日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機站
  • 小程序

    汽車測試網(wǎng)

  • 公眾號

    • 汽車測試網(wǎng)

    • 在線課堂

    • 電車測試

做功能安全需要對ISO26262理解到什么程度?干這一行前景怎么樣?

2021-12-31 07:48:47·  來源:汽車ECU開發(fā)  
 
寫在最前面:作為一名功能安全工程師,剛從事這份工作時瀏覽這個問題還帶著很多入門前的疑惑,如今再次瀏覽時,自認為可以根據(jù)自己的工作經(jīng)驗輸出一些淺見了。借
寫在最前面:

作為一名功能安全工程師,剛從事這份工作時瀏覽這個問題還帶著很多入門前的疑惑,如今再次瀏覽時,自認為可以根據(jù)自己的工作經(jīng)驗輸出一些淺見了。借著回答這個問題也希望能拋磚引玉,和各位前輩們做進一步探討。
根據(jù)我的經(jīng)驗,探索某一事物的過程也是否定自己認知的過程,所以只能說現(xiàn)在的回答代表自己當(dāng)前的理解,后續(xù)如果有新理解會更新這個答案
本文試圖回答以下問題:
? 什么是功能安全?
? 功能安全在企業(yè)怎么落地?
? 功能安全工程師的工作內(nèi)容
? 入門時如何對待ISO 26262文檔?
? 功能安全工程師的前景

01. 什么是功能安全(Functional Safety)?
在這里先引用ISO 26262和GB/T 34590中的定義,從定義展開強調(diào)幾個關(guān)鍵詞。ISO 26262:absence of unreasonable risk due to hazards caused by malfunctioningbehavior of E/E systems.
GB/T 34590:不存在由電子電氣系統(tǒng)的功能異常表現(xiàn)引起的危害而導(dǎo)致不合理的風(fēng)險。
1. “E/E system”,電子電器架構(gòu)
功能安全要討論的對象是E/E架構(gòu)設(shè)計,因此機械/液壓/化學(xué)等設(shè)計都不在ISO 26262的研究范圍。
2. “hazard”,危害
危害有很多類型,如人身傷害或者財產(chǎn)損失等等。功能安全里的危害僅僅指對駕駛員或者路人或周邊車輛內(nèi)人員(注意:不僅僅是駕駛員)造成的健康傷害。換句話說,功能安全開發(fā)目的是避免傷人,而不是避免你的損傷你的豪車,也不是避免你的豪車被偷。
3. “unreasonable”,不合理的
即“不可被接受的”。就像世界上沒有永動機一樣,世界上也沒有100%安全的系統(tǒng),因此功能安全追求的是將危害控制在可被接受的范圍。而是否可被接受,需要從兩個維度去衡量:危害的嚴(yán)重性和危害發(fā)生的頻率。舉例來說,飛機失事幾乎無人生還,但是正因為飛機失事的概率非常低,所以不影響它成為最重要的交通工具之一;電動車窗發(fā)生卡滯故障的頻率比較高,但是故障不會讓人受傷,因此很多司機甚至只有等到下個月去4S店時才想起來維修它。但是,如果你的車突然在高速上自動加速,估計你馬上停在緊急帶,驚魂未定便馬上打電話給4S店罵娘了,因為這種原本可以通過設(shè)計規(guī)避的故障是不可接受的。這也正是功能安全開發(fā)期望避免的故障。
補充一下,這里提到兩個維度,危害的嚴(yán)重度和危害發(fā)生的頻率。對功能安全有了解的朋友可能會疑惑 :不是有三個參數(shù)評價,S(severity 嚴(yán)重度),E(Exposure 曝光度 ),C(controllability 可控度)嗎?
其實不沖突,第二個維度頻率綜合了E值和C值。怎么理解呢?“頻率”指的是危害發(fā)生的頻率,而“曝光度”指的是場景的曝光度。駕駛員的可控度是可以將高曝光度的場景下造成危害的頻率降低的。舉例來說,開高速的場景在日常生活中曝光度比較高,但是如果高速時發(fā)生意外加速,有些情況下通過駕駛員的制動干預(yù)是可以避免危害的,因此降低了危害發(fā)生的頻率。




