好文档就是一把金锄头!
欢迎来到金锄头文库![会员中心]
电子文档交易市场
安卓APP | ios版本
电子文档交易市场
安卓APP | ios版本

ISO 26262中的ASIL等级确定与分解.docx

8页
  • 卖家[上传人]:鲁**
  • 文档编号:473454950
  • 上传时间:2022-10-28
  • 文档格式:DOCX
  • 文档大小:14.88KB
  • / 8 举报 版权申诉 马上下载
  • 文本预览
  • 下载提示
  • 常见问题
    • 欧阳索引创编 2021.02.02ISO 26262中的ASIL等级确定与分解欧阳家百(2021.03.07)1. 引言汽车上电子/电气系统(E/E)数量不断的增加,一些高端豪 华轿车上有多达70多个ECU(Electronic Control Unit电子控制 单元),其中安全气囊系统、制动系统、底盘控制系统、发动机 控制系统以及线控系统等都是安全相关系统当系统出现故障的 时候,系统必须转入安全状态或者转换到降级模式,避免系统功 能失效而导致人员伤亡失效可能是由于规范错误(比如安全需 求不完整)、人为原因的错误(比如:软件bug)、环境的影响(比 如:电磁干扰)等等原因引起的为了实现汽车上电子/电气系统 的功能安全设计,道路车辆功能安全标准ISO 26262[1]于正式发 布,为开发汽车安全相关系统提供了指南,该标准的基础是适用 于任何行业的电子/电气/可编程电子系统的功能安全标准IEC 61508 [2]ISO 26262标准中对系统做功能安全设计时,前期重要的一 个步骤是对系统进行危害分析和风险评估,识别出系统的危害并 且对危害的风险等级 ASIL等级(Automotive SafetyIntegration Level,汽车安全完整性等级)进行评估。

      ASIL有四 个等级,分别为A,B,C,其中A是最低的等级,D是最高的等级然后,针对每种危害确定至少一个安全目标,安全目标 是系统的最高级别的安全需求,由安全目标导出系统级别的安全 需求,再将安全需求分配到硬件和软件ASIL等级决定了对系 统安全性的要求,ASIL等级越高,对系统的安全性要求越高, 为实现安全付出的代价越高,意味着硬件的诊断覆盖率越高,开 发流程越严格,相应的开发成本增加、开发周期延长,技术要求 严格ISO 26262中提出了在满足安全目标的前提下降低ASIL 等级的方法一一ASIL分解,这样可以解决上述开发中的难点本文首先介绍了 ISO 26262标准中的危害分析和风险评估阶 段中的ASIL等级确定方法,然后介绍了 ASIL分解的原则,并 辅以实例进行说明2. 危害分析和风险评估依据ISO 26262标准进行功能安全设计时,首先识别系统的 功能,并分析其所有可能的功能故障(Malfunction),可采用的 分析方法有HAZOP,FMEA、头脑风暴等如果在系统开发的 各个阶段发现在本阶段没有识别出来的故障,都要回到这个阶 段,进行更新功能故障在特定的驾驶场景下,才会造成伤亡事 件,比如近光灯系统,其中一个功能故障就是灯非预期熄灭,如 果在漆黑的夜晚行驶在山路上,驾驶员看不清道路状况,可能会 掉入悬崖,造成车毁人亡;如果此功能故障发生在白天就不会产 生任何的影响。

      所以进行功能故障分析后,要进行情景分析,识 别与此故障相关的驾驶情景,比如:高速公路超车、车库停车 等分析驾驶情景建议从公路类型:比如国道、城市道路、乡村 欧阳索引创编 2021.02.02道路等;路面情况:比如湿滑路面、冰雪路面、干燥路面;车辆 状态:比如转向、超车、制动、加速等;环境条件:比如:风 雪交加、夜晚、隧道灯;交通状况:拥堵、顺畅、红绿灯等;人 员情况:不如乘客、路人等几个方面去考虑功能故障和驾驶场 景的组合叫做危害事件(hazard event),危害事件确定后,根 据三个因子 严重度(Severity)、暴露率(Exposure)和可控性(Controllability)评估危害事件的风险级别——ASIL等级其中严重度是指对驾驶员、乘员、或者行人等涉险人员的伤害程 度;暴露率是指人员暴露在系统的失效能够造成危害的场景中的 概率;可控性是指驾驶员或其他涉险人员能够避免事故或伤害的 可能性这三个因子的分类在表1中给出表1严重度、暴露率、可控性分类ASIL等级的确定基于这三个影响因子,表2中给出了 ASIL 的确定方法,其中代表最高等级,A代表最低等级,QM表 示质量管理(Quality Management),表示按照质量管理体系开 发系统或功能就足够了,不用考虑任何安全相关的设计。

      确定了 危害的ASIL等级后,为每个危害确定至少一个安全目标,作为 功能和技术安全需求的基础表2 ASIL等级确定下面以EPB (Electrical Park Brake)系统为例介绍如何进行 危害分析和风险评估EPB较传统的驻车制动器,除了驻车功能,还有动态起步辅 助功能、紧急制动功能以及自动驻车功能等这里我们以驻车功 欧阳索引创编 2021.02.02能为例,当驻车时,驾驶员通过按钮或其它方式发出制动请求, EPB系统在汽车的后轮上施加制动力,以防止车非预期滑行该 系统的危害有:非预期制动失效、非预期制动启动相同的危害 在不同的场景下的风险是不一样的,所以我们要对不同的驾驶场 景进行分析为了简化问题,这里我们仅对”非预期制动失效”这 种功能故障进行风险评估表3给出了 EPB风险评估表,在该 表中我们考虑的驾驶场景是车停在斜坡上,驾驶员不在车上如 果驾驶员在车上的话,驾驶员可通过踩刹车控制汽车滑行,可控 性增加,那么所评估的ASIL等级会比表中的ASIL D低,但是 对于同一个安全目标,如果评估的ASIL等级不同的话,要选择 ASIL等级最高的那个表3 EPB风险评估通过以上分析,得出EPB系统的安全目标为:防止制动失 效,ASIL等级为Do3. ASIL分解原则通过上节介绍的危害分析和风险评估,我们得出系统的安全 目标和相应的ASIL等级,从安全目标可以推导出开发阶段的安 全需求,安全需求继承安全目标的ASIL等级。

