Функциональная безопасность ISO 26262 в автомобилестроении
В современных автомобилях используются сотни полупроводниковых узлов и других электронных компонентов, в которых реализованы системы сенсорного интерфейса, зарядка аккумулятора и контроль питания, а также поддержка и управление двигателем. Требования спецификации ISO 26262, подготовленной Международной организацией по стандартизации в отношении функциональной безопасности, обеспечивают безопасную работу этих сложных и взаимосвязанных устройств.
Разработка конструкций, соответствующих стандартам, и получение сертификата могут быть трудоемким и дорогостоящим процессом. Но проблемы относительно легко решить, поскольку полупроводниковая промышленность предоставляет OEM-производителям и их поставщикам полные среды функциональной безопасности минимизирующие затраты, риски и время проектирования, необходимые для прохождения сертификации.
Что такое стандарт ISO 26262
Стандарт ISO 26262 определяет характеристики функциональной безопасности электрических и электронных систем, устанавливаемых на серийные автомобили (за исключением мопедов). Этот регламент был опубликован в 2011 году и обновлен в 2018 (в него был добавлен раздел определяющий требования к полупроводникам). ISO 26262 описывает процесс разработки продукта от спецификации до серийного производства. OEM-производители и поставщики автомобилей должны следовать ему и документировать свои действия при квалификации оборудования для использования в дорожных транспортных средствах, требующих функциональной безопасности.
Сертификацию проводит независимый оценщик, подтверждающий их соответствие требованиям ISO 26262. При этом устройства в автомобиле классифицируются по разным уровням полноты безопасности (ASIL или по русски УПБА) в зависимости от уровня их критичности для работы, поскольку работа некоторых устройств связана с повышенным риском безопасности в случае их сбоя. Используемые уровни от A до D отражают тяжесть последствий такого отказа и вероятность возникновения потенциальных травм для людей, а также степень, в которой можно контролировать работу этого оборудования.
Существуют также уровни требований безопасности для компонентов из которых строятся эти блоки.
- ASIL-D представляет высшую степень опасности и распространяется на такие устройства как подушки безопасности, ABS и гидроусилитель руля.
- Круиз-контроль это ASIL-C. То есть чем выше уровень ASIL, тем больше требований к резервированию оборудования.
- Ближний свет и стоп-сигналы обычно классифицируются как ASIL-B.
- Задние фонари классифицируются как ASIL-A — самая низкая степень риска.
Существует множество способов с помощью которых поставщики компонентов могут ускорить и упростить разработку и сертификацию своих приложений безопасности по ISO 26262. Ресурсы, доступные для этой цели, показаны на рисунке. Во-первых, необходимо тщательно выбирать компоненты, чтобы их спецификации включали необходимую информацию и функциональную безопасность. К ним относятся отчеты о последствиях режима отказа и диагностическом анализе (FMEDA) и инструкции по технике безопасности. Компоненты также должны поддерживаться средой разработки пригодной для критически важных устройств.
Обеспечение функциональной безопасности
В современных автомобилях используется множество различных интегральных микросхем. Конечно микроконтроллеры (MCU) имеют первостепенное значение, поскольку они работают во всех электронных блоках управления (ECU) и используются в системах комфорта. К ним относятся 8-битные блоки, оптимизированные для производительности, энергоэффективности и работы в реальном времени. Они также реализуют аппаратные сенсорные интерфейсы.
С другой стороны, существуют 32-разрядные чипы, которые могут поддерживать многопоточные приложения, графические пользовательские интерфейсы, средства связи и функции безопасности. Также необходимо заменить контроллеры DSC (Digital Signal Controllers), которые соединяют ядро MCU с процессором DSP.
Каждая из используемых микросхем должна соответствовать квалификационным стандартам автомобильного производства и производительности, установленным Советом по автомобильной электронике (AEC). Стандарты AEC-Q100 определяют процесс квалификации компонентов на основе анализа отказов и испытаний на усталость, а также определяют различные температурные классы. В зависимости от целевого применения микроконтроллер соответствует стандартам AEC Q100 Grade 2, Grade 1 или Grade 0.
