功能安全
文章平均质量分 56
Alex_Zhao_JLU
努力学习的汽车安全工程师一枚
展开
-
ISO26262 Part6 之 免于干扰FFI
想想软件分区之间的关系是一种信任,高级设备不信任任何低级设备,所以ASIL D可以从QM设备中读取,然而ASIL D设备应该尽可能减少QM设备的读数,ASIL D设备也可以写入QM设备,但QM设备却只能读取ASIL D设备,关键设备不应写入较高的ASIL设备。我们要讨论的最后一个干扰源是通信干扰,在车辆系统中软件设备需要交换电子控制单元之间的信息.即使发送者和接收者的ASIL相同,也有必要防止干扰.软件系统之间的通信渠道往往会有较低的ASIL或QM评级,受保护的通信通道将检测数据传输错误;原创 2024-08-09 17:58:41 · 1371 阅读 · 0 评论 -
ISO26262 Part6 之 软件测试安全汇总详解
如V model中所示,软件阶段包括:6-9 Software unit verification6-10 Software integration and verification6-11 Testing of the embedded software为了提高测试效率及合理性,可以对测试进行分组数据流的分析可以包括被0除,不可达的路径,死循环,数值越界等等价类:在连续的信号,如车速,可以分为低速,中速,高速,分别抽一个点来测试;边界值参考B原创 2024-08-06 15:17:05 · 576 阅读 · 0 评论 -
ISO26262 Part10 之 Safety Element out of Context
步骤1a:对SEooC范围的定义-步骤1b:对SEooC安全要求的假设-步骤2:SEooC的开发-步骤3:工作成果-步骤4:SEooC集成到相关项。原创 2024-08-06 10:54:51 · 146 阅读 · 0 评论 -
ISO26262 Part 10 之 Item, system, element, component, hardware part and software unit
系统(3.163)、组件(3.21)(硬件或软件)、硬件元器件(3.71)或软件单元(3.159)。:由一个以上硬件元器件(3.71)或一个到多个软件单元(3.159)组成的逻辑上或技术上可分的。:至少与一个传感器、一个控制器和一个执行器相关联的一组组件(3.21)或一组子系统。原创 2024-08-06 10:53:19 · 205 阅读 · 0 评论 -
ISO26262 Part 9 之 DFA的输入确定方法
在进行DFA分析的时候,可基于演绎分析法,例如,割集检查或者FTA中重复的相同事件。,例如,在FMEA中多次出现的具有相似失效模式的相似元器件或组件。GB/T34590.11—2022的4.7。原创 2024-08-06 10:35:01 · 895 阅读 · 0 评论 -
ISO26262 Part 9 之 ASIL分解的意义
5.4.11 The development of the decomposed elements at the system level and at the software level shall be performed, as a minimum, in accordance with the ASIL requirements (after decomposition) of ISO 26262-4 and ISO 26262-6. The development of the decompos原创 2024-08-06 10:21:52 · 991 阅读 · 0 评论 -
ISO26262 Part 9 之 相关失效的的参考DFI/Coupling factor
同时ISO 26262-9:2018附录C中的表C.1从系统、硬件、软件和半导体从四个层面提供了一些可以参考的耦合因素示例。c. 环境免疫不足 Insufficient Environmental Immunity。e. 相同类型的组件 Components of Identical Type。b. 共享信息输入 Shared Information Inputs。g. 非预期接口 Unintended Interface。d. 系统性耦合 Systematic Coupling。原创 2024-08-06 10:20:51 · 238 阅读 · 0 评论 -
ISO26262 Part 9 之 相关失效分析DFA/FFI的适用场景
用于证明分配了不同ASIL等级的,或者无ASIL等级和有ASIL等级的要素可以共存;:用于证明在进行ASIL等级分解时的独立性;原创 2024-08-06 10:20:23 · 746 阅读 · 0 评论 -
ISO26262 Part 8 之 软件工具置信度
