道路车辆功能安全-ISO26262标准 中文版

所需积分/C币:39 2015-02-28 12:50:52 29.27MB PDF

ISO26262 是IEC61508 对E/E 系统在道路车辆方面的功能安全要求的具体应用。它适用于所有提供安全相关功能的电力、电子和软件元素等组成的安全相关系统在整个生命周期内的所有活动。 ISO26262 主要包括以下几个部分: Part 1:定义 Part 2:功能安全管理 Part 3:概念阶段 Part 4:产品研发:系统级 Part 5:产品研发:硬件级 Part 6:产品研发:软件级 Part 7:生产和操作 Part 8:支持过程 Part 9:基于ASIL 和安全的分析 Part 10:ISO26262 导则
九、l$026262-9面向汽车安全完整性等级(AS|L和安全的分析. 70 考虑AS‖裁剪等级分解要求 70 2、要素共存标准.. 关联故障分析 74 安全分析 76 十、S026262-10指南 IS026262-1适用范围和主要内容 ISO26262是IEC61508对E系统在道路车辆方面的功能安全要求的具体应用。它适用 于所有提供安仝相关功能的电力、电子和软件元素等组成的安仝相关系统在整个生命周期内 的所有活动。 安全在将来的汽车研发中是关键要素之一,新的功能不仅用于辅助驾驶,也应用于车辆 的动态控制和涉及到安全工程领域的主动安全系统。将来,这些功能的研发和集成必将加强 安全系统研发过程的需求,同时,也为满足所有顶期的安全目的提供证据。 随着系统复杂性的提高,软件和机电设备的应用,来自系统失效和随杋硬件失效的风险 也日益增加,IS026262,包括其导则,都为避免这些风险提供了可行性的要求和流程。 系统安全可以从大量的安全措施中获得,包括各种技术的应用(如:机械,液压,气动, 电力,电子,叮编程电子元件)。尽管IS026262是相关与E/E系统的,但它仍然提供了基于 其他相关技术的安仝相关系统的框架 IS026262: 提供了汽车生命周期(管理,研发,生产,运行,服务,拆解)和生命周期中必要的 改装活动。 捉供了决定风险等级的具体风险评估方法(汽车安全综合等级, ASILS)-使用 ASILS 方法来确定获得可接受的残余风险的必要安仝要求。-提供了确俣获得足够的和可接受的 安全等级的有效性和确定性措施。 功能安全受研发过程(包括具体要求,设计,执行,整合,验证,有效性和配置),生 产过程和服务流程以及管理流程的影响。 安仝事件总是和通常旳功能和质量相关的研发活动及产品伴随在一起。IS026262强调 了研发活动和产品的安全相关方面。 IS026262主要用于安装在最大毛重不超过3.5吨的乘用车上的一个或多个E/系统 的安全相关系统。1S026262唯一不适用于为残疾人设计的特殊目的车辆的EE系统。系统 研发早于ISO26262出版日期的,也不在标准的要求之内。IS026262表述∫由E/E安全相关 系统,包括这些系统的互相影响,故障导致的可能的危险行为,不包括电击,火灾,热,辐 射,有毒物质,可燃物质,反应物质,腐蚀性物质,能量释放及类似的危险,除非这些危险 是由于E/E安全相关系统故障导致的 ISO26262对EE系统的标称性能没有要求,对这些系统的功能性性能标准也没有什么 要求(例如:主被动安全系统,刹车系统,ACC等) IS026262主要包括以下几个部分: Part 定义 Part2:功能安全管理 Part3:概念阶段 Part4:产品研发:系统级 Part5:产品研发:硬作级 Part6:产品研发:软件级 Part7:生产和操作 Part8:支持过程 Part9:基于ASIL和安全的分析 Part10:IS026262导则 IS0262622功能安全管理 IS026262是IEC61508对E/E系统在道路车钠方面的功能安全要求的具体应用。