02. 功能安全怎么在企業(yè)落地?
這個問題很大,無法進行全面的回答。一個原因是各個公司間的差異性,二是ISO 26262的范圍太廣,對整車完整生命周期都進行了功能安全的指導(dǎo),除了我們熟知的V模型開發(fā)過程外,就連生產(chǎn)和報廢階段都考慮在內(nèi)。在這里僅僅談幾點認識。
1. 安全文化(safety culture)

這個詞初一聽很虛,感覺像是喊口號。實際上安全文化體現(xiàn)在很多看得見的方面,比如:? 成本和進度總是優(yōu)先于安全和質(zhì)量,還是安全是最高優(yōu)先級?
? 是否確保了與功能安全相關(guān)的決策責(zé)任是可追溯的?
? 在所有層面(管理/開發(fā)/驗證/審核)執(zhí)行是否有明確的、可追蹤的和受控的流程?
安全文化體現(xiàn)在公司的開發(fā)流程中。優(yōu)秀的安全文化一定意味著企業(yè)有非常完善的開發(fā)流程。否則功能安全只是空中樓閣,落地?zé)o從談起。同時,完善的流程也意味著要增加相應(yīng)的崗位和工程師們的工作量,甚至是升級開發(fā)工具,開發(fā)成本也隨之上升。
在這里強調(diào)一點,企業(yè)一定是將ISO 26262中對功能安全的需求融入公司已有的開發(fā)流程,而不是單獨為功能安全開發(fā)制定一套開發(fā)流程。換句話說,功能安全需求是功能需求的一部分,和其他功能需求一樣用同一套的開發(fā)流程來實現(xiàn)。
2. 人員配置
首先說明,幾乎不可能是由一個功能安全開發(fā)工程師同時負責(zé)系統(tǒng)/軟件/硬件所有的功能安全開發(fā),就算有這種萬里挑一的全才,也得考慮如此龐大的工作量會不會把人才趕跑了。
一個完善的開發(fā)團隊中通常定義三個角色:? 系統(tǒng)功能安全工程師
? 軟件功能安全工程師
? 硬件功能安全工程師
每個人負責(zé)下圖中的一個V模型開發(fā)活動。
需要說明,這里的“系統(tǒng)”指的是某個E/E產(chǎn)品,比如轉(zhuǎn)向控制系統(tǒng)EPS,穩(wěn)定性控制系統(tǒng)ESP,電機控制系統(tǒng)MCU等。