在系统或其软件要素,硬件要素开发过程中使用的软件工具,需要具备软件工具有效达到以下目标的置信度:– 在开发产品中,将因软件工具功能异常导致错误输出的系统性故障的风险减小到最低;软件工具的评估与鉴定活动应当在项目初期完成,至少在开发阶段之前,以免影响后续开发活动输出物的有效性,延长项目进度。分为3步:包括:– 软件工具的识别码和版本号;– 软件工具的配置– 软件工具的使用案例;– 软件工具的执行环境;– 当软件工具功能异常并产生相应的错误输出时,会直接违背分配给相关项或要素的全部安全要求的最高ASIL等级;原创 2024-08-05 16:20:09 · 1342 阅读 · 0 评论 -
ISO26262 Part 8 之 验证Verification
验证是ISO26262中关于成果认可最重要的环节。ISO26262对验证(Verification)的定义是检查对象是否满足特定的要求,验证的形式包括了验证评审(verification review)、走查(walk-through),检查(inspection)、验证测试(verification testing)、模拟仿真(simulation)、原型机验证(prototyping)和分析(analysis包括安全分析、控制流程分析、数据流分析等等)。原创 2024-08-05 15:55:20 · 800 阅读 · 0 评论 -
ISO26262 Part1 之 Verification 的方法汇总
汇总整理Verification所设计的方法原创 2024-07-30 14:48:27 · 592 阅读 · 0 评论 -
ISO26262 Part 6 之 文档管理
应计划文档管理过程,以获得文档:– 用于在整个生命周期的每个阶段中有效完成各阶段及验证活动;– 用于功能安全的管理;– 作为认可措施的输入;原创 2024-08-05 15:11:55 · 196 阅读 · 0 评论 -
ISO26262 Part 8 之 配置管理
1.确保工作成果、相关项、要素及其生产的原理和一般条件,在任何时间以可控的方式可被唯一识别和重生成;安全计划要求的工作成果及再生成相关项和要素所需要的工作成果,应按照。2.确保当前版本和较早版本的关系及区别时可追溯的;原创 2024-08-05 15:05:59 · 246 阅读 · 0 评论 -
ISO26262 Part 8 之 分布式开发接口
1.定义客户和供应商在进行开发活动时的交互 和 上下游安全开发活动的依赖关系;2.描述职责的分配;3.识别相关项及其要素在进行分布式开发时需要交换的工作成果;原创 2024-08-05 14:57:25 · 150 阅读 · 0 评论 -
ISO26262 Part8 之 内容架构梳理
Specification and management of safety requirements 安全要求的定义和管理。Confidence in the use of software tools 软件工具的置信度。Qualification of software components 软件组件鉴定。Configuration management 配置管理。Documentation management 文档管理。Change management 变更管理。Verification 验证。原创 2024-08-05 14:55:56 · 202 阅读 · 0 评论 -
ISO26262 Part6 之 嵌入式软件测试
此活动的目的是提供证据,证明嵌入式软件可以在中满足其要求。原创 2024-08-05 11:34:46 · 177 阅读 · 0 评论 -
ISO26262 Part 6 之 软件集成和验证
在此子阶段,按照软件架构设计,对软件要素之间特有的。软件要素的集成和验证的步骤直接对应着软件的分层架构。原创 2024-08-05 11:27:50 · 352 阅读 · 0 评论 -
ISO26262 Part 6 之 软件单元验证Verification
需要对软件单元设计和已实现的软件单元进行验证,以证明:– 符合第8章有关单元设计和实现的要求;– 源代码与设计规范的符合性;– 符合软硬件接口规范– 确信没有非预期功能和特性;– 足够的资源支持其功能和特性;– 实施由安全导向分析得出的安全措施;原创 2024-08-05 11:21:35 · 276 阅读 · 0 评论 -
ISO26262 Part 6 之 软件架构设计的验证Verification
a) 软件架构设计满足对应ASIL等级的软件安全要求;(架构设计本身)b) 软件架构设计的评审或研究能够为设计满足对应;(支持软件安全需求)c) 与目标环境的兼容性;注:目标环境是指软件运行的环境,包含了操作系统、基础软件以及在7.4.13中详细描述的目标硬件及其资源。d) 与设计指南保持一致。原创 2024-08-05 10:58:58 · 219 阅读 · 0 评论 -
ISO26262 Part 6 之 软件架构设计颗粒度
