滚动新闻

汽车安全相关系统的安全分析(组图)安全篇

汽车安全相关系统的安全分析

汽车行业中与安全相关的 E/E 系统的大部分开发都与功能安全密切相关。符合ISO26262标准的安全分析是功能安全系统开发的关键内容。 ISO26262针对安全分析方法提供了行业特定的标准建议,那么汽车安全相关系统的分析方法有哪些,如何理解和区分并使用相应的分析方法进行安全系统分析小机型法宇航72安全性,支持我们开发符合ISO26262的产品标准,在本文中,我们将对此进行扩展,介绍常见的汽车安全相关系统开发中的分析方法及其最佳应用实践。

安全分析的目的

从汽车安全分析的目的说起,为什么我们在开发与安全相关的汽车电气和电子系统时需要进行安全分析。

ISO26262 将功能安全定义为不存在因电气和电子系统故障引起的危险而导致的不合理风险。通常电气和电子系统的故障是由两种故障引起的:

因此,安全分析的目的是确保由于系统或随机硬件故障而违反安全目标的风险足够低。

值得注意的是,根据 ISO 26262,对系统故障的分析并未讨论其发生的概率。但是,针对系统性故障的措施有助于降低违反安全目标或安全要求的总体风险。

安全分析范围

安全分析的范围包括:

安全分析的实施

根据应用程序,安全分析通过以下方式实现:

即对于待分析的相关项目,根据其安全概念,通过HARA分析得到安全目标,推导安全要求,进一步考虑故障和失效,确定附加安全要求以检测这些故障或故障,然后确定安全要求。检测到故障或故障,确定所需的响应操作或措施,最后确定其他措施,以验证我们采取的安全措施是否满足相应的安全需求和/或安全目标。

安全分析方法介绍

安全分析方法可以从不同的角度进行分类。从量化的角度小机型法宇航72安全性,分为定性安全分析方法和定量安全分析方法。从分析执行过程的角度,可分为归纳安全分析法和演绎安全分析法。

定性方法和定量方法 定性安全分析方法

定性安全分析方法主要有:

定性分析方法适用于没有更合适的具体分析方法的软件安全分析。

定量安全分析法

定量安全分析方法是定性安全分析方法的补充方面,主要用于基于硬件架构指标和随机硬件故障指标的评估。由此产生的安全目标违规评估定义了目标验证硬件设计(详见 ISO26262-5:2018 第 8 和 9 条)。定量安全分析需要额外了解硬件元件的定量故障率。

定量安全性分析方法包括:

小机型法宇航72安全性_321机型安全吗_法性与佛性与觉性

定性分析与定量分析的区别与联系

阐明定性分析和定量分析之间的联系和区别。

定性分析与定量分析的区别

两者的区别在于定量分析预测故障率,而定性分析识别故障但不预测故障率。定性安全分析方法具有通用性,可应用于系统级、硬件级和软件级。定量安全分析需要额外了解硬件元件的定量故障率。在ISO26262中,用于验证硬件架构设计指标的评估,评估随机硬件故障对安全目标的违反情况。

定性和定量分析的联系

两者都依赖于对相关故障类型或故障模式的了解。定量安全性分析是对定性分析的补充。在工程应用中,两者应结合使用。

归纳和演绎分析

安全分析方法的分类除了定性和定量的分类方法外,还可以按其执行方式分为归纳分析和演绎分析。

归纳和演绎分析

归纳分析方法被称为自下而上的方法,从已知原因开始,然后自下而上,推导出这些原因可能产生的后果,以识别可能的故障。相比之下,演绎分析是一种自上而下的方法,从已知后果开始,寻找可能的原因。

常见的安全分析方法

工程应用中有多种安全分析方法。如常用的失效模式和影响分析(FMEA)方法和故障树分析(FTA)方法。 ISO26262框架中的FMEA和FTA是分析相关项目和要素失效的两种常用方法。如果开发的系统有相应的 ASIL 要求,我们通常会使用失效模式影响和诊断叠加分析 (FMEDA),也可能会使用事件树分析 (ETA) 或可靠性框图 (RBD) 等方法进行安全分析相关活动。

