广告

四个必须避免的汽车功能安全错误

2022-02-11 07:08:55 Poornima Jha和Vaibhav Anand 阅读:
在汽车生态系统中,一个利益相关者的疏忽也会影响到其他利益相关者。如果一级供应商没有大面积进行危害分析,那么未识别的危害以及相关的风险可能会充斥着整个架构设计。同样,在从事安全关键型项目时使用未受过ISO 26262标准培训的资源也有其自身的风险。本篇,我们整理了一组必须要不惜一切代价来避免的此类功能安全(FuSa)管理错误。

OEM和一级供应商等汽车利益相关者必须将功能安全(FuSa)视为其整个组织的一项实践。说起来容易做起来难,实施符合ISO 26262的 FuSa会带来一系列的挑战。如果不解决这些困难,则会导致项目管理错误,从而导致项目的延误和成本的上升。管理不善的情况可能与机构中整体缺乏安全意识或跨职能团队之间的协调不佳有关。7FCednc

在汽车生态系统中,一个利益相关者的疏忽也会影响到其他利益相关者。如果一级供应商没有大面积进行危害分析,那么未识别的危害以及相关的风险可能会充斥着整个架构设计。同样,在从事安全关键型项目时使用未受过ISO 26262标准培训的资源也有其自身的风险。本篇,我们整理了一组必须要不惜一切代价来避免的此类FuSa管理错误。7FCednc

机构缺乏安全意识

功能安全不仅局限于从事安全关键型汽车项目的安全团队。从开发人员到测试工程师及项目经理,每个团队成员都必须了解ISO 26262标准及其指南。让我们看看在机构中整体缺乏安全意识时所犯的一些FuSa错误。7FCednc

  • 缺乏安全文化:安全文化在本质上意味着每个利益相关者在开发汽车软件或硬件中都要认真对待功能安全。不忽视任何风险,关注安全生命周期的每个阶段,资源相互协调并协同工作。仅仅拥有一名功能安全经理(顾问)而不专注于建立安全文化是机构所犯的最常见的错误。
  • 关注文档而不是安全:文档是ISO 26262标准中重要的组成部分。这些文档在OEM进行认证时可作为依据。然而,仅仅关注文档而不是实际的安全需求、目标和机制则会适得其反。
  • 基于假设的ASIL规定:必须规避在没有进行危害分析和风险评估(HARA)的情况下来确定汽车模块的汽车安全完整性等级(ASIL)值的这种常规做法。不建议基于行业规范ASIL的假设,因为这可能会导致遗漏危险。例如,信息娱乐系统通常被认为是ASIL B。因此,许多信息娱乐开发公司只是将ASIL B视为解决方案而不去执行HARA。如果信息娱乐系统还包含可用于自动执行车辆中某些操作的摄像头数据会怎样呢?这是一个严重的安全隐患,但由于假设而被忽略掉了。

7FCednc

图1:HARA这个过程是ISO 26262指导框架和团队对功能安全和汽车功能的理解的结晶。(图片来源:Embitel公司)7FCednc

破坏功能安全引发的安全监管不善事例

一些汽车供应商或技术提供商了解ISO 26262标准及其细微差别。然而,为了节约成本和缩短上市时间,它们往往会削弱某些安全关键型元器件的功能安全。然而,这种忽视安全需求或忽视偶发风险可能会危及车内人员的生命。7FCednc

  • 低估整个项目的周期/工作量:一旦将安全关键性以及ISO 26262标准考虑进去,工作量就会显著增加。因此,周期也会延长。一般来说,ASIL A意味着工作量增加10-15%,而对于符合ASIL D的项目,这一数字会上升到100%。在不考虑安全需求和目标的情况下低估这项工作是另一个需要避免的ISO 26262规范性错误。公司为了遵循预先设定的截止日期来安排实施部分并进行干预时,项目就会受到影响。
  • 产品生命周期结束时考虑安全性:如前所述,ISO 26262解决方案的架构设计是基于软件需求和安全需求创建的。在开发符合ISO 26262标准的汽车解决方案时,必须从产品生命周期开始就遵循这个标准。由于以下因素,在生命周期结束时或在第二次迭代中加入这些标准被证明是一个巨大的错误:
  1. 由于初始设计未包含安全方面,以至于返工严重。
  2. 由于不符合ISO 26262标准,无法重用之前的代码。检查先决条件、在发送/接收信号的模块之间使用包装器(wrapper),以及引入新模块,意味着可能需要编译大量新代码。
  3. 有时,整个设计需要更改,这可能会导致微控制器平台发生变化。这意味着产品要从头设计。
  • 在工具和工程技能上投资不足:许多机构都认为拥有功能安全主管就足以符合ISO 26262标准。然而,这是一种对安全持有麻木不仁的态度。而且这很可能是在使用了符合标准的工具或者提高对应资源技能的情况下。每个符合ISO 26262的项目的相关资源都建议培训,从开发人员和测试人员到项目经理,每个利益相关者都必须对ISO 26262标准都心存敬畏。

