近年來���,由于環(huán)保效益(包括零排放和對化石燃料的依賴減少),電動汽車數(shù)量迅速增長�����。隨著電氣化和自動駕駛技術的不斷發(fā)展��,電動汽車的安全問題變得越來越重要�。
功能安全 (FuSa) 是整體系統(tǒng)安全的一個關鍵要素��,重點是確保系統(tǒng)以可預測的方式對正常輸入和故障狀況做出響應���。FuSa 的主要目標是通過戰(zhàn)略性實施適當?shù)陌踩珯C制和設計方法�����,系統(tǒng)地將風險降至可接受的水平�����。
ISO 26262:2018 年是道路車輛中電氣及電子 (E/E) 系統(tǒng)功能安全的國際標準。它調整了通用 IEC 61508:2010 安全?生命周期框架遷移至汽車領域�����。它提供了一種結構化��、基于風險的方法來驗證故障不會導致不安全的情況�����。
這些故障可以分為系統(tǒng)故障和隨機硬件故障�。系統(tǒng)故障在硬件設計和軟件設計中都存在,可通過嚴格的開發(fā)流程或獨立評估來管理和緩解�。隨機硬件故障僅限于硬件����,此類故障無法消除���,但可以通過實施安全機制來檢測和預防���。表 1-1總結了系統(tǒng)故障和隨機硬件故障之間的差異。
表 1-1 系統(tǒng)故障與隨機硬件故障| 方面 | 系統(tǒng)故障 | 隨機硬件故障 |
|---|
| 定義 | 在特定條件下表現(xiàn)一致的設計����、規(guī)范�、實施或者操作所固有的確定性故障 | 在硬件運行期間因物理現(xiàn)象、老化�����、應力或者環(huán)境因素而不可預測地發(fā)生的物理缺陷或故障 |
| 根本原因 | 例如設計錯誤�����、規(guī)格錯誤����、實施錯誤 | 例如物理性能劣化����、電應力、元件老化 |
| 可預測性 | 確定且可重現(xiàn)����,可消除并永久修復 | 概率性和統(tǒng)計性發(fā)生,不能消除和重現(xiàn) |
| 目標 | 在發(fā)布前消除缺陷���。 | 在故障發(fā)生時����,檢測和緩解故障。 |
| 措施 | 在整個生命周期內進行功能安全管理��、開發(fā)、測試���、驗證�����、確認活動。 | 安全機制設計及驗證�����。 |
| 典型指標 | 未發(fā)現(xiàn)的安全要求數(shù)量����、檢查覆蓋范圍、工具可信度����。 | 故障率、診斷覆蓋率�����。 |
由于可以通過確保高質量的開發(fā)流程來防止和消除系統(tǒng)故障�����,因此本白皮書將重點介紹隨機硬件故障分析。硬件指標 — 單點故障指標 (SPFM)�����、潛在故障指標 (LFM) 及隨機硬件失效概率指標 (PMHF) — 用于定量評估隨機硬件失效并確定符合汽車安全完整性要求��。
汽車安全完整性等級 (ASIL) 從 ASIL A 到 ASIL D 不等��,其中 ASIL D 最為嚴格����。表 1-2 列出了依據 ISO 26262 與每個 ASIL 級別關聯(lián)的隨機硬件故障指標的可接受值��。
表 1-2 依據 ISO 26262 的硬件故障指標| ASIL 級別 | SPFM | LFM | PMHF(以 FIT 為單位��;時基故障) |
|---|
| ASIL-A | 不相關 | 不相關 | 不相關 |
| ASIL-B | ≥ 90% | ≥ 60 % | ≤ 100 FIT |
| ASIL-C | ≥ 97% | ≥ 80 % | ≤ 100 FIT |
| ASIL-D | ≥ 99% | ≥ 90% | ≤ 10 FIT |