- Класс 0 соответствует температуре 150°C, класс 1 — 125°C, класс 2 — 105°C.
В дополнение к квалификации AEC дополнительные требования, предъявляемые к устройствам, касаются функций, обеспечивающих функциональную безопасность. Например, 8-битные микроконтроллеры часто включают интерфейс CAN FD для связи с автомобильными системами и интеллектуальными датчиками. Такие микроконтроллеры обычно используются в качестве контроллеров пользовательского интерфейса (UI), поддерживают механические кнопки и емкостное касание в кабине, рулевом колесе, центральной консоли или работают как часть бесключевой системы доступа.
Встроенные аппаратные функции безопасности в этих устройствах обычно связаны с работой памяти и сбросом, безопасным выполнением кода, защищенной связью и защитой линии GPIO от перенапряжения. Они интегрированы с использованием специализированной периферии CIP (работающей независимо от ядра) и многими другими функциями.
Что касается более эффективных блоков, то в предложение включены 16-битные контроллеры DSC с блоками функциональной безопасности. Они реализованы аппаратно и обычно включают в себя память со встроенным обнаружением и исправлением ошибок, встроенную самопроверку памяти (MBIST), мониторинг тактового сигнала, дополнительный (резервный) генератор и аналогичные блоки для обнаружения неисправностей, самодиагностики и тестирование схемы и реакция на ошибку. Эти функции позволяют разрабатывать критически важные для безопасности встраиваемые устройства, подключать датчики, создавать цифровые схемы питания и приложения для управления двигателями. Типичные области применения включают преобразователи постоянного тока в постоянный, зарядные устройства OBC, приводы и датчики, сенсорные детекторы и контроллеры, ориентированные на соответствие ASIL-B или ASIL-C.
Как и все другие микроконтроллеры с функциями функциональной безопасности, 32-битные блоки выполняют такие функции на аппаратном уровне, включая память с исправлением ошибок (ECC) и внедрением ошибок (Fault Injection), встроенное самотестирование памяти. С этой точки зрения также важны схемы контроля питания, такие как POR, BOR, сторожевой таймер WDT, аппаратный генератор CRC и блок защиты памяти. 32-разрядные микроконтроллеры используются во многих устройствах, от находящихся в кабине – до усовершенствованных систем помощи водителю (ADAS) с целью обеспечения функциональной безопасности.
Также возможно достижение уровней безопасности ASIL C/D со стандартными микроконтроллерами и DSC. Это делается путем соединения MCU или DSC со вторым блоком или с так называемым сопроцессором безопасности. Принцип декомпозиции УПБА позволяет это: комбинация двух подсистем, совместимых с ASIL-B, может использоваться для достижения более высокого, такого как ASIL C/D: ASIL-C = ASIL B (C) + ASIL A (C) ASIL-D = ASIL B (D) + ASIL B (D) = ASIL-C (D) + ASIL A (D).
Декомпозиция достигается разделением требований безопасности на отдельные блоки системы.
Средства разработки и сертификации
Наборы средств разработки, сертифицированные по функциональной безопасности и являющиеся частью полной среды разработки, могут помочь выполнить требования проверки кода ISO 26262. Это относится, в частности, к проектам, использующим микроконтроллеры и системы DSC. Производители такого программного обеспечения сотрудничают с независимыми оценочными агентствами (так называемыми третьими сторонами) для сертификации компиляторов на предмет их функциональной безопасности. Обычно также включается дополнительная документация, такая ??как сертификат, руководство по функциональной безопасности, план безопасности и классификация инструментов и отчеты о квалификации компилятора, интегрированную среду разработки (IDE), отладчики памяти.
В идеале инструмент покрытия кода также используется в процессе проектирования, чтобы оценить насколько хорошо было протестировано программное обеспечение, и указать, какие фрагменты кода были созданы, а какие нет. Этот инструмент также должен быть включен в отчеты о классификации и квалификации. Следовательно стоит выбирать продукты, которые могут тестироваться за один проход без разбивки кода на блоки и использования обширных аппаратных модификаций, избегая дорогостоящего программного обеспечения и требующего значительных усилий для поиска в больших файлах данных необходимой информации.
