02 - 汽车功能安全系列之概念阶段开发 - Item Definition HARA
更多汽车专业精彩内容尽在微信公众号: AUTO世代
本篇属于汽车功能安全专题系列第02篇内容,主要来聊聊功能安全概念开发阶段基本问题及内容的学习心得。
ISO 26262 基于V模型,汽车功能安全开发活动始于概念阶段,该阶段主要包含以下内容:
相关项定义(Item Definition),即定义研究对象
危害分析和风险评估(HARA),即导出安全目标及ASIL等级
功能安全方案开发(FSC),即形成系统化概念阶段工作方案输出
该阶段内容将会分两篇文章进行阐述,后续会考虑出专门实例阐述。
本篇着重聊以下内容:
什么是概念阶段开发
概念阶段开发内容 - 相关项定义
概念阶段开发内容 - HARA
01. 什么是概念阶段开发?
很多朋友可能疑惑,为啥它叫概念阶段,听着好像很不专业,接下来我们来看它的本质。
汽车产品开发基于需求,需求是产品开发的基础。好的需求一定程度直接决定产品性能和质量,对汽车功能安全开发也不例外。
我们所熟知的功能实现的需求多源于用户需求,而功能安全开发的需求源于功能实现部分。
在不同开发阶段,需求根据其细化程度可分为:
功能层面的需求: 相对抽象的逻辑功能需求(就是大爷大妈们也能看得懂,需细化至技术需求
技术层面的需求: 技术可实施的需求,可直接转化为软硬件开发
功能安全概念阶段开发本质就是,在相对抽象的逻辑功能层面,通过安全分析提出功能安全开发最初的安全需求。因此,被称为概念阶段。
具体而言,就是通过对相关相所实现的功能进行危害分析和风险评估(HARA),导出功能安全开发最初安全目标(Safety Goal)以及功能安全需求(FSR)。
02. 概念阶段开发 - 相关项定义
相关项定义的本质为确定功能安全研究的对象,内容比较简单,方便理解直接上个人理解公式:
相关项 = 结构 + 功能描述 + 对象属性特征
结构: 研究对象是什么,由哪些系统及组件构成,一般采用UML或SysML结构视图表达(实在不行就上PPT)。
功能描述: 研究对象实现了哪些系统级别的功能,是后续危害分析和风险评估(HARA)基础。
对象属性特征: 对象预期的功能危险,内部以及对外依赖关系(以接口体现),相关法律法规。
注: 可对相关项进行裁剪,复用类似相关项工作输出产物,以此降低产品开发周期和成本。
03. 概念阶段开发 - HARA
3.1 什么是HARA
简单来说,HARA(Hazard Analysis and Risk Assessment)是在概念阶段为导出功能安全目标及其ASIL等级的系统安全分析方法。
具体而言,根据相关项定义的功能,分析其功能异常表现,识别其可能的潜在危害(Hazard)及危害事件(Hazard Event),并对其风险进行量化(即确定ASIL等级),导出功能安全目标(Safety Goal)和ASIL等级,以此作为功能安全开发最初最顶层的安全需求。
3.2 HARA流程
话不多说,直接上图:
接下来,分别看看各流程中关键内容及心得:
3.2.1 危害分析
目的:
利用安全分析方法(例如FMEA,HAZOP),对相关项定义的功能进行分析识别危害和危害事件。
方法:
FMEA故障识别部分和HAZOP(Hazard and operability analysis)无本质区别,流程基本类似。
一般来说,HAZOP操作更为简单,多用于功能安全概念阶段识别相关项功能存在的潜在危害及危害事件。
步骤一: 利用HAZOP分析相关项所定义的系统层面功能异常表现(非组件层面,功能安全需求分析才基于具体组件功能)
HAZOP基于定义的功能,使用以下规定的引导词,分析每个功能的异常表现:
功能丧失: 在有需求时,不提供功能;
(如车辆非预期加速)
在有需求时,提供错误的功能:
‒ 错误的功能: 多于预期;
(如车辆加速大于驾驶员需求)
‒ 错误的功能: 少于预期;
(如车辆加速小于驾驶员需求)
‒ 错误的功能: 方向相反;
(如驾驶员要求加速,车辆出现减速)
非预期的功能: 无需求时,提供功能;
(如驾驶员无加速需求,车辆提供加速度)
输出卡滞在固定值上: 功能不能按照需求更新。
(如驾驶员需先加速后减速,车辆一直提供加速)
注: 对每个功能分析不一定会用到所有引导词,可对其进行裁剪。
