ISO 26262之——2功能安全概念
目录
先导
功能安全概念
1、相关项定义
2、危害分析及风险评估
3、安全概念
先导
名词解释:
FTTI:故障容错时间;
FDTI:故障检测时间间隔;
FHTI:故障处理时间间隔;
FRTI:故障反应时间间隔;
DTTI:诊断测试时间间隔;
EOTI:紧急运行时间间隔;
EOTTI:紧急运行容错时间间隔。
功能安全概念
1、相关项定义
①相关项是系统或系统的组合,是按实现整车功能划分;
②定义中明确的内容有:
Ⅰ、做什么?项目的目标、产品功能;
Ⅱ、产品使用环境条件,例如装于机舱内或车内或其他区域(安装区域导致产品耐热要求不同,选型不同);
Ⅲ、满足的法律法规、技术标准;
Ⅳ、产品由哪些部分组成?
Ⅴ、对其他参与的系统或部件的相关要求?
2、危害分析及风险评估
①目的:识别项目的功能故障引起的危害;对危害事件分类;定义安全目标来避免不可接受风险;
②危害分析及风险评估是基于项目的定义进行,项目不应包括内部安全机制,只考虑基本功能;
③方法:
Ⅰ、危害识别情景分析:识别出可能出现的危害,分析所有可能的相关驾驶场景;
■先识别相关项的失效或非预期行为(比如没有转向助力、过多转向助力等)产生的车辆危害;
■结合情景分析考虑可能的驾驶场景(将情景分析多种组合);
✔情景分析考虑因素的6大要素如下:
●车辆状态:加速、刹车、转向等;
●道路类型:高速公路、国道、省道、乡村道、山路;
●道路状况:干燥/湿滑/冰雪路面,上/下坡,隧道等;
●环境条件:风雪天气、夜晚、大雪、雾天等;
●交通状况:拥堵、通畅、红绿灯等;
●人员情况:司机、乘客、路上行人、道路其他车里的人等。
✔情景分析的6大要素可以排列组合变成驾驶场景,比如雨天国道在加速中....
■把危害和驾驶场景结合得到危害事件。
Ⅱ、危害事件定级:对危害事件的严重度severity of failure(S)、暴露率probability of exposure(E)、可控性controllability(C)进行评估定级;
Ⅲ、ASIL定级:基于S、E、C参数等级,根据ASIL矩阵定义ASIL(automotive safety integrity level)等级,ASIL=S+E+C,同一功能下不同ASIL等级选择最高的;
■故障率λ的特点是:系统失效+硬件随机失效;
■风险Risk:R=S*Pe*Pc*Pi,其中,S是危害性,Pe是暴露率,危害发生的概率;Pc可控性概率,Pi是ASIL指标,Pe*Pc*Pi就是故障率λ,因此选择合适的ASIL等级就是选择了合适的Pi,可以降低Risk;
■S、E、C定义:
✔S:指对人的伤害程度(不考虑对物的损坏),人是包括驾驶员、乘客、行人、其他车辆的驾驶员、乘客等;
ISO26262的参考定级:
S0 |
S1 |
S2 |
S3 |
无危害,不需要ASIL | 轻度和中度伤害 | 严重伤害(可以幸存) | 致命伤害,可能不能幸存 |
SAE J2980的参考定级:
碰撞类型 | 范围 |
S0 |
S1 |
S2 |
S3 |
正碰 | 最小速度 | >4~10km/h | >20~50km/h | >40~65km/h | |
最大速度 | <4~10km/h | <20~50km/h | ≤40~65km/h | ||
后碰 | 最小速度 | >4~10km/h | >20~50km/h | >40~60km/h | |
最大速度 | <4~10km/h | <20~50km/h | ≤40~60km/h | ||
侧碰 | 最小速度 | >2~10km/h | ≥8~30km/h | >16~40km/h | |
最大速度 | <2~3km/h | <8~30km/h | <16~40km/h | ||
行人碰撞 | 最小速度 | >0~17km/h | >8~24km/h | >15~32km/h | |
最大速度 | <8~24km/h | <15~32km/h |
以上对于S的定级只是参考,具体需要根据车型和危害场景等进行计算或仿真或测试等手段定级。
✔E:分析的驾驶场景占所有情景的比例;
ISO 26262的参考定级:如果失效发生时,任何场景下,人可以感知,用“时间范围d”的方法,如果失效发生时,人不能感知只能特定情况下感知,则用“频率范围f”的方法:
E0 |
E1 |
E2 |
E3 |
E4 | |
时间范围d | - | - | <1%平均运行时间 | 1%~10%平均运行时间 | >10%平均运行时间 |
运行时间 小时/年 |
/ | <0.4h/年 | 0.4≤x<4h/年 | 4≤x≤40h/年 | >40h/年 |
E0 |
E1 |
E2 |
E3 |
E4 | |
频率范围f | - | 绝大多数驾驶员小于一年一次 | 绝大多数驾驶员一年发生几次 | 一般驾驶员一月发生一次或多次 | 平均几乎发生在每次驾驶中 |
