一文解析汽車的功能安全與本質(zhì)安全

01

功能安全與本質(zhì)安全

功能安全

「功能安全性」是為了確保可接受的安全水平而進(jìn)行的功能調(diào)整（確保安全的機(jī)能：以下稱為安全功能）。

本質(zhì)安全

「本質(zhì)安全」是指為減少/消除設(shè)備或結(jié)構(gòu)變化對(duì)人或環(huán)境造成的危害而采取的措施。

例如，道路交通橫穿鐵軌的交道口。

●「功能安全」的概念

「交道口」的位置通常配備有警報(bào)器，以通知列車駛近，并以斷路器，促使車輛停車。這些安全措施將事故風(fēng)險(xiǎn)降低到可接受的水平。

●「本質(zhì)安全」的概念

在「三維交叉口」中，火車和車輛都不相交，因此事故發(fā)生的機(jī)會(huì)很少，能有效確保安全。

注意：三維交叉口將鐵路置于道路之上，反之亦然。但是，事故仍然可能造成各種各樣的傷害。例如，由于自然災(zāi)害或其他災(zāi)難，可能會(huì)發(fā)生物體墜落，圍欄構(gòu)造問(wèn)題或立交橋完全倒塌的情況。因此，三維交叉口并不意味著絕對(duì)的安全。但是，就鐵路道口安全而言，三維交叉口是本質(zhì)安全的一個(gè)示例，因?yàn)樗ㄟ^(guò)消除交叉路口（根本問(wèn)題）本身來(lái)確保安全。

安全觀念的背景

●歐洲和北美

安全是要追求的目標(biāo)，但卻是無(wú)法完全實(shí)現(xiàn)的想法。即使制造業(yè)以零缺陷為目標(biāo)，但仍不能百分百避免故障及損壞，因當(dāng)中可能涉及設(shè)計(jì)或人為錯(cuò)誤。隨著系統(tǒng)越來(lái)越復(fù)雜，很難通過(guò)本質(zhì)安全來(lái)實(shí)現(xiàn)完全安全。標(biāo)準(zhǔn)化「功能安全」的理念應(yīng)運(yùn)而生，以彌補(bǔ)本質(zhì)安全的欠缺。在最大程度上，防止由于產(chǎn)品故障或錯(cuò)誤而對(duì)人造成的傷害。

●日本

制造業(yè)基于設(shè)計(jì)質(zhì)量改進(jìn)和持續(xù)制造改進(jìn)的理念，力求通過(guò)提高可靠性和零缺陷來(lái)完全實(shí)現(xiàn)「本質(zhì)安全」。結(jié)果，「日本制造」以高品質(zhì)而享譽(yù)國(guó)際。要在世界市場(chǎng)上推出產(chǎn)品，它必須滿足每個(gè)特定國(guó)家/地區(qū)的標(biāo)準(zhǔn)，并且隨著功能安全標(biāo)準(zhǔn)的日益普及，讓這一想法在日本也廣為人知并接受。

制定 ISO 26262汽車功能安全標(biāo)準(zhǔn)的背景

單一汽車零件的誤差*，可能導(dǎo)致無(wú)法控制發(fā)動(dòng)機(jī)/操作方向盤/停車或其他故障，導(dǎo)致對(duì)人（駕駛員，乘客或車外的人）構(gòu)成傷害。

由于汽車設(shè)備的電子化，ECU（電子控制單元）之間的協(xié)同操作以及多家供貨商開發(fā)的設(shè)計(jì)，衍生設(shè)計(jì)復(fù)雜化，可能會(huì)引起個(gè)別功能混亂，而導(dǎo)致誤差*/錯(cuò)誤*。在發(fā)生事故時(shí)，有必要確定誰(shuí)要對(duì)造成的人身或財(cái)產(chǎn)損失負(fù)責(zé)。

以「功能安全」的概念，揭示為邁向汽車故障零事故的整個(gè)開發(fā)過(guò)程，來(lái)履行安全負(fù)責(zé)，并在發(fā)生訴訟時(shí)提供證據(jù)。