功能安全工程師角色分工不管對主機廠還是供應(yīng)商,在一個客戶項目中,很少說要從零開始開發(fā)一個全新的產(chǎn)品,一般都是基于現(xiàn)有的產(chǎn)品作為base進行開發(fā),以滿足新的項目需求,功能安全也是如此。圍繞項目需求與base不同的部分進行功能安全開發(fā),識別不同點的活動稱作FSIA(functional safety impactanalysis)。當(dāng)功能安全是基于base來開發(fā)時,不管是對主機廠或供應(yīng)商來說,這三個角色并不需要定義三個獨立的工程師來做,這未免太奢侈,實際上也沒必要。通常軟/硬件功能安全工程師 由軟/硬件工程師兼任。
對軟件功能安全開發(fā)而言,在軟件開發(fā)流程完善和開發(fā)工具滿足要求的前提下,在軟件設(shè)計和驗證過程中,功能安全需求和功能需求無需過分區(qū)別對待,有很多公司的軟件開發(fā)流程本身就能保證符合ISO 26262中ASIL D的要求。因此功能安全對軟件工程師增加的工作量主要體現(xiàn)在需求分析和輸出文檔,包括:
1. 對系統(tǒng)層分配下來的安全需求進行可行性分析
2. 對輸入信號提安全需求
3. 滿足系統(tǒng)層或客戶的文檔需求
對硬件功能安全開發(fā)而言,通常一款硬件的設(shè)計周期很長,而且設(shè)計好后很多年不會更新,所以幾乎不會在客戶項目中重新開發(fā)硬件?;诖耍椖恐杏布δ馨踩_發(fā)就可以完全沿用base既有的開發(fā),功能安全對硬件工程師增加的工作量主要是:
1. 為系統(tǒng)安全工程師提供FTA分析需要的硬件component失效率數(shù)據(jù)(FMEDA)
2. 滿足系統(tǒng)層或客戶的文檔需求(如ECU FMEA分析報告)
只有系統(tǒng)功能安全開發(fā)需要定義一個專門的崗位,有些公司也稱為“功能安全經(jīng)理(productsafety manager, PSM)”。主機廠和供應(yīng)商對功能安全經(jīng)理的職責(zé)定義側(cè)重點有一些不同,這也是主機廠和供應(yīng)商之間的合作模式?jīng)Q定的。主機廠側(cè)重于定義需求并分配給供應(yīng)商,供應(yīng)商則側(cè)重于實現(xiàn)需求。
主機廠端功能安全經(jīng)理的工作職責(zé)一般包括但不限于:
1.計劃和協(xié)調(diào)系統(tǒng)安全開發(fā)活動
2.進行HARA分析,并結(jié)合HARA分析和系統(tǒng)架構(gòu)定義功能安全概念(functional safety concept)和技術(shù)安全概念(technical safety concept)
3. 將安全需求分配給對應(yīng)的子系統(tǒng),或者說分配給子系統(tǒng)的供應(yīng)商
4. 負責(zé)協(xié)調(diào)子系統(tǒng)相互之間的功能安全需求的傳遞與澄清
5. 協(xié)助功能安全驗證,比如創(chuàng)建整車test case和測試結(jié)果評估
6. 對子系統(tǒng)功能安全開發(fā)進行審核
供應(yīng)商端功能安全經(jīng)理的工作職責(zé)一般包括但不限于:

