對象
汽車行業涉安全系統/產品的公司
目的
提高安全系統/產品的管控,特別是E/E系統的生命周期安全管理
內容
一、序言
1、 相互認識(自我介紹、學員介紹)
2、 道路車輛的安全性思考(車輛安全與展望)
3、 討論:貴司產品如何影響車輛安全?又是如何管控的?
二、ISO26262:2011標準內容解讀(10個部分)
1、ISO26262-1 適用范圍和主要內容
1.1 ISO26262的前身(IEC61508)
1.2 ISO26262適用范圍(5點:3.5T以下乘用車、E/E安全相關系統(如輔助駕駛、動態控制、主被動安全系統)、整個車輛生命周期、2011年后車輛的E/E安全相關系統、不適用為殘疾人設計的特殊目的車輛的E/E系統)
1.3 ISO26262主要內容(10點:定義、功能安全管理、概念階段、產品研發(系統級、硬件級、軟件級)、生產和操作、支持過程、基于ASIL和安全的分析、ISO26262導則)
1.4 ISO26262應用價值(4點:提供車輛生命周期內必要的改裝活動、提供了風險評估方法ASIL、通過ASIL獲得可接受的殘余風險的必要安全要求、提供確保獲得足夠的可可接受的安全等級的有效性和確定性措施)
互動交流:
1、 ISO26262是針對什么產品的安全標準? 2、企業應該如何建立和應用ISO26262標準?
2、ISO26262-2功能安全管理
2.1 項目安全生命周期(安全管理生命周期框圖)
2.2 項目安全生命周期各階段的認識與理解:
- 項目定義 - 安全生命周期的初始化 - 危險分析和風險評估
- 功能安全概念 - 系統級產品研發 - 硬件級產品研發
- 軟件級產品研發 - 生產計劃和操作計劃 - 產品發布
- 產品的操作、服務和拆解 - 可控性 - 外部措施
- 其它技術 - 安全文化(安全經驗傳承、重視安全)
3、ISO26262-3 概念階段
3.1 項目定義
3.1.1 項目信息: - 法規要求,已知的國際和國際標準 - 類似功能、系統或元素達到的行為
- 對項目預期行為的構想 - 已知的失效模式和風險在內的項目缺陷造成的潛在影響
3.1.2 項目的邊界條件以及相關項目之間的接口條件:
- 項目的所有元素 - 項目對其它項目或項目環境元素的相關影響
- 其它項目,元素和環境對本項目的要求 - 子系統或者包含的元素中,對功能的單位和分配
- 影響項目功能時,項目的運行情況
3.2 項目的安全生命周期
3.2.1 全新產品研發
3.2.2 現有產品升級改造
1. 做產品和使用環境分析,以制定出預期更改,并評估更改的影響
a) 設計更改與執行更改 b) 配置數據或校準數據的更改 c) 產品環境更改
2. 表述清楚產品使用前后條件的差別
a) 操作條件和操作模式 b) 環境接口 c) 安裝特征,如:安裝位置、配置和變化
d) 環境條件范圍,如:溫度、濕度、海拔、震動、EMC和汽油標號等
3. 要明確定義產品變更以及影響范圍
4. 影響到的服役產品,需要進行升級的,要逐一列出
5. 定制的相關安全活動應符合各個應用生命周期階段的要求
a) 定制應基于影響分析的結果 b) 定制的結果應包括在符合ISO26262-2的安全計劃中
c) 影響到的產品須返工,包括確認計劃和驗證計劃
3.2.3 項目的危險分析和風險評估
- 危險分析和風險評估的目的 - 危險分析和風險評估的步驟
- 情形分析和危險識別:
a.準備用來進行評估的操作情況清單 b.系統的確定清單上的危險 c.風險定義
d.明確相關操作條件和操作模式下危險事件的影響 e.對超出ISO262的風險,也要給予相應措施
- 對風險進行分級,設定安全目標,并按風險等級采取合理的措施
- 風險的分類(3個指標)
a) 傷害的嚴重性(4個等級,S0,S1,S2,S3)
b) 操作條件下暴露于危險中的可能性(5個等級,E0,E1,E2,E3,E4)
c) 危險事件的可控性(4個等級,C0,C1,C2,C3)
d) 風險的ASIL等級表(4個等級,A、B、C、D)
3.2.4 功能安全概念
- 基本的安全機制和安全措施:
1) 故障檢測和失效緩解措施 2) 安全狀態轉換 3) 故障容錯機制