它适用 于所有提供安仝相关功能的电力、电子和软件元素等组成的安仝相关系统在整个生命周期内 的所有活动。 那么,为什么遵照IS026262就能设计出符合功能安全要求的产品呢?IS026262是通过 什么方式来保证产品能够符合功能安全的要求的呢?下面我们就来具体看看S026262在产 品研发上的只体思路。 IS026262系列标准分为10本,从ISO26262-1到IsO26262-10,分别从功能安全管理, 慨念,系统级研发,软硬件的研发,生产和操作等方面对产品的整个生命周期进行了规范和 要求。从而使得产品在各个生命周期都比较完善的考虑了其安全功能 个好的产品,要靠一整套好的管理体系来实现,并可靠的生产出来。IS026262给出 套这样的管理方法、流程、技术于段和验证方法,称之为安仝管理生命周期,框架如下: 3 项目定义 36安全生属期的初始化 念阶段 37意位分桥和风险评佔 功能安全念 叶 系统级产品研发 “:: 操作计划 生产计划 其他技术 可控性 外部措 晶研发 硬件级 钦件级 2-11 产品发布 75 生产 返回话当的生闹期阶段开始生产以后 +6异作,用务和解 图1项目安全生命周期 那么各部分又有什么具体含义和措施昵?下面就来分别说明 项目定义: 项日定义,是对所硏发项日的一个描述,是安仝生命周期的初始化任务,其包 括了项目的功能,接口,环境条件,法规要求,危险等内容,也包括项目的其 他相关功能,系统和组件决定的接口和边界条件等 2、安全生命周期的初始化 基于项目定义,安全生命周期要对项目进行区分,确定是新产品研发,还是既 有产品更改。如果是既有产品更改,影响分析的结果可以用来进行安全生命周 期的拼接 危险分析和风险评估 安全生命周期初始化之后,就要按照IS026262-3的第七条款来进行危险分析和 风险评估,危险分析和风险评估的流程要考虑暴露的可能性,可控性和严重性, 以便确定项目的ASIL等级。接下来就是为每一个风险设立安全目标,并确定合 适的ASIL等级。 4、功能安全概念 基于安全目标,功能安全概念就要考虑具体的基本架构。功能安全概念就是对 定位到每个项目元素中的功能安全要求的具体化和细化。超出边界条件的系统 和其他技术可以作为功能安全概念的一部分来考虑。对其他技术的应用和外部 措施的要求不在ISO26262考虑的范围之内。 系统级产品研发 有了具体的功能安全概念之后,接下来就是按照IS0262624的系统级研发了。 系统级研发的过程基丁技术安全要求规范的V模型。左边的分支都是系统设计 和测试,右边的分支是集成,验证,确认和功能安全评估。 6、硬件级产品研发 基于系统的设计规范,硬件级的产品研发要遵循IS026262-5的要求。硬件研发 流程应符合ν模型概念左侧分支的硬件设计和硬件要求。硬件的集成和验证在 右侧分支。 软件级产品研发 基于系统的设计规范,软件级的产品研发应遵循IS0262626的要求。软件研发 流程应符合V模型概念中左侧分文的软件需求规范和软件设计架构设计的要求。 软件安全需求中的软件集成和验让在右侧分支中。 生产计划和操作计划 其包括:生产和操作计划,相关的需求规范,系统级产品硏发的开始等。 IS026262-7的第5条款和第6条款给出了生产和操作的具体要求。 品发布 产品发布是产品研发的最后一个子阶段,该项目也将完成,具体要求在 IS026262-1的第11条款中。 10、产品的操作、服务和拆解 产品的操作、服务和拆解应符合IS0262627的第5条款和第6条款中,对产品 的生产、操作、服务和拆解的相关要求。 