入行小师妹聊功能安全(二):功能安全分析示例(上)

功能安全

原创

大家好,我是功能安全小师妹!最近功能安全工作被老板盯上了,耽误了1个月,终于来更新了…

上一篇《功能安全基础介绍》讲了点儿功能安全的基本知识,这一篇我将按照ISO 26262的安全分析来更详细的说明功能安全分析,其中会有示例说明,如果有不到位的地方,还请各位执教!

本篇文章主要内容有:

  • ISO 26262标准的安全分析流程
  • HARA分析
牛喀网

牛喀网是一个智能汽车领域的知识共享和技术服务平台。我们汇聚来自海内外的精英从业者,精心打造一个富有激情、梦想和使命的精神家园,致力于以智慧和互联的方式,成为中国智能驾驶、清洁能源、车载互联等新汽车技术发展的创新型驱动力量。
473篇原创内容
公众号

1

ISO 26262标准的分析流程

在ISO 26262功能安全中,有大量的安全分析工作,安全分析的质量决定了功能安全项目的成败。本文根据ISO 26262标准的分析流程,对部分安全分析进行说明。
首先,我们先来看看其分析流程,ISO 26262 标准的分析流程如下图:
图1:ISO 26262 标准的分析流程图
我们先来看看上图中提到的几个词的含义:
  • HARA——危害分析和风险评估,即分析哪些地方可能出错

  • 安全目标——对应HARA的顶级安全需求

  • FSR——与现实无关的安全行为或安全措施规范

  • 下一步:为架构元素或外部措施分配FSR,以实现安全概念

  • TSR——实现FSR的要求

  • HSR——硬件层级的安全要求

  • SSR——软件层级的安全要求

下面这张图是功能安全分析软件REANA的System Link和FUSA功能的截图,可以更清晰的看到安全设计过程与系统之间的关系。申请试用REANA软件👉添加微信:NewCarRen

需求与系统的映射
FUSA中的需求
一个好产品是什么样的?对于我们汽车工程师来说,安全肯定是首位的,我们要保证使用我们开发的产品的客户在使用过程中不要受伤。所以,在产品设计前,我们需要有预判,提前去思考所有可能导致使用者处于不安全状态的情况,并且定义每种情况到底有多不安全。这就是分析的 第一步——HARA分析(危险分析和风险评估)
在 HARA 分析之后,我们会得到 ASIL 等级,我们就清楚的知道哪些情况对产品使用者不利,我们就要去思考,要加强哪些方面才能提高产品的安全性呢?我们要把这个目标定下来,并朝着这个目标前进,这就是我们的安全目标!我们需要为每个具有ASIL 等级的潜在失效模式设定安全目标。
那么,如何定义好安全目标呢?这就是第二步——安全目标定义。一般来说,安全目标为最高层面的安全要求,通常情况下,安全目标的ASIL等级即为潜在失效的ASIL等级。为了便于在功能安全概念定义阶段进行ASIL 分解降级操作,可以取整车层面的安全要求作为系统的安全目标。提出安全目标的同时,需要为该安全目标设定安全状态以及故障容错时间间隔(FTTI),安全状态指的是检测到失效以后应该进入的无风险的运行模式,而FTTI 指的是从发生失效到进入安全状态的最大允许时间间隔。我们取最高的ASIL与最低的FTTI,可以得到最终的 Safety Goals 安全目标。
所谓“仰望星空,脚踏实地”,在有梦想和目标的同时,也要付诸行动去完成。于是,我们将安全目标一步步分解,看看要做哪些事才能达到最后的安全目标。这就是分析的 第三步——基于该安全目标,制定出相应的功能安全需求(FSR)。
要实现目标,光是空想可不行!我们需要结合实际,再一次从功能安全需求中的每一步进一步在技术上具体化,一条一条的提炼出来,这就是分析的 第四步——制定技术安全需求(TSR)。TSR将继承安全目标评出的 ASIL 等级,不同的 ASIL 等级对 FSR 和 TSR 有不同的要求。

最后,再根据 TSR 进一步制定出硬件安全需求(HSR)和软件安全需求(SSR)。这些就是非常具体的安全需求了,可以直接作为软硬件设计的依据,这些需求也继承了相同的 ASIL 等级。本人对硬件会比较熟悉一些,在本文中就不再介绍关于 SSR 的部分了,如有兴趣,欢迎参加牛喀网的培训课程:ISO 26262软件功能安全设计实践技术培训

2

HARA分析(以EPS为例)

HARA(危害分析和风险评估)是OEM在整车开发概念阶段的关键分析。

2.1 HARA 的定义

首先,我们先来熟悉一下标准中对 HARA 的定义:

Hazard Analysis and Risk Assessment (HARA): Moethod to identify and categorize hazardous events of items and to specify safety goals and ASILs related to the prevention or mitigation of the associated hazards in order to avoid unreasonable risk.

