当前位置: 首页 > article >正文

道路车辆功能安全 ISO 26262标准(9-4)—面向汽车安全完整性等级 (ASIL) 和安全的分析

article 2024/10/28 8:34:37

写在前面

本系列文章主要讲解道路车辆功能安全ISO26262标准的相关知识,希望能帮助更多的同学认识和了解功能安全标准。

若有相关问题,欢迎评论沟通,共同进步。(*^▽^*)

1. 道路车辆功能安全ISO 26262标准

9. ISO 26262-9 面向汽车安全完整性等级 (ASIL) 和安全的分析

四、安全分析

1. 目标

安全分析的目的是验证功能、行为、条款设计和要素相关的故障和失效的后果。安全分析也提供了基于条件和原因的信息,这些原因和信息能够引起违反安全目标或安全规范。

此外,安全分析也有助于新功能或非功能性风险的确认,这些风险在风险分析和危险评价过程中没有确认。

2. 通则

安全分析包括:

——安全目标和安全概念的确认;

——安全概念和安全规范的验证;

——条件和原因的确认,包括故障和失效,这能引起违反安全目标或安全规范;

——检测故障或失效的额外规则的确认;

——检测故障或失效而要求的响应(行动/测量)的确认;

——验证安全目标或要求兼容性的额外要求的确认,包括安全相关的车辆测试。

安全分析在概念和产品开发阶段的抽象阶段的合适环节开展。定量分析方法指出了失效频率,而定性分析方法确认失效但是不能指明失效频次。两种分析方法都依靠相关故障类型和故障模型的认知。

定性分析方法包括:

——在系统、设计或流程阶段的定性 FMEA;

——定性 FTA;

——HAZOP;

——定性 ETA;

注意 1:上面列出的定性分析方法可以应用在软件中,当没有更多合适的软件特定分析方法存在时。

定量分析补充了定性安全分析。它们都用来验证硬件设计是否违反了对硬件架构矩阵评价时定义的目标以及由于随机硬件失效(参见 26262-5)引起的违反安全目标的评价。定量安全分析需要额外的知识,即硬件元件的定量失效率。

定量分析方法包括

——定量 FMEA;

——定量 FTA;

——定量 ETA;

——Markov 模型;

——可靠性框图;

注意 2: 定量分析方法只能用于随机硬件失效。在 ISO26262 中,这些分析方法不能用于系统失效分析。

对于安全分析分类的其他标准,通过他们的执行方式给出:

——归纳分析方法是由底-顶的方法,从已知的原因开始,预测未知的影响;

——推理分析方法是由顶-底的方法,从已知的现象开始,推断未知的原因; 例如:系统,FMEAs 的设计和过程,ETA,Markov 模型是归纳分析方法。FTA 和可靠性功能框图是推理分析方法。

3. 本条款的输入

1. 必要条件

——在他们被应用的等级定义的安全规范:根据ISO 26262-3:2011, 8.5.1, or ISO 26262-4:2011, 6.5.1, or ISO 26262-5:2011, 6.5.1, or ISO 26262-6:2011, 6.5.1 要求的系统、硬件或软件。

——在他们被应用的安全分析等级定义的要素的架构信息: 根据ISO 26262-3:2011, 8.5.1, or ISO 26262-4:2011, 6.5.1, or ISO 26262-5:2011, 6.5.1, or ISO 26262-6:2011, 6.5.1 定义的系统、硬件或软件。

注意:架构信息用来确定安全分析的界限。

——根据 ISO26262-2:2011,6.5.1 制定的安全计划; 注意:安全计划包含了安全分析的目标。

2. 更进一步支持信息

下列信息要被考虑:

——故障模型(来自与外部源)

4. 要求与推荐要求

1. 安全分析应当根据适当的标准和指导意见执行。

2. 安全分析的结果将指明各自的安全目标和安全要求是否兼容。

3. 如果安全目标和安全规范不兼容,安全分析的结果将被用来预防措施、检测、故障或失效的影响缓解测量。

4. 源自安全分析的测量作为在系统级、硬件级、软件级产品开发的一部分执行,分别根据 ISO 26262-4, or ISO 26262-5, or ISO 26262-6。

