ISO 26262系列文章之——1,2 功能安全总则

目录

A 先导

A.1 文章提要

A.2 关于安全的法规

A.3 适用范围

A.4 ISO 26262的目的

A.5 ISO 26262标准的概要

A.6 功能安全设计中所涉及对象

A.7 ISO 26262- 2018与 ISO 26262-2011的文档差异性

A.8 ISO 26262-2018与 ISO 26262-2011的工作成果差异性

1 术语

1.1 安全

1.2 功能安全FS

1.3 风险

1.4 伤害

1.5 相关项

1.6 系统

1.7 组件

1.8 硬件组件

1.9 要素

1.10 架构

1.11 功能概念FC

1.12 功能安全概念FSC

1.13 功能安全要求FSR

1.14 安全状态

1.15 汽车安全完整性等级ASIL

1.16 开发接口协议DIA

1.17 分布式开发

1.18 技术安全概念TSC

1.19 技术安全要求TSR

1.20 车辆交互VC

2 功能安全实现的5个步骤

2.1 图示流程

2.2 步骤流程


 

A 先导

A.1 文章提要

本文是针对ISO 26262-2018展开,ISO 26262是以IEC 61508为基础,提供一整套方法和流程,来保证所开发的电子电气系统满足功能安全要求,通过功能安全总则、概念阶段、系统开发、软硬开发等多篇文章总结ISO 26262内容,着重于乘用车的相关内容,此篇为“功能安全总则”的总结。

A.2 关于安全的法规

SOTIF预期安全 ISO 21448
EE功能安全

ISO 26262

GB/T 34590

GB 18384

机械功能安全 ISO 13849
V2X安全 ISO 20077
信息安全 ISO 21434

A.3 适用范围

ISO 26262-2018适用于安装在乘用车、卡车、公共汽车、两轮机动车的一个或多个电子电气系统。

A.4 ISO 26262的目的

将安全风险和危害降低到可接受范围(风险和危害不可能完全被消除)

ISO 26262系列文章之——1,2 功能安全总则_第1张图片

A.5 ISO 26262标准的概要

ISO 26262中共12个部分,涵盖车辆的整个生命周期,称为安全生命周期(safety lifecycle)是对管理、开发、生产、经营、维修、报废都有相应要求:

章节 内容 对应英文
part1 名词解释 vocabulary
part2 功能安全管理 management of functional safety
part3 概念阶段 concept phase
part4 产品开发在系统层面 product development at the system level
part5 产品开发在硬件层面 product development at the hardware level
part6 产品开发在软件层面 product development at the software level
part7 生产,运营,服务和报废 production ,operation,service and decommissioning
part8 支持过程 supporting processes
part9 车辆安全完整性等级导向与安全导向分析 automotive safety integrity level(ASIL)-oriented and safety-oriented analyses
part10 ISO 26262指南 guidelines on ISO 26262
part11 ISO 26262对半导体器件的应用指南 guidelines on application of ISO 26262 to semiconductors
part12 ISO 26262对摩托车的适用性 adaptation of ISO 26262 for motorcycles

ISO 26262系列文章之——1,2 功能安全总则_第2张图片

ISO 26262系列文章之——1,2 功能安全总则_第3张图片

 

A.6 功能安全设计中所涉及对象

汽车行业开发商

●主机厂

●供应商

  —系统开发:如动力控制系统

  —零部件开发:电子控制器、电机、电池

  —元器件开发:汽车MCU、电源芯片、通讯芯片等

安全相关项目人员

●公司管理:产品主管、研发主管、质量主管

●项目管理:项目经理、产品经理

●研发人员:系统工程师、软/硬件工程师、测试工程师、质量工程师

涉及相关系统

●驾驶辅助

●动力系统

●主动和被动安全

动力系统

●发动机控制EMS

●自动变速箱控制TCU

●动力电池控制BMS

●动力电机控制MCU

●整车控制器VCU

●三合一控制CDU

●.....