失效模式及影响分析

故障模式和影响分析 (FMEA) 是最早的故障分析系统技术之一,由可靠性工程师在 1940 年代后期开发,用于研究军事系统故障可能导致的问题。在 1970 年代,它作为国际标准被引入汽车行业。目前业界多采用FMEA手册(图业务发展。

图 1FMEA 参考手册

由 OEM 和一级供应商问题专家 (SME) 组成的全球团队编写,FEMA 手册将 AIAG 和 VDA 方法的最佳实践整合到一个统一的结构化方法中,该方法涵盖设计 FMEA、过程 FMEA 和补充 FMEA 内容,用于监控和系统响应。 FMEA主要针对技术风险,是一种在产品设计和生产过程中进行预防性质量管理和监控的分析方法。

FMEA分析方法的最大特点是从系统各结构元件的失效原因分析中,推导出元件失效对系统的影响,从而针对潜在的不可接受的失效制定优化措施。与汽车行业一样,FMEA 可通过定性或定量分析用于安全系统设计中的故障和故障分析。 FMEA 通常以归纳(自下而上,参见图 2) 方法)进行,重点关注系统的每个组件如何发生故障以及这些故障对系统的影响。

图 2FMEA 图,自下而上的方法

故障模式影响及诊断分析

故障模式、影响和诊断覆盖率分析 (FMEDA) 方法最早由 exida 在 1990 年代开发。 2011年,ISO26262功能安全标准采用FMEDA作为标准推荐的分析方法。 FMEDA 方法可以看作是 FMEA 方法的定量扩展,因为 FMEDA 考虑了分析的硬件元素的量化故障率数据。即这些要素的故障率和故障模式分布,并考虑相应故障模式的安全机制及其诊断覆盖率,从而检测出关键的故障模式。

FMEDA方法主要用于硬件架构设计和硬件详细设计阶段。我们需要在硬件设计级别计算硬件架构指标,例如单点故障指标和潜在故障指标。在硬件设计过程中,FMEDA工作表用于计算统计硬件相关指标数据(如SPFM、LFM)。迭代使用FMEDA方法改进硬件设计。

故障树分析

故障树分析 (FTA),由贝尔实验室在 1960 年代初期开发,用于评估弹道导弹的发射系统。该分析方法于 2006 年被 IEC 标准化,并被 ISO26262 等汽车行业标准引用为潜在或建议的分析方法。

我们可以定性或定量地应用 FTA。例如,从定性失效分析开始,然后我们用定量数据进一步加强分析以获得分析的定量变体。

与FMEA相比,FTA是一种演绎或自上而下的分析方法(见图3)),可以帮助我们识别可能导致定义的top失效的底层事件或底层事件组合事件。通常,顶级事件是违反安全目标或违反源自安全目标的安全要求的不良系统事件。

图 3 FTA 图,自上而下的方法

如果我们想创建故障树分析,我们可以从不良事件开始,然后逐步创建图形树结构,其中可能导致不良事件的潜在原因的交互表示为布尔逻辑运算,即与门、或门、非门等图形符号表示。 FTA 的定量变异分析可用于计算我们的第三个硬件相关指标 PMHF 指标,这也是 ISO26262 推荐的方法。

安全分析方法的综合应用

在实际工程应用中,这两种分类方式可以相互结合,形成如图4所示的分类方案。在安全相关的EE系统开发中,通过结合top-down(如FTA)和bottom-向上的方法(例如 FMEA),可以确定半导体组件的详细故障模式,并在元素级别组合应用。从低层抽象入手,对半导体元器件的失效分布进行定量准确的评估,失效分布基于定性分布假设。

图4 分析方法的分类与综合

E/E 系统由许多组件和子组件组成。 FTA 和 FMEA 可以结合起来提供自上而下和自下而上方法的全面和互补的安全分析。图 5 显示了 FTA 和 FMEA 的可能组合。图中的基本事件源自不同的 FMEA(在此示例中标记为 FMEA A-E),这些 FMEA 源自在较低抽象级别(例如子组件、组件或组件级别)执行的分析。在此示例中,基本事件 1 和 2 源自 FMEA D 中发现的故障,而 FMEA B 中的故障未在故障树中使用。

图5 FTA和FMEA综合分析示意图

参考:ISO 26262-2:2018(完整),道路车辆 - 功能安全

(待续……)