汽车功能安全基础(七)——Part4系统开发阶段

原创 已于 2025-01-13 15:43:51 修改 · 1.2k 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#汽车 #系统安全 #安全架构 #安全

于 2025-01-13 15:19:32 首次发布

汽车功能安全基础(六)——Part4系统开发阶段_fta 开发-优快云博客 文章浏览阅读1.3k次,点赞30次,收藏14次。技术安全需求(TechnicalSafetyRequirement;TSR)是为了满足安全目标(SG)和功能安全需求(FSR),由功能安全需求(FSR)在技术层级衍生出的可实施的安全需求。TSR = 由FSR技术化的安全需求 + 安全机制 + 生产运行服务报废相关要求​​​​​​1.2 由FSR技术化的安全需求由FSR技术化的技术需求包括:定义逻辑功能需求时所涉及的软件组件,硬件组件(传感器,控制单元,执行单元);组件接口技术信息(如:信号名称,来源等);_fta 开发https://blog.youkuaiyun.com/qq_54112829/article/details/143557108?spm=1001.2014.3001.5502

 在上一篇详细地介绍了系统开发阶段的TSR和安全机制,今天主要介绍一下TSC、安全分析相关的内容。

目录

1、什么是TSC

1.1 定义

2、安全分析

2.1 定义

2.2 不同开发阶段的安全分析

2.3 安全分析方法具体介绍

2.4 安全分析的工具

3、TSR如何分配至系统架构

3.1 目的

3.2 级联失效与共因失效

3.3 不同类型相关失效的关系

3.4 确定组件的ASIL等级

3.5 FFI和ASIL等级分解独立性原则区别

1、什么是TSC

1.1 定义

理解为系统阶段围绕TSR开发的工作内容汇总。主要包括:技术安全需求TSR、安全机制、系统安全架构、TSR分配至系统架构。

注:TSC主要是描述由FSR导出的技术安全需求和安全机制。

2、安全分析

2.1 定义

安全分析是功能安全最重要的内容之一,贯穿整个开发过程,是所有安全开发内容的基础,但是针对不同的阶段,侧重点有所不同。

2.2 不同开发阶段的安全分析

概念阶段:注重整车功能的分析,首先采用HAZOP方法(注:属于归纳分析法,可认为是整车级别简化版的FMEA)导出SG。(参考如下文章),然后利用FMEA或FTA安全分析方法,从SG得到FSR。

汽车功能安全基础(四)——Part3概念阶段开发_功能安全part3-优快云博客文章浏览阅读1.3k次,点赞41次,收藏24次。通过对相关相所实现的功能进行危害分析和风险评估(HARA),导出功能安全开发最初安全目标(Safety Goal)以及功能安全需求(FSR)。_功能安全part3https://blog.youkuaiyun.com/qq_54112829/article/details/143423586?spm=1001.2014.3001.5502

注:对于安全分析方法来说,不论在概念,系统,软件,硬件哪个阶段,无非就是两种方式:

  • 归纳分析法:FMEA(Failure Mode and Effects Analysis, 即失效模式与影响分析)
  • 演绎分析法:FTA(Fault Tree Analysis, 即故障树分析)

2.3 安全分析方法具体介绍

FMEA:从系统实现功能去分析它们可能存在的潜在失效情况和故障。

FTA:如果出现这种失效或者故障,可能是由系统哪些部件或功能导致。

具体内容见功能安全基础(五),点击如下链接,在此不再重复介绍。

汽车功能安全基础(五)——Part3概念开发阶段_ftti 汽车-优快云博客文章浏览阅读1.4k次,点赞32次,收藏22次。功能安全目标(SG)属于基于车辆或系统级别的安全需求,过于抽象,我们需要将其进行细化,得到为满足安全目标,基于组件级别的相对比较具体的,但依旧还是基于功能层面的逻辑功能需求,这个就是FSR。故障避免,是指减少故障发生的措施;故障探测,是指对故障或其导致的功能异常表现的控制;故障容错,是指是指在属于特定故障集的故障发生后,至少在有限时间内提供特定功能的能力;故障情况下的功能降级(例如,跛行回家);如果适用,从一个安全状态过渡到另一个安全状态;_ftti 汽车https://blog.youkuaiyun.com/qq_54112829/article/details/143479666?spm=1001.2014.3001.5502