5. 在产品研发过程中进行的安全分析时新认定的风险(不在安全目标之内)将根据 ISO26262-8 中规定的变更管理中的风险分析和危险评价中进行引入和评估。

6. 用于安全分析的故障模型与对应的开发阶段是一致的,例如,硬件设计,硬件架构矩阵评估和由于随机硬件失效(ISO26262-5)导致的违反安全目标的评估。

7. 额外的安全相关的测试实例需求是通过应用故障模型和安全分析结果决定的。

8. 安全分析根据 ISO26262-8 验证。

9. 定性安全分析将包括:

A) 可能引起违反安全目标和安全要求的故障或失效的系统级认定,起源于:

——条款或要素本身;

——条款或要素内部之间的互相作用;

——条款或要素的应用;

B) 每一个确定的故障的后果对确定违反安全目标或安全要求的潜在性的评价。

C) 每一个认定故障原因的认定。

D) 潜在安全概念弱点的认定或对认定的支持:包括在处理如潜在的故障、多点故障,公共原因失效和串行失效等异常时安全机制失效。

注意: 在条款或要素之间,条款的内部或外部的相互作用的测试应当要执行,目的是评价独立性或干扰的等级。

10. 如果应用定量安全分析,那么如下内容要包括:

A) 硬件架构矩阵评价和由于随机硬件失效引起的违反安全目标的评价而需要的定量数据(参见 ISO26262-5);

B) 可能导致违反安全目标或安全规则的故障或失效的系统级评定;

C) 潜在安全概念弱点的评价和排序,包括安全机制失效;

D) 诊断测试间隔,紧急操作间隔,在故障检测和维修之间的时间。

11. 如果定性安全分析应用来支持与定量分析要求相兼容,在这些安全分析的细节程度应到合适选择。

5. 工作成果

安全分析来自第4条。

本文章是博主花费大量的时间精力进行梳理和总结而成,希望能帮助更多的小伙伴~  🙏🙏🙏

后续内容将持续更新,敬请期待(*^▽^*)

欢迎大家评论,点赞,收藏→→→


http://www.kler.cn/news/368463.html

相关文章:

  • 【Web.路由】——路由原理
  • 快速上手机器学习-朴素贝叶斯
  • js纯操作dom版购物车(实现购物车功能)
  • shodan2---清风
  • OpenStack将运行的系统导出 QCOW2 镜像并导入阿里云
  • 对角线遍历矩阵模板
  • ELK日志收集
  • TortoiseSVN 添加日志模板
  • SQL中实现去重的多种方法
  • VMware 版本不兼容问题及解决方案
  • Spring Boot论坛网站:多用户环境的构建
  • spring 学习路线梳理(一)
  • Apache Seata 新版本集成了 RocketMQ 事务消息
  • Supabase:当开源遇上实时数据库服务
  • 如何防止服务器被渗透攻击
  • 在flask微服务中使用调度器设置定时任务:BackgroundScheduler
  • 怎样找到台式电脑的ip地址?系统不同,方法各异
  • 手机玩黑色沙漠?GameViewer远程玩黑色沙漠教程
  • 采用Excel作为可视化设计器的开源规则引擎 NopRule
  • C# 创建型设计模式之----单例模式
  • linux网络编程1——IO管理(select/poll/epoll)
  • Linux普通用户赋予Root权限问题
  • 【H2O2|全栈】CSS案例章节(一)——圣杯布局和双飞翼布局
  • 【Elasticsearch】Elasticsearch中FST的Off-Heap优化详解
  • 解决 Oracle 数据库错误 ORA-12516:监听器无法找到匹配协议栈的处理程序
  • AcWing 3534:矩阵幂 ← 矩阵快速幂