ISO26262 Part 9 之 相关失效分析DFA/FFI的适用场景

原创 已于 2024-08-06 10:23:01 修改 · 1.7k 阅读 · 36 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2024-08-06 10:20:23 首次发布

1. 标准要求

  • 通过分析其潜在原因或引发因素,确认设计中充分体现了要求的独立性和免于干扰;
  • 如有必要,定义安全措施,以减轻可能的相关失效;
    在这里插入图片描述

免于干扰FFI:用于证明分配了不同ASIL等级的,或者无ASIL等级和有ASIL等级的要素可以共存;
免于干扰和不存在共因失效 DFA:用于证明在进行ASIL等级分解时的独立性;
在这里插入图片描述

2.相关失效分析考虑架构特征:

  • 相似的和不相似的冗余要素;

  • 由相同的软件和硬件要素实现的不同功能;

  • 功能及其相关安全机制

  • 功能的分割或软件要素的分割;

  • 硬件要素间的物理间距,有隔离或无隔离;

  • 共同的外部资源;

在进行相关失效分析之前,需要分析各个要素的ASIL等级;

3. 需要DFA分析情况

定性或定量的安全分析(FMEA、FTA)可以作为DFA的输入,但与安全分析不同的是,DFA更加关注架构要素之间的耦合关系,执行DFA分析的目的是当架构设计中出现以下如图4所示的**四种情况(①~④)**时,通过DFA分析结果提供充分的证据这些情况存在的合理性:

