解说功能安全 [四]:功能安全开发思路(下)

作者 / HYZY
出品 / 焉知

在本系列上一篇《解说功能安全 [三]:功能安全开发思路(上)》中将功能安全开发思路概括为:采用合适的安全措施,将因为电子电气系统功能异常表现而引起的危害控制在可容忍的风险边界。并进一步详细讨论了危害、风险边界和电子电气系统功能异常表现,本文将继续讨论剩下的安全措施。

一、安全措施概念解析

ISO 26262-2018中对安全措施(Safety measure)的定义是:

“Activity or technical solution to avoid or control systematic failures (3.164) and to detect or control random hardware failures (3.118), or mitigate their harmful effects (Note 1:Safety measures include safety mechanisms)”

GB/T 34590-2017中给出的对应定义为:

“用以避免或控制系统性失效、探测随机硬件失效,控制随机硬件失效或减轻它们的有害影响的活动或技术解决方案(注:安全措施包括安全机制)”

进一步理解,安全措施就是在功能安全技术体系下,针对系统性失效和随机硬件失效采用的应对方法。

图 1 安全措施

在功能安全技术体系外,同样存在有利于安全的措施,可称为“非功能安全措施”。下表1展示了针对同一种失效,采用(功能)安全措施与非功能安全措施的对比示例。


二、安全措施的分类

ISO 26262标准中要求的安全措施包括管理措施和技术措施两大类,见下图2。

图 2 安全措施分类

1) 管理措施

管理措施主要指ISO 26262标准中定义的功能安全管理,具体包括三个部分:
  •  整体安全管理;
  •  基于项目的安全管理;
  •  生产、运行、服务和报废的管理。

2) 技术措施

ISO 26262标准中定义的技术措施又可进一步分为安全机制和外部措施。安全机制和外部措施均允许通过电子电气技术或其他技术(机械、液压等)实现,而它们的区别主要在于安全机制由相关项自身实现,而外部措施由相关项以外的系统实现,具体见下图3

图 3 技术措施的应用

安全机制

安全机制的定义是:为了维持预期功能或达到/保持某种安全状态,由电子电气系统的功能/要素或其他技术来实施的技术解决方案,以探测故障/减轻故障或控制/规避失效。

在相关项中实施安全机制的目的是避免故障导致单点失效或减少残余失效,并防止故障潜伏。安全机制可以是能够使相关项过渡到或保持在安全状态;或能够向驾驶员发出提醒以控制失效的影响。

外部措施

外部措施的定义是:独立于且不同于相关项的措施,用于降低或减轻相关项失效造成的风险。以下为外部措施的一个示例:

示例

以下为一个基于其他技术的安全机制示例:

新能源汽车动力电池自燃会造成危害,对应的安全机制除可采用电子电气技术外,还可采用具有防火能力的动力电池机械外壳,达到阻止动力电池火势外延、保护车内人员不受人身伤害的目的。

3) 安全措施的另一种分类

安全措施除了可以分为管理措施和技术措施外,还可以分为避免出错发生的安全类措施和控制出错后果的防护类措施。

图 4 安全类措施和防护类措施

安全类措施(避免出错发生)

安全类措施包括:

‒最大程度地使用机械或硬件安全措施及高质量的零部件,以达到所要求的安全指标;

‒严格执行功能安全开发流程,防止和杜绝人为的系统性开发错误。

防护类措施(控制出错后果)

防护类措施指选择可靠的执行装置和监测系统,系统地设计有效的出错应急措施,防止系统出错后引起人身事故。

三、安全措施的作用期望

两类安全措施(管理措施和技术措施)与两类电子电气功能异常表现(系统性失效和随机硬件失效)的适用关系见下表2。


在功能安全技术体系中,安全措施可作用在危害发生的各个环节上,如:故障监控、失效控制、报警和降级等,其对电子电气功能异常表现的总体作用期望见下表3。


上一篇:解说功能安全 [三]:功能安全开发思路(上)

本文转自:焉知自动驾驶,转载此文目的在于传递更多信息,版权归原作者所有。

推荐阅读