三个V模型 (截图来自GB/T 34590)

当功能安全是基于base来开发时,不管是对主机厂或供应商来说,这三个角色并不需要定义三个独立的工程师来做,这未免太奢侈,实际上也没必要。通常软/硬件功能安全工程师由软/硬件工程师兼任。

对软件功能安全开发而言,在软件开发流程完善和开发工具满足要求的前提下,在软件设计和验证过程中,功能安全需求和功能需求无需过分区别对待,有很多公司的软件开发流程本身就能保证符合ISO 26262中ASIL D的要求。因此功能安全对软件工程师增加的工作量主要体现在需求分析和输出文档,包括:

对系统层分配下来的安全需求进行可行性分析;
对输入信号提安全需求;
满足系统层或客户的文档需求。

对硬件功能安全开发而言,通常一款硬件的设计周期很长,而且设计好后很多年不会更新,所以几乎不会在客户项目中重新开发硬件。基于此,项目中硬件功能安全开发就可以完全沿用base既有的开发,功能安全对硬件工程师增加的工作量主要是:

  • 为系统安全工程师提供FTA分析需要的硬件component失效率数据(FMEDA);
  • 满足系统层或客户的文档需求(如ECU FMEA分析报告)。

只有系统功能安全开发需要定义一个专门的岗位:功能安全经理。主机厂和供应商对功能安全经理的职责定义侧重点有一些不同,这也是主机厂和供应商之间的合作模式决定的。主机厂侧重于定义安全需求并分配给供应商,供应商则侧重于实现安全需求。

主机厂端功能安全经理的工作职责一般包括但不限于:

  • 计划和协调系统安全开发活动
  • 进行HARA分析,并结合分析结果和系统架构定义功能安全概念(functional safety concept)和技术安全概念(technical safety concept)
  • 将安全需求分配给对应的子系统,或者说分配给子系统的供应商
  • 负责协调子系统相互之间的功能安全需求的传递与澄清
  • 协助内部功能安全验证,如创建整车test case和测试结果评估
  • 对子系统功能安全开发进行审核

供应商端功能安全经理的工作职责一般包括但不限于:

  • 计划和协调系统安全开发活动

  • 基于HARA分析,根据安全需求和系统架构定义功能安全概念(functional safety concept)和技术安全概念(technical safety concept),对系统架构设计提出要求或建议

  • 将安全需求分配给对应的软件工程师(和硬件工程师)

  • 完成系统功能安全设计的定量分析和定性分析,通常分别使用FTA和FMEA

  • 协助功能安全验证,如创建整车test case和测试结果评估

  • 作为客户功能安全团队和功能安全审核团队的接口

  • 对软/硬件工程师提供功能安全开发建议和指导

一般来说,生产和报废阶段的功能安全活动不在系统功能安全工程师的职责范围内。比如生产阶段的功能安全通常是由工厂经理来执行,执行的依据则是已经包含了功能安全需求的生产流程。当产品release后交到工厂,就意味着功能安全工程师的工作完成了。

相信大家可以看出,功能安全经理这个岗位对工程师的专业素质要求也很高,原则上需要有足够的软/硬件开发经验,这样才能胜任上到客户或供应商,下到软硬件工程师的交流工作。但是目前鉴于功能安全在企业还比较新,这方面的能力要求有适当放宽。

在这里也纠正一些同行对系统功能安全工作的误解。认为既然不用写代码,也不用画板子,那功能安全经理就只剩下流程和文档工作了。这话被功能安全经理听到他会伤心的,仿佛当年不被女神认可的感觉又回来了。诚然,功能安全的落地需要流程和文档来保证,但是功能安全开发的核心却是技术层面的东西而非流程。而功能安全的技术核心,体现在概念设计/系统分析/系统验证阶段对功能安全开发方法论的运用。


6 功能安全的前景及一些建议

就目前的现状来看,随着ADAS功能的普及和自动驾驶研究的热门,功能安全越来越被重视,市场需求量很大。猎头在挖人时开出的价码往往非常诱人。与此同时,目前国内功能安全做的成熟的企业不多,尚处于边做边摸索的阶段,所以目前挖人时并不很挑剔,对系统/软/硬件开发经验的要求有放宽。