11、可控性 在危险分析和风险评估中,要考虑司机和处于危险中的其他人可以采取措施来 控制危险情况的能力。如何提供对可控性的有效性证明不在IS026262的范围之 内 外部措施 参考项日以外旳,在项日定乂中被描述的措施(参加ISO26262-3的第5条款), 以便减小项目的危险结果。外部危险降低措施不但可以包括附加的车载设备, 如:动态稳定控制器防爆轮胎等,也可以包括非车载装貿,如:护栏,隧道消 防系统等。这些外部措施在进行危险分析和风险评佔的时候应该被考虑到,但 如何为这些外部措施的有效性提供证明不在IS026262的范围之内,除非是E/E 设备。但要注意的是,没有明确安全例让的外部措施是不完整的。 其他技术 其他技术是指那些不在IS026262范围之内的,不同于E/E技术的设备。如:机 械和液压技术。这些都要在功能安全概念的规范中加以考虑或者在制定安全要 求时加以考虑。 通过以上这些具体的生命周期的各个阶段和标准中对每个阶段所必须考虑的措施、方法 和具体技术的要求,将各个阶段的要求和如何满足要求的措施都进行逐一落实,这样才能设 计出、制造出满足功能安全要求的安全产品。 5.4.2安全文化 7组织应建立,执行和维持一个持续改进的过程,基丁在: 1)从其他项目的安全生命周期执行过程中学习的经验的,包括现场经验; 2)在以后的项目中的改进应用 S026262-3概念阶段 我们来具体看一下在概念阶段,ISO26262-3对于项目定义、安全生命周期初始化和危 险分析和风险评估的定义和要求。 5、项日定义 首先是项日定义阶段。项日定义,也就是对要进行研发的产品进行一个定义,进行一个 描述。主要有两个目的:一个是定义和描述项目;一个是对项目有一个足够的理解,以便能 够很好的完成安全生命周期中定义的每一个活动。 基于以上目的,要对项目进行明确、准确、正确的定义,就需要获得一些基本信息 IS026262中给出了一些建议如下: 1、项日信息 a)项日的目的和功能 b)项目的非功能性要求,如操作要求、环境限制等 )法规要求(特别是法律和法规),口知的国家和国际标准等 d)类似功能、系统或元素达到的行为 e)对项目预期行为的构想 f)已知的失效模式和风险在内的项目缺陷造成的潜在影响 2、项目的边界条件以及相关项目之间的接口条件: a)项目的所有儿素 b)项日对其他项日或项日环境元素的相关影响 c)其他项目,元素和环境对本项目的要求 d)在系统或者包含的元素中,对功能的定位和分配 e)影响项目功能时,项目的运行情况 有了以上这些基本的信息,就可以对要进行的项日给出一个比较明确和具体的项日定义, 明确项目的要求,从而使得对项目有一个足够的理解,能够指导后续工作,来很好的完成安 全生命厝期中定义的每一个活动。 6、项日的安全生命周期 那么,有了项目定义之后,就要确定项目的安全生命周期,对项目的安全生命周期进行 初始化,也就是开始对项目的安全生命周期进行细化。而要进行细化,就要区分是项目是新 产品研发还是既有产品的改造。 如果是全新的设备研发,则相关L作就得从安全生命周期的开始做起,项目定义之后就 是项目危俭分析和风险评估。 如果是既有产品的改造,那么从项日定义开始的这些流程都可以使用一些既有的文件对 整个过程进行定制。 现有产品升级改造,就要注意以下一些问题 1.要做一个产品和使用坏境的分析,以制定出预期更改,并评佔这些更改产生的影 响 a)对项目的更改包括设计更改和执行更改。设计更改应该是由需求规范、功能和性能 的増加或者成本的优化所致,执行更改不能影响项目的规格和性能,但可以影响执行特征。 执行更改可以由软故障更改,使用新的研发成果或生产工具所致。 b)如果配置数据和校准数据的更改会影响到产品的行为,则更改须考虑这些数据 c)对产品环境的更改应该是由产品要使用的新的日标环境或由于其他相关产品或元 素升级而引发 2.