最低0.47元/天 解锁文章
【功能安全相关失效分析DFA
weixin_36460584的博客
09-25 1476
(参考part01术语定义)从定义出发可以看到相关失效总共分为两类:共因失效、级联失效。
功能安全实战系列04-DFA(Dependent Failure Analysis)分析
initiallizer的博客
08-10 3776
本文主要从以下三个话题出发,介绍为什么需要DFA?什么是DFA?如何做DFA
ISO26262 功能安全设计-1.DFA讲解
04-02
ISO26262 功能安全设计 汽车功能安全设计 DFA讲解
ISO 26262-9 Part 9_Automotive Safety Integrity Level (ASIL)
09-30
ISO 26262-9 was prepared by Technical Committee ISO/TC 22, Road vehicles, Subcommittee SC 3, Electrical and electronic equipment.
ISO26262 Part 9相关失效的的参考DFI/Coupling factor
Aleeex_Zhao的博客
08-06 476
同时ISO 26262-9:2018附录C中的表C.1从系统、硬件、软件和半导体从四个层面提供了一些可以参考的耦合因素示例。c. 环境免疫不足 Insufficient Environmental Immunity。e. 相同类型的组件 Components of Identical Type。b. 共享信息输入 Shared Information Inputs。g. 非预期接口 Unintended Interface。d. 系统性耦合 Systematic Coupling。
ISO26262中文版
01-16
ISO26262 中文版 涵盖汽车电子标准内容。 识货者自有定论。
ISO26262 Part6 之 免于干扰FFI
Aleeex_Zhao的博客
08-09 1884
想想软件分区之间的关系是一种信任,高级设备不信任任何低级设备,所以ASIL D可以从QM设备中读取,然而ASIL D设备应该尽可能减少QM设备的读数,ASIL D设备也可以写入QM设备,但QM设备却只能读取ASIL D设备,关键设备不应写入较高的ASIL设备。我们要讨论的最后一个干扰源是通信干扰,在车辆系统中软件设备需要交换电子控制单元之间的信息.即使发送者和接收者的ASIL相同,也有必要防止干扰.软件系统之间的通信渠道往往会有较低的ASIL或QM评级,受保护的通信通道将检测数据传输错误;
ISO26262 Part 9DFA的输入确定方法
Aleeex_Zhao的博客
08-06 1300
在进行DFA分析的时候,可基于演绎分析法,例如,割集检查或者FTA中重复的相同事件。,例如,在FMEA中多次出现的具有相似失效模式的相似元器件或组件。GB/T34590.11—2022的4.7。
AUTOSAR规范与ECU软件开发(实践篇)9.3、ISO 26262FFI验证与编码风格的要求
让学习成为一种习惯
09-06 271
除此之外, 为了确保按照AUTOSAR规范编写的代码安全,AUTOSAR组织还邀请PRQA公司成为合作伙伴, 一起研究“安全系统中C++14语言的使用指南”, 并作为Adaptive AUTOSAR产品标准的准则一起发布。在ISO 26262 Part 6附录D中, 从免于干扰(Freedom From Interference, FFI) 出发, 要求提供对应的机制来检测执行时间错误和数据交换错误, 并在内存空间做到隔离保护等。图9.10 AUTOSAR规范中对防御性的设计方法的应用案例。
听飞哥聊聊ISO 26262的那些事儿
认真你就输了
07-13 2841
这篇文章想从系统开发的角度,聊聊汽车功能安全相关的话题。汽车目前几乎是我们社会中部署最广泛的和最复杂的系统。然而实际上,驾驶员的培训往往只是驾驶过程中可能遇到的各种情况的最小集合,而汽车却变的愈发的复杂。目前,随着互联及自动驾驶车辆的部署,这些对驾驶员及人身安全相关系统提出了进一步的挑战。
一文解读ISO26262安全标准:FMEDA的解读
无所适从的我的博客
03-21 2012
包含FMEDA的相关介绍。
深度解读:汽车半导体的功能安全性改进
NewCarRen的博客
08-18 692
ISO 26262:2011的发布给业界带来了比IEC 61508更丰富的内容,从系统、硬件和软件开发领域,为汽车行业的设计和安全团队提供了支持。然而,对于许多半导体供应商而言,相较于Tier 1或Tier 2及OEM,还没有在第一版中拿到与他们相关的要求。 ...
安全分析-DFA
Evezyl的博客
11-01 1687
FMEA用来进行单点故障分析,因此在考虑某个底层故障时,既不考虑其他故障对自身的影响,也不考虑对其他故障的影响;而FTA进行定量计算的前提是假设所有的底事件之间是相互独立而不受彼此影响。相关失效分析DFA,Dependent Failure Analsis)用于确保系统设计中充分考虑并解决了由于要素之间的相互关联而导致的失效风险,以实现更完整、可靠的功能安全保障;可被用于论证避免单点故障和潜伏故障安全机制的有效性。
MUNIK解读ISO26262--什么是DFA
m0_61714886的博客
07-05 1695
首先DFA相关失效分析)的执行与ASIL没有关系,这是与FMEA还有FTA明显的一个区别,其次就是在架构设计过程中若产生了ASIL分解,有要素共存的情况(低等级的要素我们通常会认为他的开发要求不够严谨,可能会对高要求的产品造成不利影响),有冗余设计,功能电路和安全机制等情况时,那么就要执行相关失效分析。:假设我们的架构设计中存在PLL(锁相环,实现外部输入信号与内部震荡信号同步)和对其的监控电路CMC,它们之间的关系就属于功能电路和安全机制的关系,所以我们要分析这两者会不会发生相关失效。
ISO 26262 典型安全分析方法详解
u014281817的博客
04-30 1179
