在汽车技术快速演进的背景下,持续提升电气与电子系统的安全性至关重要。ISO 26262:2018道路车辆功能安全国际标准为此提供了系统性的支持,构建了应对复杂电气/电子系统潜在故障及其引发的安全风险的指导框架。
该标准的核心在于功能安全分析(或称安全分析)——这是一项在产品开发前开展的系统性流程,旨在识别和评估汽车系统中可能导致故障或失效的潜在风险。
在传统的系统开发中,功能安全分析位于 V 模型左侧。如采用敏捷开发方法时,安全分析则融入迭代流程,贯穿于每一轮开发周期。无论是在概念、系统、硬件还是软件层面,安全分析都用于对设计或架构进行系统性评估,以识别、制定或验证各阶段的安全需求。
汽车安全分析的目的
安全分析的目标是识别系统性和随机硬件故障带来的风险,防止安全要求被破坏,从而有效降低整体安全风险。
- 安全分析的重点是验证现有安全要求的完整性和正确性,以及是否符合ISO 26262标准。
- 在安全分析过程中,需要识别与安全相关的潜在故障,并制定相应的安全机制,以在所处的分析层级上对这些故障进行探测、缓解和/或控制。安全分析可以在概念层、系统层、硬件层或软件层等不同层面开展。
- 安全机制随后会转化为预防、探测、安全状态转换、驾驶员警报等附加安全要求。随后,这些安全机制会被细化为具体的安全需求,涵盖故障预防、故障检测、安全状态转换以及驾驶员提示等方面。
- 明确驾驶员警报相关的安全要求,有助于提升驾驶过程的可控性,从而降低故障带来的风险和严重程度。
功能安全分析过程
安全分析的一个关键环节,是对系统设计或架构进行系统性、全面性的审查,以识别潜在的故障风险。这一过程通常包括对设计方案进行深入分析,识别可能的失效模式,并制定相应的应对措施以实现有效控制。安全分析的核心目标是确保设计满足安全要求,具备稳定性和可靠性,并能够通过预防、检测和缓解策略,有效应对已识别的故障。根据 ISO 26262:2018 标准,常用的安全分析方法包括归纳分析(如 FMEA)和演绎分析(如 FTA),用于从不同角度系统性地识别和评估安全风险。
符合ISO 26262的功能安全分析方法
归纳分析采用自下而上的方法,而演绎分析则是自上而下的思路。两者相辅相成,是实现系统功能安全不可或缺的分析手段。
ISO 26262 标准根据不同的 ASIL 等级(A级至D级)提供了针对安全分析的具体指导。所有 ASIL 等级的系统都必须采用归纳分析方法进行安全分析,而仅有 ASIL C级和D级的系统需要额外开展演绎分析。在理想的分析条件下,归纳分析与演绎分析应得出一致的结论。这两种系统性方法为识别故障根本原因、制定有效的缓解策略提供了清晰且合理的路径,有助于主动识别和管理风险,从而降低系统失效的可能性。由于标准仅在硬件层面要求进行定量分析,因此在其他层级的分析中,结果既可以是定性的,也可以是定量的。分析方法包括:
演绎分析
演绎分析是一种用于识别系统失效潜在原因的分析方法。它以一个已知的不良事件为起点,通常被称为整车级危害(顶层事件),并自上而下地追溯可能导致该事件发生的根本原因或相关故障。通过系统地分析所有可能引发该危害的故障路径,最终完成演绎分析,这样有助于避免忽略某些潜在故障。
故障树分析
在 ISO 26262 标准中,故障树分析(FTA)是常用的演绎分析方法之一,用于追溯系统失效的根本原因。FTA 通过使用逻辑门(如 AND 和 OR)构建逻辑路径,形象地展示了底层故障如何组合并最终导致顶层事件(即系统级失效)的发生。在汽车功能安全领域,FTA 发挥着关键作用。它有助于识别和管理潜在的系统危害,确保在设计阶段就能制定并实施相应的安全措施,以预防或减缓故障的发生。
归纳分析
归纳分析是一种有效识别潜在失效对整车影响的分析方法。该方法通常从已识别的组件或子系统级故障出发,逐步推导其可能对系统乃至整车层面造成的影响。
失效模式与影响分析(FMEA)
在 ISO 26262 标准中,失效模式与影响分析(FMEA)是一种结构化的归纳分析方法,主要用于识别和评估汽车电子系统中潜在的失效模式及其对系统性能和安全性的影响。该分析过程通过系统性地审查每个组件或子系统,识别其可能发生的故障,分析每种失效的潜在原因及其后果,并据此提出相应的安全机制,以降低对整车的影响。通过识别高风险的失效模式,FMEA 有助于工程师制定并实施有效的风险缓解策略,从而提升系统的整体可靠性与安全性。
失效模式效应和诊断分析
失效模式、影响及诊断分析(FMEDA)是一种应用于硬件层面的定量归纳分析方法,主要用于评估硬件的随机失效指标。该方法通过对硬件设计的详细分析,计算关键的硬件架构指标,如单点故障指标(SPFM)和潜在故障指标(LFM),以验证其是否满足相应的 ASIL 安全等级要求。此外,还需评估随机硬件失效概率(PMHF),作为衡量系统安全性能的重要参数。FMEDA 是一个高度复杂且需精确执行的过程,对分析人员的硬件架构理解和安全分析能力提出了较高要求。
相关失效分析
随着系统复杂度的不断提升,系统内部各元素之间的关联性显著增强,从而可能引发“相关失效”问题。相关失效分析是ISO 26262标准中推荐采用的一种分析方法,旨在识别和评估系统中不同层级之间独立性和抗干扰能力受损所带来的潜在失效风险。相关失效主要包括两类:级联失效(Cascading Failures)和共因失效(Common Cause Failures)。
在相关失效分析中,一个关键环节是识别级联失效,即某个组件的失效会引发其他组件相继失效,形成连锁反应。另一个重要环节是识别共因失效,即多个组件因同一个根本原因(如共同的环境因素或设计缺陷)而同时发生失效。尽管消除相关失效往往面临较大挑战,但相关失效分析的核心目的并非彻底消除这类失效,而是通过合理策略缓解其潜在影响。这些策略通常包括:在关键架构层面引入冗余设计与多样性机制,以及在整个开发生命周期中加强系统独立性与抗干扰能力的设计与验证。
功能安全专业知识和实践经验
与 UL Solutions 合作,您将有机会接触到在功能安全领域具有深厚专业背景的专家团队。这些专家在汽车系统硬件与软件的设计和开发方面拥有丰富的实践经验。通过与我们开展安全分析合作,您不仅能够获取所需的专业知识,还能更有信心地完成复杂系统的安全分析工作。
优势
- 我们的行业专家提供高效且专业的安全分析服务
- 提升您对于产品安全的信心
- 降低分析中出现确认偏差的风险
- 基于丰富的行业经验提出建议
X
联系我们
感谢您关注我们的产品和服务。我们将收集一些信息,以便安排合适的人员与您联系。
Please wait…