要表述清楚产品使用的前后条件的差别,包括: a)操作条件和操作模式 b)环境接口 c)安装特征,如:在车辆内部的位置,车辆的置和变化等 d)环境条件的范围,如:温度,海拔,湿度,震动,EMC和汽油标号等 3.要明确给岀产品变更的描述以及影响的范围。如果不能明确产品的变更和对环境数 据影响的改变,则相关影响的分析数据都要进行记录。 1.影响到的服役产品,需要进行升级的,要进行逐一列出。 5.定制的相关安全活动应符合各个应用生命周期阶段的要求,包括 a)定制应基于影响分析的结果 b)定制的结果应包括在符合1SO262622的安全计划中 c)影响到的产品须返工,包括确认计划和验证计划 确定了以上这些基本信息之后,对所要进行的产品研发或者设备更改工作就有了一个清 晰明确的定义,对产品的预期使用功能、环境,以及与相关设备的接口也有了一个明确的定 义,接下米就可以进行危险分析和风险评估了 7、项目的危险分析和风险评估 在概念阶段,ISO26262-3给出了对危险分析和风险评估的要求。 危险分析和风险评估的日的和之前的IS013819,IEC62061等的标准一样,都是为了将设 备存在的危险识别出来,并根据危险的程度按照一定的原则对其进行分类,从而针对不同的 风险设定具体的安全目标,并最终减小或消除风险,避免未知风险的发生。 也正是因为这样,危险分析、风险评估和ASIL等级的确定只是和避免人险有关的安全 目标相关。通过对危险情况的系统评估,考虐引发危险的影响因素—一伤害的严重性,暴露 于危险中的可能性和危险的可控性,来确定安全目标和ASIL等级。而这三个指标都是针对 产品的功能行为的,所以做危险分析和风险评估时,并不一定先要知道设计细节。 无内部安全机制的项目应在危险分析和风险评估过程中进行评估,拟实施或在以前的项 目中已经实施的安全机制不在危险分析和风险评估老虑。在一个项目中,提供充分独立的外 部评估措施是非常有效的。例如,如果有足够独立的证据证明,电子稳定控制系统可以通过 增加控制来减少在底盘系统的故障影响。此举的目的是证明要实施或已经实施的项目的安全 机制成立为功能安全概念的一部分 危险分析和风险评估的第一步是情形分析和危险识别,即通过相关的情况分析将产品 存在的风险识別出来。这就要考虑可能引发危险的操作境和操作模式,并且要考虑在正确 使用时和可预见的误使用时的情况。基于这样的考虑,我们应该通过人量的技术来系统分析, 注意以下一些方面: 1.准备一个用来进行评估的操作情况清单 2.系统的确定清单上的危险。主要可以通过诸如:头脑风暴,检查列表,历史记录, FEA,产品矩阵,以及相关的领域研究等技术于段进行。 3.风险应该用在车辆上可以被观察到的条件或影响来进行定义或描述 4.仁相关操作条件和操作模式下危险事件的影响应该被明确说明。如:车辆电源系统 故障可能导致丧失引擎动力,丧失转向的电动助力以及前大灯照明。 5.如果在风险识别中识别出的风险超出了IS026262的婁求范围,则需给出合适的相应 措施。当然,超出IS026262的风险可以不必分类分级。 成风险的识别之后,就要对这些风险进行适当的分级,以便设定相应的安全目标,并 按照不同的风险等级来采取合理的措施加以避免。 风险的分类主要是通过3个指标来考量,即:危险发生时导致的伤害的严重性、在操作 条件下暴露于危险当中的可能性(危险所在工况的发生概率)、危险的可控性 首先,来看伤害的严重性。这里的伤害是指危险事件发生时,对所有被卷入事件中的人 的伤害,包括车上的司机和乘客,骑自行车的人,行人,其他车辆上的人员。伤害的严重性 可以分为4个等级,即:S0,S1,S2,S3(对于伤害严重性的详细描述可以参考15026262-3 中附录B的内容,这里只做分级说明)。