底盘系统

●ABS

●车身稳定系统ESC

●自适应悬架系统

●牵引力控制系统TCS

●紧急制动辅助系统AEBS

●电动助力转向系统EPS

●泊车系统APA

●....

车身系统

●安全气囊

●胎压监测系统

●大灯照明系统

●....

辅助驾驶

●紧急制动辅助

●车道偏离预警系统

●自适应巡航系统

●ADAS

●....

A.7 ISO 26262- 2018与 ISO 26262-2011的文档差异性

序号 part 2018 2011 备注
1 1:vocabulary 章节目标描述更清晰 章节目标描述较为笼统 目标细化
2

总共12部分,新增:

part11:ISO26262对半导体器件的应用指南

part12:ISO26262对摩托车的适用性

总共10个部分 增加2个部分
3

适用范围:

乘用车、卡车、公共汽车、拖车和半拖车道路车辆

适用范围:

最大质量为3.5吨的乘用车

适用范围扩大
4 增加“安全异常管理” 管理范围扩大
5 增加“卡车、公共汽车、拖车和半拖车的相关的交互与集成” 适用范围扩大
1 2:功能安全管理

2-6:“依赖于项目的安全管理”

2-7:“生产、运行、服务和报废的安全管理”

2-6:“概念阶段和产品开发过程中的安全管理”

2-7:“相关项生产发布后的安全管理”

名称变更
2

2-5增加:

“关于功能安全的安全异常管理”

“建立功能安全和网络安全的沟通渠道”

增加
3

2-6增加:

“基于要素的影响分析”

“基于相关项的影响分析”

“功能安全概念”

“技术安全概念”的认可评审

增加
4 增加“附录E 功能安全与网络安全潜在互动指南” 增加
5 “生产发布”调整到2-6 “生产发布”位于4-11 移动
6 “基于要素的影响分析”调整到2-6 “基于要素的影响分析”位于3-6 移动
7 “附录D 验证评审概览” 删除
1 3:概念阶段 增加卡车、公共汽车、拖车和半拖车的危害分析和风险评估 增加
2 附录B中,增加“卡车、公共汽车、拖车和半拖车基于运行场景持续时间的暴露概率分级”和“卡车、公共汽车、拖车和半拖车基于运行场景频率的暴露概率分级” 增加
3 如果几个不太可能的情况组合在一起,导致暴露的可能性比E1低,则对E1&S3&C3风险矩阵组合,可以从ASIL A变为QM E1&S3&C3风险矩阵组合,对应ASIL A 修改
4 工作成果“安全分析”位于2018:2-6“依赖于项目的安全管理” 工作成果“安全分析”位于2018:3-6 移动
1 4:产品开发在系统层面 “项目计划”、“安全计划”、“相关项集成和测试计划”、“验证计划”、“功能安全评估计划”移动合并到2-6里 4-5 工作成功包括:“项目计划”、“安全计划”、“相关项集成和测试计划”、“验证计划”、“功能安全评估计划” 移动
2 将2011:4-6和2011:4-7合并为2018:4-6“技术安全概念”

4-6:“技术安全要求的定义”

4-7:“系统设计”

合并
3 “确认计划”位于2018:2-6“依赖于项目的安全管理” “确认计划”位于2011:4-9“安全确认” 移动
1 5:产品开发在硬件层面 “安全计划”位于2018:2-6“依赖于项目的安全管理” “安全计划”位于2011:5-5“启动硬件层面产品开发” 移动
2 删除2011:5-附录F“比例因子的应用” 删除
3

增加:

2018:5-附录F“满足9.4.2目标的示例”、

2018:5-附录G“由两个系统组成的项目的PMHF预算分配示例”、

2018:5-附录H“潜在故障处理示例”

 