总结:软件架构的设计应至少满足对软件安全需求的追溯和软件功能在软件组件层面的分解。软件架构设计并非追求越详细越好,应当在满足上述要求的前提下给予软件组件设计的灵活性,同时也能避免因为底层代码逻辑的修改给软件架构设计带来的反复变更工作。软件架构(3.1)中的最低层级且可被独立测试(3.169)的软件组件(3.157)。原创 2024-08-05 10:27:06 · 290 阅读 · 0 评论 -
ISO26262 Part 6 之 软件架构设计内容
the software structure including its hierarchical levels;分级层次的软件结构the data types and their characteristics;数据类型及特征参数the external interfaces of the software components;软件组件的外部接口the external interfaces of the embedded software;嵌入式软件的外部接口the global variab原创 2024-08-02 11:40:00 · 280 阅读 · 0 评论 -
ISO26262 Part 6 之 软件架构设计的描述方法
形式化规范就是用一套基于明确定义的数学概念的符号来书写,并且通常伴随着支持性的解释(非形式化)语句。这些数学概念被用来定义符号的句法和语义,以及支持逻辑推理的证明规则。支持形式化符号的句法和语义规则应该定义如何明确地识别其结构和确定其含义。并且必须有证据表明矛盾不可能产生,支持符号的所有规则都有定义或者引用。原创 2024-08-02 11:11:33 · 424 阅读 · 0 评论 -
ISO26262 Part 6 之 软件安全需求的导出思路
那什么是软件安全需求?软件安全需求 = 安全相关的软件功能需求 + 软件安全机制应该考虑所需的安全相关的软件功能和特性,其失效可能违背分配给软件的技术安全要求:直接来源于分配给软件的技术安全需求;对软件功能和特性的要求(这些要求不满足可能违背分配给软件的技术安全需求);软件安全相关的功能可以是:- 使标称功能可以安全执行的功能;- 使系统达到或者维持安全状态或降级状态的功能;- 与安全相关硬件要素故障探测、指示和减轻相关的功能;- 与操作系统、基础软件或应用软件本身失效探测、指示和减轻有关的自检或监控原创 2024-08-01 17:56:49 · 416 阅读 · 0 评论 -
ISO26262 Part 6 之 软件活动语言及工具
在进行安全相关的软件开发时,对于开发语言和使用的工具也会有相应的要求,汇总整理如下:当选择一种设计语言、建模语言或编程语言时,应考虑准则:开发指南和环境需要明确项目开发者需要遵守的语言准则:原创 2024-08-01 17:30:04 · 198 阅读 · 0 评论 -
ISO26262 Part 4 之 安全确认
前述验证活动(例如:设计验证、安全分析、硬件集成和测试、软件集成和测试、相关项的集成和测试)的目的是提供每项特定活动的结果的证据。对典型车辆上所集成的相关项的安全确认,目的是为预期使用的恰当性提供证据并确认安全措施对一类或一组车辆的充分性。安全确认基于检查和测试,为安全目标的实现提供了保证。此处相关的工作是需要由OEM来主导实施;原创 2024-08-01 16:41:23 · 148 阅读 · 0 评论 -
ISO26262 Part 4 之 系统及相关项集成
整体上,测试目标分为以下4个方面,并在不同的层级进行实施:Case1: 功能安全及技术安全要求的正确实施;Case2: 安全机制正确的功能性能、准确性和时序;Case3:接口的一致性和正确实施;Case4: 足够的鲁棒性。原创 2024-08-01 16:11:07 · 537 阅读 · 0 评论 -
ISO26262 Part 4 之 软硬件接口规范
为了定义软硬件接口(HSI),可以考虑下述软硬件接口(HSI)要素。软硬件接口规范规定硬件与软件的交互,应包括组件中由。原创 2024-08-01 14:44:37 · 315 阅读 · 0 评论 -
ISO26262 Part 4 之 系统层面的安全分析
为系统设计的适合性提供证据,以证明其适合提供与ASIL等级相应的特定安全相关功能和特性。注3:在足以识别随机硬件失效和系统性失效的原因和影响的细节层面上进行分析。支持设计规范,并基于已识别的故障原因和失效影响验证安全机制的有效性;注1:安全相关特性包括独立性和免于干扰的要求。注4:演绎和归纳的方法结合使用的目的是提供。在系统架构设计阶段,需要进行安全分析,识别或确认安全相关系统要素和接口。如果有必要,采用定量分析。识别失效原因和故障影响。注2:这些分析的目的是。原创 2024-08-01 11:40:35 · 190 阅读 · 0 评论 -
ISO26262 Part 4 之 安全机制的设计
技术安全需求需要定义安全机制,以便探测故障并防止或消除系统输出违反功能安全需求的失效。(例如:数据接口、通信总线、无线射频链接)的探测和控制的安全机制。示例:外部设备包括其他的电控单元、电源或者通信设备。注3:可以在系统架构适当的层级定义安全机制。涉及探测,指示和控制与本系统有相互影响的。的探测,指示和控制相关的安全机制。(如果适用)的系统自身监控。中所发生故障的安全机制。使系统实现或维持相关项。原创 2024-08-01 11:30:19 · 352 阅读 · 0 评论 -