基础行驶循环 数量/年 |
/ | <1次/年 | 1≤x<10次/年 | 10≤x≤100次/年 | >100次/年 |
✔C:避免危害事件发生而能达到的控制程度,取决于风险中交通参与者:
●感知危害的可能性和能力Cs(sense);
●决定恰当控制措施的能力Cd(decide);
●完成恰当控制措施的能力Ca(act);
其中,Ca取决于:
●交通参与者控制能力Cap;
●车辆的受控能力Cav。
P(C)=P(Cs)*P(Cd)*P(Cap)*P(Cav),根据这个公式定义出C的等级。
C的评估方法:
步骤1:FTTI(fault tolerant time interval故障容错时间)分解;
步骤2:FTTI测试:HMT;
步骤3:获取车辆反应时间t2;
步骤4:获取机械操作时间t1;
步骤5:获取控制时间tap;
步骤6:获取感知时间ts;
步骤7:P(Cs)评估(查表)。
ISO 26262的参考定级:
C0 |
C1 |
C2 |
C3 |
通常可控 | 简单可控 | 正常可控 | 很难控制或不可控 |
通常情况下均可控制 | 99%及以上驾驶员或参与者通常能避免一个特定的伤害 | 90%及以上驾驶员或交通参与者可以能避免一个特定的伤害 | 低于90%的驾驶员或交通参与者可以能避免一个特定的伤害 |
收音机无声音 | 停车场起步熄火 | 低速行驶刹车时,ABS不工作 | 高速行驶,刹车时刹车失效 |
注意:场景需要尽可能全面,但不是对所有场景和危害进行组合分析,而是分析可能导致危害事件发生且可能是最严重的组合。
■ASIL定级:
✔QM:无特殊要求,满足质量标准即可;
✔ASIL分为:A/B/C/D,4个等级,D为最高;
✔ASIL矩阵:
●口诀:7A 8B 9C 10D,其中,数字代表S、E、C里的数字之和,比如C1、E3、S3,就是1+3+3=7,对应ASIL就是A,加起来<7,则是QM;
C1 |
C2 |
C3 | ||
S1 | E1 | QM | QM | QM |
E2 | QM | QM | QM | |
E3 | QM | QM | A | |
E4 | QM | A | B | |
S2 | E1 | QM | QM | QM |
E2 | QM | QM | A | |
E3 | QM | A | B | |
E4 | A | B | C | |
S3 | E1 | QM | QM | A |
E2 | QM | A | B | |
E3 | A | B | C | |
E4 | B | C | D |
■危害分析和ASIL等级模板:
中文译:
危害标识 | 功能 | 故障行为 | 整车级危害 | 假设 | 危害详细说明 | 潜在的事故情景-考虑最坏的情况下的潜在事故 | ASIL评估 | 评论或注意事项(如果适用) | ||||||
S | 说明 | E | 说明 | C | 说明 | ASIL | ||||||||
转向危害#2 | 转向辅助 | 过度转向辅助 | 车辆意外横向运动,意外偏航 | 无 | 转向系统提供比设计目标更多的转向辅助,转向系统在响应与驾驶员要求方向一致时感觉比平时轻 | 在较高车速下的高速公路变道期间,增加的辅助可能会导致驾驶员转向超调,在驾驶员能够控制情况之前,车辆可能会偏离预期的路径/车道并与迎面而来的车辆或邻近的车辆或路边物体发生碰撞 | 3 | 高速车辆碰撞或与物体碰撞 | 4 | 每天暴露于城市道路,不定期的高速公路 | 1 | 简单可控 | B | 此危险仅适用于转向辅助控制功能,根据车辆和校准以及控制干扰的大小,ASIL 可能会更低 |
Ⅳ、定义安全目标(safety goal):根据危害分析结果和风险评估,确定并描述项目的安全目标(非技术语言);
■安全目标是最高层面的安全需求;
■使用功能性语言,非技术语言:
✔例如:车辆行驶中,转向系统的转向柱不能锁止(这是功能性语言,不要写成车辆行驶中,转向控制继电器持续输出,这种是技术语言)。
Ⅴ、验证:确认风险分析结果的完整性、无误性和项目定义文档的一致性。
3、安全概念
建立功能安全概念:
■功能安全概念基于安全目标,从各个安全目标导出功能安全需求,考虑系统的基本架构;
■将安全需求分配到系统初始架构的各个单元中或分配给外部减少危险的举措中;
■安全需求要继承安全目标的ASIL等级。
————————————————————————
参考资料:
功能安全时间参数 - 知乎
ISO 26262之——2功能安全概念相关推荐
- 学习笔记8--智能驾驶的功能安全设计之功能安全与ISO 26262标准
本系列博客包括6个专栏,分别为:<自动驾驶技术概览>.<自动驾驶汽车平台技术基础>.<自动驾驶汽车定位技术>.<自动驾驶汽车环境感知>.<自动驾驶 ...
