中文 英语
知识中心
导航
知识中心

ISO 26262 -功能安全

有关汽车内电气和电子系统安全的标准
受欢迎程度

描述

ISO 26262是一项与汽车内电气和电子系统安全相关的标准,解决了安全相关系统的故障行为(包括这些系统的相互作用)可能引起的危险。ISO 26262是IEC 61508的衍生版本。

ISO 26262由以下部分组成,在“道路车辆-功能安全”的总标题下:

第一部分:词汇
-第2部分:功能安全管理
-第三部分:概念阶段
-第4部分:系统级的产品开发
-第5部分:硬件层面的产品开发
-第6部分:软件级别的产品开发
-第七部分:生产和经营
-第8部分:支持过程
-第9部分:面向汽车安全完整性等级(ASIL)和面向安全的分析
-第10部分:ISO 26262指引

驾驶辅助、推进、车辆动态控制以及主动和被动安全系统等新功能越来越多地涉及系统安全工程领域。随着技术复杂性、软件含量和机电一体化实现的不断提高,系统故障和随机硬件故障的风险不断增加。ISO 26262包括通过提供适当的要求和流程来避免这些风险的指导。

系统安全是通过一系列安全措施实现的,这些措施采用了各种技术(例如机械、液压、气动、电气、电子、可编程电子),并应用于开发过程的各个层面。虽然ISO 26262关注的是E/E系统的功能安全,但它提供了一个框架,在这个框架中,可以考虑基于其他技术的安全相关系统。ISO 26262:

  • A)提供汽车安全生命周期(管理、开发、生产、运营、服务、退役),并支持在这些生命周期阶段定制必要的活动;
  • b)提供一种基于特定汽车风险的方法来确定完整性等级[汽车安全完整性等级(ASIL)];
  • c)使用ASILs规定ISO 26262的适用要求,以避免不合理的剩余风险;
  • D)规定验证和确认措施的要求,以确保达到充分和可接受的安全水平;
  • E)提供与供应商关系的要求。

功能安全受到开发过程(包括需求规范、设计、实现、集成、验证、确认和配置等活动)、生产和服务过程以及管理过程的影响。

安全问题与常见的面向功能和面向质量的开发活动和工作产品交织在一起。ISO 26262处理了开发活动和工作产品的安全相关方面。

以下是在ISO 26262中找到的术语列表:

ASIL:汽车安全完整性级别-四个级别之一,指定项目(1.69)或元素(1.32)的ISO 26262的必要要求和安全措施(1.110),以避免不合理的剩余风险(1.97),其中D代表最严格的级别,A代表最不严格的级别。ISO 26262 9详细描述了ASIL分析。(iso 26262-1 - 1.6/ iso 26262-9)

ASIL分解:汽车安全完整性等级分解-也称为“ASIL裁剪”。将安全需求冗余地分配给足够独立的要素(1.32),目的是减少分配给相应要素的冗余安全需求的ASIL(1.6)。(操作方法示例图见ISO26262-9 5.4.10/ISO 26262-1 - 1.7/ISO 26262-9 5)

AUTOSAR:汽车开放系统架构——ISO 26262中没有,这是一个开放和标准化的汽车软件架构,由汽车制造商、供应商和工具开发商共同开发。(http://www.autosar.org;http://en.wikipedia.org/wiki/AUTOSAR)

CCF:常见原因故障-由单个特定事件或根本原因导致的一个项目(1.69)的两个或多个元素(1.32)的故障(1.39)。
共因故障是依赖故障(DF)(1.22),而不是级联故障(CF)(1.13)。(iso 26262-1 1.14)

CF:级联失败-一个项(1.69)的一个元素(1.32)的失败(1.39)导致另一个元素或同一项的元素失败。
级联故障是非共因故障(CCF)(1.14)的依赖故障(DF)(1.22)。(iso 26262-1 1.13)

CMF:常见模式故障—一种常见原因故障,即多个项目在同一模式下发生故障。使用故障树分析法(FTA)进行分析。(iso 26262-10 b.3.2)