如下表: 级别S0 S1 S2 S3 描述无伤害轻微或有限的伤害 严重或危及生命的伤害危及生命的伤害(可能不能 (可以幸存) 幸存)或致命伤害 其次,来看在操作条件下暴露丁危险中的可能性。可能性被分为5个等级,即:EO,EL, E2,B3,EA,具体分级见下表。至于暴露值是选El还是选E2,主要看车辆在日标市场正常、 合理的使用情况。这里要注意的是,评估暴髂于危险中的可能性并不考虑在车上安装了多少 个要评佔的产品,且假设了所有的车上都安装了这个产品。对于那种认为不是每辆车都安装 的产品,其相应的暴露在危险中的可能性会减小的说法也是错误的。 级别 EO E1 E3 E4 描述 几乎不可能可能性非常低可能性低中等可能性可能性高 这里,EO只用于在风险分析中一些建议性的情况,通常如果一个危险,人员暴露其中 的可能性是E0级,则无需考虑ASLL等级。 再次,来看可控性。即危险事件能被司机或者其他交通参与人员进行控制并减小或者避 免伤害的可能性。在IS026262中,可控性被分为4个等级,即:C0,C1,C2,C3。但要注 意,使用这个分级的条件是司机处丁正常状态,即:不疲劳,有驾照,按照交通规则行驶 当然,其中要考虑可预见的误操作和误使用。四个级别为: 级别 CO C1 C2 C3 描述 通常可控 简单可控 正常可控 很难控制或不可控 其中,C0通常用于不影响车辆安仝操作的情况。如果一个危险的可控性被评为C0,则 对其没有ASTL要求 由此,根据以上的三个参数,即可确定风险分析中每个风险相应的AsLL等级(汽车安 仝完整性等级),具体确定方法如下表 Table 4-ASIL determination 严重性等级 危险可能性等级 可控性等级 C1 C2 C3 E1 QM QM E2 QM QM QM E3 QM QM E4 QM A B E1 QM QM E2 QM M S2 E3 M B E4 A B E1 QM QM A E2 QM A B S3 E3 B E4 D SIL等级分为A、B、C、D四个等级, ASIL A是最低的安全等级, ASIL D是最高的 安全等级。除了这四个等级QM表示与安全无关。 在人险分析过程中,要确保对每个危险事件,根据S、E、C和具体的操作条件和模式确 定的ASIL等级个低于其安全目标的要求。同时,相似的安全目标也可以合并为一个安全目 标,但要达到的ASIL等级应该是合并项目中最高的。如果安全目标可以被分解到具体的状 态中,那么每个安全目标也要转换成达到安全目标的具体安全状态下的具体要求。 安全目标及其属性(ASLL)应按照150262628:2011,第6条款规定。

...展开详情

评论 下载该资源后可以进行评论 114

tywu105 最新的ISO26262,就是太贵
2019-08-09
回复
zzz_xxx 很不错的资源,学习了,谢谢分享
2019-02-13
回复
2018-11-29
回复
robbie1121 有用的标准
2018-11-21
回复
sc04041341 很不错的资源,学习了
2018-11-09
回复
gordenzhou 很好!刚好需要!!!!
2018-10-09
回复
一粒尘埃之光 资料不错,最新的ISO26262,可以作为参考学习,为公司的标准化做准备
2018-07-26
回复
haolyabc 资料还是蛮不错
2018-07-18
回复
kaolalakao 哈哈,标准网好像也有
2018-07-14
回复
xminger 资料还是不错的,就是需要的积分太多了
2018-06-28
回复
img
weshare

关注 私信 TA的资源

上传资源赚积分,得勋章
    最新推荐