7FCednc

图2:功能安全不可事后考虑,汽车设计是有生命的。(图片来源:Embitel公司)7FCednc

利益相关者之间协调不善导致FuSa管理不当

符合ISO 26262标准的项目涉及到的资源来自不同团队的不同技能。有开发人员、测试工程师、硬件专家、项目经理、功能安全经理等等。7FCednc

  • 团队之间缺乏协作:为完成各种安全活动需要机构内的不同团队进行协作。比如,要执行硬件失效模式影响和诊断分析(FMEDA),软件团队必须清楚地了解安全机制。但是有的时候,团队不理解这种合作的重要性。
  • OEM和Tier 1之间的协作不利:在某些情况下,OEM无法在安全合规方面提供足够的支持和准备。忽视危害,没有正确执行安全分析,各种此类管理不善的情况接踵而至。另外,OEM没有对Tier 1供应商的工具是否合规进行评估,也会对项目产生危害。

技术与管理错误的混合

缺乏预算或者缺乏常用的ISO 26262知识,都会超出项目管理的管控范畴,这会导致对技术的干扰。下面就来看看它们。7FCednc

  • 安全关键型系统的标准设置得太低:当我们开始忽略危险并放宽验收标准时,项目就会受到威胁。例如,模块中可能只有一个安全问题需要ASIL C的认证,但我们却选择忽略它并坚持用ASIL B。这是机构所犯的严重错误。造成这样错误的主要原因还是因为增加成本。测试所有极端测试用例、执行额外的安全分析以及对工具许可证的投资都会增加项目成本。测试时还存在烧毁电路板、LED和电机的风险。当然,为了安全起见,还是需要检查这些故障。
  • 低估SOTIF和ASPICE等相关标准的重要性:除了功能安全之外,还有如ASPICE和Cybersecurity(ISO/SAE 21434)等这样针对项目需求的其他标准。所有这些标准都涉及到编码及测试的指导方针,因此它们之间会有很多重叠之处。在制定安全计划时没有考虑这些标准之间的相互关系,是最常见的错误。有的任务可以并行处理,甚至可以合并处理以节省时间。例如,ASPICE所推荐的软件鉴定测试与ISO 26262所推荐的软件集成测试和能力成熟度模型集成(CMMI)十分相似。原则上来说,它们都可用来检测软件的高级架构。因此以同等标准来合并此类相似的流程可以节省大量时间和精力。我们在使用不同标准时,未考虑当前标准对另一个标准的影响,也是另一个常见的错误。
  • 过度工程:并非每个汽车模块都对安全至关重要。只有在执行HARA时,才会知道其关键程度。当然,机构有时不希望执行所有安全活动,但为了安全起见,他们假定模块有更高的ASIL等级。这导致安全机制的实施甚至是不必要的。所以,必须避免此类做法以优化成本和上市时间。

ISO 26262是一个广泛的标准,机构无法在短期内达到功能安全实践的成熟度。但是,可以通过避免上述的错误来加快这个过程。7FCednc

作者简介

Poornima Jha:Embitel公司项目经理,同时也是一名功能安全经理以及FSCP-L2认证ISO 26262专家7FCednc

Vaibhav Anand:Embitel公司编辑,同时也是一名数字营销专家,痴迷于汽车领域的一切7FCednc

(原文刊登于EDN美国版,参考链接:Four automotive functional safety mistakes that must be avoided,由Franklin Zhao编译。)7FCednc