2.4 安全分析的工具

建议把安全分析的思路和过程记录下来,采用Excel即可。此过程重点在于我们对系统的了解和认知程度,将会直接决定了安全分析的结果的可靠性和全面性。

3、TSR如何分配至系统架构

3.1 目的

根据ISO 26262第4部分的要求,TSR需要分配至系统架构,作为TSC的重要组成部分。将TSR以及对应的ASIL等级落实到架构中具体软件或硬件的组件中,如此就可以明确系统中不同组件在后续阶段开发过程中所需安全需求以及对应的ASIL等级,为下一阶段的软硬件开发提供输入。

3.2 级联失效与共因失效

共因失效和级联失效,合称关联失效

级联失效:是指同一个相关项中,一个要素的失效导致引起另外一个或多个要素失效。

例:快递公司每天要送200件快递,由两个快递员配送,每人每天配送100件。由于快递员A得了重感冒,传染给快递员B,从而导致快递员B也感冒(failure),导致快递无法配送。

共因失效:一个相关项中,由一个单一特定事件或者根本原因(共因源)引起的两个或者多个要素的失效。

例:快递公司每天要送200件快递,两个快递员配送,每人每天配送100件。由于天气骤冷(共因源),导致两个快递员都感冒发烧(failure),导致快递无法配送。

3.3 不同类型相关失效的关系

下图描述了相关失效、免于干扰和技术独立性之间的关系。免于干扰是用于证明分配了不同ASIL等级的,或者无ASIL等级和有ASIL等级的要素可以共存。免于干扰和不存在共因失效,是用于证明在进行ASIL等级分解时的独立性。

3.4 确定组件的ASIL等级

系统架构中组件的ASIL等级来自于分配到组件TSR的ASIL等级,应满足:

  • 组件应集成分配给它的所有TSR中最高的ASIL等级,作为系统组件开发的ASIL等级。
  • 如果一个组件由多个子部件构成,且分配给子部件的TSR对应的ASIL等级(包括QM),那么所有子部件应按照如下原则进行开发:

1、所有子部件按照所有TSR中最高的ASIL等级进行开发。

2、如果各个子部件满足要素共存或免于干扰原则,即FFI(Freedom From Interference),则各个子部件按照各自的ASIL等级开发。

3.5 FFI和ASIL等级分解独立性原则区别

FFI:FFI旨在解决不同ASIL等级(包括QM)组件共存的问题,需要对不同ASIL等级组件进行有效隔离,防止低ASIL等级组件故障蔓延或者影响到其他高ASIL等级组件,即防止串联失效,这属于级联关系的失效。

ASIL等级分解独立性:除保证无级联失效外,还需要保证无共因失效问题,所以独立性要求更广泛,需要通过相关失效分析(DFA)证明。在保证原有安全性的情况下,将高ASIL等级需求分解成两个独立的低ASIL等级需求,一般这两个低ASIL等级需求会分配至两个不同组件,由此降低组件开发难度。

