道路车辆功能安全 ISO 26262标准（9-3）—面向汽车安全完整性等级 (ASIL) 和安全的分析

写在前面

本系列文章主要讲解道路车辆功能安全ISO26262标准的相关知识，希望能帮助更多的同学认识和了解功能安全标准。

若有相关问题，欢迎评论沟通，共同进步。(^▽^)

1. 道路车辆功能安全ISO 26262标准

9. ISO 26262-9 面向汽车安全完整性等级 (ASIL) 和安全的分析

三、关联故障分析

1. 目标

关联故障分析的目的是确定单一事件或单一原因，这个事件或原因能忽略或无效一个要求的独立或免受给定要素之间的干扰和违反一个安全要或安全目标。

2. 通则

关联故障分析考虑了以下的架构特点：

——相似和非相似冗余要素

——同一个软件或硬件要素的不同功能应用

——功能和它们相关的安全机制

——功能或软件要素的部分

——有或没有分离的硬件要素的物理距离

——公用外部资源

根据 ISO26262-1 中给出的定义，独立性被公共故障原因和串联故障原因影响，而免受干扰只被串联故障影响。

例如 1 ：高密度的电磁场能引起不同电子设备的故障是一种公共故障原因。车速信息不准将影响一个或多个汽车功能是一个串联故障影响的例子。

关联故障能，同时或者在足够短的时间间隔内，表明对同时故障的影响。

例如 2 ：在检测功能失效前的一点时间之前，一个检测反常功能行为的监测器能指示功能失效，前提是监测器和被监控的功能是由相同事件或原因引起的。

3. 本条款的输入

1. 前提条件

——在他们被应用的等级定义的独立的规范：根据ISO 26262-3:2011, 8.5.1, or ISO 26262-4:2011, 6.5.1, or ISO 26262-5:2011, 6.5.1, or ISO 26262-6:2011, 6.5.1 要求的系统、硬件或软件。

——在他们被应用的等级定义的免于干扰的规范：根据ISO 26262-3:2011, 8.5.1, or ISO 26262-4:2011, 6.5.1, or ISO 26262-5:2011, 6.5.1, or ISO 26262-6:2011, 6.5.1 定义的系统、硬件或软件，以及

——在他们被应用的等级定义的独立的或免于干扰的规范：根据ISO 26262-4:2011,7.5.2, or ISO 26262-5:2011, 7.5.1, or ISO 26262-6:2011, 7.5.1 定义的系统、硬件或软件。

注意：架构信息被用来确定关联故障分析时的界限。

4. 规范和推荐规范

1. 关联故障的潜在性将根据条款 8 中定义的安全分析结果中确定。

注意 1： 系统故障和随机硬件故障都对关联故障存在可能性。

注意 2： 关联故障的潜在可能性的认定是基于推论分析：cut sets 的执行或一个 FTA的重复同一事件能为关联故障指明潜在性。

注意 3：认定可以通过归纳性分析获得支持：在一个 FMEA 中相似部分或组件以相似的故障模式多次出现能够为关联故障的潜在性提供足够的信息。

2. 对关联故障的每个潜在可能性将被评价来确定它的因果关系，例如，一个有理由遇见的原因存在导致了关联故障，并且随后影响了一个要求的独立性或在给定要素之间的免干扰性。

注意： 当随机硬件失效需要定量化时，同时在评价由于随机硬件失效引起违反安全目标时，（参见 ISO26262-5）,公共失效原因的权重评价是基于一个定性的基数，因为没有通用或足够可靠的方法存在对这样的失效进行定量化。

3. 评价将考虑运行条件以及被分析要素或条款的不同的运行模式。

4. 当评价时，认为以下主题是适用的：

注意 1： 潜在关联失效的可能性评价可以通过一个合适的 checklist 来进行，比如，checklist 是基于现场经验。Checklist 提供了根本原因代表性实例和耦合因素的分析，比如，同一个设计，同一个过程，同一个组件，同一个接口，以及相近项。IEC61508 提供的信息能被用来建立这个 checklist 的基础。

注意 2： 评价也能通过过程指导获得支持，这些过程指导是用来阻止导致关联失效的根本原因和耦合因素的引入。

A） 随机硬件失效 例如： 公用模块失效，如在大型集成电路（微控制器、ASICs等）中的时钟，测试逻辑和内部电压整流；

B） 开发失效 例如： 规则失效，设计失效，应用失效，由于应用新技术产生的失效和制造过程中引入的失效；

C） 制造失效 例如： 与过程、流程、培训相关的失效；控制计划和监控计划失效；软件刷写和线末编程失效；

D） 安装失效 例如： 与线束走线相关的失效；与组件的内部互换产生的失效；要素或组件靠近引起的失效；

E) 维修失效 例如：与过程、流程、培训相关的失效；在查找问题时产生的失效；与产品部分的内部替换产生的失效和由于后续不兼容产生的失效；

F） 环境因素 例如： 温度、振动、压力、湿度/液化、污染、腐蚀、玷污、EMC；

G） 公用外部资源失效 例如： 供电、输入数据，系统内部数据总线和通信；

H） 由于特定条件下的压力 例如： 磨损、寿命。

5. 关联失效有理性的推理和它们的可能影响。

注意：在第4条中给出的关联失效有理性评价已经表明了可预见的原因。

6. 根据 ISO26262-8 中定义的变更管理，关联失效有理性分解测评应当在开发阶段进行。

7. 关联失效有理性分解测评应当包括阻止本质原因或控制它们影响或减少耦合因素的测评。

5. 工作成果

由第4条导出的关联失效分析。

**本文章是博主花费大量的时间精力进行梳理和总结而成，希望能帮助更多的小伙伴~ **🙏🙏🙏

后续内容将持续更新，敬请期待(^▽^)

欢迎大家评论，点赞，收藏→→→