增加
1 6:产品开发在软件层面 “软件验证计划”位于2018:2-6“依赖于项目的安全管理” “软件验证计划”位于2011:6-5“启动软件层面的产品开发” 移动
2 “软件验证报告”位于2018:6-9“软件单元测试” “软件验证报告”位于2011:6-8“软件单元测试” 移动
3 扩充2018:6-附录B“基于模型开发”内容 2011:6-附录B“基于模型开发” 扩充
4 扩充2018:6-附录E“软件体系架构级安全性分析和依赖性故障分析的应用” 增加
1 7:生产与运行 将2011:7-5“生产”拆分为2018:7-5“生产、运营、服务和报废计划”和2018:7-6“生产” “生产位于2011:7-5 拆分
1 8:支持过程 新增2018:8-15“与超出ISO26262的应用程序建立接口”,用于卡车、公共汽车、拖车和半拖车 新增
2 新增2018:8-16“未根据ISO26262开发的安全相关系统的集成”,用于卡车、公共汽车、拖车和半拖车 新增
1 9:基于ASIL和安全的分析 新增2018:9-附录B“要素共存和需求分析的示例架构” 新增
2 新增2018:9-附录C“识别相关失效的架构” 新增
1 10:ISO 26262指南 新增2018:10-12“具有安全相关可行性要求的系统开发指南” 新增
2 新增2018:10-13“评价“所使用软件工具的置信度”” 新增
3 新增2018:10-14“安全相关特性指南” 新增
4 删除2011:10-附录A“ISO26262和微控制器” 删除

A.8 ISO 26262-2018与 ISO 26262-2011的工作成果差异性

ISO 26262-2018 ISO 26262-2011 对比分析
part2:功能安全管理 part2:功能安全管理
章节 名称 具体内容 章节 名称 具体内容
2-5 整体安全管理 5.5.4已确认的安全异常报告 2-5 整体安全管理 / 增加一个工作成果
2-6 依赖项目的安全管理 6.5.1相关项层面的影响分析 2-6 概念阶段和产品开发过程中的安全管理 6.5.2项目计划

①增加2个分析成果

②删除项目计划成果

③原内容调整,具体见文档差异分析

6.5.2要素层面上的影响分析
2-7 生产、运营、服务和报废方面的安全管理 7.5.1关于生产、运营、服务和报废的安全管理证据 2-7 相关项生产发布后的安全管理 7.5现场监控的证据 章节内容调整,具体见文档差异分析
part3:概念阶段 part3:概念阶段 分析
 / / / 3-6 安全生命周期启动 6.5.1 影响分析 删除旧版章节
6.5.2 安全计划
3-6 危害分析和风险评估 / 3-7 危害分析和风险评估 7.5.2 安全目标 删除旧版里的安全目标成果
part4:产品开发在系统层面 part4:产品开发在系统层面 分析
4-5 系统级产品开发概览 / 4-5 启动系统层面产品开发

5.5.1项目计划

5.5.2安全计划

5.5.3相关项集成和测试计划

5.5.4确认计划

5.5.5功能安全评估计划

删除旧版工作成果
4-6 技术安全概念 / 4-6 技术安全要求的定义 6.5.2系统验证报告

①旧版第6,7章内容合并到第6章

②删除旧版3项工作成果

③新增1项工作成果

/ 6.5.3确认计划
6.5.6系统架构设计,软硬件接口规范、生产、运行、服务和报废的需求规范和技术安全概念的验证报告 4-7 系统设计 7.5.5系统验证报告
4-7 系统与相关项的集成与测试 4-8 相关项集成和测试 8.5.1相关项集成和测试计划 删除旧版的集成和测试计划成果
4-8 安全确认 8.5.1包括安全确认环境描述的安全确认规范 4-9 安全确认 9.5.1确认计划

①旧版第9、10章内容合并到新版第8章

②删除旧版第11章

③删除旧版确认计划

④新版新增1项确认规范成果

9.5.2确认报告
8.5.2安全确认报告 4-10 功能安全评估 10.5.1功能安全评估报告
/ 4-11 生产发布 11.5.1生产发布报告
part5:产品开发在硬件层面 part5:产品开发在硬件层面 分析
/ / / 5-5 启动硬件层面产品开发 5.5安全计划 删除旧版章节
5-10 硬件集成和测试 10.5.1硬件集成和验证规范 5-10 硬件集成和测试 / 新版新增1项工作成果
part6:产品开发在软件层面 part6:产品开发在软件层面 分析
6-5 软件级产品开发概览 5.5.1软件开发环境文档 6-5 启动软件层面产品开发