注:关于ASIL等级分解,后续单独介绍,这里不再详细展开。

车载技术深度解析:揭秘功能安全中FSR与TSR的区别
一直在水些技术小文
01-22 9591
功能安全设计中的FSRTSR是确保车辆在各种情况下保持安全运行的关键元素。通过深入解析这两者的区别,并通过实例代码演示其在车辆功能安全中的应用,希望读者能够更全面地理解功能安全领域的复杂性。如果你对这些概念有更多的疑问或者想要分享实操体验,欢迎在评论区留言,一同探讨功能安全的奥秘!
如何写好技术安全需求TSR?
MaveDiao的博客
06-07 3600
在item的开发过程中,制定合适的TSC是开发符合功能安全标准的一个关键前提。这在系统级的标准产品开发的第4部分中有详细的说明。技术安全要求技术安全概念构成了导出硬件软件安全要求的基础,然后由工程团队用于开发安全产品。就像任何其他形式的产品开发一样,对需求进行多次修改是非常不可取的。这主要是由于成本的增加,工作产品中出现不一致的可能性及其对整个项目进度的影响。良好的技术安全要求实际上是有效实施功能安全基础。 目前,ISO 26262标准并没有提供任何直接的指导,以确定某一项目的特定安全目标的技术安全
ISO 26262中的ASIL等级确定与分解
热门推荐
选择的专栏
11-25 4万+
汽车上电子/电气系统(E/E)数量不断的增加,一些高端豪华轿车上有多达70多个ECU(Electronic Control Unit电子控制单元),其中安全气囊系统、制动系统、底盘控制系统、发动机控制系统以及线控系统等都是安全相关系统。当系统出现故障的时候,系统必须转入安全状态或者转换到降级模式,避免系统功能失效而导致人员伤亡。
功能安全开发--系统阶段TSC
BUAAAlbert的博客
02-04 2095
技术安全概念如何开展,理论与工程如何结合,系统与软硬件切分的度在哪
汽车安全核心:TSR技术需求全解析
最新发布
SmallBull的博客
10-14 1767
本文解析了汽车安全核心概念"安全相关的TSR"(技术安全需求)。TSR源自ISO26262标准,是将功能安全需求转化为具体技术方案的关键环节,直接关联安全目标的实现。文章详细介绍了TSR的六大核心内容:安全功能、故障检测机制、安全状态、容错时间、降级策略外部接口要求,并通过电动助力转向系统实例说明TSR如何确保安全目标达成。作为功能安全开发的核心输出,清晰可验证的TSR是构建符合安全标准汽车产品的基础
功能安全之故障 (fault),错误 (error)失效 (failure)
人无远虑,必有近忧
06-25 1万+
功能安全中的有些概念比较绕,比如故障(fault),错误(error)失效(failure),本文就这三个概念进行下探讨。
FTA故障树分析
m0_73450236的博客
05-19 5273
事件:描述系统或零件故障的状态顶事件:是故障树分析中所关心的最后结果事件。它位于故障树顶端,总是逻辑门的输出事件而不是输入事件。底事件:是故障树中导致其他事件的原因事件。它位于故障树的底端。它总是逻辑门的输入事件而不是输出事件。底事件分为基本事件与未探明事件。
功能安全TSR
汽车软件开发
06-07 1692
此外,在车辆的电子稳定控制系统(ESP)中,功能安全 TSR 用于监测车辆的行驶状态,如车速、转向角度车轮转速等,当系统检测到车辆出现失控趋势时,TSR 会自动调整车辆的制动力驱动力,以恢复车辆的稳定性。例如,在工业 4.0 时代,工厂的自动化程度大幅提高,大量的设备系统需要协同工作,如何确保整个生产流程的安全是一个巨大的挑战。功能安全 TSR 可以用于监测设备的运行状态患者的生理参数,当检测到设备出现故障或患者的生理参数出现异常时,TSR 会及时发出警报并采取相应的措施,以保障患者的安全
汽车功能安全-在系统层面验证TSR实例
车载网络测试工程师的博客
07-16 1220
这是进行系统层面 E2E 测试的最常用、最有效方法。HIL 台架可以:精确模拟 IDCU 的 CAN 消报文发送。精确注入各种类型的 CAN 通信故障 (超时模拟、错误数据/CRC/计数器注入、总线负载控制)。实时监控 CCU 的输出 (如通过示波器、高精度记录设备或 HIL 板卡自身 IO 直接测量FHTI。模拟真实的 ECU 电气环境部分车辆网络。
汽车功能安全基础(四)——Part3概念阶段开发
从事汽车行业
11-01 1735