      如果一个安全需 求分解为两个冗余的安全需求,那么原来的安全需求的ASIL等 级可以分解到两个冗余的安全需求上因为只有当两个安全需求 同时不满足时,才导致系统的失效,所以冗余安全需求的ASIL 等级可以比原始的安全需求的ASIL等级低ISO 26262标准的 第9章给出了 ASIL分解的原则,如图1所示分解后的ASIL等级后面括号里是指明原始需求的ASIL等 级,比如ASIL D等级分解为ASIL C(D)和ASILA(D)等,因为集 成和需求的验证仍然依据其原始的ASIL等级ASIL分解可以在 安全生命周期的多个阶段进行,比如功能安全概念、系统设计、 硬件设计、软件设计阶段而且ASIL等级可以分多次进行,比 如 ASIL D 等级分为 ASIL C(D)和 ASILA(D),ASIL C(D)还可以 继续分解为ASIL B(D)和ASIL A(D )但是ASIL分解的一个最重要的要求就是独立性,如果不能 满足独立性要求的话,冗余单元要按照原来的ASIL等级开发 所谓的独立性就冗余单元之间不应发生从属失效(Dependent Failure),从属失效分为共因失效(Common Cause Failure)和 级联失效(Cascading Failure)两种。

      共因失效是指两个单元因为 共同的原因失效,比如软件复制冗余,冗余单元会因为同一个软 件bug导致两者都失效,为了避免该共因失效,我们采用多种软 件设计方法级联失效是指一个单元失效导致另一个单元的失 效,比如一个软件组件的功能出现故障,写入另一个软件组件 RAM中,导致另一个软件组件的功能失效,为了控制该级联失 效,我们采用内存管理单元,可以探测到非法写入RAM的情 况图1 ASIL分解原理图下面以一个例子介绍ASIL分解的过程假设功能F,其输入信号为S1, S2, S3,这三个信号分别 测量不同的物理量,是相互独立的,经过ECU内部的逻辑运算 后,发送触发信息给执行器Actuator,功能F的架构示意图如图 2所示假设经过危害分析和风险评估后,功能F的ASIL等级 为ASIL D,安全目标为避免非预期触发执行器那么功能F的 各个部分继承ASIL等级,即传感器、ECU、执行器都需要按照 ASIL D等级开发,如图3所示图2功能F架构示意图图3 ASIL等级在功能F架构上的分配图经过进一步的分析发现,当速度V>阈值时,非预期触发执 行器,才能造成危险那么我们在功能F的架构中,加入一个安 全机制,安全机制的功能是当检测到速度V大于阈值时,不允 许触发执行器。

      那么功能F的架构变为如图4所示图4加入安全机制后的架构功能F和安全机制是冗余安全需求,同时来满足安全目标, 因此可以将功能F原来的ASIL等级在这两个需求上进行分解, 分解为ASIL D(D)和QM(D),分解后的ASIL等级如图5所示图5 ASIL分解后架构示意图原来的传感器S1、S2、S3按照QM开发,速度传感器按照 ASIL D开发,ECU里面的软件,原来的逻辑按QM开发,安全 机制的逻辑按照ASIL D开发,不同ASIL等级的软件存在于一 个ECU内,为了保证软件之间的独立性,保证两者之间不相互 影响,需要考虑内存保护机制,合适的调度属性来保证存储空间欧阳索引创编 2021.02.02和CPU时间的独立性,这样会增加软件开发的很多成本那么 我们进一步采取硬件上的分离来保证独立性,我们选择一个成本 很低的简单的芯片(比如PGA, Programmable Gate Array)来运 行安全机制中的软件(如图6所示)需要注意的是PGA要使 用独立的电源和时钟图6改进的ASIL分解后架构示意图经过分解后,按照ASIL D开发的功能逻辑简单,使得开发 变得简单,整体成本也得以降低4. 结论本文以EPB为例介绍了 ISO 26262标准中安全目标及其 ASIL等级确定的方法,安全目标的ASIL等级被开发阶段安全需 求继承,如果安全需求的ASIL等级高,那么需要进行ASIL分 解以降低ASIL等级,本文以实例介绍了 ASIL分解的原则和步 骤。

      ASIL分解并没有在ISO 26262中被强制要求执行,但是我 们可以通过对系统进行分析、进而对系统架构进行调整,实现 ASIL分解,可以解决因ASIL等级高而带来的开发成本、开发周 期和技术要求等方面的问题。

      点击阅读更多内容
      关于金锄头网 - 版权申诉 - 免责声明 - 诚邀英才 - 联系我们
      手机版 | 川公网安备 51140202000112号 | 经营许可证(蜀ICP备13022795号)
      ©2008-2016 by Sichuan Goldhoe Inc. All Rights Reserved.