MUNIK解读ISO26262--ASIL分解详解
媒介:对于功能安全产品的开发而言,当整车层级通过Item Definition, HARA将安全目标(SG)推导出来以后,想将其实现最直接的方式就是内部所有的组件都按照安全目标的品级进行开发,换言之就是SG是ASIL D, 下游的系统,硬件,软件组件被分配的TSR,HSR,SSR都是ASIL D。但实际上由于高品级的安全要求在有些时候想直接实现难度确实相称大,但又不能因此阻碍功能安全的开发工作,以是标准引入了ASIL 分解的概念。
1. 什么是ASIL分解?
ASIL分解是低落功能安全开发要求的一种方法,它的主要特点就是将一条高标准的安全要求分解成两个独立且易于实现的要求,并将分解后的这两个要求分配到互相独立的要素上, 同时独立要素合力实现的功能要满足初始安全要求。标准对于ASIL分解有专门的表示方法,如ASIL X(Y),这里的Y表示分解前的原始ASIL品级,X表示分解后的ASIL品级,比方一个ASILD的安全要求分解成一个ASILC和一个ASIL A,则应标注成“ASIL C(D)”和“ASIL A(D)”。而在ISO 26262, part9第5章对于ASIL分解有专门的分解规则(见下图),
https://i-blog.csdnimg.cn/blog_migrate/1ddf80ee7e2fa4d58475155bf9a9c942.png
这里大家理解的时候可以类比QM=0,ASIL A=1,ASIL B=2,ASIL C=3,ASIL D=4。值得注意的一点就是,当原始需求ASIL分解预期功能和安全机制这两个方面时,安全机制宜被分配分解后的较高 ASIL品级。
注:ASIL分解的时候原始需求一次只能分配为两个新需求。
2. 分解后的要素独立性要得到满足
在上面我们提到了ASIL分解要将分解后的需求分配到相互独立的要素上,这是一个必须满足的条件,因为ASIL分解本质概念是冗余,冗余就要求组件之间不存在共因失效大概级联失效,那么怎么来证明要素之间互相冗余?标准这里就要求ASIL分解后的两个要素之间要进行相干失效分析(DFA),用来判断要素之间是否存在共因失效大概级联失效。关于DFA的相干标题可以查阅我们之前的文章《什么是DFA》。
这里有必要阐明一下,冗余并非是直接利用两个雷同的组件互相备份,这种直接复制组件的方式称为同构冗余,同构冗余的两个组件是缺乏要素间的独立性的,因为同样的组件大概率是会存在雷同的系统性失效,而系统性失效是我们在开发功能安全产品时是要尽可能制止的,以是一样平常会接纳功能雷同,设计存在显着区别的组件进行互相冗余。
3. ASIL分解为什么能低落开发难度?
功能安全设计本质上是为了控制和办理两种失效情况,分别是系统性失效和随机失效,我们分别从这两个方面进行了解。
[*]系统性失效:以确定的方式与某个原因相干的失效,只有对设计或生产流程、操作规程、文档或其他相干因素进行变更后才可能清除这种失效。
ISO 26262对系统性失效的要求存在于相干项的各个层级,硬件元器件层(HW part level)、软件单元层(SW-Unit level)、组件层(component level)和系统层(system level)。而且从上面系统性失效的界说可以看出,ISO 26262对系统性失效的要求本质上可以理解为对设计流程和验证流程的要求。
这一点我们在建建功能安全流程体系时订定的各种指南,流程性文件来对活动进行约束,包括严酷按照V模型概念实施验证活动都是为了制止发生系统性失效。
从验证工作数量上举个例子:如果某硬件组件原始被分配的安全需求为ASIL D,通过ASIL分解后为该硬件组件增长了一个ASILB(D)的安全机制,而该硬件组件按照ASIL B(D)的要求限制系统性失效就可以,低落了开发难度和成本,对应到下图中可以看到ASIL B比ASIL D要求更为宽松。
https://i-blog.csdnimg.cn/blog_migrate/37a314c9c6436b6e8d847eea9c993c44.png
[*]随机失效:非预期发生并服从概率分布的失效,一样平常由器件材料老化,环境变革等原因造成。
对于随机失效,标准用三个量化指标进行权衡,分别是单点故障度量(SPFM)
https://i-blog.csdnimg.cn/blog_migrate/512b039ff5ef5f6fa28f0376af20c3a3.png
潜伏故障度量(LFM)
https://i-blog.csdnimg.cn/blog_migrate/58b5a3e7a1fe61fdca93f67483d634ed.png
随即硬件失效概率度量(PMHF)
https://i-blog.csdnimg.cn/blog_migrate/cefbfa75a1e4532bba5dd84d4a6708c7.png