Чтобы разработать автоустройство совместимое со стандартом ISO 26262, инженеру потребуется дополнительная информация, помимо технических характеристик, от производителя полупроводников. Обычно они доступны в виде «пакетов функциональной безопасности» и предоставляют OEM-производителям и поставщикам автомобилей то, что им нужно на разных этапах оценки устройства и цикла проектирования. Эти пакеты должны содержать сертифицированные руководства, отчеты FMEDA и, в некоторых случаях, диагностическое программное обеспечение, такое как сертифицированные библиотеки самотестирования для соответствующих уровней ASIL. Количественная оценка отказов оборудования, распределение частоты отказов во времени (FIT) и соответствующие методы обнаружения уточняются в отчете FMEDA, помогая создать план покрытия.
Еще одним важным источником информации является Руководство по безопасности (SM). В нем содержится информация о методах поиска неисправностей, перечисленных в отчете FMEDA, и предлагаются способы использования устройства для обеспечения максимально безопасной работы.
Создание критически важного для безопасности устройства начинается с определения целевого уровня, которого необходимо достичь. Базовый пакет содержит такие ресурсы как FMEDA, руководство по технике безопасности и сертификаты, которые помогут приступить к оценке целей функциональной безопасности и разработке критически важных автомобильных систем.
Стартовый комплект функциональной безопасности для проекта на основе микроконтроллера в идеале должен включать сертифицированный отчет FMEDA ASIL B Ready, руководство по безопасности и диагностические библиотеки совместимые с ASIL B/C, в сочетании с эталонным проектом, чтобы помочь разработчикам понять как эти ресурсы можно использовать для разработка критически важных с точки зрения безопасности устройств с соблюдением стандарта ISO 26262. Это помогает ускорить цикл проектирования и разработать устройство в соответствии с УПБА.
Полный пакет функциональной безопасности может расширить предложение сертифицированными диагностическими библиотеками, содержащими исходный код и соответствующие отчеты по анализу безопасности для проектов до ASIL B/C. Учитывая что многие клиенты запрашивают сертификацию своих критически важных с точки зрения безопасности устройств, полный пакет ускоряет процесс сертификации.
Итого, автомобили становятся все более сложными и степень их электронизации постоянно увеличивается и все более важным становится обеспечение их функциональной безопасности в соответствии с требованиями ISO 26262.
Гид по новым недорогим системам безопасности Lexus и Toyota
«Тойота» обеспокоена безопасностью на дорогах. Свои системы безопасности она делает доступными и дешевле.
Когда автофирмы «Toyota» и «Lexus» объявили о введении нового недорого автоматизированного пакета безопасности для водителей, тут же у многих в головах возник такой вопрос, а чем он (этот пакет) отличается от других функциональных систем безопасности? Что, он стал меньшей стоимостью?
Значит он будет предлагать водителям меньшую защиту безопасности и покажет замедленную реакцию данных систем в реальном дорожном происшествии. На самом деле друзья, недорогой — это не значит что «отсталый». Да, ценник данного пакета отличается от других аналогов в первую очередь своей доступностью, и при этом, за относительно небольшие деньги водителям предлагается достаточно высокий уровень защиты. И так друзья, чтобы у вас сложилось полное понимание по каким принципам и как работает эта новая система безопасности, мы специально для вас создали следующий разъясняющий кор-гид, в котором мы надеемся вы безусловно разберетесь и из которого многим автомобилистам все станет ясно и понятно.
Где мы увидим такую систему в первую очередь.
В первую очередь на двух новых моделях Toyota и Lexus, которые получат этот обновленный автоматизированный пакет безопасности. Мы говорим с вами друзья о двух автомобилях внедорожниках, т.е. о RAV 4 Hybrid и четвертом поколении авто Lexus RX.
«Упакованные» в одну единую систему такие различные друг от друга функции содействуют решению сразу в трех ключевых областях защиты при аварии и возможности ее избегания, а именно: -предотвращение или смягчение удара от наезда сзади, сохранение движения автомобиля в полосе и повышение безопасности дорожного движения в ночное время. Если быть кратким, то можно сказать, что система предназначена для решения часто встречающихся типов аварий по статистике собранного воедино анализа ДТП.