直流:诊断覆盖率-由实施的安全机制(1.111)检测或控制的硬件元件(1.32)故障率(1.41)的比例。(iso 26262-1 - 1.25/ iso 26262-5 d)

dcl:双核Lockstep

DF:相关故障-同时或连续发生的概率不能表示为每个故障的无条件概率的简单乘积的故障(1.39)。相关故障包括共因故障(CCF)(1.14)和级联故障(CF)(1.13)。
(ISO 26262-9 7解释了相关失效分析(DFA);Iso 26262-1 1.22/ Iso 26262-9 7)

DFA:相关故障分析-旨在识别单个事件或单个原因,这些事件或原因可能绕过或使给定元素之间的独立性或独立性失效,并违反安全要求或安全目标。(iso 26262-9 7)

DIA:开发接口协议-客户和供应商之间的协议,其中规定了双方交换的活动、证据或工作产品的责任。例如DIA为ISO 26262-5 B. (ISO 26262 1.24/ISO 26262-8 5)

贸易工业部:诊断测试间隔-安全机制执行在线诊断测试之间的时间间隔。使用ISO 26262-5表D.1进行分析。(iso 26262-1 1.26/ iso 26262-5 d)

E / E / PE:电气、电子和可编程电子- IEC 61508-4 3.2.6将其定义为基于电气和/或电子和/或可编程电子技术(见示例)。(iec61508 - 3.2.6)

EMI电磁干扰-由于外部源发出的电磁感应或电磁辐射而影响电路的干扰。[维基百科](ISO 26262-2/http://en.wikipedia.org/wiki/Electromagnetic_interference)

EOS:电气超应力—电气超应力失效可分为热致失效、电迁移失效和电场失效。会导致闭锁短路。[维基百科]EOS导致的故障率的例子见ISO 26262-10 A.3.4.2.4。计算方法见IEC TR 62380,“可靠性数据手册-电子元件、pcb和设备可靠性预测的通用模型”(ISO 26262-10 A.3.4.2.4/IEC TR 62380/http://en.wikipedia.org/wiki/Failure_modes_of_electronics)

防静电:静电放电-电过度应力(EOS)的一个子类。触电:由于接触、短路或电介质击穿而引起的电脉冲[维基百科]参见ISO 26262-5 E关于ESD的SPFM和LFM计算的例子。(ISO 26262 - 2)

适合:故障时间-在十亿(1×10^9)设备小时的操作中可以预期的故障数量。[Wikipedia]平均故障间隔时间(MTBF) = 1,000,000,000 x 1/FIT。(ISO 26262 - 2)

FMEA故障模式和影响分析-与故障树分析(FTA)相反,故障模式和影响分析(FMEA)是一种归纳方法,重点关注系统的各个部分,它们如何发生故障以及这些故障对系统的影响。分析从故障开始,这可能导致错误,然后是失败。可以是定性的也可以是定量的。(iso 26262- 10b)

FMEDA:故障模式影响和诊断分析—用于详细确定错误原因及其对系统的影响的程序,可以非常有效地用于系统开发的早期阶段,以早期识别弱点。[http://www.tuv nord.com/en/methods/fmeda - 81629. htm) (http://www.tuv - nord.com/en/methods/fmeda - 81629. - htm)

自由贸易协定:故障树分析-与故障模式和影响分析(FMEA)相反,故障树分析(FTA)是一种演绎(自顶向下,见图B.2)方法,从不期望的系统行为开始,并确定该行为的可能原因。可以是定性的也可以是定量的。(iso 26262- 10b)

FTTI容错时间间隔-从故障发生到系统可以过渡到安全状态并准备好经历另一个可能的危险之间的时间。最大FTTI = DTI +故障反应时间+安全状态。(iso 26262 1.44)

恒生指数:硬件-软件接口-使用ISO 26262-4 B进行详细说明。(ISO 26262 - 2;Iso 26262-4 b)

线性调频:潜在故障度量-潜在故障是多点故障(1.77),其存在不会被安全机制(1.111)检测到,也不会被驾驶员在多点故障检测间隔(1.78)内感知到。潜在故障度量(LFM)是一种硬件架构度量,它揭示了安全机制的覆盖范围是否足够,以防止硬件架构中潜在故障的风险。单点故障度量(SPFM)是另一种硬件架构度量。
ASIL B (≧60%)、C (≧80%)和D (≧90%)覆盖率要求见ISO 26262-5 8.4.6表5。
方程和上下文见ISO 26262-5 C.3。
计算的例子是ISO 26262-5 - E。
(iso 26262-1 1.71;Iso 26262-4 6.4.3;Iso 26262-5 - 8;Iso 26262-5 c;Iso 26262-5 e)

