目录
A.8 ISO 26262-2018与 ISO 26262-2011在part3的文档的差异性
A.9 ISO 26262-2018与 ISO 26262-2011在part3的工作成果差异性
先导:本文是ISO 26262系列文章中的第二篇—概念阶段,对相关项、危害分析和风险评估以及安全概念作了总结。
A 名词解释
A.1 SG
safety goal,安全目标
A.2 ASIL
automotive safety integrity level,汽车安全完整性等级,ISO 26262定义了五种功能安全等级——QM,ASIL A, ASIL B,ASIL C和ASIL D。其中ASIL A代表最低程度,ASIL D代表最高程度的汽车危险
A.3 QM
Quality Management,只要遵循标准的质量管理流程(IATF16949),无需额外的安全措施
A.4 严重度(S)
severity of failure,故障的严重程度。S值越大则故障越严重。如转向助力失灵是很严重的故障,而车窗失灵就不严重。S值分由轻微到严重为S0至S3共四级
A.5 暴露率(E)
probability of exposure,是指故障发生的时长占平均运行时长的比例,用来表征故障发生的概率大小。E值越大则故障发生的概率越大。E值由小到大为E0至E4共五级。
A.6 可控性(C)
controllability,是指故障发生以后,驾驶员是否可以人为对故障状态加以控制。C值越大则越难以控制。比如反向的转向助力非常大,以至于驾驶员靠手臂的力量无法控制方向盘,则C值也就很大。C值由小到大为C0至C3共四级。
A.7 FTTI
fault tolerant time interval,故障容错时间间隔,是指在安全机制未被激活的情况下,从相关项内部故障发生到可能发生危害事件的最短时间间隔
eg.制动失效开始到汽车发生碰撞的时间。
eg.电池充电过程中发生过流故障,到BMS检测到过流故障并且将电池置入安全状态(切断继电器,停止充电)的时间。
A.8 ISO 26262-2018与 ISO 26262-2011在part3的文档的差异性
| 序号 | part | 2018 | 2011 | 备注 |
| 1 | 3:概念阶段 | 增加卡车、公共汽车、拖车和半拖车的危害分析和风险评估 | 无 | 增加 |
| 2 | 附录B中,增加“卡车、公共汽车、拖车和半拖车基于运行场景持续时间的暴露概率分级”和“卡车、公共汽车、拖车和半拖车基于运行场景频率的暴露概率分级” | 无 | 增加 | |
| 3 | 如果几个不太可能的情况组合在一起,导致暴露的可能性比E1低,则对E1&S3&C3风险矩阵组合,可以从ASIL A变为QM | E1&S3&C3风险矩阵组合,对应ASIL A | 修改 | |
| 4 | 工作成果“安全分析”位于2018:2-6 | 工作成果“安全分析”位于2018:3-6 | 移动 |
A.9 ISO 26262-2018与 ISO 26262-2011在part3的工作成果差异性
| ISO 26262-2018 | ISO 26262-2011 | 分析 | ||||
| part3:概念阶段 | part3:概念阶段 | |||||
| 章节 | 名称 | 具体内容 | 章节 | 名称 | 具体内容 | |
| / | / | / | 3-6 | 安全生命周期启动 | 6.5.1 影响分析 | 删除旧版章节 |
| 6.5.2 安全计划 | ||||||
| 3-6 | 危害分析和风险评估 | / | 3-7 | 危害分析和风险评估 | 7.5.2 安全目标 | 删除旧版里的安全目标成果 |
概念内容
概念阶段的设计流程如下:
1 相关项
1.1 定义
相关项是系统或系统的组合,是按实现整车功能划分;
1.2 定义中的内容
①做什么?项目的目标、产品功能;
②产品使用环境条件,例如装于机舱内或车内或其他区域(安装区域导致产品耐热要求不同,选型不同);
③满足的法律法规、技术标准;
④产品由哪些部分组成?
⑤对其他参与的系统或部件的相关要求?(既要求其他部件满足自身也要求自身满足其他部件的相关功能安全要求)
2 危害分析及风险评估
2.1 目的
①识别项目的功能故障引起的危害
②对危害事件分类
③定义安全目标来避免不可接受风险
2.2 分析及评估的原则
①危害分析及风险评估是基于项目的定义进行
②项目不应包括内部安全机制,只考虑基本功能
2.3 方法
共有5个步骤
step1:危害识别情景分析
step2:危害事件定级
step3:ASIL定级
step4:定义安全目标SG
step5:验证
| 步骤 | 方法 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| step1: 危害识别情景分析 | 作用:识别出可能出现的危害,分析所有可能的相关驾驶场景
●危害识别:共3个步骤 —step1:从功能角度列举系统可能出现的功能故障 —step2:站在整车角度分析故障会导致的危害 —step3:将危害和驾驶场景结合得到危害事件
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| step2: 危害事件定级 | ●对危害事件有3个指标进行评估定级 严重度(S) 暴露率(E) 可控性(C) ●根据step3里ASIL的定级后,得到危害事件等级 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| step3: ASIL定级 | ●基于S、E、C参数等级,根据ASIL矩阵定义ASIL等级,ASIL=S+E+C,同一功能下不同ASIL等级选择最高的 ●ASIL的定级原则:驾驶场景需要尽可能全面,但不是对所有场景和危害进行组合分析,而是分析可能导致危害事件发生且可能是最严重的组合。 ●风险Risk来自系统功能故障,分为: ①系统性失效:系统架构或技术手段本身的缺陷 ②随机性失效:电子元器件的随机失效,如电阻损坏、MCU过热故障等 ③Risk=S*Pe*Pc*Pi,其中λ=Pe*Pc*Pi ④选择了合适的ASIL指标即选择了合适的Pi,能降低risk达到风险可接受程度
●SEC定义
●ASIL等级 ①分为QM,A,B,C,D,其中D等级最高,对系统硬件、软件的开发要求最高;QM为无特殊要求,满足质量标准即可 ②ASIL矩阵表,口诀7A 8B 9C 10D,其中,数字代表S、E、C里的数字之和,比如C1、E3、S3,就是1+3+3=7,对应ASIL就是A,加起来<7,则是QM ③eg. ASILB—前大灯、雨刮等; ASILC—启停系统、电池管理系统等; ASILD—转向锁、安全气囊等;
●eg.危害分析和ASIL等级模板
译文:
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| step4: 定义安全目标 | ●根据危害分析结果和风险评估,确定并描述项目的安全目标(非技术语言): ①安全目标是最高层面的安全需求; ②使用功能性语言,非技术语言: ③eg.车辆行驶中,转向系统的转向柱不能锁止(这是功能性语言,不要写成车辆行驶中,转向控制继电器持续输出,这种是技术语言)。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| step5: 验证 | ●确认风险分析结果的完整性、无误性和项目定义文档的一致性 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
3 安全概念
建立功能安全概念:
●功能安全概念基于安全目标,从各个安全目标导出功能安全需求,考虑系统的基本架构;
●将安全需求分配到系统初始架构的各个单元中或分配给外部减少危险的举措中;
●安全需求要继承安全目标的ASIL等级。
————————————————————————
参考资料:
iso26262之2018版与2011版主要内容对比与分析…_汽车功能安全-商业新知
微信公众号:道道功能安全
675
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
