功能安全_功能安全概念 - CSDN
精华内容
参与话题
  • ISO26262 是 IEC61508 对 E/E 系统在道路车辆方面的功能安全要求的具体应用。 ——提供了汽车生命周期(管理,研发,生产,运行,服务,拆解)和生命周期中必要的改装活动。 ——提供了决定风险等级的具体风险评估...

    ISO26262 是 IEC61508 对 E/E 系统在道路车辆方面的功能安全要求的具体应用。

    ——提供了汽车生命周期(管理,研发,生产,运行,服务,拆解)和生命周期中必要的改装活动。

    ——提供了决定风险等级的具体风险评估方法(汽车安全综合等级,ASILs)。

    ——使用 ASILs方法来确定获得可接受的残余风险的必要安全要求。

    ——提供了确保获得足够的和可接受的安全等级的有效性和确定性措施。

    主要用于安装在最大毛重不超过 3.5 吨的乘用车上的一个或多个 E/E 系统的安全相关系统。不包括电击,火灾,热,辐射,有毒物质,可燃物质,反应物质,腐蚀性物质,能量释放及类似的危险,除非这些危险是由于 E/E 安全相关系统故障导致的。

    ISO26262 主要包括以下几个部分:

    Part 1:定义

    Part 2:功能安全管理

    Part 3:概念阶段

    Part 4:产品研发:系统级

    Part 5:产品研发:硬件级

    Part 6:产品研发:软件级

    Part 7:生产和操作

    Part 8:支持过程

    Part 9:基于 ASIL 和安全的分析

    Part 10:ISO26262 导则

    ISO26262 系列标准分为 10 本,从 ISO26262-1 到 ISO26262-10,分别从功能安全管理,概念,系统级研发,软硬件的研发,生产和操作等方面对产品的整个生命周期进行了规范和要求。从而使得产品在各个生命周期都比较完善的考虑了其安全功能。

    ISO26262 给出了一套这样的管理方法、流程、技术手段和验证方法,称之为安全管理生命周期,框架如下:

    那么各部分又有什么具体含义和措施呢?下面就来分别说明:

    1、 项目定义:

    项目定义,是对所研发项目的一个描述,是安全生命周期的初始化任务,其包括了项目的功能,接口,环境条件,法规要求,危险等内容,也包括项目的其他相关功能,系统和组件决定的接口和边界条件等。

    2、 安全生命周期的初始化

    基于项目定义,安全生命周期要对项目进行区分,确定是新产品研发,还是既有产品更改。如果是既有产品更改,影响分析的结果可以用来进行安全生命周期的拼接。

    3、 危险分析和风险评估

    安全生命周期初始化之后,就要按照 ISO26262-3 的第七条款来进行危险分析和风险评估,危险分析和风险评估的流程要考虑暴露的可能性,可控性和严重性,以便确定项目的 ASIL 等级。接下来就是为每一个风险设立安全目标,并确定合适的 ASIL 等级。

    4、 功能安全概念

    基于安全目标,功能安全概念就要考虑具体的基本架构。功能安全概念就是对定位到每个项目元素中的功能安全要求的具体化和细化。超出边界条件的系统和其他技术可以作为功能安全概念的一部分来考虑。对其他技术的应用和外部措施的要求不在 ISO26262 考虑的范围之内。

    5、 系统级产品研发

    有了具体的功能安全概念之后,接下来就是按照 ISO26262-4 的系统级研发了。系统级研发的过程基于技术安全要求规范的 V 模型。左边的分支都是系统设计和测试,右边的分支是集成,验证,确认和功能安全评估。

    6、 硬件级产品研发

    基于系统的设计规范,硬件级的产品研发要遵循 ISO26262-5 的要求。硬件研发流程应符合 V 模型概念左侧分支的硬件设计和硬件要求。硬件的集成和验证在右侧分支。

