作者 / HYZY
来源 / 焉知
一、安全设计过程
安全设计强调自上而下的层次化设计过程,各个层面的安全设计输入为上层安全架构与对本层的安全需求,输出为本层的安全架构及对下层的安全需求。
(1)安全设计的层次
下图1及图2分别展现了从相关项到硬件层面及软件层面的层次化功能安全开发过程:
图1和图2中定义的不同层次安全设计过程有:
- 功能安全概念functional safety concept
功能安全概念是在逻辑架构层面进行的安全设计,目的是从安全目标中得出功能安全需求,并将其分配给相关项的初步架构要素或外部措施,并定义要素之间的必要交互。
- 技术安全概念technical safety concept
技术安全概念是定义技术安全需求,并将技术安全需求和相关信息分配给系统要素,以提供系统层面的功能安全方案。技术安全概念的目的是将相关项层面的功能安全要求细化到系统层面的技术安全要求。
- 硬件设计
硬件安全设计包括硬件架构设计和硬件详细设计:
‒ 硬件架构设计表示所有的硬件组件以及它们彼此的相互关系;
‒ 硬件详细设计是在电气原理图级别上,表示构成硬件组件的元器件间的相互连接。
- 软件架构设计
软件架构设计描述全部软件组件及其在层次结构中的交互:静态方面,如所有软件组件间的接口和数据路径;动态方面,如进程顺序和时序行为。
- 软件单元设计
软件单元设计为分别按照建模或编码指南,以模型或直接以源代码的形式实现。
(2)同层架构设计
在同层架构设计中,需运用IPO(In Process Out)模型,搭建初始安全架构,并在此基础上运用各类安全分析方法,完成安全需求分配、独立性设计、安全机制设计等详细设计内容。
二、安全分析
(1)安全分析目的
安全分析属于安全验证及确认措施的一种,目的在于确保因系统性失效及随机硬件失效导致违反安全目标的风险足够低。
具体目标包括:
- 识别出在先前危害分析及风险评估中未被发现的新危害;
- 识别出可能导致违反安全目标的故障或失效;
- 识别出故障或失效的潜在原因;
- 为定义故障预防安全措施、故障控制安全措施提供支持;
- 为安全概念的适用性提供证据;
- 支持对安全概念、安全要求的验证,及识别设计需求和测试需求。
(2)安全分析范围
安全分析的范围包括:
- 对安全目标和安全概念的确认;
- 对安全概念和安全要求的验证;
- 对可导致违背安全目标或安全要求的条件及包括故障和失效的原因的识别;
- 对关于故障探测或失效探测的额外安全要求的识别;
- 对探测故障或失效所需的响应行为/响应措施的制定,及对为验证安全目标和安全要求是否得到满足所需的额外要求的识别,包括安全相关的车辆测试。
<
<
<
<
(3)安全分析方法
ISO 26262标准中给出了两种安全分析方法的分类原则:
- 定性分析与定量分析
定性分析方法识别失效,但不预测失效频率。常用定性分析方法包括:FMEA、定性FTA、HAZOP等。
定量安全分析是对定性安全分析的补充,可预测失效频率。定量分析可用于验证硬件设计是否符合已定义的硬件架构度量评估目标值和因随机硬件失效导致违背安全目标的评估目标值。定量安全分析还要求掌握硬件要素定量失效率的知识。常用定量分析方法包括:FMEDA、定量FTA等。
- 归纳分析与演绎分析
归纳分析是由下而上的方法,旨在从系统各元器件的失效原因推导出它们的失效对系统的影响,参见下图4。常用归纳分析方法包括:FMEA、HAZOP。
演绎分析方法是由上而下的方法,旨在从非预期的系统行为推导出导致该行为的可能原因,参见下图5。常用的演绎分析方法为FTA。
本文转自:焉知自动驾驶,转载此文目的在于传递更多信息,版权归原作者所有。
