目录
3.1.3汽车安全完整性等级 Automatic Safety Integrity Level;ASIL
3.1.4故障容错时间间隔 Fault Tolerance Time Interval;FTTI
1、ISO 26262标准
ISO 26262是确定风险和降低风险的系统方法。它在汽车领域被广泛接受。该标准覆盖了功能安全管理阶段、工程阶段、生产和运营阶段、支持流程以及安全导向分析阶段的管理职责。
目前最新版:ISO 26262:2018
ISO 26262国际标准架构图如下:
2、一些必需的方法以表格表示
推荐程度:
- “++”表示对于指定的ASIL等级,高度推荐该方法;
- “+”表示对于指定的ASIL等级,推荐该方法
- “o”表示对于指定的ASIL等级,不推荐也不反对该方法。
3、Part1术语
此部分规定了ISO 26262标准所有部分所应用的术语和定义,以及缩略语。
3.1重点术语举例
Part1术语部分内容较多,我们挑几个重点进行讲解。
3.1.1相关项 item
实现整车层面功能或部分功能的系统或系统的组合。有item等于系统的,也有综合多个系统的item。
相关项的需求信息应包括:
- 法规要求、国家标准和国际标准;
- 整车层面的功能行为,包括运行模式或运行状态;
- 所要求的质量、性能和功能的可用性(如果适用);
- 相关项的约束,例如:功能依赖性、与其他相关项的依赖性、运行环境;
- 行为不足的潜在后果(如有),包括已知的失效模式和危害;
- 执行器的能力,或其假定的能力。
3.1.2要素 element
系统、组件(硬件或软件)、硬件元器件或软件单元。
3.1.3汽车安全完整性等级 Automatic Safety Integrity Level;ASIL
四个等级中的一个等级,用于定义相关项或要素需要满足ISO 26262中的要求和安全措施,以避免不合理的风险,其中D代表最高严格等级,A代表最低严格等级。
- S的评估方法 ISO 26262
- E的评估方法 ISO 26262
暴露度(E):可以通过两种方式进行预估,第一种是基于场景的持续时间,第二种是基于场景发生的频率。
持续时间(Duration):考虑场景期间,功能故障出现。
频次(Frequency):当场景出现时,功能故障已经存在(潜在故障)。
例:汽车进入一个无光隧道。驾驶员想开前大灯。功能故障:前大灯不能开(场景发生以前故障已经存在了,使用频次)
- E的评估方法 原则与原理
场景需要尽可能的全面,但不必对所有场景的组合与每一个危害进行组合分析,而是分析可能导致危害事件发生且可能是最严重的组合。
常见的车辆场景包括:车辆的状态(碰撞,加速,减速),天气(暴雨,台风,晴朗),驾驶员操作情况(换挡,点火),路面情况(湿滑,泥泞,平稳)等。
大多数情况下,危害发生时所处的场景是由多个独立的基础场景所组合出来的。因此,暴露度E就是这些基础场景组合发生的概率。由于基础场景彼此间是相互独立的,那么组合场景的概率就等于各个基础场景的概率之积,即: PE=Ps1*Ps2*Ps3*…*Psn
- C的评估方法 ISO 26262
3.1.4故障容错时间间隔 Fault Tolerance Time Interval;FTTI
定义:在安全机制未被激活情况下,从相关项内部故障发生到可能发生危害事件的最短时间间隔。
- 在故障容错时间间隔内,如果相关项保持在安全状态或过渡到安全状态或过渡到紧急运行,则表明安全机制及时对故障进行了处理。
- 当诊断测试时间间隔比故障探测时间间隔足够短时,故障探测时间间隔可包括多个诊断测试时间间隔用于消除错误抖动。
3.1.5安全目标 Safety Goal
定义:最高层面的安全要求,是危害分析和风险评估的结果。 一个安全目标可能与几种危害有关,几个安全目标可能与一种单一的危害有关。 为了避免每个危险事件的不合理风险,应将危险事件的 ASIL 分配给安全目标。
例如:
危害事件:汽车在下坡道路上行驶时,制动失灵。
安全目标:防止制动突然失灵。
3.1.6安全状态 Safety State
定义:没有不合理风险的相关项的运行模式。 如果通过过渡到项目的安全状态可以实现相应的安全目标,则应为每个安全目标具体规定安全状态。
例如:功能禁用报警;功能不变,性能下降
扫一扫
536
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