5.5.1安全计划

5.5.2软件验证计划

5.5.3模型语言和编程语言的设计和编码指南

5.5.4工具应用指南

①删除旧版工作成果

②新版新增1项工作成果

6-7 软件架构设计 / 6-7 软件架构设计

7.5.2安全计划

7.5.3软件安全需求规范

删除旧版2项工作成果
6-8 软件单元设计和实现 / 6-8 软件单元设计和实现 8.5.3软件验证报告 删除旧版1项工作成果
6-9 软件单元测试 / 6-9 软件单元测试 9.5.1软件验证计划 删除旧版1项工作成果
6-10 软件集成和测试 / 6-10 软件集成和测试 10.5.1软件验证计划 删除旧版1项工作成果
6-11 软件安全要求验证 / 6-11 嵌入式软件测试 11.5.1软件验证计划 删除旧版1项工作成果
6-附录C 软件配置 / 6-附录C 软件配置 C.5.3安全计划

①删除旧版2项工作成果

②新版新增2项工作成果

C.5.6软件验证计划
C.5.8软件架构设计规范 /
C.5.9软件开发环境文档
part7:生产与运行 part7:生产与运行 分析
7-5 生产、运行、服务和报废计划 5.5.10救援服务说明的安全相关内容 / / / 新版新增1项工作成果
part8:支持过程 part8:支持过程 分析
8-12 软件组件的鉴定 12.5.3软件组件质量验证报告 8-12 软件组件的鉴定 12.5.3安全计划

①删除旧版1项工作成果

②新版新增1项工作成果

8-14 在用证明 / 8-14 在用证明 14.5.1安全计划 删除旧版1项工作成果
8-15 与超出ISO26262范围的应用程序的接口 15.5.1基本车辆制造商或供应商指南

/

/ / 新版增加章节内容
8-16 未按ISO26262开发的安全相关系统的集成 16.5.1安全理由 / / /

1 术语

1.1 安全

safety,风险降到可接受范围,即认为是安全

1.2 功能安全FS

functional safety,不存在由电子电气系统的功能异常表现引起的危害而导致不合理的风险

1.3 风险

risk,伤害的严重性和出现伤害的概率的组合:Risk=严重度*概率

1.4 伤害

harm,对人身的损害或对人健康的损害

不考虑对物的影响

1.5 相关项

item,实现整车基本功能的系统或一组系统

1.6 系统

system,一组元素,至少包括传感器、控制器、执行器,如ABS系统、制动系统等

1.7 组件

component,非系统级别的元素,在逻辑上可分离的单元,如速度传感器、雨量光传感器

1.8 硬件组件

hardware part,不能再进一步划分的硬件,如电阻、电容、MCU等

1.9 要素

element,系统或系统的一部分,包含组件、硬件、软件或软件单元

1.10 架构

architecture,相关项、功能、系统或要素的结构的表征,用于识别结构模块及其边界和接口,并包括硬件和软件要素的要求分配

1.11 功能概念FC

functional concept,为实现预期的表现所必须的各功能及其交互的定义

1.12 功能安全概念FSC

functional safety concept,为实现安全目标,定义功能安全要求及相关信息,并将要分配到架构要素上,以及定义要素之间的必要交互

1.13 功能安全要求FSR

functional safety requirement,定义了独立于具体实现方式的安全行为或独立于具体实现方式的安全措施,包括安全相关的属性

1.14 安全状态

safety state,没有不合理风险的相关项的运行模式

1.15 汽车安全完整性等级ASIL

automotive safety integrity level,分A/B/C/D四个等级,每一个等级定义了相关项或要素的必要的要求和安全措施,以避免不合理的残余风险,D最严格,A等级最低