    7、 软件级产品研发

    基于系统的设计规范,软件级的产品研发应遵循 ISO26262-6 的要求。软件研发流程应符合 V 模型概念中左侧分支的软件需求规范和软件设计架构设计的要求。软件安全需求中的软件集成和验证在右侧分支中。

    8、 生产计划和操作计划

    其包括:生产和操作计划,相关的需求规范,系统级产品研发的开始等。ISO26262-7 的第 5 条款和第 6 条款给出了生产和操作的具体要求。

    9、 产品发布

    产品发布是产品研发的最后一个子阶段,该项目也将完成,具体要求在ISO26262-4 的第 11 条款中。

    10、 产品的操作、服务和拆解

    产品的操作、服务和拆解应符合 ISO26262-7 的第 5 条款和第 6 条款中,对产品的生产、操作、服务和拆解的相关要求。

    11、 可控性

    在危险分析和风险评估中,要考虑司机和处于危险中的其他人可以采取措施来控制危险情况的能力。如何提供对可控性的有效性证明不在 ISO26262 的范围之内。

    12、 外部措施

    参考项目以外的,在项目定义中被描述的措施(参加 ISO26262-3 的第 5 条款),以便减小项目的危险结果。外部危险降低措施不但可以包括附加的车载设备,如:动态稳定控制器防爆轮胎等,也可以包括非车载装置,如:护栏,隧道消防系统等。这些外部措施在进行危险分析和风险评估的时候应该被考虑到,但如何为这些外部措施的有效性提供证明不在 ISO26262 的范围之内,除非是 E/E设备。但要注意的是,没有明确安全例证的外部措施是不完整的。

    13、 其他技术

    其他技术是指那些不在 ISO26262 范围之内的,不同于 E/E 技术的设备。如:机械和液压技术。这些都要在功能安全概念的规范中加以考虑或者在制定安全要求时加以考虑。

    通过以上这些具体的生命周期的各个阶段和标准中对每个阶段所必须考虑的措施、方法和具体技术的要求,将各个阶段的要求和如何满足要求的措施都进行逐一落实,这样才能设计出、制造出满足功能安全要求的安全产品。

     

    1,功能安全的定义

    1.1 本质安全与功能安全

    为了了解功能安全的概念,先得熟悉下 和“本质安全”和“功能安全”的概念。

    假如以铁道的路口为例,比较一下基于两种安全概念的避免路口事故的方法。这里避免路口事故就是安全目标,为了实现这个目标,可进行如下操作:

    首先,如果把铁道路口撤掉,直接改造成立交桥的形式,让火车和汽车都走各自的路,这样就不会发生人或者车辆横穿铁道口的事故了。像这样,根据系统的特性把危险源直接除掉的方法是「本质安全」。

    其次,假如我们在铁道路口设置信号灯和道口自动栏杆,当火车来临时前闪红灯,同时将栏杆放下,避免行人或者车辆通过。像这样通过栏杆的拦截功能及预警灯来抑制事故风险的技术叫做「功能安全」。在这里信号灯和自动栏杆一种安全机制(Safety Mechanism)。理想的情况是不管什么场合都采用 「本质安全」,但事实上,在很多场合里,由于系统自身的原因,不可能把危险源除掉。特别是像车载电控系统这样非常复杂的电子化系统,以上所述的本质安全很难被实现和应用。因此我们只能采用功能安全,它的目的就是在本质安全无法达到时,尽可能的通过增加安全机制去提高安全等级,实现安全目标。

     

    1.2 电子控制器的功能安全

    对于汽车而言,可将汽车看成一个“机器人”,驾驶员给这个“机器人”发送信号,比如踩踏板加油,汽车收到命令然后执行:电喷系统增加喷油,发动机输出扭矩增加,实现车辆加速。

    对于传统汽车而言,它的结构简单,且大多数命令都是通过机械方式来实现的,如老式汽车的机械式节气门等,其失效的可预见性大;而现在汽车,其电子电气化增强,驾驶员的指令会先转换成相关信号,然后这些信号传递给控制器的处理芯片,然后最终驱动相关的执行器来执行,其失效的可预见性大大降低。

