没有合适的资源?快使用搜索试试~ 我知道了~
首页道路车辆功能安全——ISO26262标准
资源详情
资源推荐
附录 B 危险分析和风险评估
给出了危险分析和风险评估的一般解释
对于这种分析方法,风险(R)可在危险事件被描述为一个函数(F),与危险事件的发
生频率(f),即通过的人的及时反应避免特定的伤害或损害能力,损害或损伤的可控性(C),
以及潜在的严重程度(S)有关。
R = F(f,C,S)
发生的频率 f 有以下几个因素确定,一个需要考虑的因素是危险事件的频繁度和在危险
事件涉及的人数。在 ISO26262 中,这个的度量是简化成暴露于危险中的可能性(E)。另一
个因素是,有可能导致危险事件(故障率,λ)的产品故障率,故障率的特点是硬件随机故
障和系统性故障:
f = E.λ
危险分析和风险评估用来设置功能安全要求,这样项目风险是可以避免的。ASILs 等级
导出的危害分析和风险评估确定出项目的功能安全要求最小集合。
ISO26262-4 系统级产品开发
5、系统级产品开发启动
系统级产品开发启动的目标是确定和规划在系统开发各个子阶段的功能安全活动。这部
分内容在 ISO26262-8 中也有描述。系统级安全活动包含在安全计划中。
系统开发的必要活动如下图所示,产品开发启动和技术安全需求说明之后是系统设计。
在系统设计过程中,系统体系结构建立以后,技术安全要求被分配到的硬件和软件部分,如
果合适的话,分配到其它技术。从系统架构所增加产生的需求,包括硬件,软件接口(HSI),
对技术安全要求进行细化,依据体系结构的复杂性,对子系统的需求依次地导出。之后,硬
件和软件部分进行集成和测试,然后进行装车测试。一旦到装车测试的水平,执行安全确认,
以提供达到安全目标的功能安全证据。系统级产品开发启动的安全活动是计划设计和集成过
程中适当的方法和措施。
6、技术安全需求制定
这个阶段的第一个目标是规范技术安全需求。该技术安全需求说明细化了功能安全的概
念,同时考虑功能性的概念和初步的体系架构。第二个目标是通过分析技术安全需要来验证
符合功能安全需求。
在整个开发生命周期,技术安全需求是要落实功能安全概念的技术要求,其用意是从细
节的单级功能安全要求到系统级的安全技术要求。
技术安全需求规范
技术安全需求规范技术安全需求规范
技术安全需求规范
技术安全需求应符合功能安全的概念,项目的初步架构和系统相关属性:
1、外部接口,如通信和用户界面;
2、限制,例如环境条件或功能限制;
3、系统配置要求。
如果其他功能或要求由系统或其部件来实现,除了技术安全需求规范规定的那些功能,
那么其他要求应作为他们的规范或做参考。其它要求比如:经济委员会(欧洲经委会)的规
则,联邦机动车辆安全标准(FMVSS)或公司的平台战略。
技术安全需求须指明安全相关的依赖关系,系统之间或项目之间,项目与其他系统之
间。
安全机制
安全机制安全机制
安全机制
技术安全需求应指定系统或要素达到安全目标的影响因素,包括每个相关的工作模式和
系统定义的状态的失效和相关因素的组合。比如,如果车辆稳定性控制的制动系统是不可用
的,自适应巡航控制系统(ACC)ECU 禁用 ACC 功能。
技术安全需求规定的必须的安全机制包括:
1、 系统本身的检测,指示和故障控制措施,包括系统或元件来检测随机硬件故障,
检 测系统故障的自我监控措施,包括检测和控制通信信道失效模式的措施(例如,数据接
口,通信总线,无线射频链路)。
2、 检测,指示和与该系统交互的外部设备的故障控制的措施,比如,外部设备包括
其 它电子控制单元,电源或通信设备。
3、 使系统达到或维持安全状态的措施。这包括在相互冲突的安全机制的情况下优先
级 和仲裁逻辑情况。
4、 细化和实现警告和降级概念的措施
5、 防止故障被隐藏的措施
为使项目达到或维持一个安全状态的安全机制应规定:
1、 安全状态的切换
2、 容错的时间间隔
3、 如果安全状态不能立即达到,应确定应急操作的时间间隔
4、 维持安全状态的措施
ASIL
ASILASIL
ASIL 分解
分解分解
分解
按照 ISO26262-9:2011,第 5 条款
潜在故障的避免
潜在故障的避免潜在故障的避免
潜在故障的避免