功能异常分析举例:
针对车辆转向系统转向功能,根据HAZOP引导词分析,其功能异常表现有: 非预期转向,转向不足,过度转向等。
步骤二: 将危害和运行场景结合,形成危害事件
危害 + 运行场景 = 危害事件
危害是抽象的可能性,不可量化,需结合不同运行场,形成具体的危害事件
运行场景即车辆运行环境,包括道路场景(例如道路类型,路面附着情况等)和驾驶场景(运行状态,车速等)。J2980提供了场景分类参考,分析中需确保危害最大化化的运行场景。
同一危害在不同的运行场景下,形成危害事件的严重性,出现的频率及对其危险的可控性不同,即ASIL等级不同
例如: 车辆非预期转向这一危害,在不同车速下和道路环境下,可能和周边基础设施或人发生碰撞,可能和迎面驶来汽车碰撞,也可能发生侧翻等等,造成的伤害是不一样的,这也是为什么需要将危害量化为危害事件的重要原因。
危害分析注意事项及约束:
1. 危害和危害事件定义必须基于整车层面,例如危害:非预期的车辆加速
2. 只考虑将定义的相关项功能造成的危害并假设其他相关项正常工作
3. 不应考虑将要实施或已经在前代相关项中实施的安全机制,例如功能监控,硬件冗余等
4. 需考虑相关项外部措施,例如其他相关项内的ESP,ASB或安全气囊,灭火器等
5. 功能失效和相应的危害之间的关系: 多对一,一对多
6. 需要考虑合理的误操作造成的危害,例如驾驶安全距离保持不够
3.2.2 评价危害事件的风险,即ASIL等级
首先,通过以下三个参数,对其进行赋值,对危害事件的风险进行量化评估:
严重度(Severity)
暴露度(Exposure)
可控度(Controllability)
具体定义和取值见ISO 26262-3:2018,其中:
1. 严重度主要根据AIS分级,关注对人造成伤害的严重程度(非对物体的伤害)。不仅需考虑车内驾驶员乘客伤害,还需考虑外部环境中的人员,包括行人,其他车辆人员伤害等
2. 暴露度可基于持续运行时间占比或发生频率确定,不应考虑装备该相关项的车辆数量或占比
3. 可控度可控性受多种因素影响,需驾驶员进行合理假设(例如健康,有驾照),相对比较难量化,对于C2及C3基于一定样本的用户测试决定
4. 三个参数一般根据ISO 26262-3:2018附录并结合经验,统计数据,仿真,测试等确定。如果存在不确定性,可以适当考虑取较大的值
5. 不同企业对同一危害事件的风险量化,即三个参数数值确定,可能不尽相同,审核的重点在于有理有据,合理即可
然后,根据ISO 26262-3:2018,Table 4 ‒ ASIL determination得到每个危害事件的安全等级ASIL。ASIL等级定义了对相关项功能安全开发必要的要求和安全措施,其中,D代表最高严格等级,A代表最低严格等级。QM属于一般质量管理。
为了免去查表的麻烦,这里分享个简单的ASIL等级计算公式:
S + E + C =10 => ASIL D
S + E + C = 9 => ASIL C
S + E + C = 8 => ASIL B
S + E + C = 7 => ASIL A
S + E + C < 7 => QM
3.2.3 安全目标
危害事件的反面即为安全目标,其中:
可以对相似的危害事件进行组合和分类,再导出安全目标,以此降低分析工作量
针对分类后的每一个危害事件导出对应的安全目标
若导出的安全目标存在相似,可对其进行合并,并继承其中最高的ASIL等级
为了方便朋友们进行安全分析,特意制作HARA分析模板如下:
需要的朋友请在微信公众号’‘AUTO世代’'回复: HARA模板
下期预告:
概念阶段开发第三部分内容: 功能安全方案(FSC),即,根据安全目标,导出功能安全需求FSR,系统化地形成功能安全方案FSC。
写在最后:
欢迎朋友们关注,点赞,分享并通过公众号私信留言讨论,补充和升华。
02 - 汽车功能安全系列之概念阶段开发 - Item Definition HARA相关推荐
- 01 - 汽车功能安全(ISO 26262)系列 - 开篇
更多精彩汽车专业内容尽在微信公众号 ''AUTO世代'' 随着软件定义汽车,汽车功能安全显得尤为重要,功能安全系列专题由此诞生,主要简述个人在功能安全不同开发阶段(包括概念,系统,软件,硬件开发等)重 ...