為此，在 IEC 61508的基礎(chǔ)上制定了 ISO26262 安全標(biāo)準(zhǔn)，以專門降低由電氣和電子（E / E）系統(tǒng)的故障行為引起的危險(xiǎn)事件的可能性。

*誤差：可能導(dǎo)致系統(tǒng)或車輛故障的異常情況。

*錯(cuò)誤：計(jì)算值，觀察值或測(cè)量值或條件與真實(shí)值，指定值或條件之間的差異。

*故障：由于系統(tǒng)或車輛執(zhí)行所需功能的能力故障而導(dǎo)致的終止。

引用自 ISO 26262-10:2018

功能安全的安全機(jī)制

「功能安全性」是為了確?？山邮艿陌踩蕉M(jìn)行的功能性調(diào)整。

汽車系統(tǒng)，組件，電子電路和軟件可以通過(guò)添加安全機(jī)制來(lái)實(shí)現(xiàn)「功能安全」。

安全機(jī)制包括功能停止（故障安全）和功能繼續(xù)（故障操作），并且必須具有符合 ASIL 的安全機(jī)制。

02

什么是 ASIL？

ASIL 指汽車安全完整性等級(jí)，這是由 ISO 26262標(biāo)準(zhǔn)定義的風(fēng)險(xiǎn)分類系統(tǒng)。

ASIL 根據(jù)傷害的可能性和可接受性來(lái)確定安全要求，以使汽車零部件符合 ISO 26262。

ISO 26262標(biāo)識(shí)了 ASIL 的四個(gè)等級(jí) - A，B，C和 D。ASIL-A 代表最低的汽車危險(xiǎn)等級(jí)，而 ASIL-D 代表最高的汽車危險(xiǎn)等級(jí)。

安全氣囊，防抱死制動(dòng)器或動(dòng)力轉(zhuǎn)向系統(tǒng)之類的系統(tǒng)要求 ASIL-D 級(jí)（對(duì)安全性的要求最為嚴(yán)格），因?yàn)榕c故障相關(guān)的風(fēng)險(xiǎn)最高。此外，所有電氣和電子系統(tǒng)都必須經(jīng)過(guò)安全分析，例如，尾燈和其他組件歸類為 ASIL-A，前大燈和剎車燈歸類為 ASIL-B，而自適應(yīng)巡航控制歸類為 ASIL-C或 D。

安全機(jī)制應(yīng)用示例

●冗余設(shè)計(jì)

在這種設(shè)計(jì)方法中，如果主要功能發(fā)生故障，備用功能將接管工作，以防止發(fā)生事故或問(wèn)題，以減少傷害。

●故障檢測(cè)

這是一種使用其他部件來(lái)添加功能的措施，以監(jiān)視主要功能中的異常，或者在發(fā)生危害之前將其告知以防止受到傷害。

ABLIC IC 有助構(gòu)建功能安全產(chǎn)品設(shè)計(jì)

一般情況，汽車會(huì)使用多個(gè) MCU。

假定 MCU 出現(xiàn)異常，

添加一個(gè)電壓檢測(cè)器(VD)，以監(jiān)視并通知由于電源的過(guò)壓或低壓引起的 MCU 異常。

添加看門狗計(jì)時(shí)器(WDT)，以監(jiān)視并通知由于軟件錯(cuò)誤而導(dǎo)致 MCU 程序失控，甚至停止運(yùn)行。

假設(shè)電動(dòng)汽車（HEV，EV 等）的鋰離子電池出現(xiàn)異常，

添加鋰離子電池保護(hù) IC 來(lái)監(jiān)視并通知過(guò)電壓，過(guò)放電。

以下 IC 還有助于在產(chǎn)品設(shè)計(jì)中構(gòu)建功能安全性。

磁傳感器 IC（霍爾效應(yīng) IC）：監(jiān)視滑門和座椅位置等

定時(shí)器 IC：定期監(jiān)視傳感器等

EEPROM：保存各種校準(zhǔn)數(shù)據(jù)，日志等

※本公司可提供根據(jù)用戶的使用條件而計(jì)算的 FIT 值，以支持用戶設(shè)計(jì)應(yīng)對(duì)功能安全標(biāo)準(zhǔn)的產(chǎn)品。

責(zé)任編輯：YYX