危害分析和风险评估:为了避免不合理的风险,对相关项的危害事件进行识别和归类的方法以及定义防止和减轻相关危害的安全目标和ASIL等级的方法。

HARA是概念阶段的工作产品,即 ISO 26262 V循环的第3部分。本标准的这一部分提供了HARA的详细说明。

图2:ISO 26262 标准
  • 危害分析:危害分析用来评估风险的ASIL等级,目的是确定ASIL水平和所需的安全状态。
  • 风险评估:(1)危害识别:识别可能造成危害的危害和风险因素;(2)风险分析和评估:通过S、E和C分析和评估与该风险相关的风险。

2.2 HARA 的分析方法和步骤

在说明分析步骤之前,我们必须明确一点:危害分析和风险评估应以相关项定义为基础。也就是说,我们必须明确相关项的定义,要熟悉产品的功能和失效。

一是给出相关项的功能和非功能性的要求,以及相关项和环境之间的依赖性;二是定义好相关项的边界、接口以及提出相关项与其他要素或者其他相关项之间的交互。这样我们才能对产品进行进一步的分析。

接下来我们看 HARA 分析包含以下步骤:

图3:HRA分析的步骤

第一步:Scenarios Analysis(场景分析)

场景分析需要考虑的而因素可包括:

  • 车辆使用场景,例如高速驾驶、城市驾驶、停车、越野;

  • 环境条件:例如路面摩擦,侧风;

  • 合理可预见的司机使用和误用;

  • 操作系统之间的交互;

  • T&B基地车辆、车辆配置和车辆操作
第二步:Determination of Malfunction(故障判定)

我们可以采用HAZOP、FMEA、头脑风暴等方法针对系统涉及的功能逐一分析,找出每个功能对应的故障。

HAZOP 的分析方法可见SAE J2980,下图是REANA软件中的一个HARA template视图。

通过上述获取的场景和故障,将描述所有可能的危险、影响车辆级别的危险、系统级别的危险以及最坏情况下的事故。

第三步:Classification of Hazardous Events(危害事件分类)

给定义好的危险定义其可控性(C)、暴露概率(E)和严重度(S)。在此对三个指标的定义不做详细说明,需要注意的是,关于暴露概率,需要考虑暴露的频率和持续时间。三个指标的等级范围如下:
图4:SEC 指标范围
第四步:确定 ASIL 等级
根据下表中的严重度、暴露概率和可控性,可计算出 ASIL 等级:

图5:ASIL 等级计算

2.3 以 EPS 为例
我们先明确 EPS 系统的功能,这里我们采用HAZOP方法,根据 7 个HAZOP 的引导词,列出了 27 个 EPS功能。

图6:EPS 的 27 个功能

第一步:场景分析

在车辆使用寿命期间,根据 7 个变量及其状态(车辆速度、路面类型、交通情况、路面状况、能见度、存在的行人和驾驶状态),如表 1 所示,这些变量及其状态是根据当前的行业惯例确定的。可组合出 26 种使用场景。以下是两个示例:

  • 高速行驶(100 kph ≤ V < 130 kph)、交通拥堵、良好的能见度和良好的路况

  • 中速行驶(40 kph ≤ V < 100 kph),驶出或驶入匝道,不受交通、能见度或道路状况的影响

第二步:故障判定

根据定义的 27 个 EPS 功能,可生成一个包含 150 种故障的列表。然后对这些故障中的每一种进行评估以确定它们是否可能导致一种车辆级别的危险;150 种故障中的 91 种会导致一种或多种车辆级别的危险。
表 2 提供了一个示例,说明如何从 EPS 功能中导出故障并分配到车辆级别的危险。
这个过程非常枯燥和繁琐,建议大家用工具来完成,在REANA工具中,事先预置好了对应的标准库,可以自动完成大部分工作,包括S,E,C的计算。
第三步:危害事件分类

以表3中的 H1 为例

H1:非预期的车辆横向运动/非预期的偏航
  • 情景分析:高速行驶(100 kph ≤ V < 130 kph),交通拥堵,能见度好,路况良好

  • 潜在破坏场景:车辆撞上另一辆车或者障碍物

  • ASIL 评估:

    严重度为 S3 

    与另一车辆正面/侧面相撞,或翻车。超过10%的可能性是 AIS 5-6。

    暴露度为 E4

    这种情况经常发生(占开车时间的10%)

    可控度 C3

    这种情况很难控制,特别是在转向系统失效的情况下
第四步:确定 ASIL 等级
以 H1 为例,可得出 H1 的 ASIL 等级为 D
同样的方法,我们可以计算出更多的危害的 ASIL 等级,如下表:

以上就是功能安全分析流程和HARA分析步骤的介绍,下篇,我将再为大家讲解关于安全目标的制定和硬件功能安全分析FMEDA。

小师妹儿
小师妹实战经验并不丰富,希望通过不断成长,为各位兄弟们带来更好的分享!这个系列还会再继续更新,也欢迎兄弟们在评论区留言给建议,小师妹都会看的。
(0)

相关推荐