Toyota Safety Sense и Lexus Safety System +
Следуя одинаковым принципам TSS-Toyota Safety Sense и LSS+ -Lexus Safety System + предлагаются совершенно в различных пакетах.
По ходу нашего повествования компания «Toyota» в забавной надо сказать форме представляет основы всей работы данных систем безопасности. Вот так в своем принципе (забавно) они и работают…
1. Toyota Safety Sense
Данная система безопасности будет представлена в виде двух пакетов, для Toyota Safety Sense C, т.е. для компактных автомобилей и для моделей TSS P, т.е. для среднеразмерных и премиальных автомоделей. Взглянем друзья вместе с вами, что каждый из этих пакетов должен дать водителям в плане этой самой защиты.
Автомодель Toyota Safety Sense C совмещает в себе камеру и лазерный радар для повышения производительности и надежности, где также предлагается три функции помощи, то есть:
— Pre-collision System (PCS) -система использует камеру и лазерный радар для сканирования объектов перед автомобилем. Когда выявлена потенциальная угроза, то система сама определяет является ли столкновение вероятным и начинает предупреждатт водителя о необходимости торможения, происходит это с помощью звуковых и визуальных оповещений. Если водитель замечает опасность и начинает экстренное торможение, то система обеспечивает дополнительное торможение для максимально интенсивной остановки. Если водитель не тормозит в установленное время, то система сама автоматически применяет такое торможение, уменьшая примерно скорость автомобиля до 30 км/ч, делается это в целях предотвращения аварии или для смягчения последствий от такого столкновения.
— Lane Departure Alert (LDA) -с помощью той же камеры, что используется в PCS, система LDA обнаруживает видимые белые и желтые линии разметки и предупреждает водителя визуальным и ауди-сигналами, именно в тот момент, когда транспортное средство начинает заезжать за пределы своей полосы. Здесь все классически и достаточно просто.
— Automatic High Beam (AHB) -данная система создана для улучшения видимости и безопасности других участников движения в ночное время. Фары встречных автомобилей и задние фонари впереди идущих машин обнаруживаются системой с последующим автоматическим переключением между дальним и ближним светом. Автоматика будет работать намного четче, чем сам водитель, переключающий свет в ручном режиме, тем смым она будет предотвращать ослепление встречных и попутных участников движения вовремя.
Модель Toyota Safety Sense P предлагает водителям все описанные ранее системы и добавляет к ним еще две дополнительные функции, а именно:
— Pedestrian Pre-Collision System -помимо видеокамеры система использует радар миллиметрового диапазона. который нужен для обнаружения пешеходов в определенных непредсказуемых условиях. В случае вероятности наезда на пешехода тут же срабатывает автоматическая тормозная система, происходит это на скоростях от 11 и до 80 км/ч для предотвращения столкновения с пешеходами.
— Dynamic Radar Cruise Control (DRCC) -эта система безопасности работает непосредственно на автошоссе и следит за движущимися транспортными средствами и за их скоростями. Когда требуется, водитель может регулировать в автоматическом режиме скорость автомобиля в пределах заданного им диапазона путем плавного разгона и торможения.
2.Lexus Safety System +
Также как и авто Toyota Safety Sense модель Lexus Safety System + объединяет в себе единое целое, то есть такие системы безопасности как,- Pedestrian Pre-Collision System, Lane Departure Alert, Automatic High Beam и Dynamic Radar Cruise Control. Иными словами можно сказать, что все эти системы работают точно также, как это показано выше. Однако имеются несколько различий, например, тажа LDA еще предупреждает водителя и о начале съезда с полосы движения, и делает это она с помощью вибрации на рулевом колесе. Кроме того, данная система Lane Keep Assist совмещена с системой рулевого управления, чтобы сделать маневры для водителя как можно более легкими.
