一、功能安全相关概念
安全功能失效:电子/电气/可编程控制器产品自身安全功能的不完善。
功能安全:不存在由电子电气系统的功能异常而引起的危害而导致不合理的风险。
Fault(故障):可引起要素或相关项失效的异常情况。
Errors (错误):计算的、观测的、测量的值或条件与真实的、规定的、理论上正确的值或条件之间的差异。
Failure(失效):要素按要求执行功能的能力的终止。
危害(Hazard):是指由于产品功能的失效,作为潜在的原因,会导致发生人身伤害。
危害事件(Hazardous Event):功能故障和驾驶场景的组合。
相关项定义(Item Definition):依赖关系,与驾驶员、周围环境以及其它整车级相关项的交互关系。(一个相关项(Item)可以分解为1个或多个系统(System),并向外提供1个或多个功能(Function);系统可以由多个子系统(Sub-system)构成,也可以分解为多个组件(Component))
安全目标(Safety Goal):安全目标在功能安全产品开发中,处于最上层的需求。
功能安全概念(Functional Safety Concept,FSC):描述必要的功能安全需求,并分配这些安全需求到系统的功能要素。
功能安全需求(Functional Safety Requirement)
追溯性相关技术(Techniques for Traceability)
二、ISO 26262
ISO 26262(汽车功能安全标准),继承自 IEC 61508(通用电子电气功能安全标准),定义了针对汽车工业的安全(Safety)相关组件的国际标准。
ISO 26262中需求可以分为4个等级:功能安全目标;功能安全需求;技术安全需求及硬件/软件安全需求。
ISO 26262 各章节
Part 1: 词汇(Vocabulary)
Part 2: 功能安全管理(Management of functional safety)
Part 3: 概念阶段(Concept phase)
Part 4: 系统级的产品开发(Product development at system level)
Part 5: 硬件级的产品开发(Product development at hardware level)
Part 6: 软件级的产品开发(Product development at software level)
Part 7: 生产,运营,维护及报废(Production, operation, service and decommissioning)
Part 8: 支持过程(Supporting processes)
Part 9: 面向ASIL及面向安全的分析(Automotive Safety Integrity Level (ASIL)-oriented and safety-oriented analyes)
Part 10: ISO 26262指南(Guidelines on ISO 26262)Part 11: 半导体厂商应用ISO 26262的指南(Guidelines on application of ISO 26262 to semiconductors)
Part 12: 适用于摩托车的ISO 26262(Adaptation of ISO 26262 for motorcycles)
三、安全分析方法
依据ISO 26262标准进行功能安全设计时,首先识别系统的功能,并分析其所有可能的功能故障(Malfunction)或失效,可采用的分析方法有HAZOP,FMEA、头脑风暴。
方法 | 场景 | |
HARA分析 | 概念阶段 | ASIL等级确定 |
FMEA分析 | 系统阶段 | 自下而上的归纳分析方法 |
FTA分析 | 系统阶段 | 故障树分析 定性分析 |
FMEDA 分析 | 硬件设计阶段 | 定量分析 |
SWFMEA分析 | 软件阶段 | 定性分析 |
DFA分析 | 系统、硬件、软件分析 相关性分析 |
(1)HARA——危害分析与风险识别(Hazard Analysis & Risk Assessment)
HARA(危害分析与风险评估)目的是识别项目的功能故障引起的危害,对危害事件进行分类,然后定义与之对应的安全目标,以避免不可接受的风险。
危险事件:功能故障和驾驶场景的组合叫做危害事件(hazard event)
对电子控制器ECU来说,引起失效主要是两个方面:软件和硬件。
软件失效:比如没有考虑分母可能为0;变量公式定义错误,导致精度丢失;
硬件失效:传感器失效;ECU硬件失效(比如CPU或者RAM/ROM失效);执行器失效;