    正因为现代汽车随着电子电气化的程度越来越高,其整车的安全性很大程度就取决于电子控制器的安全性,比如发动机控制器ECU,变速箱控制器TCU,车辆稳定性控制器ESP等等。而且电子控制器失效的可预见性非常低,比如芯片/电路受外界干扰等,这很难预料什么情况会出问题。 因此必须考虑电子控制器失效了会怎么办的问题。

     

    1.3 功能安全考虑的角度

    针对电子控制器失效了怎么办这个问题,首先得确定一个角度。比如极端高温情况下的ECU自燃,爆炸等这种系统本身带来的风险,这种风险不在功能安全的考虑范围内。

    从产品安全的角度来说,可将其安全分为传统安全以及由电子/电气功能安全,传统安全包括:与触电、火灾、烟雾、热、辐射、毒性、易燃性、反应性、腐蚀性、能量释放等相关的危害和类似的危害,除非危害是直接由电子电气安全相关系统的故障行为而引起的。传统安全不在功能安全的考虑范围之内。

    根据国际上知名的安全协会的定义,比如英国的MISARA(The Motor Industry Software Reliability Association 汽车工业软件可靠性协会),比如德国的德国VDA协会(VDA(Verband der Automobilindutrie)德国汽车工业协会)他们是从车辆可控性的角度对功能安全提出要求。而IEC-61508强调从人身安全(还可以考虑设备安全)角度提出需求。

    因此从车辆可控性和人身安全两个层面上考虑功能安全就有了着陆点。比如考虑是不是有非驾驶员期望的加速等,而非驾驶员期望的减速其实是降低了安全边界,但车辆扔被驾驶员控制着。这就是为什么ECU不对相关控制器的减扭做监控的原因。

     

    1.4 ISO26262中对功能安全的定义

    ISO 26262是专门用作提升汽车电子电气产品功能安全的国际标准,它派生于电子、电气及可编程器件功能安全基本标准IEC61508。那26262是如下定义功能安全这个概念的:

    English definition:absence of unreasonable risk due to hazards caused by malfunctioning behavior of E/E systems;

    没有由电子、电气系统故障行为导致的危险所引起的不合理风险。

    我们来分解下这段话:

    A.没有风险:absence of risk

    B.没有不合理风险 unreasonable

    C.没有由电子、电气系统故障行为导致的危险所引起的不合理风险

    其中的关键词是不合理风险,什么是不合理风险呢,比如车辆行驶时安全气囊蹦出来了,这是不合理风险,这是功能安全需要避免的问题。

    总体来说,功能安全是指避免由系统功能性故障导致的不可接受的风险。它关注的是系统发生故障之后的行为,而不是系统的原有功能或性能。因此功能安全的目的就是当系统发生故障后,将系统进入安全的可控模式,避免对人身、财产造成伤害。

     

    2,ASIL汽车安全完整性等级

    2.1 危险事件的确定

    对电子控制器ECU来说,引起失效主要是两个方面:软件和硬件。

    软件失效:比如没有考虑分母可能为0;变量公式定义错误,导致精度丢失;

    硬件失效:如下图所示可以分为传感器失效;ECU硬件失效(比如CPU或者RAM/ROM失效);执行器失效;

    依据ISO 26262标准进行功能安全设计时,首先识别系统的功能,并分析其所有可能的功能故障(Malfunction)或失效,可采用的分析方法有HAZOP,FMEA、头脑风暴等。

    功能故障在特定的驾驶场景下才会造成伤亡事件,比如近光灯系统,其中一个功能故障就是灯非预期熄灭,如果在漆黑的夜晚行驶在山路上,驾驶员看不清道路状况,可能会掉入悬崖,造成车毁人亡;如果此功能故障发生在白天就不会产生任何的影响。

