功能安全学习笔记
全文分为几个部分
2, 什么是ASIL
1, 什么是ISO26262
举个例子,在汽车ECU中,有可能会因为软件原因导致非预期的喷油,会有致命危险;如果发生这种情况,在汽车上加一个急停开关岂不是很好,发生异常立即按下急停开关,危险解除。但是,由于种种原因,汽车上是不可能安装急停开关的,因此我们需要很多安全保障机制来保证即使异常喷油,汽车也不会失控:比如对喷油量实时监控,发现异常立刻熄火等等。而这些的保障机制就是功能安全的内容。
ISO26262是从电子,电气以及可编程器件功能安全基本标准IEC61508派生而来的,2009年出版初稿,2011年11月正式颁布。ISO26262的核心价值在于它可以通过系统的功能安全研发管理流程,以及针对汽车电子控制器硬件和软件的系统化验证和确认方法,保证电子系统的安全功能在面对各种严酷条件不会失效。旨在提高汽车电子,电气产品功能安全,为汽车安全提供规范和推荐做法。
ISO26262由十个规范和信息指导文件组成:
ISO26262-2 Management of functional safety.
ISO26262-4 Product development at the system level.
ISO26262-6 Product development at the software level.
ISO26262-8 Supporting process
ISO26262-10 Guideline on ISO 26262
ISO26262采用车辆安全完整等级(ASIL)来判断系统的功能安全程度,由ASILA-ASILD四个等级组成,等级越高说明功能安全的评估越严格,针对系统的硬件和软件开发也就越复杂。
ASIL级别确定之后才能够实施ISO26262。
根据ISO26262进行功能安全设计时,首先应该了解系统的功能,并知道这些功能可能的故障或者失效。并且,有些故障在特定的场景下才会造成伤害,因此情景分析也是必须的,功能故障和驾驶场景组合起来叫做危害事件(hazard event),危害事件确定后就可以确定三个因子: S E C.
功能失误下的可控性(Controllability),受影响人员在相应场景下可以在多大程度上控制住失灵的功能;
从而得出E S C值。
安全目标Safety Goal
比如说汽车发生了某些故障后是否会导致异常加速,关注的是发生故障后,不会出现异常加速的行为,要进入安全可控的模式比如限扭限速,避免伤害。
将safety Goal进一步分解就是解决问题的方法,比如 如何避免汽车非预期的加速。
未完待续
- 用户评论