场景分析(驾驶情景)
危害事件的分级主要考虑以下3个方面:
严重度(Severity of failure, S):危险事件所导致伤害或损失的潜在严重性。
暴露度(probability of exposure, E):指人员暴露在系统失效能够造成危害的场景中的概率OR理解为危险事件可能发生的驾驶工况的可能性。
可控度(Controllability, C) :危险所涉及的驾驶员和其它交通人员通过及时的反应避免特定伤害或损失的能力。
ASIL等级(Automotive Safety Integration Level,汽车安全完整性等级)的定义是为了对失效后带来的风险进行评估和量化以达到安全目标。
根据严重度(Severity)、暴露率(Exposure)和可控性(Controllability)评估危害事件的风险级别——即ASIL等级。
ASIL分为QM,A、B、C、D五个等级,ASIL D是最高的汽车安全完整性等级,对功能安全的要求最高。
组合相加等于7分为ASIL A,等于8分为ASIL B,等于9分为ASIL C,等于10分为最高等级ASIL D。
QM:代表与安全无关的功能(Non Safety Relevant Function)。
严重度 | 暴露度 | 可控性 | |||
S0 | 无伤害 | E1 | 非常低的概率 | C0 | 完全可控 |
S1 | 轻度和中度伤害 | E2 | 低概率 | C1 | 简单可控 |
S2 | 严重伤害 | E3 | 中等概率 | C2 | 一般可控 |
S3 | 致命伤害 | E4 | 高概率 | C3 | 很难控制或不可控 |
严重度 | 暴露度 | 可控性 | ||
C1 | C2 | C3 | ||
S1 | E1 | QM | QM | QM |
E2 | QM | QM | QM | |
E3 | QM | QM | A | |
E4 | QM | A | B | |
S2 | E1 | QM | QM | QM |
E2 | QM | QM | A | |
E3 | QM | A | B | |
E4 | A | B | C | |
S3 | E1 | QM | QM | A |
E2 | QM | A | B | |
E3 | A | B | C | |
E4 | B | C | D |
(2)FMEA
FMEA(Potential failure mode and effect criticality analysis)是一种自下而上的归纳分析方法,用于识别系统失效(failure),找出失效原因(Fault),以及分析失效影响(Effect) 。
分析步骤:
A.功能分析:
ID | LC | 需求ID | 功能需求 | 需求描述 |
001 | XXX | 001 | XXX | XXX |
B.失效分析、风险分析
需求描述 | 失效模式 | 后果 | ID | FSR描述 | ASIL |
XXX | XXX | XXX | 001 | XXX | A/B/C/D |
C.优化
ID | FSR描述 | ASIL | ID | TSR描述 | ASIL | Allocation |
001 | XXX | A/B/C/D | 001 | XXX | A/B/C/D | XXX |
D.ASIL分解
ASIL分解前 | ASIL分解后 |
ASIL D
|
ASIL D(D) + QM
ASIL C(D) + ASIL A(D)
ASIL B(D) + ASIL B(D)
|
E.相关失效分析
(3)FTA
故障树分析(Fault Tree Analysis,简称FTA)又称事故树分析,是安全系统工程中最重要的分析方法。FTA是一种自上而下的演绎分析方法,用于识别失效原因及失效间的关系。(定性分析)
步骤:
1. 确定顶事件,一般为在整车角度描述的影响到安全目标的事件,如针对EPS,顶事件可定义为非驾驶员意图的转向,针对MCU,顶事件可定义为非预期的加速等。
2. 分解中间事件,针对顶事件,根据系统组成或特点,进行分解,系统外界以及系统内部一般都需要考虑在内。
3.基本事件,中间事件继续向下分析,得到无法再分解的事件,他们是组成系统顶事件失效的根本原因。
(4)FMEDA
硬件设计阶段,ISO26262要求进行定量的安全分析。(FMEDA是硬件架构度量的一种验证方法)
(5)SWFMEA
软件阶段,ISO26262要求对软件架构进行安全分析。(定性分析)
(6)DFA
DFA指的是相关性分析,ISO26262要求从三个层面(系统、硬件、软件)分析,找出系统中的共因以及级联失效。