    所以进行功能故障分析后,要进行情景分析,识别与此故障相关的驾驶情景,比如:高速公路超车、车库停车等。分析驾驶情景建议从公路类型(国道,高速),路面情况,(湿滑、冰雪);车辆状态(转向、 超车、制动、加速等),环境条件(风雪雨尘、夜晚、隧道灯),人员情况(乘客、路人)等几个方面去考虑。功能故障和驾驶场景的组合叫做危害事件(hazard event)。

    危害事件确定后,根据三个因子——严重度(Severity)、暴露率(Exposure)和可控性(Controllability)评估危害事件的风险级别——也就是ASIL等级。

    2.2 ASIL等级

    ASIL等级的定义是为了对失效后带来的风险进行评估和量化以达到安全目标,其全称是Automotive Safety Integration Level--汽车安全完整性等级。这个概念来源于IEC61508,其通过失效概率的方式定义了安全完整性等级(SIL)。但是在汽车界只有硬件随机失效可以通过统计数字评估失效概率,软件失效却难以量化,因此26262根据汽车的特点定义了ASIL。

    如上节所述ASIL的评定,一般是在产品概念设计阶段对系统进行危害分析和风险评估,识别出系统的危害,如果系统的安全风险越大,对应的安全要求级别就越高,其具有的ASIL的等级也越高。ASIL分为QM,A、B、C、D五个等级,ASIL D是最高的汽车安全完整性等级,对功能安全的要求最高。

    2.3 危险分析和风险评定

    对于汽车系统,特定危险的风险决定于以下三个因素:

    A.危险事件所导致伤害或损失的潜在严重性 (Severity of failure, S)

    B.指人员暴露在系统失效能够造成危害的场景中的概率OR理解为危险事件可能发生的驾驶工况的可能性 (probability of exposure, 简称E)

    C.危险所涉及的驾驶员和其它交通人员通过及时的反应避免特定伤害或损失的能力 (controllability, 简称C)

    然后分别将严重性S、可能性E和可控性C分成4个等级,如下表所示,其中QM代表与安全无关:

    按照以上的划分并进行组合相加得到5个ASIL等级(QM,A,B,C,D),原则是:

    A. 基本可控C0的组合不考虑;

    B. 无伤害S0的组合不考虑;

    C. 其余组合相加等于7分为ASIL A,等于8分为ASIL B,等于9分为ASIL C,等于10分为最高等级ASIL D;ASIL A、B、C、D都是与功能安全相关的(Safety Relevant Function)

    D. 其余的得分安全评定为QM,代表与安全无关的功能(Non Safety Relevant Function)

    下面举几个例子进行说明:

    1,EPB(Electrical Park Brake)电子手刹

    以电子手刹的驻车功能为例,当驻车时,驾驶员通过按钮或者其他方式触发制动请求,EPB在汽车的后轮上施加制动力,以防止车非期望的滑行。该系统的危害有非期望的制动失效,非期望的制动启动。相同的危害在不同场景下风险也是不一样的,因此也要对不同场景进行分析。分析如下表所示:

    得出了EPB系统的安全目标为:防止非期望的制动,ASIL等级为D

    根据上面的分析,不难得出其它例子的ASIL 等级,比如:

    2.4 功能安全目标的分解

    通过上危害分析和风险评估,我们得出系统或功能的安全目标和相应的ASIL等级,当ASIL等级确定之后,就需要对每个评定的风险确定安全目标,安全目标是最高级别的安全需求。安全目标确定以后就需要在系统设计,硬件,软件等方面进行设计和实施,验证。

    从安全目标可以推导出开发阶段的安全需求,安全需求继承安全目标的ASIL等级。如果一个安全需求分解为两个冗余的安全需求,那么原来的安全需求的ASIL等级可以分解到两个冗余的安全需求上。因为只有当两个安全需求同时不满足时,才导致系统的失效,所以冗余安全需求的ASIL等级可以比原始的安全需求的ASIL等级低。ISO 26262标准的第9章给出了ASIL分解的原则。ISO 26262中提出了在满足安全目标的前提下降低ASIL等级的方法——ASIL分解,这样可以解决上述开发中的难点。

