入行小师妹聊功能安全(二):功能安全分析示例(上)
功能安全
原创
大家好,我是功能安全小师妹!最近功能安全工作被老板盯上了,耽误了1个月,终于来更新了…
上一篇《功能安全基础介绍》讲了点儿功能安全的基本知识,这一篇我将按照ISO 26262的安全分析来更详细的说明功能安全分析,其中会有示例说明,如果有不到位的地方,还请各位执教!
本篇文章主要内容有:
ISO 26262标准的安全分析流程 HARA分析
1
ISO 26262标准的分析流程
HARA——危害分析和风险评估,即分析哪些地方可能出错
安全目标——对应HARA的顶级安全需求
FSR——与现实无关的安全行为或安全措施规范
下一步:为架构元素或外部措施分配FSR,以实现安全概念
TSR——实现FSR的要求
HSR——硬件层级的安全要求
SSR——软件层级的安全要求
下面这张图是功能安全分析软件REANA的System Link和FUSA功能的截图,可以更清晰的看到安全设计过程与系统之间的关系。申请试用REANA软件👉添加微信:NewCarRen
最后,再根据 TSR 进一步制定出硬件安全需求(HSR)和软件安全需求(SSR)。这些就是非常具体的安全需求了,可以直接作为软硬件设计的依据,这些需求也继承了相同的 ASIL 等级。本人对硬件会比较熟悉一些,在本文中就不再介绍关于 SSR 的部分了,如有兴趣,欢迎参加牛喀网的培训课程:ISO 26262软件功能安全设计实践技术培训
2
HARA分析(以EPS为例)
HARA(危害分析和风险评估)是OEM在整车开发概念阶段的关键分析。
2.1 HARA 的定义
首先,我们先来熟悉一下标准中对 HARA 的定义:
Hazard Analysis and Risk Assessment (HARA): Moethod to identify and categorize hazardous events of items and to specify safety goals and ASILs related to the prevention or mitigation of the associated hazards in order to avoid unreasonable risk.
危害分析和风险评估:为了避免不合理的风险,对相关项的危害事件进行识别和归类的方法以及定义防止和减轻相关危害的安全目标和ASIL等级的方法。
HARA是概念阶段的工作产品,即 ISO 26262 V循环的第3部分。本标准的这一部分提供了HARA的详细说明。
危害分析:危害分析用来评估风险的ASIL等级,目的是确定ASIL水平和所需的安全状态。 风险评估:(1)危害识别:识别可能造成危害的危害和风险因素;(2)风险分析和评估:通过S、E和C分析和评估与该风险相关的风险。
2.2 HARA 的分析方法和步骤
在说明分析步骤之前,我们必须明确一点:危害分析和风险评估应以相关项定义为基础。也就是说,我们必须明确相关项的定义,要熟悉产品的功能和失效。
一是给出相关项的功能和非功能性的要求,以及相关项和环境之间的依赖性;二是定义好相关项的边界、接口以及提出相关项与其他要素或者其他相关项之间的交互。这样我们才能对产品进行进一步的分析。
接下来我们看 HARA 分析包含以下步骤:
第一步:Scenarios Analysis(场景分析)
场景分析需要考虑的而因素可包括:
车辆使用场景,例如高速驾驶、城市驾驶、停车、越野;
环境条件:例如路面摩擦,侧风;
合理可预见的司机使用和误用;
操作系统之间的交互;
T&B基地车辆、车辆配置和车辆操作
我们可以采用HAZOP、FMEA、头脑风暴等方法针对系统涉及的功能逐一分析,找出每个功能对应的故障。
HAZOP 的分析方法可见SAE J2980,下图是REANA软件中的一个HARA template视图。
通过上述获取的场景和故障,将描述所有可能的危险、影响车辆级别的危险、系统级别的危险以及最坏情况下的事故。
第三步:Classification of Hazardous Events(危害事件分类)
图5:ASIL 等级计算
图6:EPS 的 27 个功能
在车辆使用寿命期间,根据 7 个变量及其状态(车辆速度、路面类型、交通情况、路面状况、能见度、存在的行人和驾驶状态),如表 1 所示,这些变量及其状态是根据当前的行业惯例确定的。可组合出 26 种使用场景。以下是两个示例:
高速行驶(100 kph ≤ V < 130 kph)、交通拥堵、良好的能见度和良好的路况
中速行驶(40 kph ≤ V < 100 kph),驶出或驶入匝道,不受交通、能见度或道路状况的影响
第二步:故障判定
以表3中的 H1 为例
情景分析:高速行驶(100 kph ≤ V < 130 kph),交通拥堵,能见度好,路况良好
潜在破坏场景:车辆撞上另一辆车或者障碍物
ASIL 评估:
严重度为 S3
与另一车辆正面/侧面相撞,或翻车。超过10%的可能性是 AIS 5-6。
暴露度为 E4
这种情况经常发生(占开车时间的10%)
可控度 C3
这种情况很难控制,特别是在转向系统失效的情况下
以上就是功能安全分析流程和HARA分析步骤的介绍,下篇,我将再为大家讲解关于安全目标的制定和硬件功能安全分析FMEDA。