汽车电子功能安全FuSa之一:FuSa概念

admin 安全

讲汽车电子功能安全肯定离不开ISO26262标准的解读,本人也是一边看一边摸索,迫于英语词汇匮乏,原文看起来比较费劲,故萌生了翻译全篇的想法,该专栏将不定期上传英文翻译版本供大家作为参考学习;

功能安全概念

功能安全的定义

功能安全:不存在由电子电气系统的故障行为导致的危险所造成的不合理的风险;

ISO26262是这么定义的:Absence of unreasonable riskdue to hazards caused by malfunctioning behavior of E/Esystems.

功能安全定义分解

  • Risk

伤害发生的可能性和伤害程度的综合,既要考虑风险发生的概率又要考虑其带来伤害的严重程度。

  • Unreasonable

根据有效的社会道德观念,在特定情况下被判定为不可接受的风险。比如车辆在正常行驶时安全气囊弹出,这显然是不合理的风险。

  • Damage

功能安全讨论的伤害是对人身健康及生命造成的伤害。

  • Scope

另外很重要的一点是功能安全讨论的是电子电气系统故障导致的风险,如果是机械问题带来的风险则不是功能安全的范畴。

风险的度量及评估

  • 5个风险等级(QM,ASIL A, ASIL B, ASIL C, ASIL D)

ASIL: Automotive Safety Integration Level, 汽车安全完整性等级

  • QM 的意思是只要遵循标准的质量管理流程(IATF16949),无需额外的安全措施

  • ASIL X 意味着需要增加降低风险的措施

  • 每个ASIL都有与之对应的需求,在整车级别(Vehiclelevel)定义的安全目标(SafetyGoal) 是最顶层的安全需求。

风险分析与评估

从两个维度来评估风险:

  • Severity:风险的严重程度(对人造成伤害的程度)

  • Probability: 风险发生的可能性

可能性维度又可以分为两个因素:

  • Exposure:暴露在危险情境下的几率

  • Controllability:风险发生时的可控制性

风险矩阵 Risk Matrix

根据伤害严重度(Severity),暴露可能性(Exposure),可控性(Controllability)的组合可以确定功能风险的等级(ASIL)。

什么是S、E、C呢?

S是(Severity)严重度

E是(Exposure)暴露可能性

C是(Controllability)可控性

故障分析手段

FTA

故障树分析(Faulttree analysis)是一种自上而下的故障分析方式。从追溯失效开始,辨别出导致故障的情况或事件,从而找出导致故障的根本事件或原因。

FMEA

失效模式与影响分析(Failuremode and effects analysis)是一种自下而上的故障分析方式。对构成产品的子系统、部件逐一进行分析,找出潜在的失效模式,并分析其可能的后果,从而预先采取必要的安全措施。

功能安全的目的

ASIL等级可以看作是当前风险等级与可接受风险界限(QM)之间的距离,如果有QM以上的风险,则需要采取相应的安全措施把风险降到QM以下。需要注意的是,功能安全的目的不是彻底消除风险,而是把风险降低到一个可接受的范围,可接受的范围一般由当前的技术发展水平以及社会道德共识来决定。对当前的汽车上的电子电气系统来说,完全消除风险是不现实的。现在的车上有几十甚至上百个ECU系统,其中的代码有几亿行,随着使用时间的增长电子元器件发生故障的可能性也越来越高,更不用说由上亿行代码构成的复杂系统带来的不可预知的风险。

功能安全措施

  • 技术措施(功能冗余,检测电路,软件措施等)

  • 流程和管理措施(开发过程遵守一定的流程)

  • 提醒驾驶人有风险存在(报警灯,震动等)

评估出风险的ASIL等级后,需要采取一定的安全措施把风险降低到可以接受的范围。当达到这个目标后,我们的系统可以称为具有相应的ASIL功能安全等级,也就是说功能安全等级是和风险的等级相对应的。

功能安全需求层级

  • E/E部件实现的安全相关功能

  • 需要实现的安全目标(SafetyGoal)

  • 用来实现安全目标的功能安全需求(FunctionalSafety Requirements)

  • 用来实现功能安全的技术安全需求(TechnicalSafety Requriements)

  • 用来实现技术安全的软硬件安全需求(HW/SW Safety Requirements)

功能安全等级ASIL的分解

通过把高的ASIL安全等级目标分解成两个相互独立的低的安全等级的元素,可以降低安全目标的实现难度。前提是Element1和Element2 必须是相互独立的,即二者之间没有共因失效(Commoncause failure)和级联失效(Cascadingfailure)。

可能的ASIL等级分解组合

  • ASILD==ASILD(D)+QM(D)==ASILC(D)+ASILA(D)==ASILB(D)+ASILB(D)

  • ASILC==ASILC(C)+QM(C)==ASILB(C)+ASILA(C)

  • ASILB==ASILB(B)+QM(B)==ASILA(B)+ASILA(B)

  • ASILA==ASILA(A)+QM(A)

软件层面的安全等级分解后,不同的软件组件将会拥有不同的安全等级,那么需要避免一个低安全等级软件组件的故障导致其他高安全等级软件组件产生故障,也就是需要让这些软件组件之间免于干涉(FFI: Freedom From Interference)

本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
THE END
分享
二维码
< <上一篇
下一篇>>