    ASIL 分解的一个最重要的要求就是独立性,如果不能满足独立性要求的话,冗余单元要按照原来的ASIL等级开发。所谓的独立性就冗余单元之间不应发生从属失效(Dependent Failure),从属失效分为共因失效(Common Cause Failure)和级联失效(Cascading Failure) 两种。共因失效是指两个单元因为共同的原因失效,比如软件复制冗余,冗余单元会因为同一个软件bug导致两者都失效,为了避免该共因失效,我们采用多种软件设计方法。级联失效是指一个单元失效导致另一个单元的失效,比如一个软件组件的功能出现故障,写入另一个软件组件RAM中,导致另一个软件组件的功能失效。

    具体降解的方法如下所示,比如应按照下列之一对一个 ASIL D 的要求进行分解:

    1) 一个ASIL C(D)的要求和一个ASIL A(D)的要求;或

    2) 一个ASIL B(D)的要求和一个ASIL B(D)的要求;或

    3) 一个ASIL D(D)的要求和一个QM(D)的要求,

    其它ASIL等级分解可如下图所示:

    参考原文:https://blog.csdn.net/Todd_yc/article/details/79844971

    展开全文
  • ISO 26262-4: 6.4.7 1. The safety mechanisms shall be specified by technical safety ...安全机制通过分析技术安全需求来制定,包括: a) the measures related to the detection, indication and control of ...

    ISO 26262-4: 6.4.7

    1. The safety mechanisms shall be specified by technical safety requirements including:

    安全机制通过分析技术安全需求来制定,包括:

    a) the measures related to the detection, indication and control of faults in the system itself (self-monitoring of the system or elements);

      系统和模块的自我管理:检测、指示、控制系统本身错误有关的方法。

    NOTE 1 This includes the self-monitoring of the system or elements to detect random hardware faults and, if appropriate, to detect systematic failures.

    自我管理包括对系统或模块的随机硬件错误的检测及对系统失效的检测。

    b) the measures related to the detection, indication and control of faults in external devices interacting with the system; 

    EXAMPLE External devices include other electronic control units, power supply or communication devices.

      外部器件错误的检测、指示、控制方法,包括其他电子控制器、电源和通信器件。

    c) the measures that enable the system to achieve or maintain a safe state;

    NOTE 2 This includes prioritisation and arbitration logic in the case of conflicting safety mechanisms.

    使系统达到并保持安全状态的方法,包括冲突发生时的优先级处理和仲裁逻辑。

    d) the measures to detail and implement the warning and degradation concept;

     细化并实施报警和降级概念。

    e) the measures which prevent faults from being latent(6.4.10). 

    NOTE 3 These measures are usually related to tests of measures during power up (pre-drive checks), operation, power down (post-drive checks) and as part of maintenance.

     阻止错误成为潜在错误的方法,通常包括上电检测、下电检测、工作时周期性检测等。

    2. ISO 26262-4: 6.4.9

    For each safety mechanism that enables an item to achieve or maintain a safe state the following shall be specified: 

    对于每个安全机制,制定安全机制内容的同时,还应该包括如下几个方面:

    a) the transition to the safe state, including the requirements to control the actuators;

    切换到安全状态的条件,包括控制执行器的需求;

    b) the fault-tolerant time interval;

    错误的容忍时间;

    c) the emergency operation interval if the safe state can not be reached by immediately switching off;

    如果不能通过立刻断电来达到安全状态,需要指明紧急操作的时间。

    d) the measures to maintain the safe state.