对于整个产品而言,不管是内部有没有进行ASIL分解,这三个指标的要求都不会改变。但是对于产品内部的组件而言就不太一样了,举例产品中的硬件组件X原始安全要求是ASIL D,而且其的失效会直接影响产品的安全目标,那么其对应的架构度量应该为https://i-blog.csdnimg.cn/blog_migrate/ab53d248d2243137daa07f4ddf6f5c7f.png
而分解后由硬件组件Y ASIL B(D)以及安全机制Z ASIL B(D)来实现,因为Y和Z是互相冗余且独立的,以是不再属于单点故障,而属于多点失效,其架构度量应属于https://i-blog.csdnimg.cn/blog_migrate/a88dfb97420c63c7ad21fcff1b1720ab.png
综上可知,ASIL 分解是可以低落功能安全开发难度乃至成本,但低落开发难度和成本仅限于这两个独立的子要素,对于团体硬件集成、验证和认可措施等活动,仍旧需要按初始ASIL品级的要求来开展(比如对ASILD的硬件系统,在认可措施活动中需要有最高的独立性要求
4. 示例
如今我们通过一个简单的示例对ASIL分解进行梳理。
[*]导出SG
假设整车层面的EPB(电子驻车制动系统)功能,它的实现依赖多个传感器对不同物理量的测量,比方S1(刹车/油门踏板传感器),S2(驻车按钮),S3(姿态传感器),S4(发动机转速传感器),S5(车速传感器)上传给ECU进行运算并发送指令给实行器A(EPB卡钳)。
颠末HARA分析后,汽车在高速行驶过程中可能会误触驻车按钮导致非预期的刹车,从而危及人身安全,因此订定安全目标1(SG1):“制止在车速≥80km/h时非预期触发实行器而对人员造成伤害”。ASIL品级为D,功能实现架构图及ASIL品级分布表示图如下:
https://i-blog.csdnimg.cn/blog_migrate/4676d95337c02c2345ca28f1bdbfbd69.jpeg
[*]分配SG
根据SG1我们可得出以下FSR:
[*]FSR1:传感器S5应提供正确的车速信息给ECU1---ASIL D;
[*]FSR2:当车速≥80km/h 时,ECU1不再向EPB卡钳供电---ASIL D;
[*]FSR3:EPB卡钳只有在得到ECU1供电之后才能动作,进行刹车---ASIL D;
[*]增长安全机制迭代后的功能安全要求
因为ECU1处置惩罚的信息较多,为了低落开发难度并实现安全要求,我们在架构设计中为车速信息处置惩罚增长了监测机制,原有的ECU1实行功能层面的数据处置惩罚,优化后的架构功能及ASIL品级如下:
[*]FSR1:传感器S5提供正确的车速信息给ECU1和ECU2---ASIL D;
[*]FSR2-1:ECU1担当S1-S5的信息,用来判断是否发送刹车信号给ECU2---QM(D);
[*]FSR2-2:ECU2处置惩罚S5以及ECU1的信息。当S5的信息显示车速≥80km/h时,ECU2不会向卡钳供电;当S5的信息显示车速<80km/h时,ECU有刹车请求,ECU2给卡钳供电。---ASIL D(D);
[*]FSR3:EPB卡钳只有在ECU2为其供电时才工作进行刹车动作---ASIL D
https://i-blog.csdnimg.cn/blog_migrate/7b45c0769f1aa3a51916bc9bf0450008.jpeg
注:
[*]当然这里仅仅是围绕着SG1展开的分解,实际中的ECU1负担的功能和安全需求不会只有一条,终极开发品级照旧要按照所涉及的安全要求中最高的ASIL品级进行开发。
FSR的迭代关系如下表:
分解前
分解后
FSR
编号
形貌
ASIL
品级
FSR
编号
形貌
ASIL
品级
FSR1
传感器S5应提供正确的车速信息给ECU1
D
FSR1-1
传感器S5提供正确的车速信息给ECU1和ECU2
D
FSR2
当车速≥80km/h 时,ECU1不再向EPB卡钳供电
D
FSR2-1
ECU1担当S1-S5的信息,用来判断是否发送刹车信号给ECU2
QM(D)
FSR2-2
ECU2处置惩罚S5以及ECU1的信息。当S5的信息显示车速≥80km/h时,ECU2不会向卡钳供电;当S5的信息显示车速<80km/h时,ECU1有刹车请求,ECU2给卡钳供电
D(D)
FSR3
EPB卡钳只有在得到ECU1供电之后才能动作,进行刹车
D
FSR3-1
EPB卡钳只有在ECU2为其供电时才工作进行刹车动作
D
这样又有一个标题那就是设计中同时存在了QM和ASIL D(要素共存的标题),那么就要思量相干失效可能会造成的影响,也就是最起码确保ECU1和ECU2相互独立,这里又回到了我们之前的文章“什么是DFA”。
以上就是一个比较简单的处置惩罚部分的ASIL分解示例,其他方面也可能会同时存在ASIL分解,比如车速传感器部分可以接纳冗余设计。
https://i-blog.csdnimg.cn/blog_migrate/13c0f9944f747c8e1a94fb5b5ee7955c.jpeg
更多内容请关注:www.munik.com
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]