通过对相关相所实现的功能进行危害分析风险评估(HARA),导出功能安全开发最初安全目标(Safety Goal)以及功能安全需求(FSR)。
汽车功能安全基础(五)——Part3概念开发阶段
从事汽车行业
11-04 2338
功能安全目标(SG)属于基于车辆或系统级别的安全需求,过于抽象,我们需要将其进行细化,得到为满足安全目标,基于组件级别的相对比较具体的,但依旧还是基于功能层面的逻辑功能需求,这个就是FSR。故障避免,是指减少故障发生的措施;故障探测,是指对故障或其导致的功能异常表现的控制;故障容错,是指是指在属于特定故障集的故障发生后,至少在有限时间内提供特定功能的能力;故障情况下的功能降级(例如,跛行回家);如果适用,从一个安全状态过渡到另一个安全状态;
汽车功能安全基础(三)——基于ISO26262的功能安全Part2功能安全管理部分
从事汽车行业
10-31 1781
建立并维护能够用于支持鼓励功能安全有效实现,并能够促进与功能安全相关的其他领域有效沟通的安全文化;建立并维护充分的组织的专门的功能安全规章流程;建立并维护可确保能充分解决识别出的安全异常的流程;建立并维护可确保参与人员的能力与其职责相匹配的能力管理体系,及建立并维护用以支持功能安全的质量管理体系。
精选资源
功能安全Part1-Part6简介note.pdf
07-14
3. **Part3:产品开发:系统层面** —— 涉及从系统角度进行功能安全的设计验证。 4. **Part4:产品开发:硬件层面** —— 针对硬件设计提供了指导原则。 5. **Part5:产品开发:软件层面** —— 关注软件开发过程...
ISO 26262功能安全资料10
07-06
ISO 26262功能安全资料10 汽车电子行业的标准,非常有用非常好,最大亮点原版,全部,重要的事情说三遍。大家一起交流
ISO 26262系列文章之——1,2 功能安全总则
weixin_42012149的博客
06-02 6221
ISO 26262是以IEC 61508为基础,提供一整套方法流程,来保证所开发的电子电气系统满足功能安全要求,介绍“功能安全开发布置安全管理”的相关内容
汽车功能安全系统阶段开发【技术安全需求TSR】4
车载网络测试工程师的博客
07-07 1492
通过上文介绍,咱们了解了功能安全需求(FSR)方案(FSC),但是FSR本质上属于功能层面的逻辑安全需求,属于“需要做什么”的层级,无法具体实施,所以需要将FSR进一步细化为技术层面的安全需求(TSR),即“怎么做”,为后续的软件硬件的开发奠定技术需求基础。是从功能安全需求(FSR)细化出的具体技术实施方案,用于指导系统/软硬件设计。可测试性:必须能被验证(e.g., 通过测试或审查)技术具体化:明确硬件/软件实现方式(e.g., 传感器类型、算法逻辑)覆盖完整性:需覆盖所有FSR要求安全机制。
汽车功能安全系统阶段开发【技术安全方案TSC以及安全分析】5
车载网络测试工程师的博客
07-08 1142
HARA定义顶层目标风险等级;FTAFMEA互为补充,分别从顶向下自底向上识别设计中的故障弱点,并指导安全机制的设置验证;DFA则专门应对安全机制本身可靠性的关键问题(独立性)。它们同确保系统设计能满足安全目标。
【车载】功能安全中FSR TSR的区别
汽车电子开发
02-23 1万+
功能安全中的几个缩写: FSR 功能安全要求 FSC 功能安全概念 TSC 技术安全概念 TSR 技术安全要求 功能安全(Function Safety Definition) 不存在由电子电气系统功能异常所引起的危害,而导致不合理的风险。 为了保证避免不可接受的风险,功能安全开发流程在IS...
功能安全入门02---标准解读03系统及软硬件开发简要流程
mohle的博客
11-07 4698
有了具体的安全需求之后, 接下来就是进行系统级开发了。 可以从安全需求得到技术安全要求规范, 系统级开发的过程基于V模型的开发流程。 首先是 “系统级产品开发的启动”,这个环节主要是依据实际情况更新项目计划安全计划, 还需要创建测试计划、确认计划评估计划; 接下来要明确技术安全需求规范, 技术安全需求规范是从功能安全要求系统或者单元的架构设计中得到的,在这个规范里主要描述了 识别控制系统自身故障, 以及其它系统故障的机制、 安全状态的达到或保持措施、 警示降级方案的措施等。(可以查看术语导读
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值