【汽车安全】ISO26262概要

print_Hyon

已于 2022-03-28 09:35:55 修改

阅读量2.4k

点赞数

文章标签： ISO26262 26262 ASIL TCL

于 2022-02-06 15:35:07 首次发布

本文链接：https://blog.csdn.net/qq_37400312/article/details/122793133

版权

参考文章

它适用于所有提供安全相关功能的电力、电子和软件元素等组成的安全相关系统在整个生命周期内的所有活动。
主要用于安装在最大毛重不超过3.5吨的乘用车上的一个或多个E/E 系统的安全相关系统。
IS026262表述了由E/E安全相关系统，包括这些系统的互相影响，故障导致的可能的危险行为，不包括电击，火灾，热，辐射，有毒物质，可燃物质，反应物质，腐蚀性物质，能量释放及类似的危险，除非这些危险是由于E/E 安全相关系统故障导致的。
ISO26262对E/E系统的标称性能没有要求，对这些系统的功能性性能标准也没有什么要求（例如∶主被动安全系统，刹车系统，ACC等）
需要符合 ISO 26262 的系统包括：
- 驾驶员辅助系统。
- 推进和车辆动态控制。
- 主动和被动安全系统。

ASIL是ISO 26262标准的关键部分。ASIL是在开发过程的开始阶段确定的。用户需要根据可能的危害，分析系统的预期功能。ASIL提出这样一个问题：“如果车辆发生故障，驾驶员和相关行人会怎样？”
为了评估风险的评估，ASIL需综合考虑暴露的可能性、驾驶员的控制能力以及关键事件发生时的严重性。ASIL不处理系统所使用的技术，而只关注对驾驶员及其他行人造成的危害。
不同的安全要求分为ASIL的A、B、C、D级别，其中D级为最高安全关键流程，测试规范最为严格。
例如，让我们以雨刷系统为例。安全分析将确定丧失雨刷功能会对驾驶员的视线造成何种影响。ASIL指导如何选择适当的方法，以达到一定程度的产品完整性。
系统（功能级）的 ASIL决定了开发团队需要使用哪些方法。

在这里插入图片描述

QM表示与安全无关

硬件认证有两个主要目的：展示部件如何适应整体系统，并评估故障模式。基础硬件组件可通过标准资格评估，但更复杂的部件要求通过ASIL分解及测试进行评估。硬件组件的认证通常是在一系列环境和操作条件下进行测试。接着，使用多种定量方法分析测试结果，并写入资格报告，附带测试程序、假设及输入标准。

认证软件组件包括：确定功能要求、资源使用以及预测在故障和过载情况下的软件行为。在实际应用的开发阶段使用认证的软件可大幅简化该过程。认证的软件组件通常是优秀的产品，可在项目中复用，包含库、操作系统、数据库及驱动软件。
为了认证软件组件，标准要求在正常操作条件下进行测试，并在系统中插入故障，以判定其如何应对非正常输入。设计阶段将分析并处理软件错误，如运行时和数据错误。

ISO 26262也适用于在实践中得到证明的早期系统。很多情况下，若某种系统已经在几百万辆汽车上得到验证，则没有必要重新检验其是否符合标准。

通过工具的输入和输出，可开发典型（或参考）用例。分析用例便可确定工具置信水平，简称TCL。
TCL和ASIL决定软件工具要求的认证水平。确定置信水平，需要评估一下两种因素：
- 软件工具出故障的可能性，以及错误输出对开发中的安全相关项目或元素会造成何种危害
- 在输出中预防或检测该错误的可能性
工具置信水平分为TCL1、TCL2、TCL3和TCL4，其中TCL4为最高置信水平，TCL1为最低置信水平。

软件工具分类分析(STCA)的主要目的是确定工具置信水平。确定TCL有两个主要因素。第一个因素是工具影响(TI)。第二个因素是工具错误检测(TD)。根据这两个因素，选择合适的TCL。
根据所需置信水平，一旦确定了工具影响(TI)和工具错误检测(TD)，就确定了TCL的级别。多个用例可能导致不同的TCL。出现这种情况时，请使用最高级别的TCL。

具影响分为TI1和TI2。当故障软件工具不可能违反安全要求时，可选择TI1。其他情况则选择TI2。
例如，假设某工具在执行特定软件功能时，会在文档中产生错误字符。这仅仅是一个小错误，并不违反测试时的安全要求。该错误造成的是TI1类别的工具影响。若工具造成的错误以任何形式改变了系统行为，则选择TI2。

工具错误检测分为TD1、TD2和TD3。TD1代表对工具检测错误的能力有高度的置信，而TD3则代表很低的置信水平，即只能随机检测出错误。
例如，假设某工具用于检测设计模型的错误。该工具对模型执行静态分析。当静态分析良好时，该工具不能检测模型中的所有可能违规行为。还有一点值得注意的是，这并不一定意味着该模型是错误的，而仅仅表明需要额外的测试。该例是一种中等程度的置信水平，即TD2。