关于智能汽车功能安全实施,NXP总结了六条经验!

分享到:

众所周知,功能安全贯穿了产品的整个生命周期,在功能安全的实施过程中,关于功能安全的文化和管理,NXP又总结出了6个问题,请收藏吧!

Q1: 如何开展功能安全?

功能安全贯穿了产品的整个生命周期,如何开展功能安全是很多客户面临的第一个重大疑惑。

我们从第一版功能安全标准(ISO26262:2011)的内容来着手分析,可简单概括为四大工作主线:

功能安全文化建设:这是对公司管理层的要求,如何让全体员工树立“安全是最高优先级”的责任意识,并落实到实际的工作中去,这是对管理智慧的挑战,涉及公司在功能安全方面的政策制定/策略阐释及丰富多样的内部专题培训或讨论,甚至公司外部的学习与交流活动。

安全分析方法:ISO26262标准没有对任何一个具体的产品作明确的要求,但适用于所有与安全相关的整车功能与零部件产品,所以一定得掌握行业内主流的一些安全分析方法,结合具体产品及应用来分析如何做出更安全的产品。

产品设计:功能安全标准对产品设计的各个阶段都有指导性的要求,从需求分析/设计实现/测试验证/操作维护等均有要求,通过查询标准要求,严格检查工作成果及证据,即可完成该部分的工作要求。

支持流程:在安全分析与产品设计的整个过程中,均需要有足够的流程支持,用流程来约束产品参与者,避免系统性失效。同时强调,功能安全并没有新增流程,主要是在现有质量管理流程的基础上,强化了部分细节要求。

QQ截图20180519002746
以上几个功能安全的主要内容,就要求我们投入对应的人力资源去完成对应的工作,公司在开展功能安全时,我们建议明确如下几个职能角色:

Organisation Safety Manager 公司层的功能安全经理(可包含功能安全专家)
该角色应该承担公司安全文化建设的主要任务,主导公司功能安全流程的导入及功能安全能力建设,制定公司层功能安全的政策与策略。
功能安全专家应更多掌握安全分析方法及审核能力,可指导或支持公司所有项目开发工作。

Project Safety Manager 项目功能安全经理
该角色应主导一个项目的所有功能安全工作,维护安全计划,协调内外部资源,推进项目的顺利进行。

功能安全工程师(硬件/软件/测试)
该角色的参与者人数视项目难易程度及公司资源灵活配置,需要配合功能安全经理完成具体项目开发中的功能安全工作,输出对应的交付物,并接受审核。

QM质量经理
该角色应提供公司层功能安全支持流程的培训及标准文档模块,按照项目开发时间计划,与功能安全专家一起严格审核各阶段的过程产品或交付物,保障产品安全质量。

QQ截图20180519002759

Q2: DIA在功能安全中扮演什么角色?

DIA是development interface agreement的简称,在传统汽车行业分布式开发中,可以认为是整车厂OEM与零部件供应商Tier1之间约定的围绕功能安全的具体工作产品及职责的记录文件。

刚接触功能安全的客户,不清楚为了满足功能安全的要求,需要输出哪些文档,需要做哪些工作,如何做功能安全计划,这一切的困惑就是没有达成或签订DIA。通常情况下,OEM会主导DIA文档的内容,明确哪些功能安全工作产品是OEM自己完成,哪些工作产品是Tier1完成,经过双方协商一致,最终确定。同时,零部件供应商根据DIA内容,对应制定自己的Safety Plan,这样就明确了整个功能安全开发中,各自的工作职责及主要内容。

DIA的具体呈现形式,通常为Excel文档,DIA文档罗列的工作产品来自ISO26262 part 2至part 10附录A要求的各阶段的work product输出物。

Q3:功能安全中的确认措施有哪些?

ISO26262是一套注重闭环检查的标准,对功能安全中的各项工作均有审核与确认的要求,并最终输出相应报告,以证明符合了功能安全要求。功能安全的确认措施(confirmation measure)包含:

QQ截图20180519002812

QQ截图20180519002819
简单概括一下:

Safety case是围绕功能安全的所有工作产品的总称,是功能安全确认措施的检查对象,也是符合功能安全的原始证据。

Functional safety audit是检查实现功能安全的流程,质量管理里强调用正确的方法去完成相应工作,用流程去约束功能安全参与者,避免人为疏忽造成的系统性风险。

Confirmation review强调一些具体的工作产品,必须有独立性审核的要求。

Functional safety assessment是对整个功能安全项目进行的一个总结性检查与结论判定,检查内容全面并需有明确的判定结论,是最终呈现的功能安全评估报告。

Q4: 功能安全中的独立性审核是怎么回事?