1.16 开发接口协议DIA

development interface agreement,客户与供应商间的协议,协议规定了双方在相关活动中各自承担的责任,应提供给对方的证据或工作成果

1.17 分布式开发

distribute development,在客户和供应商之间分配整个相关项、要素或子系统开发责任的相关项或要素的开发

1.18 技术安全概念TSC

Technical safety concept,制定技术安全需求,满足功能安全要求的系统架构

1.19 技术安全要求TSR

Technical safety requirement,满足安全目标SG或功能安全需求FSR,由功能安全需求FSR在技术层面派生出的可实施的安全需求

1.20 车辆交互VC

vehicle capability

2 功能安全实现的5个步骤

2.1 图示流程

ISO 26262系列文章之——1,2 功能安全总则_第4张图片

2.2 步骤流程

Step1:

明确产品是否需要功能安全?

●先定义产品,产品需要综合单件成本、制造难度、可靠性要求等来明确产品的功能,再从功能明确是否需要功能安全:

①、功能失效会导致危害事件?

②、功能丧失会导致危害事件?

③、危害分析和风险评估来证明需要ASIL。

Step2:

构建安全管理组织架构和项目团队

①项目团队:

  —开发团队与审核团队要独立

项目经理

project manager

●管理项目进度

安全经理

safety manager

●参加过第三方公司组织的功能安全培训并获得证书

●管理项目运作是否符合安全活动

●项目经理不能兼职安全经理

项目成员

project members

●参加过第三方公司组织的功能安全培训
公司的功能安全管理专家团队

●来自本公司不同的部门或组织的人员,即在管理,资源和发布权限方面与负责相关工作成果的部门是独立的

●参加过第三方公司组织的功能安全培训并获得证书

合作伙伴

partner

●非本公司员工

●参加过第三方公司组织的功能安全培训并获得证书

第三方咨询公司/认证机构

consult

TUV SGS Exida

②构建管理组织架构:

  —制定流程制度、为安全工作的协调和监控提供框架

功能安全管理内容

●定义安全生命周期模型

●需要创造培养公司的安全文化

●定义相关部门、人员的职责

●确保人员能力资质

●确保足够的质量管理工作

功能安全管理目的

●定义安全管理角色和职责

●计划安全获活动,如创建安全计划

●确认定义措施

功能安全管理过程中,要确保项目在整个开发中

●每个项目成员都知道相关要求

●执行所有的安全活动

产品开发阶段的管理 项目层面的管理
产品发布后的管理 产品发布后的可控
公司或组织层面的管理

●参考组织架构1 :

ISO 26262系列文章之——1,2 功能安全总则_第5张图片

●参考组织架构2 :

ISO 26262系列文章之——1,2 功能安全总则_第6张图片

●参考组织架构3 :

ISO 26262系列文章之——1,2 功能安全总则_第7张图片

 

 

 Step3:确定需要考虑的危害事件

①通过系统的危害分析和风险评估,确定需要考虑的危害事件:

例如:高速路行驶时

           -安全气囊意外弹开;

           -制动系统失效,无制动力输出

           -...

②根据危害分析和风险评估确定ASIL等级。

③对每个可识别的危害事件,定义相应的安全目标(safety goal)

例如安全目标:车辆正常行驶时,安全气囊不能弹开

Step4:进行系统、软硬件设计和开发

①根据安全目标,做出功能安全概念(functional safety concept),安全概念包括:

   -系统基本架构;

   -达到并保持安全的技术措施。

②根据安全概念,进行系统层技术安全概念(technical safety concept)、软硬件的设计和开发;

③开发中,采取必要的安全措施和验证活动。

Step5:验证

①通过安全确认的手段和方法,确保所开发的项目满足分配的安全目标;

②产品生产导入、销售。

————————————————————————

参考资料:

iso26262之2018版与2011版主要内容对比与分析…_汽车功能安全-商业新知

 

 

你可能感兴趣的:(车辆功能安全,安全,汽车)