ISO26262 Part 4 之 系统层面开发的主要任务
到了系统层面,其主要的安全开发活动及相互之间的关系整理如下:原创 2024-08-01 10:53:39 · 162 阅读 · 0 评论 -
ISO26262 Part 4 之 内容架构梳理
第四章主要是系统层面的安全活动,主要分为以下3个大的小节,围绕展开。原创 2024-08-01 10:20:30 · 221 阅读 · 0 评论 -
ISO26262 Part 3 之 功能安全概念要点
a)故障避免;b)故障探测、对故障或其导致的功能异常表现的控制;c) 过渡到安全状态,及如果适用,过渡出安全状态;d) 故障容错;e) 故障情况下的功能降级,及其与f)或g)的交互。示例:将车辆保持在跛行模式,直到点火开关从“开”切换到“关”。f) 将风险暴露时间缩短到可接受时间所需的驾驶员警告;g) 增加驾驶员可控性所需的驾驶员警告(例如,发动机功能异常指示灯、ABS故障报警灯);h)如何满足整车层面的时间要求(即,如何定义故障处理时间间隔来满足故障容错时间间隔);原创 2024-07-31 17:33:21 · 207 阅读 · 0 评论 -
ISO26262 Part 3 之 Occurrence与Frequency的区别
一个因素是以何种频率、多长时间暴露在危害事件的运行场景中;简化成运行场景发生概率的度量。,以控制或减少随机硬件失效的概率,并且避免系统性故障;同样的,在SOTIF的hazard 分析中,也有。针对风险R,可以描述为一个包含三个参数的函数。发生率反映了功能在运行阶段遇到触发条件的概率;,以及所产生伤害或损坏的潜在严重度。通过E、S、C确定的ASIL等级,一般来说,触发条件不独立于场景,,这在HARA中不考虑;原创 2024-07-31 17:23:58 · 468 阅读 · 0 评论 -
ISO26262 Part 3 之 暴露度Exposure的确定
第一种是基于场景的持续时间, Duration,,暴露概率按照场景的持续时间分级,暴露概率通常根据所考虑的场景下花费的时间与总的运行时间(如上电)的比值来估算。第二种是基于场景发生的频率,Frequency;一个合适的例子是,在这些情况下,场景发生后的很短的时间间隔内,危害的暴露概率(E)可通过两种方式进行预估。原创 2024-07-31 17:15:14 · 292 阅读 · 0 评论 -
ISO26262 Part 3 之 基于数据的可控性评级
实际的测试经验表明,每个场景20个有效的数据包能提供基本的有效性说明”。如果这20个数据包中的每一个都符合测试的通过标准,能够证明85%的可控性水平(达到一个通常能被人为因素测试接受的95%的置信度),这为C2预估的合理性提供了适当的证据。想通过”99%的驾驶员能通过的测试这一结果“来提供证据不太可行,因为需要大量的测试来提供证据。可控性最基本的方法是评估驾驶员可控的比例,参考下图。原创 2024-07-31 17:06:42 · 281 阅读 · 0 评论 -
ISO26262 Part 3 之 HARA分析要点
此处一方面基于Item definition来识别相应的功能;另一方面,基于HAZOP的方法来设定关键词,并分别识别危害;从E1到E4等级,两个相邻E等级间的概率差异是一个数量级。从C1~C3等级,两个相邻C等级间的概率差异是一个数量级。从S,E,C三个方面进行打分,并最终确定安全等级;应基于相关项可能的功能异常表现系统性地确定危害;运行场景和运行模式需要明确描述;原创 2024-07-31 16:27:13 · 313 阅读 · 0 评论 -
ISO26262 Part 3 之 Item definition
在整车层面对相关项进行定义和描述,包括功能,环境和其他相关项的依赖性和交互;(明确研究对象)原创 2024-07-31 15:32:11 · 307 阅读 · 0 评论 -
ISO26262 Part 2 之 安全档案
添加每个交付物的实际状态,closed、open、ongoing;基于安全计划,及安全生命周期的要求,分章节罗列出相应的交付物;论据:支持相应的论证,添加每一个交付物实际存档地址;论证,证明相关的论据足以满足相应的安全要求;罗列出客户的安全需求;原创 2024-07-31 15:00:04 · 212 阅读 · 0 评论 -
ISO26262 Part 2 之 项目相关的安全管理
在项目相关的安全管理中,主要的目的汇总如下:原创 2024-07-31 11:16:06 · 146 阅读 · 0 评论 -
ISO26262 Part 2 之 不同层级的影响分析
在安全生命周期开始时,应进行相关项层面的影响分析,以确定相关项是,或是对,还是对现有相关项的。而,如果涉及到对现有要素的复用,则需要进行要素层面的影响分析;原创 2024-07-31 10:55:05 · 544 阅读 · 0 评论