Активная и пассивная безопасность автомобиля: что это такое и почему на этом не стоит экономить
Широкой публике известно, что службы, механизмы и системы, которые призваны НЕ довести дело до ДТП, входят в пул активной безопасности; минимизацией последствий УЖЕ СЛУЧИВШЕГОСЯ дорожно-транспортного происшествия занимаются системы, устройства и приборы, которые относят к пассивной безопасности. А вот дальше вашему вниманию информация, которая не так хорошо известна «широкой автомобильной общественности».
Активная безопасность
Совокупность всех конструктивных свойств автомобиля, которые направлены на предотвращение ДТП (вплоть до исключения его предпосылок), укладывается в следующий список:
- Антиблокировочная система тормозов (ABS или АБС) в сотые доли секунды затормаживает и растормаживает тормоза, а некоторые системы делают это даже до тысячи раз в секунду. И там, где имеется хоть какая-то сцепка колеса с дорожным покрытием, происходит замедление автомобиля. А там, где колесо скользит, происходит «роспуск» тормозной системы, и автомобиль получает возможность управления. Система эта была придумана «для чайников», то есть для массового потребителя и требует следующего алгоритма действий — педаль тормоза резко в пол, и рулевым колесом «уворачивайся» от надвигающихся препятствий. Этому приему вождения учат специально на курсах контраварийной подготовки, а в качестве примечания замечу, что профессиональные водители, в том числе и автомобильные спортсмены, систему АБС и вообще подобных электронных ассистентов «не сильно жалуют», предпочитая иметь собственный ежесекундный контроль над автомобилем.
- Система курсовой устойчивости работает «в связке» с АБС и притормаживает одно из четырех колес в случае потери автомобилем заданной траектории движения. Эту систему «продвинутые» водители также не очень любят, поскольку она не дает направить машину в контролируемое скольжение.
- Система распределения тормозных усилий (на самом-то деле) применялась еще на древних Жигулях и Москвичах, но там «работало» механическое приспособление, а на современных авто этим занимается один из электронных блоков управления (ЭБУ). Масса датчиков ежесекундно передает ему свои показания — о скорости автомобиля, о положительном или отрицательном его ускорении, об угловой скорости (если возникает хоть капля подозрения на вращение автомобиля вокруг вертикальной оси) и тд и тп. Этот массив данных обрабатывается в считанные миллисекунды, и соответствующие команды направляются исполнительным механизмам.
- Система экстренного торможения работает (через ЭБУ) по такой же схеме и в этой же связке со всеми остальными электронными системами, но отдельно также отслеживает ещё и скорость перемещения педали тормоза. В случае распознавания панических действий водителя она автоматически поднимает давление в системе, помогая водителю, и включает аварийку на три моргания для информирования задних.
- Электронная блокировка дифференциала в основном применяется в тяжелых и полноприводных автомобилях (паркетниках), а также в спортивных версиях «дорожных гражданских» авто — «для полноты ощущения драйва и контроля над автомобилем»..
- Противобуксовочная система, понятно, помогает тронуться без срыва ведущих колес, но лишает «возможности» стартовать с форсом и визгом колёс.
- Внешние световые приборы не только помогают безопасно управлять автомобилем в условиях недостаточной видимости, но и другим участникам дорожного движения обозначают наше транспортное средство на дороге.
Спецы по безопасности отдельно выделяют еще и так называемые вспомогательные системы (ассистенты), которые также предназначены облегчать жизнь водителя:
- Электромеханический стояночный тормоз «облегчает» жизнь иным ленивым автовладельцам, автоматически фиксируя автомобиль при его полной остановке, и автоматически же снимая его с ручника, когда нога водителя касается педали акселератора.
- Парктроник, понятно, помогает не помять-поцарапать соседей по парковке.
- Адаптивный круиз-контроль мониторит скорость дорожного потока и расстояние до впереди идущего автомобиля, прибавляя или снижая скорость своего собственного авто сообразно скорости соседей по потоку.
- Система помощи при трогании на подъём избавляет от нервного и физического напряжения не только начинающих, но и опытных водителей, действительно весьма полезная штука.
- Система помощи при спуске с горы не позволяет сорваться автомобилю в юз на скользком (грязном) покрытии.