相对于本土OEM,外企或者合资Tier1的know-how更高,比如博世,大陆,联电等等。合资OEM中泛亚的功能安全团队已经很成熟,因此在和这些供应商合作时很强势也有底气;而本土OEM在和这些供应商合作的同时也抱着花钱学习怎么做功能安全的目的。换句话说,OEM的态度从“你觉得怎么做?”到“我要你这么做!”还有些距离。但是,这种状况在将来一定会得到改变,因为本土主流的几家OEM的功能安全团队在以肉眼可见的速度壮大,大家越来越舍得在功能安全开发上投入成本(好多外国专家也因此体会到了社会主义高薪的诱惑力)。可以预见的是,自动驾驶的驱动会加速功能安全的落地,这会大大加速行业整体水平的提高。届时,国内市场对功能安全工程师的专业素养的要求也会越来越高;另一方面,ISO 26262在自动驾驶开发中的局限性也日益凸显,由此也催生了新的标准SOTIF的诞生,功能安全工程师需要掌握的知识越来越多。

正应了那句话:学无止境。

最后,考虑到市场上功能安全岗位的招聘绝大多数都是系统功能安全工程师,也就是功能安全经理,在说了这么多后,想给正在考虑这个岗位的工程师罗列几条个人建议,一家之言,仅供参考。

(1) 一定要明确功能安全是一个技术岗位而不是流程管理的岗位。既然是技术岗位,那么都对软/硬件开发经验有一定的要求。

(2) 如果你已经有软件和硬件开发经验,那么你已经有很好的技术功底,功能安全队伍很需要你这样的全才,做功能安全的上限也很高。

(3) 如果你只做过软件或者只做过硬件开发,依然能够从事功能安全开发。一方面毕竟软硬件都懂的全才很少,另一方面如前面提到,功能安全经理的工作内容聚焦在系统层,懂一些软/硬件开发的基本内容也可以把工作完成。但是建议在工作中多留心弥补自己不足的部分。

(4) 如果你既没有软件开发经验也没有硬件开发经验,如果单考虑薪水的话,机会摆在面前也可以把握。但是个人建议先找软件开发相关的岗位积累开发经验,否则可能在对内对外的沟通中不免有纸上谈兵之嫌而难以服众,而且在功能安全领域的职业发展后期容易遇到瓶颈。

(5) 如果有选择的话,最好去功能安全团队成熟的大公司做功能安全,比如上面提到的这些公司。这些公司的功能安全开发早已落地,也积累了很多自己的理解和经验,这对于一个小白来说无疑是站在巨人的肩膀上学习。而小公司可能还苦于如何把功能安全纳入开发流程,去了可能就是自己摸索着钻研和天书一样的ISO 26262标准,很难高效地提高自己的能力。