    保持安全状态的措施。

    如有兴趣,可扫下方二维码关注功能安全公纵号,也可直接入群,参与交流与讨论,管理员会定期更新功能安全相关经验、对标准的理解,等等。

     

    展开全文
  • 功能安全学习笔记001-功能安全简介

    千次阅读 2018-03-17 17:33:53
    功能安全学习笔记001-功能安全简介1,历史背景功能安全的概念首先起源于20世纪60-70年代的航空领域和核技术领域。到了20世纪70-80年代时,由于当时在世界范围内,尤其是石油化工领域多次发生爆炸或污染泄露事情。...

    功能安全学习笔记001-功能安全简介

    1,历史背景

    功能安全的概念首先起源于20世纪60-70年代的航空领域和核技术领域。到了20世纪70-80年代时,由于当时在世界范围内,尤其是石油化工领域多次发生爆炸或污染

    泄露事情。事故发生的主要原因是因为控制系统相关安全功能失效导致的,而造成功能失效的很重要的一点是由于电子/电气/可编程控制器产品自身安全功能的不完善。

    为了提高电子电气控制器的安全性能,制定一套可行的安全技术标准迫在眉睫,经过业内专家的积极参与,国际电工委员会(International Electrotechnical Commission-IEC)在1998年颁布了IEC61508-功能安全标准。

    2,相关安全标准

    IEC61508-功能安全标准是很多行业通用的国际基础安全标准,在不同领域得到了发展和应用。比如在过程控制行业的IEC61511标准,在核电领域的IEC61513标准。还有就是专

    门针对道路车辆功能安全的ISO26262标准。


    ISO26262是IEC61508标准在汽车行业中的具体应用,2009年出版初稿,2011年11月正式颁布。ISO26262的核心价值在于,它可以通过系统的功能安全研发管理流程,以及针对汽车电子控制器系统/硬件/软件的系统化验证和确认方法,保证电子系统的安全功能在面对各种严酷条件时不失效,从而保证驾驶员和路人的安全。

    ISO 26262为汽车安全提供规范和推荐做法(如判定汽车安全完整性等级ASIL),贯穿了产品的整个生命周期(指管理-开发-生产-运行-服务-停运的全过程)。其框架如下:

    如上图所示,ISO26262分为10个部分,分别是:

    Part 1:定义,Part 2:功能安全管理,Part 3:概念阶段,Part 4:产品研发:系统级,Part 5:产品研发:硬件级

    Part 6:产品研发:软件级,Part 7:生产和操作,Part 8:支持过程,Part 9:基于ASIL 安全和导向分析,Part 10:ISO26262 导则。

    从技术上来说,随着汽车技术的发展,车载电子控制器的数量日益增多,比如某些豪车上有上百个控制器,几千个can信号,保证其安全的重要性不言而喻。

    另外,从法律上来说,这也是必要的,如德国的相关法规还规定假如失效的产品达到了当前最新的技术是可以免责的。因此贯彻ISO26262的标准不仅可以提升安全性能和产品内在价值,也提升产品的竞争力。

     


    展开全文
  • 功能安全----概念阶段详细步骤总结

    千次阅读 2019-08-14 14:25:48
    相关项:实现车辆层面功能或部分功能的系统或系统组。 相关项定义:定义并描述相关项,以及其与环境、其他相关项之间的依赖关系和交互影响,为充分理解相关项提供支持,以便执行后续阶段的活动。 2. HARA分析 ...

    1. 相关项

    相关项:实现车辆层面功能或部分功能的系统或系统组。

    相关项定义:定义并描述相关项,以及其与环境、其他相关项之间的依赖关系和交互影响,为充分理解相关项提供支持,以便执行后续阶段的活动。

     