本文为《电子技术设计》2022年2月刊杂志文章,版权所有,禁止转载。免费杂志订阅申请点击这里7FCednc

责编:Franklin
本文为电子技术设计原创文章,未经授权禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 林志颖驾特斯拉出车祸:特斯拉回应起火原因不明,网友质疑 据EDN电子技术设计了解,7月22日上午10时50分左右,林志颖驾驶特斯拉Model X,在路口处掉头后加速向前行驶,但在前方道路分叉口处,因不明原因突然偏离车道自撞指示杆,整辆车陷入火海。此事引起网友关注热议,特斯拉客服表示,暂不清楚起火原因,但车身没有特别容易起火的材质。但有台媒指出,林志颖最爱特斯拉的自动驾驶功能,这也引起了网友对事故是否与自动驾驶有关的猜测。
  • 美国国土安全部(DHS)被曝大量购买和使用手机定位数据 据EDN电子技术设计了解,美国公民自由联盟18日发表最新文件,称美国国土安全部(DHS)使用移动定位数据来追踪人们的行动,据悉美国公民自由联盟发表的记录多达数千页,其规模远远超过之前的认知。
  • MIT曝光Apple M1 芯片新硬件漏洞:可被无痕攻破 尽管苹果最近发布的 M1 芯片号称Apple 迄今为止功能最强大的芯片,并具有行业领先的能效,但最近,麻省理工学院计算机科学和人工智能实验室(CSAIL)的科学家发布了一项研究称,他们发现了一种可以绕过 Apple M1 CPU 上的指针验证机制的新型硬件攻击……
  • 智能楼宇不只是能源管理 新冠疫情的到来,引发了我们在如何在办公室、工厂和商店等室内环境更智能、安全地进行社交和协作方面更多的思考与讨论。
  • 黑客用办公用纸、喷墨打印机等工具DIY“窃听器” 狡猾的黑客可以使用办公用纸、喷墨打印机、金属箔转印机和层压机在短短五分钟内制造出窃听某些 6G 无线信号的工具。
  • 成都英思嘉半导体宣布推出新一代高性能53Gbaud/s线性T 成都英思嘉半导体技术有限公司宣布推出新一代高性能53Gbaud/s线性TIA ISG-T5713。该产品适用于50G LR1/ER1、100Gbs DR1/FR1/LR1应用,已开始提供样品及技术支持。
  • 满足 21世纪电气化需求,实现净零排放的未来 随着新兴市场和前沿的经济体步入工业化阶段,这种以化石燃料为主的集中式电力和运输网络是不可持续的,需要未来下一代的能源网络...
  • 10A电子保险丝可为48V电源提供紧凑型过流保护 传统上,过流保护使用的是保险丝。但是,保险丝体积庞大,响应速度慢,跳闸电流公差大,需要在一次或几次跳闸后更换。本文介绍一种外形紧凑、纤薄、响应速度快的10 A电子保险丝,它没有上述这些无源保险丝缺点。电子保险丝可在高达48 V的DC电源轨上提供过流保护。
  • 蓝牙安全性——如何构建下一代安全密钥管理 在半导体领域,安全密钥存储在密钥存储和管理设备中。然而,这些存储就像一个保险库,需要密钥来确保蓝牙密钥的安全存储。这让我们回到原点并留给我们一个问题——我们如何存储密钥?
  • 复旦大学认证?剖析从疫情中诞生的“无人配送汽车”的历 复旦大学引入了美团的自动送餐配送车,为全校师生提供三餐无接触的配送服务,已经不是美团第一次助力疫情了,这项技术已经落地近2年而且不断地发展壮大,与各社会企业进行融合..
  • 苹果被曝向黑客提供私人用户信息 受黑客伪造的法律文件欺骗,苹果和 Facebook 的母公司 Meta 去年可能已经交出了私人客户信息,包括地址、电话号码和 IP 地址。
  • 搭载132人的东航客机在广西发生事故,为何出事的又是波 据EDN电子技术设计了解,3月21日,一架东航波音737客机在广西梧州市藤县掉落,并引发山火。据广西梧州市应急管理局工作人员确认,飞机相关事故发生,目前正在准备组织救援,伤亡情况未明,不便透露更多情况,后续将开新闻发布会。事发突然,但此次空难已经不是波音737第一次坠毁了。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了