文章来源:牛喀网


END
汽车电子与软件 主要介绍汽车电子软件设计相关内容,每天分享一篇技术文章!
评论
  • 在电子技术快速发展的今天,KLV15002光耦固态继电器以高性能和强可靠性完美解决行业需求。该光继电器旨在提供无与伦比的电气隔离和无缝切换,是现代系统的终极选择。无论是在电信、工业自动化还是测试环境中,KLV15002光耦合器固态继电器都完美融合了效率和耐用性,可满足当今苛刻的应用需求。为什么选择KLV15002光耦合器固态继电器?不妥协的电压隔离从本质上讲,KLV15002优先考虑安全性。输入到输出隔离达到3750Vrms(后缀为V的型号为5000Vrms),确保即使在高压情况下,敏感的低功耗
    克里雅半导体科技 2024-11-29 16:15 119浏览
  • 《高速PCB设计经验规则应用实践》+PCB绘制学习与验证读书首先看目录,我感兴趣的是这一节;作者在书中列举了一条经典规则,然后进行详细分析,通过公式推导图表列举说明了传统的这一规则是受到电容加工特点影响的,在使用了MLCC陶瓷电容后这一条规则已经不再实用了。图书还列举了高速PCB设计需要的专业工具和仿真软件,当然由于篇幅所限,只是介绍了一点点设计步骤;我最感兴趣的部分还是元件布局的经验规则,在这里列举如下:在这里,演示一下,我根据书本知识进行电机驱动的布局:这也算知行合一吧。对于布局书中有一句:
    wuyu2009 2024-11-30 20:30 84浏览
  • 光耦合器作为关键技术组件,在确保安全性、可靠性和效率方面发挥着不可或缺的作用。无论是混合动力和电动汽车(HEV),还是军事和航空航天系统,它们都以卓越的性能支持高要求的应用环境,成为现代复杂系统中的隐形功臣。在迈向更环保技术和先进系统的过程中,光耦合器的重要性愈加凸显。1.混合动力和电动汽车中的光耦合器电池管理:保护动力源在电动汽车中,电池管理系统(BMS)是最佳充电、放电和性能监控背后的大脑。光耦合器在这里充当守门人,将高压电池组与敏感的低压电路隔离开来。这不仅可以防止潜在的损坏,还可以提高乘
    腾恩科技-彭工 2024-11-29 16:12 117浏览
  • 最近几年,新能源汽车愈发受到消费者的青睐,其销量也是一路走高。据中汽协公布的数据显示,2024年10月,新能源汽车产销分别完成146.3万辆和143万辆,同比分别增长48%和49.6%。而结合各家新能源车企所公布的销量数据来看,比亚迪再度夺得了销冠宝座,其10月新能源汽车销量达到了502657辆,同比增长66.53%。众所周知,比亚迪是新能源汽车领域的重要参与者,其一举一动向来为外界所关注。日前,比亚迪汽车旗下品牌方程豹汽车推出了新车方程豹豹8,该款车型一上市就迅速吸引了消费者的目光,成为SUV
    刘旷 2024-12-02 09:32 58浏览
  • 艾迈斯欧司朗全新“样片申请”小程序,逾160种LED、传感器、多芯片组合等产品样片一触即达。轻松3步完成申请,境内免费包邮到家!本期热荐性能显著提升的OSLON® Optimal,GF CSSRML.24ams OSRAM 基于最新芯片技术推出全新LED产品OSLON® Optimal系列,实现了显著的性能升级。该系列提供五种不同颜色的光源选项,包括Hyper Red(660 nm,PDN)、Red(640 nm)、Deep Blue(450 nm,PDN)、Far Red(730 nm)及Ho
    艾迈斯欧司朗 2024-11-29 16:55 152浏览
  • 学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习笔记&记录学习习笔记&记学习学习笔记&记录学习学习笔记&记录学习习笔记&记录学习学习笔记&记录学习学习笔记记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&
    youyeye 2024-11-30 14:30 62浏览
  • 光伏逆变器是一种高效的能量转换设备,它能够将光伏太阳能板(PV)产生的不稳定的直流电压转换成与市电频率同步的交流电。这种转换后的电能不仅可以回馈至商用输电网络,还能供独立电网系统使用。光伏逆变器在商业光伏储能电站和家庭独立储能系统等应用领域中得到了广泛的应用。光耦合器,以其高速信号传输、出色的共模抑制比以及单向信号传输和光电隔离的特性,在光伏逆变器中扮演着至关重要的角色。它确保了系统的安全隔离、干扰的有效隔离以及通信信号的精准传输。光耦合器的使用不仅提高了系统的稳定性和安全性,而且由于其低功耗的
    晶台光耦 2024-12-02 10:40 53浏览
  • RDDI-DAP错误通常与调试接口相关,特别是在使用CMSIS-DAP协议进行嵌入式系统开发时。以下是一些可能的原因和解决方法: 1. 硬件连接问题:     检查调试器(如ST-Link)与目标板之间的连接是否牢固。     确保所有必要的引脚都已正确连接,没有松动或短路。 2. 电源问题:     确保目标板和调试器都有足够的电源供应。     检查电源电压是否符合目标板的规格要求。 3. 固件问题: &n
    丙丁先生 2024-12-01 17:37 57浏览
  • 戴上XR眼镜去“追龙”是种什么体验?2024年11月30日,由上海自然博物馆(上海科技馆分馆)与三湘印象联合出品、三湘印象旗下观印象艺术发展有限公司(下简称“观印象”)承制的《又见恐龙》XR嘉年华在上海自然博物馆重磅开幕。该体验项目将于12月1日正式对公众开放,持续至2025年3月30日。双向奔赴,恐龙IP撞上元宇宙不久前,上海市经济和信息化委员会等部门联合印发了《上海市超高清视听产业发展行动方案》,特别提到“支持博物馆、主题乐园等场所推动超高清视听技术应用,丰富线下文旅消费体验”。作为上海自然
    电子与消费 2024-11-30 22:03 70浏览
  • 国产光耦合器正以其创新性和多样性引领行业发展。凭借强大的研发能力,国内制造商推出了适应汽车、电信等领域独特需求的专业化光耦合器,为各行业的技术进步提供了重要支持。本文将重点探讨国产光耦合器的技术创新与产品多样性,以及它们在推动产业升级中的重要作用。国产光耦合器创新的作用满足现代需求的创新模式新设计正在满足不断变化的市场需求。例如,高速光耦合器满足了电信和数据处理系统中快速信号传输的需求。同时,栅极驱动光耦合器支持电动汽车(EV)和工业电机驱动器等大功率应用中的精确高效控制。先进材料和设计将碳化硅
    克里雅半导体科技 2024-11-29 16:18 157浏览
我要评论
0
点击右上角,分享到朋友圈 我知道啦
请使用浏览器分享功能 我知道啦