本文全长约3188字,预计阅读时间为8分钟。
【FS专题】01 - 汽车功能安全(ISO 26262)系列 - 开篇:为什么需要功能安全? 本篇属于汽车功能安全专题系列第02篇内容,主要来聊聊功能安全概念开发阶段基本问题及内容的学习心得。 ISO 26262 基于V模型,汽车功能安全开发活动始于概念阶段,该阶段主要包含以下内容:
该阶段内容将会分两篇文章进行阐述,后续会考虑出专门实例阐述。
01 什么是概念阶段开发? 很多朋友可能疑惑,为啥它叫概念阶段,听着好像很不专业,接下来我们来看它的本质。 汽车产品开发基于需求,需求是产品开发的基础。好的需求一定程度直接决定产品性能和质量,对汽车功能安全开发也不例外。 我们所熟知的功能实现的需求多源于用户需求,而功能安全开发的需求源于功能实现部分。 在不同开发阶段,需求根据其细化程度可分为:
功能安全概念阶段开发本质就是,在相对抽象的逻辑功能层面,通过安全分析提出功能安全开发最初的安全需求。因此,被称为概念阶段。 具体而言,就是通过对相关相所实现的功能进行危害分析和风险评估(HARA),导出功能安全开发最初安全目标(Safety Goal)以及功能安全需求(FSR)。 02 概念阶段开发 - 相关项定义 相关项定义的本质为确定功能安全研究的对象,内容比较简单,方便理解直接上个人理解公式: 相关项 = 结构 + 功能描述 + 对象属性特征 对象属性特征: 对象预期的功能危险,内部以及对外依赖关系(以接口体现),相关法律法规。 注: 可对相关项进行裁剪,复用类似相关项工作输出产物,以此降低产品开发周期和成本。 03 概念阶段开发 - HARA 3.1 什么是HARA 简单来说,HARA(Hazard Analysis and Risk Assessment)是在概念阶段为导出功能安全目标及其ASIL等级的系统安全分析方法。 具体而言,根据相关项定义的功能,分析其功能异常表现,识别其可能的潜在危害(Hazard)及危害事件(Hazard Event),并对其风险进行量化(即确定ASIL等级),导出功能安全目标(Safety Goal)和ASIL等级,以此作为功能安全开发最初最顶层的安全需求。 3.2 HARA流程 话不多说,直接上图: 接下来,分别看看各流程中关键内容及心得: 3.2.1 危害分析 方法: 步骤一: 利用HAZOP分析相关项所定义的系统层面功能异常表现(非组件层面,功能安全需求分析才基于具体组件功能) HAZOP基于定义的功能,使用以下规定的引导词,分析每个功能的异常表现:
注: 对每个功能分析不一定会用到所有引导词,可对其进行裁剪。 针对车辆转向系统转向功能,根据HAZOP引导词分析,其功能异常表现有: 非预期转向,转向不足,过度转向等。 步骤二: 将危害和运行场景结合,形成危害事件
例如: 车辆非预期转向这一危害,在不同车速下和道路环境下,可能和周边基础设施或人发生碰撞,可能和迎面驶来汽车碰撞,也可能发生侧翻等等,造成的伤害是不一样的,这也是为什么需要将危害量化为危害事件的重要原因。 1 危害和危害事件定义必须基于整车层面,例如危害:非预期的车辆加速 2 只考虑将定义的相关项功能造成的危害并假设其他相关项正常工作 3 不应考虑将要实施或已经在前代相关项中实施的安全机制,例如功能监控,硬件冗余等 4 需考虑相关项外部措施,例如其他相关项内的ESP,ASB或安全气囊,灭火器等 5 功能失效和相应的危害之间的关系: 多对一,一对多 6 需要考虑合理的误操作造成的危害,例如驾驶安全距离保持不够 3.2.2 评价危害事件的风险,即ASIL等级 首先,通过以下三个参数,对其进行赋值,对危害事件的风险进行量化评估:
具体定义和取值见ISO 26262-3:2018,其中: 1 严重度主要根据AIS分级,关注对人造成伤害的严重程度(非对物体的伤害)。不仅需考虑车内驾驶员乘客伤害,还需考虑外部环境中的人员,包括行人,其他车辆人员伤害等 2 暴露度可基于持续运行时间占比或发生频率确定,不应考虑装备该相关项的车辆数量或占比 3 可控度可控性受多种因素影响,需驾驶员进行合理假设(例如健康,有驾照),相对比较难量化,对于C2及C3基于一定样本的用户测试决定 4 三个参数一般根据ISO 26262-3:2018附录并结合经验,统计数据,仿真,测试等确定。如果存在不确定性,可以适当考虑取较大的值 5 不同企业对同一危害事件的风险量化,即三个参数数值确定,可能不尽相同,审核的重点在于有理有据,合理即可 然后,根据ISO 26262-3:2018,Table 4 ‒ ASIL determination得到每个危害事件的安全等级ASIL。ASIL等级定义了对相关项功能安全开发必要的要求和安全措施,其中,D代表最高严格等级,A代表最低严格等级。QM属于一般质量管理。 为了免去查表的麻烦,这里分享个简单的ASIL等级计算公式: S + E + C =10 => ASIL D S + E + C = 9 => ASIL C S + E + C = 8 => ASIL B S + E + C = 7 => ASIL A S + E + C < 7 => QM 3.2.3 安全目标 危害事件的反面即为安全目标,其中:
为了方便朋友们进行安全分析,特意制作HARA分析模板如下: 概念阶段开发第三部分内容: 功能安全方案(FSC),即,根据安全目标,导出功能安全需求FSR,系统化地形成功能安全方案FSC。 |
|