ISO26262

道路車輛功能安全Roadvehicles—Functionalsafety

2020本作品使用微軟2016版PPT制作，也建議您使用相應軟件打開及使用；本作品的內容皆可根據您的需求進行修改，包括文字、圖表、圖片等；本PPT背景可以修改，增加PPT背景是因為防止盜圖！為了節省空間和提高設計的效率，部分內容放置在母版中，當您需要修改時，請通過“視圖”→“幻燈片母版”打開后修改；如果有相關問題，可以在本站內私信；嚴禁任何企業或個人盜用或轉賣。課件使用及說明什么是ISO26262安全生命周期系統開發安全確認認證流程總結CONTENTS什么是ISO26262車輛行業功能安全應用目的法律法規背景介紹ISO?26262介紹基本定義如何根據ISO26262開發安全產品/01車輛行業功能安全應用目的安全，法規，產品責任，…汽車電子的安全問題可能會導致高額的召回費用！2013年10月日產SUV由于制動控制軟件問題，召回15.2萬輛!2014年2月豐田第三代普銳斯由于混合系統中控制升壓轉換器軟件問題召回190萬輛!2014年國內汽車122次召回中由于軟件問題造成的有8次(中國汽車質量網統計)!車輛行業功能安全應用目的為什么產品要考慮功能安全？·產品越來越復雜·很多控制單元包括安全相關功能汽車行業技術發展趨勢安全功能舉例·車輛系統越來越多的軟件使用·軟件包括安全相關部分自適應前照明系統汽車防抱死制動系統車身穩定控制系統牽引力控制電子剎車力分配系統緊急制動輔助系統防撞系統車道偏離警報系統自適應助力轉向主動停車輔助系統自適應懸架控制電子制動系統安全帶預緊安全氣囊司機瞌睡警示系統司機監控系統自適應遠光燈輔助系統自適應巡航系統自動巡航系統胎壓監控系統自適應前燈高度調節功能安全法律法規背景介紹功能安全法律法規背景介紹法規認證vs.產品責任（2）法規認證·只能由被認可的“技術服務機構”進行評估如：ECER13Annex18orECER79Annex6產品責任·獨立的評估根據：·（車輛）安全完整性等級（A）SIL·應用標準為什么使用這IEC61508、ISO26262標準？ISO26262背景介紹道路車輛-功能安全IEC61508-電子電氣可編程電子安全相關系統的功能安全·80年代末期開始研究，應用于越來越復雜的安全相關系統。·來源于過程工業·1998年發布第一版·2010年發布第二版ISO26262的目的·汽車行業的一些要求與機械行業和過程行業不同。·汽車安全相關系統的復雜性越來越高·電子穩定性控制·緊急制動輔助系統等ISO26262標準ISO26262：11版介紹ISO26262標準ISO26262：18版介紹ISO26262背景介紹ISO26262范圍應用于安全相關系統·包括一個或多個電子電氣系統并且·安裝于不超過3.5噸的乘用車ISO26262不應用于安裝在特殊目的的的車輛上的電子電氣系統。如：殘疾人車輛非安全相關的電子電氣系統。基本定義什么是安全？安全？？？基本定義達到什么程度才算安全？基本定義功能安全滿足下列條件，安全系統是符合功能安全的：·隨機、系統、共因失效不會導致安全系統的錯誤功能，從而導致：·人的傷害或死亡·環境的污染·設備或財產的損失在正常條件及存在故障條件下，控制設備、系統的安全功能必須都能夠保證!基本定義安全功能安全相關系統的功能，用來減小風險并且達到/保持安全狀態PLC安全功能總是針對一個安全回路而言，不是針對一個設備或部件傳感器控制器|執行器基本定義安全機制（safetymechanism）由E/E功能或元素執行的措施，或者是其他技術，目的是達到安全狀態或保持安全狀態，或者兩者同時考慮。如：能夠達到，保持安全狀態能夠警告司機，以便于司機能夠及時采取措施避免失效的影響基本定義級聯失效和共因失效級聯失效基本定義安全架構（safetyarchitecture）通過一組元素相互作用，來滿足安全要求，包括冗余、獨立概念基本定義充分信任的設計原則（well-trusteddesignprinciple）一預先使用經驗證明沒有安全問題的設計原則。如：隔離安全功能和非安全功能67%降額使用如何根據ISO26262開發安全產品？所有產品都來源于設想：·公司想開發一個更好的剎車系統。·航線偏離報警系統的更改·產品成本太高/制造難度大/可靠性低…對于復雜性系統，功能安全很重要，如果：·功能失效會導致危險事件·功能喪失會導致危險事件·危險分析和風險評估結果證明需要ASIL功能安全：5個步驟實現第一步如何根據ISO26262開發安全產品？接下來建立功能安全管理制度也就是為安全工作的協調和監控提供一個框架功能安全：5個步驟實現第2步如何根據ISO26262開發安全產品？通過危險分析和風險評估來確認哪些危險事件應該考慮。對每一個可識別的危險事件，都需要定義相應的安全目標（safetygoa）·確認如何能夠到達并且保持安全狀態（safestate）·確認ASIL的級別功能安全：5個步驟實現第3步如何根據ISO26262開發安全產品？根據可識別的安全目標，做出安全概念（safetyconcept）包括以下內容·基本系統架構·達到并且保持安全的技術措施系統級設計，軟硬件設計和開發將依據安全概念。在設計開發過程中，應采取必要的安全措施和驗證活動。功能安全：5個步驟實現第4步如何根據ISO26262開發安全產品？安全確認用來確保開發項目能夠滿足分配給它的安全目標。功能安全評估同時考慮到產品和過程，提高了項目的安全置信級別。