术语注: 下面的术语的定义是作者基于ISO 26262的定义,再加上自己的理解给出的,和ISO 26262会有些差别。正式、准确、完整的定义请参考ISO 26262。 危险Harzard 注意:不会造成人身伤害的失效不是危险。比如汽车的收音机坏了,这个失效会导致乘员不能收听广播,但不会造成乘员人身伤害,所以它不是危险。 什么是失效可以参见文章潜在失效模式和后果分析 FMEA 10分钟教程中失效模式的解释。 暴露率Exposure 暴露率,描述危险出现时,人员暴露在失效能造成危害的场景中的概率。 注意:
暴露率分为五个等级,分别为E0/E1/E2/E3/E4。E0是几乎不可能暴露于危险中,E4是可能性极高。
例子1: 例子2: 严重度Severity
可控度Controllability 可控度总共4个等级,分别为C0/C1/C2/C3,等级越高,可控性越差。
危险事件Hazardous event 把危险和运行场景拆开,是因为危险一般只在特定的运行场景下才能会对人产生伤害。详细解释参见暴露率的定义。 汽车安全完整性等级Automotive Safety Integrity Level (ASIL) ASIL等级基于S、E、C这三个影响因子,按照下表确定。 ASIL描述危险的风险等级,其中D代表最高等级,A代表最低等级,QM表示质量管理(Quality Management),表示按照质量管理体系开发系统或功能就足够了,不用考虑ISO26262中的要求。 功能安全等级要求越高,对系统、软件、硬件的开发流程要求越严格,对硬件随机失效的要求越高。
危险分析和风险评估Hazard analysis and risk assessment 危险分析和风险评估步骤一般有以下4个步骤: 步骤1: 熟悉产品功能和失效 步骤1 熟悉产品功能和失效 熟悉产品的功能和失效就是了解分析的对象,是进一步分析的基础。 步骤2 识别危险 识别可能会造成乘员人身伤害的失效。 步骤3 识别危险事件 一个危险可能只在特定的运行环境下会对人产生伤害。实例可以参见暴露定义中的例子。 识别危险事件就是找出会使危害对人产生伤害的运行环境。 步骤4 为识别的危险分类 定义危险的严重度、暴露、可控度,得出ASIL等级。同时也会得到功能安全目标(功能安全目标就是避免危险)。 危险分析和风险评估例子这个例子来自ISO 2626-10:2011。 此例中的分析对象是一个装在车上的控制储能设备的产品。只有车速大于或等于 15km/h 时,储存的能量才应该被释放。在车速低于15 km/h 时释放能量会使设备过热,进而导致设备爆炸。 分析1: b) 危险事件 产品失效导致能量非预期地释放。储能装置爆炸,导致了车上乘员严重伤害。 c)为识别的危险分类 根据 ISO 26262-3:2011 表 4,ASIL等级为ASIL C。 分析2: b) 危险事件 -- 任何驾驶工况 产品有失效但是不会导致储能设备释放能量,所以不会导致乘员伤害 c)为识别的危险分类 |
|
|
