ISO 26262之——2功能安全概念

先导

功能安全概念

1、相关项定义

2、危害分析及风险评估

3、安全概念

先导

名词解释：

FTTI：故障容错时间；

FDTI：故障检测时间间隔；

FHTI：故障处理时间间隔；

FRTI：故障反应时间间隔；

DTTI：诊断测试时间间隔；

EOTI：紧急运行时间间隔；

EOTTI：紧急运行容错时间间隔。

功能安全概念

1、相关项定义

①相关项是系统或系统的组合，是按实现整车功能划分；

②定义中明确的内容有：

Ⅰ、做什么？项目的目标、产品功能；

Ⅱ、产品使用环境条件，例如装于机舱内或车内或其他区域（安装区域导致产品耐热要求不同，选型不同）；

Ⅲ、满足的法律法规、技术标准；

Ⅳ、产品由哪些部分组成？

Ⅴ、对其他参与的系统或部件的相关要求？

2、危害分析及风险评估

①目的：识别项目的功能故障引起的危害；对危害事件分类；定义安全目标来避免不可接受风险；

②危害分析及风险评估是基于项目的定义进行，项目不应包括内部安全机制，只考虑基本功能；

③方法：

Ⅰ、危害识别情景分析：识别出可能出现的危害，分析所有可能的相关驾驶场景；

■先识别相关项的失效或非预期行为（比如没有转向助力、过多转向助力等）产生的车辆危害；

■结合情景分析考虑可能的驾驶场景（将情景分析多种组合）；

✔情景分析考虑因素的6大要素如下：

●车辆状态：加速、刹车、转向等；

●道路类型：高速公路、国道、省道、乡村道、山路；

●道路状况：干燥/湿滑/冰雪路面，上/下坡，隧道等；

●环境条件：风雪天气、夜晚、大雪、雾天等；

●交通状况：拥堵、通畅、红绿灯等；

●人员情况：司机、乘客、路上行人、道路其他车里的人等。

✔情景分析的6大要素可以排列组合变成驾驶场景，比如雨天国道在加速中....

■把危害和驾驶场景结合得到危害事件。

Ⅱ、危害事件定级：对危害事件的严重度severity of failure（S）、暴露率probability of exposure（E）、可控性controllability（C）进行评估定级；

Ⅲ、ASIL定级：基于S、E、C参数等级，根据ASIL矩阵定义ASIL（automotive safety integrity level）等级，ASIL=S+E+C，同一功能下不同ASIL等级选择最高的；

■故障率λ的特点是：系统失效+硬件随机失效；

■风险Risk：R=S*Pe*Pc*Pi，其中，S是危害性，Pe是暴露率，危害发生的概率；Pc可控性概率，Pi是ASIL指标，Pe*Pc*Pi就是故障率λ，因此选择合适的ASIL等级就是选择了合适的Pi，可以降低Risk；

■S、E、C定义：

✔S：指对人的伤害程度（不考虑对物的损坏），人是包括驾驶员、乘客、行人、其他车辆的驾驶员、乘客等；

ISO26262的参考定级：

S0	S1	S2	S3
无危害，不需要ASIL	轻度和中度伤害	严重伤害（可以幸存）	致命伤害，可能不能幸存

SAE J2980的参考定级：

碰撞类型	范围	S0	S1	S2	S3
正碰	最小速度		＞4~10km/h	＞20~50km/h	＞40~65km/h
正碰	最大速度	＜4~10km/h	＜20~50km/h	≤40~65km/h
后碰	最小速度		＞4~10km/h	＞20~50km/h	＞40~60km/h
后碰	最大速度	＜4~10km/h	＜20~50km/h	≤40~60km/h
侧碰	最小速度		＞2~10km/h	≥8~30km/h	＞16~40km/h
侧碰	最大速度	＜2~3km/h	＜8~30km/h	＜16~40km/h
行人碰撞	最小速度		＞0~17km/h	＞8~24km/h	＞15~32km/h
行人碰撞	最大速度		＜8~24km/h	＜15~32km/h

以上对于S的定级只是参考，具体需要根据车型和危害场景等进行计算或仿真或测试等手段定级。

✔E：分析的驾驶场景占所有情景的比例；

ISO 26262的参考定级：如果失效发生时，任何场景下，人可以感知，用“时间范围d”的方法，如果失效发生时，人不能感知只能特定情况下感知，则用“频率范围f”的方法：

