购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

1.2 功能安全

早期飞机发生灾难性故障,通常会被归因于飞行员失误。而早期火箭发射的失败率更高,但由于它们是无人驾驶的,无须人类参与,因此注意力开始从人转移到系统上。这不仅催生了系统安全的概念,而且使一些关键的分析技术,包括失效模式与影响分析(Failure Mode and Effect Analysis,FMEA)和故障树分析(Fault Tree Analysis,FTA)得到了发展。

20世纪70年代,在英国Flixborough和意大利Seveso发生的两起重大工业事故分别催生了用来控制重大事故和危害的英国COMAH规则和欧盟Seveso指令,也促进了IEC 61508《电气/电子/可编程电子安全相关系统的功能安全》的制定。IEC 61508是一个通用标准,不局限于任何特定应用,它不仅涵盖了软件安全的相关内容,还介绍了安全性概率的评估方法,成为后来ISO 26262标准的母标准。

随着整个汽车行业复杂性的不断提升,人们更加努力地提供符合安全要求的系统。ISO 26262的目标是为所有汽车EEA(电子电气架构)系统提供统一的安全标准,实际的标准名为“Road Vehicles-Functional Safety”。ISO 26262第一版于2006年开始制定,2011年正式发布,它完全取代了IEC 61508。ISO 26262第二版标准草案于2017年第3季度提供,并于2018年第1季度发布。ISO 26262的覆盖范围如图1-10所示。

图1-10 ISO 26262的覆盖范围

ISO 26262提供了从概念开发到停运的整个产品开发过程的法规和建议(见图1-11),详细说明了如何为系统或组件分配可接受的风险级别并记录整个测试过程。对于汽车安全领域来说,ISO 26262包含如下主要内容。

1.2.1 汽车功能安全生命周期

ISO 26262提出了汽车功能安全生命周期的概念,该概念涵盖了概念、产品开发、生产、操作、服务、停运等阶段,并支持在这些生命周期阶段采取必要的活动。这些活动包括制定功能安全要求和安全计划,定义修复措施。此外,还包括安全审查、审计和评估等要求,以帮助开发EEA系统,并提供对验证和确认措施的要求,以确保汽车达到足够高的安全水平。

图1-11 ISO 26262——汽车功能安全生命周期模型

1.2.2 汽车功能安全完整性等级

ISO 26262提供了一种基于汽车特定风险的方法,即汽车功能安全完整性等级(Automotive Safety Integrity Level,ASIL)来确定风险等级。ASIL是ISO 26262的关键组成部分,是在开发开始阶段确定的,它分析系统的预期功能,同时指出可能的危害。ASIL不涉及具体的系统技术,纯粹关注事故对驾驶员和其他道路使用者的影响。

如图1-12所示,根据ASIL,每个安全要求都分配了A、B、C、D四个等级,其中ASIL A代表最低程度的汽车危险,ASIL D代表最高程度的汽车危险。ISO 26262根据ASIL等级确定了最低测试要求,这有助于确定测试方法。也就是说,一旦确定了ASIL,就制定了系统的安全目标,也就定义了确保安全所需的系统行为。

图1-12 ASIL等级 j+ceDyMyjmvQKo0nYGyVh7catThkptBZk2qY49+/wfl84pF2Bx12P9pkHUW9jIpf

点击中间区域
呼出菜单
上一章
目录
下一章
×