- Система обнаружения помехи в «слепых зонах» позволяет обнаружить соседей по потоку справа-сзади и/или слева-сзади.
Некоторые авторы, пишущие на темы безопасности, относят в «активную» часть даже такие вещи, например, как и системы навигации, в том числе и ЭРА-ГЛОНАСС, а также — «климатическую обстановку» в салоне или громкость музыки, словом, всё то, что влияет на физическое, эмоциональное и психическое состояние человека за рулём.
Пассивная безопасность
Список конструктивных элементов автомобиля, которые направлены на минимизацию тяжести ДТП, сохранения жизни и здоровья своих седоков, также не мал. Большинство из них срабатывает в момент столкновения и «продолжает работать» до полной неподвижности транспортного средства.
Включает в себя такие конструктивные элементы:
- Высокопрочная клетка непосредственно пассажирского салона защищает седоков при столкновении (во всех спортивных автомобилях это архи важная конструктивная позиция).
- Энергопоглощающие кузовные элементы, которые «сламываются» и складываются в программируемом «формате», имеются в передней и задней частях кузова вне салона и призваны выполнять функции гашения отрицательного ускорения автомобиля при ударе.
- Защита от проникновения силовой установки (двигателя и КПП), а также других агрегатов трансмиссии и ходовой части в салон и увод их под днище автомобиля.
- Годами (и даже десятилетиями) сложившаяся практика проектирования днища автомобиля, состоящего сегодня из металлических конструкций самых разных форм, сечений и профилей; тут тебе и жесткость на кручение, и шумоизоляция, и пассивная безопасность авто.
- Мягкие, зачастую пластиковые, бамперы не только защищают несущие части кузова при ударе на «пешеходных» скоростях, но также выполняют задачи гашения инерции и при более сильном ударе.
- Среди так называемых удерживающих систем первыми выделяют, разумеется, ремни безопасности, а также «сопутствующие» им элементы — пиропатроны, преднатяжители и тд.
- Широкие дверные пороги и поперечные брусья безопасности в дверях проектируют для защиты от бокового удара.
- Подушки безопасности раскрываются в течение 300-400 миллисекунд, вне зависимости от того — это фронтальные, боковые, встроенные в ремни безопасности или в надкапотное пространство для защиты пешеходов.
- Из наиболее «древних» приспособлений, которые начинали применяться еще на автомобилях 50-60-х годов прошлого столетия (и применяются до сих пор) — это складывающиеся рулевые колонки, травмобезопасные педальные узлы, где при резко неадекватном «нажатии» педали отламываются с мест креплений, уменьшая риск повреждения ступней водителя.
- Активные подголовники пассажирских сидений сегодня защищают шейные позвонки седоков от так называемой хлыстовой травмы при ударе сзади.
- Сминаемые и/или мягкие элементы внутренней отделки интерьеров также минимизируют травмы, если не сработали или не справились подушки.
- Современные многослойные поликарбонатные стекла окон «по кругу», которые при разрушении не травмируют пассажиров.
- Системы Эра-Глонасс и подобные им, которые оповещают экстренные службы о факте происшествия.
Никакой экономии!
На подавляющем большинстве проданных автомобилей системы пассивной безопасности, как правило (и к великому счастью), остаются невостребованными в течение всего срока жизни автомобиля. Однако при покупке нового авто экономить на комплектациях не стоит, а при покупке подержанного — нужно трижды перепроверить сроки годности и функционал всего установленного здесь оборудования.
Оно может сработать всего один лишь раз, зато спасет вашу жизнь.
Будьте разумными, и берегите себя! На этом всё. Для тех кто в поисках подарков на Новый Год, рекомендую посмотреть обзоры полезных устройств для дома и семьи:
Источник https://2shemi.ru/funktsionalnaya-bezopasnost-iso-26262-v-avtomobilestroenii/
Источник https://1gai.ru/publ/515007-gid-po-novym-nedorogim-sistemam-bezopasnosti-lexus-i-toyota.html
Источник https://www.ixbt.com/live/car/aktivnaya-i-passivnaya-bezopasnost-avtomobilya-chto-eto-takoe.html