时间范围d

＜1%平均运行时间

1%~10%平均运行时间

＞10%平均运行时间

运行时间

小时/年

＜0.4h/年

0.4≤x＜4h/年

4≤x≤40h/年

＞40h/年

频率范围f

绝大多数驾驶员小于一年一次

绝大多数驾驶员一年发生几次

一般驾驶员一月发生一次或多次

平均几乎发生在每次驾驶中

基础行驶循环

数量/年

＜1次/年

1≤x＜10次/年

10≤x≤100次/年

＞100次/年

✔C：避免危害事件发生而能达到的控制程度，取决于风险中交通参与者：

●感知危害的可能性和能力Cs（sense）；

●决定恰当控制措施的能力Cd（decide）；

●完成恰当控制措施的能力Ca（act）；

其中，Ca取决于：

●交通参与者控制能力Cap；

●车辆的受控能力Cav。

P(C)=P(Cs)*P(Cd)*P(Cap)*P(Cav)，根据这个公式定义出C的等级。

C的评估方法：

步骤1：FTTI（fault tolerant time interval故障容错时间）分解；

步骤2：FTTI测试：HMT；

步骤3：获取车辆反应时间t2；

步骤4：获取机械操作时间t1；

步骤5：获取控制时间tap;

步骤6：获取感知时间ts；

步骤7：P(Cs)评估（查表）。

ISO 26262的参考定级：

C0	C1	C2	C3
通常可控	简单可控	正常可控	很难控制或不可控
通常情况下均可控制	99%及以上驾驶员或参与者通常能避免一个特定的伤害	90%及以上驾驶员或交通参与者可以能避免一个特定的伤害	低于90%的驾驶员或交通参与者可以能避免一个特定的伤害
收音机无声音	停车场起步熄火	低速行驶刹车时，ABS不工作	高速行驶，刹车时刹车失效

注意：场景需要尽可能全面，但不是对所有场景和危害进行组合分析，而是分析可能导致危害事件发生且可能是最严重的组合。

■ASIL定级：

✔QM：无特殊要求，满足质量标准即可；

✔ASIL分为：A/B/C/D，4个等级，D为最高；

✔ASIL矩阵：

●口诀：7A 8B 9C 10D，其中，数字代表S、E、C里的数字之和，比如C1、E3、S3，就是1+3+3=7，对应ASIL就是A，加起来＜7，则是QM；

		C1	C2	C3
S1	E1	QM	QM	QM
	E2	QM	QM	QM
	E3	QM	QM	A
	E4	QM	A	B
S2	E1	QM	QM	QM
	E2	QM	QM	A
	E3	QM	A	B
	E4	A	B	C
S3	E1	QM	QM	A
	E2	QM	A	B
	E3	A	B	C
	E4	B	C	D

■危害分析和ASIL等级模板：

中文译：

危害标识

功能

故障行为

整车级危害

假设

危害详细说明

潜在的事故情景-考虑最坏的情况下的潜在事故

ASIL评估

评论或注意事项（如果适用）

说明

ASIL

转向危害#2

转向辅助

过度转向辅助

车辆意外横向运动，意外偏航

无

转向系统提供比设计目标更多的转向辅助，转向系统在响应与驾驶员要求方向一致时感觉比平时轻

在较高车速下的高速公路变道期间，增加的辅助可能会导致驾驶员转向超调，在驾驶员能够控制情况之前，车辆可能会偏离预期的路径/车道并与迎面而来的车辆或邻近的车辆或路边物体发生碰撞

高速车辆碰撞或与物体碰撞

每天暴露于城市道路，不定期的高速公路

简单可控

此危险仅适用于转向辅助控制功能，根据车辆和校准以及控制干扰的大小，ASIL 可能会更低

Ⅳ、定义安全目标（safety goal）：根据危害分析结果和风险评估，确定并描述项目的安全目标（非技术语言）；

■安全目标是最高层面的安全需求；

■使用功能性语言，非技术语言：

✔例如：车辆行驶中，转向系统的转向柱不能锁止（这是功能性语言，不要写成车辆行驶中，转向控制继电器持续输出，这种是技术语言）。

Ⅴ、验证：确认风险分析结果的完整性、无误性和项目定义文档的一致性。

3、安全概念

建立功能安全概念：

■功能安全概念基于安全目标，从各个安全目标导出功能安全需求，考虑系统的基本架构；

■将安全需求分配到系统初始架构的各个单元中或分配给外部减少危险的举措中；

■安全需求要继承安全目标的ASIL等级。

————————————————————————

参考资料：

功能安全时间参数 - 知乎