- 汽车功能安全—HARA
汽车功能安全-HARA 文章目录 汽车功能安全-HARA HARA是什么?为什么需要它? 谁来负责执行HARA:OEM或供应商? 1.Item Definition 2.安全生命周期开始 3.使用HA ...
- 【364天】跃迁之路——程序员高效学习方法论探索系列(实验阶段122-2018.02.04)...
实验说明 从2017.10.6起,开启这个系列,目标只有一个:通过探索新的学习方法,用2年的时间,实现2.5倍速的成长,获得普通程序员>= 5年的技术水平. 实验期2年(2017.10.06 - ...
- 【368天】跃迁之路——程序员高效学习方法论探索系列(实验阶段126-2018.02.08)...
实验说明 从2017.10.6起,开启这个系列,目标只有一个:通过探索新的学习方法,用2年的时间,实现2.5倍速的成长,获得普通程序员>= 5年的技术水平. 实验期2年(2017.10.06 - ...
- 软件工程经验总结系列之二 - 概念阶段控制
本文为软件工程经验总结系列文章的第二篇,按照总论文章所设立的范围划分,本阶段重点讲述概念阶段的控制过程以及控制思路,笔者所站在的角度是乙方角度来进行表述整个阶段的推动过程,但对于甲方公司其基本思路完全 ...
- 汽车功能安全研究:主机厂和供应商的ISO26262布局
已剪辑自: https://mp.weixin.qq.com/s?__biz=MzA4NTcwMDQwMg==&mid=2650810268&idx=1&sn=73f2d397 ...
- 汽车功能安全工程师必看!ISO 26262认证基本原理解析
来源:内容由半导体行业观察翻译自「Arteris」,谢谢. 汽车半导体设备和电子系统的开发人员要小心:可能有些供应商声称他们的产品符合ISO 26262安全标准要求,如果这些说法未能阐明用于制造汽车产 ...
- (二十)通俗易懂理解——汽车功能安全
ISO26262 是 IEC61508 对 E/E 系统在道路车辆方面的功能安全要求的具体应用. --提供了汽车生命周期(管理,研发,生产,运行,服务,拆解)和生命周期中必要的改装活动. --提供了决 ...
- 【跃迁之路】【578天】程序员高效学习方法论探索系列(实验阶段335-2018.09.06)...
[跃迁之路][578天]程序员高效学习方法论探索系列(实验阶段335-2018.09.06) @(跃迁之路)专栏 [跃迁之路]奖励金计划正式开始 从2018.7.1起,[跃迁之路]奖励金计划正式起航, ...
最新文章
- Matlab入门笔记
- struts实战--登录功能实现
- k8s:组件网络通讯方式
- hdu 2454 Degree Sequence of Graph G(可简单图化判定)
- null、undefined、NaN区分解析和条件判定,以及在IF条件中的判定
- linux端口零内存拷贝,Linux设备驱动之I/O端口与I/O内存
- python语言名片管理系统,进行增删改查
- ScrollView 里面捕获OnTouchMove事件
- jQuery 笔记目录
- .Net RabbitMQ之消息通信 构建RPC服务器
- javaee安装_JDK下载安装与环境变量配置【超详细】
- ajax angular点击事件_Angular的$http的ajax的请求操作(推荐)
- 铁路售票系统_铁路这些工种你知道吗?快来一起康康吧
- 计算机技术和通信技术的关系,计算机技术与通信技术的关系
- 层次分析法和bp神经网络,基于bp的神经网络算法
- java继承动物类_Java之继承
- git diff的简单使用
- 财务分析之资产负债表
- Windows XP 上网提示:您的时钟快了/慢了
- java 当前时间 转换成 农历(阴历)时间