Q3的问题讨论中已有介绍,功能安全的确认措施中,confirmation review 是要求对标准指定的一些工作产品,需要有独立性审核要求(参见ISO26262-2 Table 1),  划分了I0到I3的独立性审核要求。

QQ截图20180519002832

QQ截图20180519002838
这里重点强调I3独立性要求,若某工作产品要求I3的独立性,代表该工作产品的审核者需要来自公司内部另外一个事业部或者来自公司外部的第三方组织。这是独立性要求最高的审核要求。

Q5: 功能安全文化如何影响产品开发?

这是一个很难阐释与解答的问题,我们通过一个简单的实例对比,让大家自己去感受不同的功能安全文化对产品开发的影响,上文已经介绍。功能安全对产品设计各环节均有要求,我们以ISO26262对硬件测试环节的要求来举例,如下表:

QQ截图20180519002854
ISO26262要求使用part 5-table 10的这些方法去编写硬件测试用例,针对单个测试用例,标准要求尽量考虑结合多个方法去编写测试用例,提高测试覆盖度。但没有明确要求必须使用几个方法去编写,针对整份测试报告要求对应ASIL等级下的“++”必须使用,“+”也建议考虑。

工程师A在进行功能安全硬件测试时,针对CAN通道功能验证,为了降低测试难度,减少测试时间,可以只选择“1a”这个方法,使用CAN报文分析工具,验证CAN报文的正确性即可,也是符合功能安全测试要求的。

工程师B在进行功能安全硬件测试时,同样针对CAN通道功能验证,认为联合使用“1a/1d/1i/1j”四个方法,验证项目增加,不只是验证报文正确性,同时需要测试CAN波形的上升沿下降沿和对称性,并且每个验证项,都需要在 常温/高温/低温  额定电压/过压/欠压下进行测试验证。

仅针对报文正确性这一个验证项,工程师B工作量已经是工程师A的9倍,但都能解释两个工程师都是按照功能安全的要求进行了测试。这两个工程师不同的做法,就是不同的功能安全文化的影响导致。
 
所以,对于所有功能安全的参与者来说,安全取决于你的思维方式。

Q6: 功能安全文化与管理是否有公开的交流论坛?

NXP给客户提供了一个开放式交流平台,欢迎大家积极交流,不断提高功能安全参与者的责任意识及严谨态度,推动中国汽车产业安全前行。

继续阅读
2018恩智浦未来科技峰会隆重召开,打造人工智能物联网新生态

9月4日,全球最大的汽车电子及人工智能物联网芯片公司恩智浦半导体(NASDAQ:NXPI)将于9月5-6日在深圳隆重召开 “2018恩智浦未来科技峰会”(2018 NXP Connects China),这是由恩智浦主办的聚焦人工智能物联网、安全互联汽车的顶级行业盛会,预计有千余名AI-IoT与汽车电子领域的商业领袖...

苹果新能源车,实际经营还要多久?

有关苹果染指汽车的传闻已经纷纷扬扬一年多了。尤其近来媒体有关苹果造车的传闻更是甚嚣尘上。有的说看到了苹果的样车在街上跑;有的说探测到苹果的秘密汽车研发基地;甚至苹果的汽车项目名称“Titan”也被曝了光。连苹果头库克见了哪个汽车大佬也会成为新闻。

NXP中国汽车电子开发中心落户重庆,中国汽车电子产业再添新动能

8月15日,恩智浦中国汽车电子应用开发中心(以下简称“应用中心”)正式在重庆市两江新区落成开业。重庆市委常委、常务副市长、两江新区党工委书记吴存荣、恩智浦全球副总裁兼汽车微控制器和处理器业务线市场及分销总经理Ross McOuat出席开业典礼。

一周岁了!恩智浦i.MX RT取得了哪些成果?

2017年6月,恩智浦半导体推出了i.MX RT系列跨界处理器。所谓“跨界”就是其介于传统的MPU和MCU之间,既具有MPU应用处理器般的性能,同时又继承了MCU的开发工具链,为嵌入式开发者提供了一个新的选择

7.11日-恩智浦2018年双核大赛总决赛成功举行

7.11日,由恩智浦半导体主办、与非网恩智浦社区协办的2018年LPC双核大赛总决赛在深圳NXP办公室举行