- 主题:从外行的视角尝试讲解为什么这回丰田栽了zz (转载)
根据ISO26262,有两种故障,一种是硬件随机故障,一种是系统故障(软硬件都有可能),只有系统故障才能够重现。对于硬件随机故障,针对安全相关系统,有几个主要的规则:
1,不能因为一个简单的硬件故障而导致风险事件发生,即单点故障要避免
2,针对某个风险事件,系统整体的失效率要小于相应的安全级别对应的失效率要求(10-7/h对应ASIL B和C,10-8/h对应ASIL D)。
对软件而言,只能说经验表明,按照ISO26262相应的软件设计和测试要求,软件的“出错概率”可以达到按照相同安全级别设计出来的硬件失效率。
我上次说过,相对欧美主流的OEM,丰田在功能安全领域还是个新手,所以出现这么多问题不奇怪,根据我的观察,丰田本田等日本OEM很快能赶上来,中国本土的OEM呢?要是我没说错的话,中国本土OEM的ECU里面的软件应该基本上都是博世,德尔福,瓦雷奥等帮他们写的吧,所以虽然安全性好于丰田,但是本土OEM对里面一无所知,供应商修改了什么程序,为什么修改等等问题估计永远不会知道。
【 在 lef 的大作中提到: 】
: 我不是写代码的
: 但感觉开始就把人引入误区了
: 不遵循规范的程序就有缺陷?全局变量多的程序就应该有缺陷?
: ...................
--
FROM 222.66.72.*
我只能说你对ISO26262还不够了解。“识别风险的工具和手段”仅仅是他的第三部分里面一小部分内容。
最初ISO26262进入国内的时候,很多人以为这个东西只不过跟ISO9001等质量标准一样,做个认证就可以了;后来明白了这种想法是错误的,然后又有很多人又认为这只是一个流程上的要求,只要按照ISO26262一步一步做就可以了;当有些公司认真地按照ISO26262的要求去做的时候,又对ISO26262有了新的认识。当然,我可以预计到,对ISO26262的认识还会逐渐提高的。
简单说,ISO26262是一个框架,是一个欧洲公认的state of art(美国不想落后,想搞个SAE的标准),理解了他,可以明白很多设计原理;掌握了他,可以解决很多问题。但是必须承认,ISO26262真的很难理解。。。
【 在 Deity 的大作中提到: 】
: 安全来源于设计经验的积累以及成本的付出
: 26262以及其他等等,只是一种帮助你识别风险的工具和手段,至于如何减少故障,还是经验积累和成本的付出
--
修改:moliye FROM 222.66.72.*
FROM 222.66.72.*
一般应用层仅仅是QM,离ASIL C差得好远。
不过我希望本土EOM能搞定,因为ECU里面的ASIL C搞不定的话,到电动车时代整车控制器+电动机控制单元还是搞不定ASIL C的。
【 在 AlecZ 的大作中提到: 】
: 如果只是应用层么,代码质量好控制一些。因为都是根据模型直接生成代码,工具会一定程度上保证代码质量。
: 只是模型的设计还是要靠人的。
:
--
FROM 139.227.41.*
又想到两点,随便说说,UAES自己也不搞ASIL C的,直接拿BOSCH的程序过来做做标定而已。第二,BOSCH现在重新评审自己ECU的安全等级,只承认ASIL B的,具体来说,BOSCH技术上已经完全满足ASIL C的硬件指标,但是他认为自己的开发流程只达到ASIL B,可能下一代的ECU能达到ASIL C。如果某OEM(包括欧美的)要求BOSCH的ECU做到ASIL C,BOSCH会拒绝,只提供ASIL B,OEM自己看着办。BOSCH的这种态度让人不得不生敬意。比起那些随便答应能做到ASIL C的供应商靠谱多了。
【 在 AlecZ 的大作中提到: 】
: 低估了本土OEM哦。几年前奇瑞就开始了与Delphi,UAES的软件sharing项目,即他们自己设计应用层软件。BYD更是热衷于自己搞全套东西。
: 搞定了Volvo的吉利更是nb,现在拿来的规范都是Volvo的,动辄要求AUTOSAR+ASIL_C了。
:
--
修改:moliye FROM 139.227.41.*
FROM 139.227.41.*
给个链接,这个链接可能还算正版,因为速玛貌似是工作组成员。
http://www.smartsar.com/download.php?menu_nav=4&menu_left=24
【 在 lokta 的大作中提到: 】
: 学习了。顺便求问ISO26262哪里可以下得到
: google了一下没有文档可下
: 我只能说你对ISO26262还不够了解。“识别风险的工具和手段”仅仅是他的第三部分里面一小部分内容。
: ...................
--
FROM 81.255.178.*