登陆
注册
首页> 知识> ISO26262功能安全解析

ISO26262功能安全解析

来源:Daniel的文章 - 知乎
2020-04-26
2985

ISO 26262 Road vehicles Functional safety,发布于2011年,2018年更新第二版,内容有所增加。ISO 26262对应的中文版国标是GB/T 34590,中文名叫 道路车辆功能安全,发布于2017年,几乎就是 ISO 26262的翻译。

文末有下载链接。


ISO26262应用对象

    • to be applied to safety-related systems that include one or more electrical and/or electronic (E/E) systems

    • passenger cars with a maximum gross vehicle mass up to 3500kg

    • ISO26262 addresses possible hazards caused by malfunctioning behaviour of E/E safety-related systems

      • 可以看出来ISO26262的适用范围主要是乘用车上安全相关的电子电气系统

        • 如:Airbag/EMS(发动机管理系统)/BMS(电池管理系统)/ABS(汽车防抱死系统)/ESP(车身稳定系统)/TPMS(胎压监控系统)等

ISO26262流程图

产品安全生命周期模型

ISO26262涵盖了整个产品设计的各个方面,包括系统设计、软件设计、硬件设计等,并贯穿于整个产品的生命周期,从产品概念阶段一直到产品报废。

Vocabulary

  • functional safety功能安全

    • 不存在由电子电气系统的功能异常表现引起的危害而导致不合理的风险

  • HARA(hazard analysis and risk assessment)危险分析和风险评估

    • method to identify and categorize hazardous events of items and to specify safety goals and ASILs related to the prevention or mitigation of the associated hazards in order to avoid unreasonable risk

    • 为了避免不合理的风险,对相关项的危害事件进行识别和归类的方法以及定义防止和减轻相关危害的安全目标和ASIL等级的方法。

    • HARA流程

      • 危害分析和风险评估 >> 安全目标和ASIL等级 >> 具体功能安全要求 >> 具体技术安全要求 >> 具体硬件安全要求 和 具体软件安全要求

    • 通过HARA分析,评估事件可能造成的伤害程度,依据判断结果,我们可以:设定项目的 safety goal 和确定 ASIL等级

  • safety goal

    • top-level safety requirement as a result of the hazard analysis and risk assessment at the vehicle level.

    • 安全目标是最高层面的安全要求,是危害分析和风险评估的结果。

  • ASIL (Automotive Safety Integrity Level)车辆安全完整性等级

    • 26262根据安全风险程度,对系统或系统部件确定划分为 ASIL D 到QM的安全等级,其中ASILD为最高,QM为最低

    • 英文叫 integrity levels,字面意思是完整等级(有honest 和 whole 两个意思),但是中文叫安全等级。

    • ASIL由三部分构成 严重度 暴露度 可控性

  • functional safety concept

    • 功能安全概念 指 为了实现安全目标定义功能安全要求及相关信息,并将要求分配到架构要素上,以及定义要素之间的必要交互。如:

        • 能够进行故障检测,降低失效的可能性

        • 使潜在危险状态过渡到安全状态

        • 故障容错机制(不违背安全目标,使车辆在一个安全状态下)

        • 故障检测报警

举例分析

安全气囊系统:在正常驾驶车辆过程中,安全气囊意外弹出,会造成车辆失控。(由危害分析及风险评估得出:车辆安全完整性等级为 ASIL D)

安全目标:除非车辆发生碰撞,否则在任何情况下,安全气囊不能意外弹出。

功能安全概念:设计一个冗余功能,用来检测车辆是否发生碰撞。

技术安全概念:设定2个不同轴向的独立加速度传感器和2个对应的独立的点火信号。如果发生碰撞,2个点火电路同时闭合,引爆内部雷管,使安全气囊弹出。

  • Fault, Errors and Failures Definitions

  1. Fault(故障):可引起要素或相关项失效的异常情况

  2. Errors (错误):计算的、观测的、测量的值或条件与真实的、规定的、理论上正确的值或条件之间的差异

  3. Failure(失效):要素按要求执行功能的能力的终止

  • 随机失效 (Random faults)

  1. 只出现在硬件失效中。

  2. 定量指标 :单点故障指标SPFM 和 潜在故障指标 LFM

  • 系统性失效 (Systematic faults)

  1. 主要指由于人的失误,残留在软件内的bug。

  2. 存在于整个生命周期。

  3. 不可完全消除,可通过流程管理尽量避免。

针对系统性失效的阶段手段 “分解” ASIL decomposition

  • decomposition 分解

    • 将安全要求冗余地分配给充分独立的要素,目的是降低分配给相关要素的冗余安全要求的ASIL等级。

    • 功能安全需求分解是为了提高可操作性

    • ASIL分解不能影响随机硬件失效的故障指标,不能违背设定的安全目标

    • 分解后执行设计功能应保持充分的独立性


ISO 26262英文原版 Road vehicles Functional safety

链接:pan.baidu.com/s/1TEt1AR

提取码:mk4r

ISO 26262对应的中文版国标是GB/T 34590,中文名叫 道路车辆功能安全

链接:pan.baidu.com/s/1dLlwZu

提取码:x6jx


功能安全
收藏
点赞
上一篇:Fusa_017_System Safety Concept_Fail-safe vs Fail-operational 下一篇:支持汽车安全的最新汽车功能安全标准“ISO 26262”在构筑安全方面半导体发挥的作用以及罗姆的行动
2000
评论

沪公网安备31010702008313号 沪ICP备18019345号-2 © 2019 上海工业控制安全创新科技有限公司 保留所有权利