- 汽车功能安全工程师必看!ISO 26262认证基本原理解析
来源:内容由半导体行业观察翻译自「Arteris」,谢谢. 汽车半导体设备和电子系统的开发人员要小心:可能有些供应商声称他们的产品符合ISO 26262安全标准要求,如果这些说法未能阐明用于制造汽车产 ...
- 【BMS软开系列】1、 ISO 26262功能安全标准 (二)
一.ISO 26262 安全标准 第一章 Vocabulary(概念) 第二章 Management of Function Safety(功能安全) 第三章 Concept Phase(概念阶段) ...
- ISO 26262功能安全标准体系解读(上)
汽车功能安全标准于2011年作为ISO标准正式颁布,此后,汽车业界开始采纳应用该标准. 虽然标准的采纳是自愿的,但在这样的背景和趋势之下,无论是汽车厂商还是零部件供应商,为了满足ISO 26262的要 ...
- 芯原图像信号处理器IP获得汽车功能安全标准ISO 26262认证
通过该认证将加速芯原在电动汽车和自动驾驶等汽车领域的战略布局 2021年11月24日,中国上海--领先的芯片设计平台即服务(Silicon Platform as a Service,SiPaaS®) ...
- 听飞哥聊聊ISO 26262的那些事儿
目录 1 引言 2 什么是汽车功能安全 3 产品的安全生命周期 4 安全概念 4.1 功能安全概念 4.2 技术安全概念 5 功能安全设计 5.1 系统架构设计阶段 5.2 功能安全软件设计阶段 5. ...
- ISO 26262中的ASIL等级确定与分解
原文链接:ISO 26262中的ASIL等级确定与分解 ISO 26262中的ASIL等级确定与分解 1. 引言 汽车上电子/电气系统(E/E)数量不断的增加,一些高端豪华轿车上有多达70多个ECU( ...
- ISO 26262中的ASIL等级确定与分解(转载)
1. 引言 汽车上电子/电气系统(E/E)数量不断的增加,一些高端豪华轿车上有多达70多个ECU(Electronic Control Unit电子控制单元),其中安全气囊系统.制动系 ...
- ASPICE与ISO 26262有什么区别?
这类问题经常出现在已经或尚未符合ISO 26262的汽车企业中许多的工作会议上.毕竟,引入一个新标准是一项即耗时又有成本的工作. 这也是为什么我们准备了今天这个文章.它解释了这两个标准之间的差异和相似 ...
最新文章
- C#隐藏手机号中间四位为*
- 微信小程序的省市区三级地址mysql_微信小程序picker实现的省市区三级联动
- 怎么快速解决KeyShot占CPU100%问题
- 车辆颜色识别学习笔记
- Backlog和冲刺结果以及产品Demo市场调研
- MySQL 字段数据类型/长度
- CTFshow 命令执行 web60
- 解决 No toolchains found in the NDK toolchains folder for ABI with prefix: arm-linux-androideabi 的问题
- 数据库系统常用的存取方法
- spark work启动失败
- # heapsort
- TX2不支持TensorRT INT8,int8 官方参考
- imsdroid启动Activity的方式很独特
- 好看的电脑桌面悬浮时钟工具
- 用C语言打印九九乘法表
- Frobenius自同构
- 第一次初学游泳+自我总结+小窍门
- 《Stacked Hourglass Networks for Human Pose Estimation》
- emlog模板易玩稀有
- VC(Visual Studio C++)虚拟键VK值列表