    2. HARA分析

    HARA分析:为了避免不合理的风险,对相关项的危害事件进行识别和归类的方法以及定义防止和减轻相关危害的安全目标和ASIL等级的方法。

    危害分析和风险评估的目的是识别相关项中因故障而引起的危害并对危害进行归类,同时制定防止危害发生或减轻危害程度的安全目标,以避免不合理的风险。

    2.1 场景分析

    对相关项的故障行为导致危害事件发生时所处的运行场景及运行模式进行分析,既要考虑车辆正确的使用情况,也要考虑可预见的车辆不正确的使用情况。

    2.2 危害识别

    能够以足够的技术手段识别出危害,应以能在整车层面观察的条件或行为来定义危害,危害事件由危害和场景组合而成。

    2.3 危害事件的分类

    根据危害的严重度、场景暴露率、可控性等级对危害事件进行分类。

    2.4 ASIL等级和安全目标的确定

    根据危害事件严重度、暴露率、可控性等级对危害事件进行ASIL等级的划分,并确定安全目标。

    2.5 验证

    危害分析和风险评估以及安全目标应进行验证,以表面场景和危害的完备性、与相关项定义的符合性、与相关危害分析和风险评估的一致性、对危害事件覆盖的完备性以及所分配的ASIL等级与相关危害事件的一致性。

     

    3. 功能安全概念

    功能安全概念(FSC):为了实现安全目标,定义功能安全要求及相关信息,并将要求分配到架构要素上,以及定义要素之间的必要交互。

    3.1 功能安全要求的导出

    使用如下几点来定义功能安全要求,运行模式、故障容错时间间隔、安全状态、紧急运行时间间隔、功能冗余。

    如果在一个可接受的时间间隔内,不能过度到安全状态,应规定紧急运行。

    应将报警和和降级概念定义为功能安全要求。

    如果为了满足安全目标而对驾驶员或其他潜在涉险人员的必要行动做出了假设,那么在功能安全概念中应该定义这些行动,以及供驾驶员或其他潜在涉险人员使用的足够的方法和控制手段。

    3.2 功能安全要求的分配

    如果将几个功能安全要求分配给同一个架构要素,且在初步架构中无法证明这些要求是互相独立或者免于干扰,则该架构要素应按照安全要求中最高的ASIL等级开发。

    如果相关项包含多个系统,则应根据初步架构的设想定义各个系统以及系统之间接口的功能安全要求,这些功能安全要求应分配到各个系统中去。

    功能安全分配期间可以进行ASIL等级的分解。

    如果功能安全概念依赖于其他技术的要素,应导出基于其他技术的要素所实现的功能安全要求,并将其分配给架构中的相关要素;应定义与其他技术要素的接口相关的功能安全要求;应通过特定的措施来保证基于其他技术的要素所实现的功能安全要求;无需为这些要素分配ASIL等级。

    如果功能安全概念依赖于外部措施,应导出由外部措施实现的功能安全要求并进行沟通;应定义与外部措施接口的功能安全要求;应确保由外部措施实现的功能安全要求的执行。

    3.3 功能安全概念的确认

    以表明其与安全目标的一致性与符合性,以减轻或避免危害的能力。

     

     

     

    展开全文
  • ISO26262-5中,通过某硬件电路失效率的计算展示了如何进行定量地分析功能安全。失效分为单点故障和潜在多点故障。一、硬件电路原理图电路实现的功能如下:1)MCU采集车速信号(I1、I2为车速传感器);2)当高车速时...
  • 什么是功能安全

    万次阅读 2018-07-06 10:04:57
    什么是功能安全(FS)?在现代工业控制领域中,可编程电子硬件、软件系统的大量使用,大大提升了自动化程度。但由于设备设计中的缺失,以及开发制造中风险管理意识的不足,这些存在设计缺陷的产品大量流入相关行业的...
  • 功能安全理论基础概念 safety measure == 活动+安全机制,activity + safety mechanism 活动,避免系统性失效systematic failure 安全机制(一种技术路径),探测随机硬件失效random HW failure 欢迎使用...
  • 功能安全学习笔记002-功能安全的定义

