|
前言: 近期在学习ISO26262时,发现可参考学习的资料不多,主要就是国外于2011年发布的英文版的ISO 26262(据说第二版的近期就会发布)以及GB T 34590。而GB T 34590基本就是把ISO26262进行了直译,很多词汇及描述晦涩难懂(有时都会被它给带跑偏了 当然,学习ISO26262最好的方式是依托实际项目,在项目中将其落地,只有真正在项目中实现过功能安全你才能说你会功能安全,毕竟实践是检验真理的唯一标准 但是,功能安全也不是谁想搞都能搞的,要是没有个几百万近乎上千万的预算,很难搞成。在没有实际项目的情况下,我们只能通过对现有标准进行解读,对别人的项目过程及项目经验进行消化吸收来学习这方面的内容。 ISO26262标准中共包含10部分内容,其中主要内容集中在第3-7部分。 下面跟大家分享下我对ISO26262-3(概念阶段)的解读及吸收(很多内容来自于别人的项目经验)。 01 — 流程分析 ISO26262-3(概念阶段)是开发前的准备工作,该阶段按以下流程进行展开。 包含4项内容:
下面对流程中的各项内容展开介绍。 02 — 系统定义 这个内容比较好理解,系统定义就是对系统的一种描述,告诉别人这个系统是个啥东西,怎么工作的。主要包括两方面的内容:
举个例子进行简单说明,AMT的选换挡系统可以这么定义: (1)系统功能需求分析: AMT的选换挡系统除了应该能够按照TCU给出的目标挡位进行换挡外。由于TCU需要根据当前换挡执行结构所在位置来调整目标换挡位置,所以还需要将换挡位置信息反馈给TCU。AMT选换挡的功能框图如下: (2)系统结构分析: 选换挡系统需要由两个电机、选换挡执行机构、温度传感器组成。两个电负责提供换挡动力,选换挡执行机构负责拨动拨叉,温度传感器负责检测并反馈温度。 结构图:略。 上面只是对系统进行了简单定义,当然越详细越好。 03 — 危险分析和风险评估HARA ISO26262提供了一种汽车特定的基于风险的分析方法以确定汽车安全完整性等级,此分析方法主要包含3个方面:
三方面的内容分别如下: (1)场景分析: 汽车的驾驶场景指的是汽车驾驶的周边环境及汽车本身的状态,可由道路条件、交通条件、周边环境、车辆驾驶模式以及前提条件等方面描述。既要考虑正确使用车辆的情况,也要考虑可预见的不正确使用车辆的情况。 (2)危险辨识: 危险辨识主要考虑系统功能的潜在危险,根据SAEJ2980(美国机动车工程学会)对于每一种功能都可能发生6种失效情况:
根据系统的每一种功能考虑这6种情况下可能引起的系统失效,即可得出系统的潜在危害。 (3)ASIL评估: ASIL评估应根据以下三个参数来评估每个潜在危害的ASIL危险程度:
这三个参数组成了一个规则集,根据规则集可对汽车在各个驾驶场景中可能出现的潜在危害进行ASIL 评估。 可借助下面3张图片进行进一步理解。(GB T 34590中有相应中文图) 根据ISO26262的要求,整个系统的ASIL等级应取所有潜在危险中最高的等级。 04 — 根据ASIL等级得出安全目标 安全目标是危险分析和风险评估的最高安全要求。 由危险分析和风险评估(HARA)中的每个危险事件,可得到系统的安全目标(Safety Goal,SR)。 注:如果确定了相似的安全目标,可将他们合并为一个安全目标,该目标的ASIL等级为相似目标的最高等级。 示例如下: 05 — 设计系统功能安全概念 系统功能安全概念其实就是一条条的功能安全需求及需求在架构中的体现。 系统的功能安全概念是以安全目标为最上层需求,对系统的功能模块提出故障检测、安全状态、安全机制等方面的功能安全需求(functional safety requirement ,FSR),并将安全目标的ASIL等级分配到系统的软硬件中。 示例如下: AMT选换挡系统功能安全概念 根据上表中的功能安全概念,就可以在原有架构的基础上设计系统的功能安全架构。 架构:略。 每个系统按照上面的流程即可得出相应系统的功能安全概念,后面的开发活动都围绕着该概念进行展开。 这是我个人从“纸上”得来的,如有不正确的地方,希望大家留言指正。 |
|
|
来自: yuxiao2832 > 《功能安全》
)。英文基础可以的在学习这方面的内容时,最好还是看英文版的ISO26262。
。