4) 故障檢測和司機警示裝置 5) 邏輯仲裁 6) 安全目標和功能安全要求的層次結構
7) 功能安全要求的來源:
a) 應從安全目標和安全狀態來獲得,并考慮預想架構、功能概念、操作模式和系統狀態
b) 要為每個安全目標設定至少一個功能安全要求
c) 每個功能安全要求都要考慮以下內容:
1.操作模式 2.故障容錯時間間隔 3.安全狀態,過渡到安全狀態是否符合設備要求
4.急停操作間隔 5.功能冗余
d) 警示和降級
e) 如果安全狀態不能通過立即關閉來達到,則需指定一個緊急操作
1) 這些動作應該在功能安全概念中詳細描述
2) 駕駛員或陷入危險中的人員可以使用的手段或者控制要在功能安全概念中詳細描述
- 功能安全的分配:
a) 研發安全架構概念
b) 功能安全要求分配
1.功能安全要求的分配應該基于項目預想架構的元素進行
2.分配過程中,ASIL和功能安全要求考慮的內容信息都要繼續傳承
3.如果多個功能安全要求被分配到同一個架構元素,則這個架構元素應以這些功能安全要求最高 ASIL等級進行研發
4.如果項目由超過一個的系統組成,則對于每個獨立系統和他們的接口的功能安全要求都要從考 慮預想系統架構的功能安全要求中獲得,而這些功能安全要求也都要被分配到系統中去
5.如果ASIL等級需要被拆解,則要符合ISO26262-9第五條款的要求
6.如果安全要求被分配到其他技術的元素中,則無需考慮ASIL等級
c) 如果功能安全概念依賴于其他技術的原色,則應考慮:
1.靠其它技術執行的功能安全要求應該從其相應的元素中獲得并分配到元素中去
2.明確與其他技術的接口的相關功能安全要求
3.有應其他技術執行的功能安全要求要確保有具體的措施
d) 依賴于外部風險較低措施的功能安全概念應滿足以下要求:
1.應用于外面風險較低措施的功能安全要求應該從相應的外部風險較低措施中獲得并分配其中去
2.明確與外部風險較低措施的接口的功能安全要求
3.如果外部風險較低措施由E/E系統構成,則功能安全要求可以用ISO26262來進行評估
4.必須確保由外部風險較低措施執行的功能安全要求的正確執行
e) 功能安全概念應該按照ISO26262-8第九條款的要求來驗證與安全目標的一致性和符合性
f) 項目安全確認的原則應該學習的寫在功能安全概念中
g) 功能安全要求的審核應該闡明功能安全要求符合安全目標
4、ISO26262-4 系統級產品開發
4.1 系統級產品開發啟動
4.2 技術安全需求制定(技術安全需求規范、安全機制、ASIL分解、潛在故障避免、產品/運行/維護和結
束、檢驗和確認)
4.3 系統設計(系統設計規范和技術安全概念、系統架構設計約束、系統失效的避免措施、運行過程中隨
機硬件失效的控制措施、硬件和軟件配置、硬件和軟件接口規范<HSI>、產品運行/維護和關閉要求、 系統設計驗證)
4.4 項目集成和測試(集成測試計劃制定、軟硬件集成與測試、系統集成和測試、測試目標和測試方法)
4.5 安全確認 4.6功能安全評估 4.7 產品發布
5、ISO26262-5 硬件級產品開發
5.1 硬件級產品開發初始化 5.2 硬件安全需求規范擬定
5.3 硬件設計(硬件架構設計、硬件詳細設計、安全分析、硬件設計驗證、生產/運行/服務和關閉)
5.4 硬件體系指標評估
6、ISO26262-6 軟件級產品開發
6.1 軟件級產品開發啟動 6.2 軟件安全需求規范擬定 6.3 軟件體系設計
6.4 軟件單元設計和實現 6.5 軟件單元測試 6.6 軟件集成和測試
6.7 軟件安全需求和驗證
7、ISO26262-7生產運行
7.1 生產 7.2 運行、服務(保養和維護)和關閉
8、ISO26262-8支持過程
8.1 分布式開發接口 8.2 安全需求規范和管理 8.3 配置管理 8.4 變更管理 8.5 驗證
8.6 文檔 8.7 可信的軟件工具 8.8 軟件組件證明 8.9 硬件組件證明 8.10 論證證明
9、ISO26262-9 面向汽車安全完整性等級(ASIL)和安全分析
9.1 考慮ASIL裁剪等級分解要求 9.2 要素共存標準 9.3 關聯故障分析 9.4 安全分析
10、ISO26262-10 指南
互動練習:自由討論,答疑解惑