1. 計劃和協(xié)調(diào)系統(tǒng)安全開發(fā)活動
2. 基于HARA分析,根據(jù)安全需求和系統(tǒng)架構(gòu)定義功能安全概念(functional safety concept)和技術(shù)安全概念(technical safety concept),對系統(tǒng)架構(gòu)設(shè)計提出要求或建議
3. 將安全需求分配給對應(yīng)的軟件工程師 (和硬件工程師)
4. 完成系統(tǒng)功能安全設(shè)計的定量分析 和定性分析,通常分別使用FTA和FMEA
5. 協(xié)助功能安全驗證,比如創(chuàng)建整車test case和測試結(jié)果評估
6. 作為客戶功能安全團隊和功能安全審核團隊的接口
7. 對軟/硬件工程師提供功能安全開發(fā)建議和指導(dǎo)
一般來說,生產(chǎn)和報廢階段的功能安全活動不在系統(tǒng)功能安全工程師的職責(zé)范圍內(nèi)。比如生產(chǎn)階段的功能安全通常是由plant manager(工廠經(jīng)理)來執(zhí)行,執(zhí)行的依據(jù)則是已經(jīng)包含了功能安全需求的生產(chǎn)流程。當(dāng)產(chǎn)品release后交到工廠,就意味著功能安全工程師的工作完成了。
相信大家可以理解,為什么系統(tǒng)層的功能安全開發(fā)需要專門的人負責(zé)了,因為工作量實在有點大。尤其是現(xiàn)階段國內(nèi)功能安全開發(fā)的理念和方法論還沒有到深入人心的程度,如果遇到客戶不懂,軟硬件工程師也不懂,那么光是對外交流和對內(nèi)溝通就需要花大量的時間。如果一個項目足夠大,客戶新需求足夠多,可能不止一個系統(tǒng)功能安全工程師。
于此同時,功能安全經(jīng)理這個崗位對工程師的專業(yè)素質(zhì)要求也很高,原則上需要有足夠的軟/硬件開發(fā)經(jīng)驗,這樣才能勝任上到客戶或供應(yīng)商,下到軟硬件工程師的交流工作。但是目前鑒于功能安全在企業(yè)還比較新,這方面的能力要求有適當(dāng)放寬。
在這里也糾正一些同行對系統(tǒng)功能安全工作的誤解。認為既然不用寫代碼,也不用畫板子,那功能安全經(jīng)理就只剩下流程和文檔工作了。這話被功能安全經(jīng)理聽到他會傷心的,仿佛當(dāng)年不被女神認可的感覺又回來了。誠然,功能安全的落地需要流程和文檔來保證,但是功能安全開發(fā)的核心卻是技術(shù)層面的東西而非流程。而功能安全的技術(shù)核心,體現(xiàn)在概念設(shè)計/系統(tǒng)分析/系統(tǒng)驗證階段對功能安全開發(fā)方法論的運用。
03. 如何看待ISO26262
上面提到“方法論”,一說到方法論,這玩意兒一聽就很抽象,這也無外乎我們初看ISO 26262的時候不知所云,昏昏欲睡,完全不像看一個軟件開發(fā)手冊那樣即看即用。但個人認為ISO 26262的精髓恰恰是在對這個方法論的解釋。
因此,個人認為,入門時可以這樣對待ISO 26262文檔:
1. 首先不要期待脫離實操就看懂ISO 26262。最好的方法是有項目練手,在做項目的過程中體會ISO 26262中的需求。
2. 如果你是功能安全經(jīng)理,那沒什么說的,除了第7部分,其他部分都需要熟悉。但還是那句話,必須結(jié)合項目開發(fā)過程和公司的開發(fā)流程來理解ISO 26262。多問自己:流程中XX為什么這樣規(guī)定?對應(yīng)ISO 26262哪條需求?
3. 如果你是軟/硬件開發(fā)工程師兼任功能安全工作,那么重點關(guān)注第3(概念)/5(硬件)/6(軟件)部分,另外還有第9部分對的ASIL等級分解的說明。
基于這些內(nèi)容如果你能夠回答下面的問題,那么我覺得你至少知道自己在做什么和為什么這么做了,這樣一來,在和別人交流的過程會更加專業(yè)和順暢。
? 什么是safety goal?
? 如何做Hazard analysis and risk assessment?? ASIL 等級怎么評定?
? ASIL 等級達不到要求用什么方法解決?
04. 功能安全工程師的前景
就我目前的所見所聞來看,目前隨著ADAS功能的普及和自動駕駛研究的熱門,功能安全越來越被重視,市場需求量很大。獵頭在挖人時開出的價碼往往非常誘人。與此同時,目前國內(nèi)功能安全做的成熟的企業(yè)不多,尚處于邊做邊摸索的階段,所以目前挖人時并不很挑剔,對系統(tǒng)/軟/硬件開發(fā)經(jīng)驗的要求有放寬。
就我個人感覺而言,相對于本土OEM,外企或者合資Tier1的know-how更高,比如博世,大陸,聯(lián)電等等。合資OEM中泛亞 的功能安全團隊已經(jīng)很成熟,因此在和這些供應(yīng)商合作時很強勢也有底氣;而本土OEM在和這些供應(yīng)商合作的同時也抱著花錢學(xué)習(xí)怎么做功能安全的目的。換句話說,OEM的態(tài)度從“你覺得怎么做?”到“我要你這么做!”還有些距離。但是,這種狀況在將來一定會得到改變,因為本土主流的幾家OEM的功能安全團隊在以肉眼可見的速度壯大,大家越來越舍得在功能安全開發(fā)上投入成本(好多外國專家也因此體會到了社會主義高薪的誘惑力)??梢灶A(yù)見的是,自動駕駛的驅(qū)動會加速功能安全的落地,這會大大加速行業(yè)整體水平的提高。屆時,國內(nèi)市場對功能安全工程師的專業(yè)素養(yǎng)的要求也會越來越高;另一方面,ISO 26262在自動駕駛開發(fā)中的局限性也日益凸顯,由此也催生了新的標(biāo)準(zhǔn)SOTIF的誕生,功能安全工程師需要掌握的知識越來越多。
正應(yīng)了那句話:學(xué)無止境。
分享到:
 
反對 0 舉報 0 收藏 0 評論 0
滬ICP備11026917號-25