功能安全概念阶段
概述
在概念阶段着重完成相关项定义、危害识别及风险评估,并形成功能安全概念。通过概念阶段初步构建系统的架构及其基本功能,并进行车辆级、系统级、子系统级的层次性风险评估。明确所需的功能安全目标后需引入相应的功能安全措施以改善整体安全等级。
相关项定义
ISO 26262标准中对"item"的定义如下:它指的是单一系统或多个系统的集成体,在功能上能完成或部分完成整车的任务需求,并被视为功能安全研究的核心对象。此外,"item"的概念不仅限于电控单元(E/E组件),还可延伸至机械、液压、化学等多个领域。由此可见,"item"的核心属性体现在"能完成或部分完成整车的任务需求"这一本质特征上;基于组成结构,可将其划分为单系相关项(如EPS)与系组相关项(如ADAS)两大类
危害分析和风险评估
通常将安全分为绝对安全与相对安全两类。在危害分析与风险评估过程中包含两个主要步骤:第一步是识别所有潜在的危害;第二步是对这些危害进行分类。
系统分析主要从以下这些方面考虑:
识别系统各功能的关键点及其可能出现的状态变化,并对其潜在风险进行深入分析。主要可通过采用头脑风暴法等技术手段进行系统性排查;同时结合行业内的研究动态和实践案例进行辅助分析。对于具体的技术支撑,则可参考如下方法:运用FMEA(故障模式与影响评估)理论对关键节点进行风险排序;建立产品矩阵模型来全面梳理各功能间的相互作用关系;并定期开展相关领域的专题研讨活动以获取最新研究成果和技术经验。
识别相关驾驶场景。
特定情境中出现功能故障时才可能导致人员伤亡。
将功能故障与驾驶情景结合起来称为危害事件(hazard event)。
3)危害应该用在车辆上可以被观察到的条件或影响来定义或描述。
4)在相关操作条件和操作模式下,危害事件的影响应该被明确说明。
如果在危害识别中发现风险超出ISO 26262标准范围,则需制定并实施相应的应对措施。
采用三个关键指标来进行风险分类评估会更加科学合理
其中各个评价指标的具体定义如下
具体来说就是将每个评价对象的风险值计算出来之后
R=f (E,C,S)
式中,E是危害暴露的概率,C是危害的可控性,S是危害导致的伤害严重性。
| 严重度****S | S0 | S1 | S2 | S3 |
|---|---|---|---|---|
| 描述 | 无伤害 | 轻伤或中等伤害 | 重伤或致命伤(可能生还) | 致命伤(不确定生还可能) |
| 可控性****C | C0 | C1 | C2 | C3 |
|---|---|---|---|---|
| 描述 | 基本可控 | 简单可控 | 一般可控 | 难以控制或不可控 |
| 可能性****E | E1 | E2 | E3 | E4 |
|---|---|---|---|---|
| 描述 | 非常低的可能性 | 低可能性 | 中等可能性 | 高可能性 |
安全目标与ASIL等级概念
在特定条件下通过减少预防以及消除危害的发生来确保系统的正常运行与安全操作的安全要求即为安全目标。ASIL即汽车的安全完整性等级主要用来评估系统以特定概率实现预定安全目标的能力。将这些相关的目标与ASIL等级结合起来则形成了对系统的功能性与安全性所提出的全面要求。
在设定安全目标之后, 依据分级划分的原则, 考察影响安全级别的三个因素, 包括但不限于: 伤害程度的严重性, 影害发生概率以及可控程度, 最终评估系统的ASIL级别.
按照以上划分并进行组合相加得到5个ASIL等级(QM,A,B,C,D),如S/E/C均不为0
S+E+C=10 => ASILD
S+E+C=9 => ASILC
S+E+C=8 => ASILB
S+E+C=7 => ASILA
其他情况均属于QM领域,在此框架下,D级代表... ,A级代表... ,QM特指... ,该方法论要求在遵循质量管理体系的基础上完成系统或功能的开发,无需考虑安全相关的设计细节。
ASIL****分解
如果一个安全需求被划分为两个冗余的安全需求,则其ASIL等级则可分配至这两个冗余的安全需求中。这是因为系统仅在两个安全需求均不满足时才会出现失效现象;因此,在这种情况下,冗余设计允许将原始要求的保护强度部分转移至备用方案中。从而使得实现这些安全目标的成本得以降低。
ASIL分解可以在安全生命周期的不同阶段实施,并非仅限于单一层次。例如功能安全概念、系统设计等阶段均需考虑。此外ASIL等级可以分为多个级别以满足不同需求
ASILD:ASILC(D)+ASILA(D) ASILB(D)+ASILB(D) ASILD(D)+QM(D)
ASILC:ASILB(C)+ASILA(C) ASILC(C)+QM(C)
ASILB:ASILA(B)+ASILA(B) ASILB(B)+QM(B)
ASILA:ASILA(A)+QM(A)
然而,在ASIL 分解过程中,一个关键的必要条件就是确保独立性 ,即冗余单元不得依赖原有系统的功能或结构。当无法满足独立性要求时,则需按照原有的ASIL层级对冗余单元进行设计。共因失效指的是由于同一外部因素导致两个或多个冗余单元同时发生故障的情况。而级联失效则是指一个冗余单元的故障会导致另一个冗余单元受到影响甚至出现故障的情形。
功能安全概念
每个功能安全要求必须被分配至系统基础架构要素中,并依据与其相关的安全目标遵循一定规则及ASIL等级继承原则。其目的是确定系统架构基础要素(一般为相关项的基础要素)应实现的功能及其相应达到的ASIL等级。
为确保符合功能安全标准, 功能安全概念明确了核心的安全保障措施与具体防护手段, 并将其划分至系统架构的基本要素之中. 在此基础上, 通过危害分析与风险评估等方法, 结合预先确定的功能项与影响因素, 综合考虑各种内外部条件, 进一步合理规划并明确分配功能安全要求, 最终确定ASIL等级并将其科学地落实至各子系统.
安全目标和功能安全要求的层次结构
当同一架构要素承担多项功能安全需求时,该要素的设计应当基于功能安全的最高ASIL等级展开.若系统的相关组件涉及多个子系统,则每个独立子系统的功能安全需求及其接口的安全考量均需参考预想系统的整体架构所确定的安全等级,并确保所有相关的功能安全措施在实际设计中得到实施.