功能安全：5個步驟實現第5步什么是安全生命周期功能安全管理項目定義風險分析，風險評估安全目標定義功能安全要求/02功能安全管理安全管理：·定義安全生命周期模型·需要創造培養公司的安全文化·定義相關部門、人員的職責·確保人員能力資質·確保足夠的質量管理工作功能安全管理功能安全管理開發階段安全生命周期模型功能安全管理ISO26262-安全生命周期模型項目和其他相關概念項目和其他相關概念ISO26262-10Clause4.2在安全相關產品開發時，第一件事就是項目定義項目定義關注以下開發內容：·確認相關功能·開發怎樣進行·再使用存在的產品或更改？不正確的項目定義可能會導致后繼工作出現嚴重的問題!項目定義ISO26262-3Clause5在項目定義過程中，必須考慮所有相關需求·功能性的需求·非功能性需求（費用，尺寸，環境要求，ASIL..…）·法規要求·標準，導則項目定義要考慮行業專家意見！項目定義對于開發正確的系統起著關鍵作用。項目定義ISO26262-3Clause5舉例：方向盤鎖|傳感器：速度傳感器執行器：電機帶動渦輪，渦輪控制鎖定裝置機械系統：渦輪司機：踩踏板控制速度的參考值危險分析、風險評估和安全目標標執行危險分析和風險評估ISO26262-3，clause7對于項目來說，理解相關功能必須：·對項目相關危險識別和分類·制定安全目標預防或減輕危險安全目標應保證項目的運行風險低至可以接受！汽車領域項目基本流程汽車領域項目基本流程ISO26262-3，clause7；ISO26262-3，annexB危險分析、風險評估和安全目標車輛安全完整性等級評估（4）S：嚴重性E：暴露的可能性C：可控性危險分析、風險評估和安全目標車輛安全完整性等級危險分析、風險評估和安全目標汽車安全完整性等級舉例TSR-交通標識識別·正確識別：QMorASILA電磁方向盤鎖定系統·駕駛時防止鎖定：ASILD安全氣囊·需要時打開安全氣囊：ASILA·不需要時不能打開氣囊：ASILD注：汽車安全完整性等級主要與安全需求和功能安全概念有關。系統開發系統級開發硬件開發軟件開發/03系統開發生命周期系統設計技術安全概念和系統設計描述：·如何應用功能需求和技術安全需求功能安全系統設計應保證·充分信任的和實驗證明良好的系統架構·可驗證的、標準里描述的經驗證使用的方法。可能使用的功能安全驗證方法包括·系統設計檢查，走查·仿真·原型設計，車輛測試·安全分析（FTA，FMEA）硬件開發硬件安全需求規范基于技術安全需求，對于硬件設計，以下各方面需要清晰定義：1.硬件安全需求規范包括·測試規則·質量規則2.硬件架構指標需求·單點故障指標（SPFM）·潛在故障指標（LFM）3.隨機硬件失效需求·偏離安全目標的概率4.軟硬件接口（HSI）規范硬件失效模式的分類軟件開發軟件開發參考階段模型安全確認，功能安全評估安全分析安全確認安全論證證明措施/04安全分析、安全確認與安全論證安全分析ISO26262-9Setion8安全分析主要目的：·檢查故障和失效的后果。·考慮項目和元素的功能，運行狀況和設計·提供有可能造成偏離安全目標的原因和條件的信息。分析也考慮·識別新的功能性的和非功能性的危險。安全分析支持安全系統的開發，通過另一個視角對系統和功能檢查！安全分析ISO28282-9Secion8安全分析可以用不同的方法·歸納法，i.e.由下至上分析·演繹法，i.e.由上至下分析安全分析方法舉例·失效模式及潛在后果分析（FME·故障樹分析（FTA）·馬爾可夫模型·可靠性框圖安全確認ISO28262-4Clause9安全確認（車輛級別vehiclelevel）·電子電氣系統·軟件·硬件·其他技術相關的元素·外部措施為研發的系統提供下列證據：·適合預期用途·安全措施是充分的安全論證什么是安全論證？ISO262622，64.5通過分析開發階段安全工作的產出，論證項目的安全目標是否達到并滿足要求。ISO26262-1，1.103安全論證定義為·清晰的、易于理解的、可辯護的論證：對于具體環境來說，系統的安全是可以接受的。證明措施的獨立性要求ISO26262-2Table1第三方功能安全評估為了增加項目符合ISO26262的可信度，可以由第三方評審人員做功能安全評估。對ASILC和ASILD需要滿足獨立性要求·標準沒有正式提到第三方評估第三方評估的好處：·另一種角度·功能安全評估專業知識·公司外的人力資源認證流程認證過程介紹/05認證流程認證流程概念評估主檢發證第一階段的主要任務：概念評估：·檢查并評審產品需求規范和安全設計概念·在產品各個生命周期階段，尤其在開發過程中（質量管理），檢查并評估故障避免措施的計劃。·評估檢測和控制故障需采取的措施（診斷）FMEDA，評價是否安全完整等級能夠達到預期的目的。·文件系統的審核（設計和質量管理）·電磁兼容，環境測試需求的定義。·為主檢階段出具項目計劃·根據概念評估的結果出具報告。第二階段的主要任務：主檢：·測試所有的安全相關的功能，最壞情況分析（軟硬件）·檢測和控制故障的驗證（故障插入測試），FMEDA的驗證與執行。·軟件驗證測試的評審（模塊，集成測試，系統測試）·對開發過程中創建的產品文檔評審（設計文檔，測試、驗證、審核記錄）·安全相關的可靠性數據的定義及計算·環境測i試（incl.EMC）·用戶文檔的檢查（安裝，操作手冊，安全手冊）·提供測試報告第三階段發證：·基于測試報告，認證機構頒發證書總結&答疑課程總結/06