制定安全机制以防止故障被隐藏。关于随机故障,只有多点故障有可能包含潜在故障,
比如,在线测试,在不同的操作模式如上电,掉电,在运行时或在额外的测试模式下,来检
测潜在故障,以验证组件状态的安全机制。阀门,继电器或指示灯功能测试是这样的在线测
试的例子。
识别防止故障被潜伏的安全措施的评估标准来自于良好的工程实践。潜在故障的度量,
在 ISO26262-5:2011,第 8 条款给出,提供评价标准。
适用于 ASIL 的技术安全需求应避免多点故障失效,确定多点故障检测间隔时,应考虑
以下因素:
1、根据硬件的可靠性考虑它在体系中的角色
2、相应的危险事件曝光的概率
3、由违反安全目标的硬件随机失效概率规定量化目标值
4、分配的 ASIL 等级对应的安全目标
下列采取的措施依赖于时间限制:
-定期测试运行期间,系统或元件;
-在上电或掉电时在线测试元件;
-维护期间测试系统或元件。
防止双点故障被潜伏的安全机制的开发应符合:
产品
产品产品
产品、
、、
、运行
运行运行
运行、
、、
、维护和结束
维护和结束维护和结束
维护和结束
在生产,经营,维护,维修和关闭的项目或元件的功能安全性的技术安全要求在
ISO 26262-7 中规定。
检验和确认
检验和确认检验和确认
检验和确认
技术安全要求应按照 ISO26262-8:2011,第 9 条,进行验证:
a)符合的功能安全概念,
b)遵守初步体系设计。
项目的安全确认标准应根据技术安全细化要求。
7
77
7、
、、
、系统设计
系统设计系统设计
系统设计
这个阶段的第一个目标是进行系统设计、开发符合项目技术安全需求规范的功能要求。
第二个目标是校验系统设计和功能要求。
系统设计和基于项目技术安全需求规范的技术安全概念来源于功能安全概念。为了开发
一个系统架构设计,功能性安全要求,技术安全要求和非安全相关的要求被完成。因此,在
这个阶段安全和非安全相关的要求都在这个过程中处理。
系统设计规范和技术安全概念
系统设计规范和技术安全概念系统设计规范和技术安全概念
系统设计规范和技术安全概念
技术安全要求的应分配给系统设计要素,同时系统设计应完成技术安全要求,关于技术
安全要求的实现,在系统设计中应考虑如下问题:
1、 系统设计的可验证性
2、 软件硬件的技术实现性
3、 系统集成中的执行测试能力
系统架构设计约束
系统架构设计约束系统架构设计约束
系统架构设计约束
系统和子系统架构应该满足各自 ASIL 等级的技术安全需求,每个元素应实现最高的
ASIL 技术安全需求,如果一个系统包含的子系统有不同的 ASIL 等级,或者是安全相关的子
系统和非安全相关的子系统,那么这些系统应该以最高的 ASIL 等级来处理。
安全相关的内部和外部接口应该被定义,避免其他因素影响安全相关的接口。
系统失效的避免措施
系统失效的避免措施系统失效的避免措施
系统失效的避免措施
剩余84页未读,继续阅读
Just已存在
- 粉丝: 30
- 资源: 25
上传资源 快速赚钱
- 我的内容管理 收起
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
会员权益专享
最新资源
- 利用迪杰斯特拉算法的全国交通咨询系统设计与实现
- 全国交通咨询系统C++实现源码解析
- DFT与FFT应用:信号频谱分析实验
- MATLAB图论算法实现:最小费用最大流
- MATLAB常用命令完全指南
- 共创智慧灯杆数据运营公司——抢占5G市场
- 中山农情统计分析系统项目实施与管理策略
- XX省中小学智慧校园建设实施方案
- 中山农情统计分析系统项目实施方案
- MATLAB函数详解:从Text到Size的实用指南
- 考虑速度与加速度限制的工业机器人轨迹规划与实时补偿算法
- Matlab进行统计回归分析:从单因素到双因素方差分析
- 智慧灯杆数据运营公司策划书:抢占5G市场,打造智慧城市新载体
- Photoshop基础与色彩知识:信息时代的PS认证考试全攻略
- Photoshop技能测试:核心概念与操作
- Photoshop试题与答案详解
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功