ISO 26262 标准体系中,安全分析是确保道路车辆电子电气系统功能安全的核心环节。FMEDA(失效模式、影响及诊断分析)、FTA(故障树分析)、FMEA(失效模式与影响分析)、DFA(设计故障分析)这四种典型的安全分析方法,在系统开发的不同阶段发挥着不可替代的作用。它们相互补充,从不同角度对系统进行全面分析,以识别潜在风险,降低事故发生概率,为系统的安全可靠运行提供有力支撑。一、FMEDA(失效模式、影响及诊断分析)
Dart FFI的简单分析
doon的专栏
05-15 4721
本文是阅读dart ffi相关的代码记录。 源码的位置 分成几个部分,dart的代码在sdk/lib/ffi下,有4个文件 annotations.dart dynamic_library.dart : 定义DynamicLibrary类,用于加载so库 ffi.dart 定义Pointer类 native_type.dart 定义NativeType Pointer相关的实际实现的代码, 在runtime/lib/ffi_path.dart, 定义的对应的native实现,关键的如 Pointer
半导体ISO26262功能安全合规性开发的3P法则(下)
NewCarRen的博客
08-18 1352
在半导体的ISO 26262功能安全合规性开发3P法则(上)中,我们提到,每个向汽车半导体市场提供产品的组织都必须能够证明开发活动符合标准。这些文档涵盖了相关的人员、开发的流程以及所需的产品分析。本篇,我们将具体陈述如何让人,流程,产品符合要求。 ​...
ISO26262功能安全--产品开发过程
热门推荐
AgingMoon的博客
10-18 1万+
目录 1.总体理解 2.概念阶段——吹牛,我们是打草稿的 2.1 相关项定义 2.2 HARA分析 2.3 功能安全目标 2.4 安全需求与安全概念 3. 系统阶段——闭门造神车,我们开始修炼 3.1 技术安全需求(TSC) 3.2 系统架构设计 3.3 安全分析与独立性分析 3.4 软硬件接口(HSI) 4. 硬件阶段——苦其心志,苦练经骨 4.1 硬件架构...
DFA ISO26262
最新发布
05-20
### DFAISO 26262中的定义与应用 在汽车功能安全标准ISO 26262中,DFA通常指代 **Development Failure Analysis**(开发失效分析),尽管这一术语并未像其他术语那样被明确定义为缩写形式。其核心目的是识别和评估开发过程中可能引入的潜在错误或失效模式,并通过适当的安全机制加以缓解[^1]。 #### Development Failure Analysis 的作用 Development Failure Analysis 是一种系统化的方法论,用于在整个产品生命周期内分析可能导致不满足功能安全目标的因素。它涵盖了硬件设计、软件实现以及两者之间的交互界面(Hardware-Software Interface, HSI)。具体而言: - 在早期阶段,DFA 可帮助制定技术安全需求(Technical Safety Requirements, TSRs)并验证这些需求是否能够有效降低风险至可接受水平。 - 在后期阶段,则侧重于确认最终产品的行为是否符合理论预期,尤其是在面对各种异常情况时的表现能力。 #### DFA的具体实施方法 为了达成上述目的,在实际操作层面可以采用多种工具和技术手段来进行详细的失败场景模拟与测试工作。例如但不限于以下几种常见方式: ```python def perform_dfa_analysis(system_model): """ Perform a simplified DFA analysis on the given system model. Args: system_model (dict): A dictionary representing components and their interactions. Returns: list: List of identified potential failures. """ potential_failures = [] for component, properties in system_model.items(): if not validate_component_safety(properties['specifications']): potential_failures.append(f"{component} does not meet safety specifications.") for interaction in properties.get('interactions', []): if check_for_fault_tolerance(interaction) is False: potential_failures.append(f"Interaction {interaction} lacks sufficient fault tolerance.") return potential_failures ``` 此函数仅作为示意用途,展示了如何遍历系统的各个组成部分及其相互关系来查找不符合安全性要求的地方。 #### DFA与其他概念的关系 值得注意的是,DFA 并不是一个孤立存在的过程;相反,它是整个功能安全管理框架下的一个重要环节之一。以下是几个密切关联的概念: - **Hazard Analysis and Risk Assessment (HARA)** 提供初始输入数据给 DFA 使用; - **Safety Mechanisms (SM)** 和 **Fault Tolerant Time Interval (FTTI)** 则是从不同角度出发支持 DFA 找到解决方案的方向指引。 综上所述,虽然 ISO 26262 中并没有单独突出强调 “DFA”,但从整体流程来看,类似活动贯穿始终,对于确保车辆电子电气架构达到预定 ASIL 等级至关重要[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值