    万次阅读 多人点赞 2018-04-07 21:52:59
    1,功能安全的定义1.1 本质安全与功能安全为了了解功能安全的概念,先得熟悉下 和“本质安全”和“功能安全”的概念。假如以铁道的路口为例,比较一下基于两种安全概念的避免路口事故的方法。这里避免路口事故就是...
  • 功能安全-ISO26262标准简介

    千次阅读 2018-07-06 10:08:06
    站位
  • 功能安全--安全分析

    千次阅读 2019-11-18 15:36:26
    在ISO26262功能安全中,有多个地方需要进行安全分析,安全分析的质量很重要的决定了功能安全项目的成败,本文针对ISO26262中提到的各种安全分析进行汇总说明(HARA、FMEA、FTA、FMEDA、SWFMEA、DFA)。 1. HARA 在...
  • BMS(Battery Management System)即电池管理系统。作为新能源汽车“三电”核心技术之一,BMS在HEV/EV中发挥着重要作用。广义上,BMS包含传统的12/24 V铅酸电池管理,但这里讨论的BMS主要是针对HEV/EV的动力电池管理...
  • ISO26262功能安全--产品开发过程

    千次阅读 2020-02-24 20:08:05
    2.3 功能安全目标 2.4 安全需求与安全概念 3. 系统阶段——闭门造神车,我们开始修炼 3.1 技术安全需求(TSC) 3.2 系统架构设计 3.3 安全分析与独立性分析 3.4 软硬件接口(HSI) 4. 硬件阶段——苦其心志,...
  • 1. The necessary activities and processes for the product development at the hardware level include: (1) the hardware implementation of the technical safety concept; (2) the analysis of potential ha...
  • ISO26262 功能安全各个阶段测试要求

    千次阅读 2019-11-14 14:42:29
    2. 功能安全总体要求 2.1 各项指标 2.2 诊断覆盖度举例 针对一个信号举例说明: 3. 功能安全测试要求 3.1 测试计划 核心内容应包括, 测试对象:需要测试的对象描述,以及测试的范围描...
  • 汽车功能安全(一)~笔记

    千次阅读 2019-09-23 14:21:27
    汽车功能安全 最近接触到汽车OBC功能安全的实现,于是开始了解关于功能安全方面的知识,初次写,若有不对之处,望提出交流、互相学习。 ...
  • ISO26262如何保证功能安全

    千次阅读 2018-07-06 11:17:28
    根据ISO26262, 对于任何一项需求,其功能安全大致可以通过以下几个步骤来保证:1)进行Hazard Analysis和Risk Assessment。这个步骤是为了获得需求的E、C、S值。2)评出此需求的ASIL评级并建立Safety Goal。Safety ...
  • 功能安全中的有些概念比较绕,比如故障(fault),错误(error),失效(failure),今天就这三个概念进行下探讨。  一,故障  功能安全中定义的故障是指可引起要素或相关项失效的异常情况。  故障可以分为永久故障...
  • ISO 26262-3: Clause 7 (HARA) Hazard analysis and risk assessment 危害分析和风险评估 1. Objectives 目的 The objective of the hazard analysis and risk assessment is to identify and categorise the ...
  • Web上的用户登录功能安全

    万次阅读 多人点赞 2016-07-07 10:04:14
    你会做Web上的用户登录功能吗? ...Web上的用户登录功能应该是最基本的...下面 的文章告诉大家这个功能可能并没有你所想像的那么简单,这是一个关系到用户安全功能,希望大家能从下面的文章中能知道什么样的方
  • 随想录(功能安全和软件开发)

    千次阅读 2018-12-16 22:34:04
     要说现在汽车软件开发,最火的安全概念就是功能安全。至于标准,那就是ISO26262。当然标准只是提供了一个规范,具体怎么做,大家都是摸着石头过河。不过可以明确的就是,功能安全涉及到软件和硬件两个方面,当然...
1 2 3 4 5 ... 20
收藏数 1,543,626
精华内容 617,450
关键字:

功能安全