生产部:多位乱码-当两个或多个错误位出现在同一个字。不能被简单的单比特ECC修正。(JESD89A)

MPFDI:多点故障检测间隔—多点故障(1.77)在可能导致多点故障(1.76)之前检测到的时间间隔。(iso 26262-1 1.78;Iso 26262-4 6.4.4)

PMHF:(随机)硬件故障的概率度量-是单点、残余和多点故障度量的总和。用FITs表示。计算方法在ISO 26262-5 F. (ISO 26262-5 9.2;Iso 26262-5 f)

选取:单事件锁存(Single Event latch up):一种由单个事件刷新(Single Event upset, SEU)引起的瞬时故障的单事件效应(SEE)。这种瞬时故障是“硬”的,只能通过循环电源来纠正。原因包括宇宙射线和静电放电(ESD)。(维基百科)(http://en.wikipedia.org/wiki/Latchup)

SEooC:脱离上下文的安全元素-与安全相关的元素,不是为特定项目开发的。这意味着它不是在特定车辆的上下文中开发的。(iso 26262-10 9)

看到:单事件效应-由单个高能粒子引起的“软误差”,可以采取多种形式。导致“瞬时故障”,如单事件中断(SEU)、单事件瞬变(SET)和单事件锁起(SEL)。使用ISO 26262-5表D.1进行分析。(iso 26262-5 d)

:单事件瞬态-当从电离事件中收集的电荷以假信号的形式通过电路放电时发生的“故障”。这实际上就是静电放电(ESD)的效果。它是一种“软误差”暂态故障,是一种单事件效应。如果一个SET通过数字电路传播,并导致一个不正确的值被锁在顺序逻辑单元中,那么它就被认为是一个单事件打乱(SEU)。(维基百科)(http://en.wikipedia.org/wiki/Single_event_upset)

:单事件中断-单事件中断(seu)是软错误,并且是非破坏性的。是由宇宙射线引起的“位翻转”或状态变化。它是单事件效应(SEE)的一种类型。

SPFM:单点故障度量——单点故障是指元素(1.32)中不受安全机制(1.111)覆盖的故障(1.42),并直接导致违反安全目标(1.108)。单点故障度量(SPFM)是一种硬件体系结构度量,它揭示了安全机制的覆盖范围是否足够,以防止硬件体系结构中单点故障的风险。潜在故障度量(LFM)是另一种硬件架构度量。
ASIL B (≧90%)、C (≧97%)和D (≧99%)覆盖率要求见ISO 26262-5 8.4.5表4。
方程和上下文见ISO 26262-5 C.2。
计算的例子是ISO 26262-5 - E。
(iso 26262-1 1.122;Iso 26262-5 - 8;Iso 26262-5 c;Iso 26262-5 e)

TCL:刀具置信度-使用ISO 26262-8 11.4.5.5表3根据刀具冲击(TI)和刀具误差检测(TD)计算。取值为TCL1、TCL2和TCL3。(iso 26262-8 11.4.5.5)

道明工具错误检测-对防止软件工具发生故障并产生相应错误输出的措施的信心,或对检测软件工具发生故障并产生相应错误输出的措施的信心。取值为TD1、TD2和TD3。(iso 26262-8 11.4.5.2)

“透明国际”:工具影响-特定软件工具的故障可能导致或无法检测正在开发的与安全相关的项目或元素中的错误。取值为TD1、TD2和TD3。(iso 26262-8 11.4.5.2)

-由Arteris提供的术语和参考资料。

多媒体

提高芯片的功能安全性

2020年2月4日

多媒体

使用静态分析实现功能安全

2020年1月14日

多媒体

3汽车电子产品安全标准

2020年1月12日

多媒体

2018年6月2日

多媒体

2018年5月24日

多媒体

2017年10月5日

多媒体

2017年8月24日

多媒体

2017年7月13日

多媒体

2017年6月12日

  • 通讯注册


相关白皮书

关于

导航

与我们联系

版权所有©2013-2023 SMG |服务条款|隐私政策
Baidu