0


ISO26262安全目标(SG)的开发和落地过程案例

ISO 26262标准中,安全目标(Safety Goal, SG)的确认流程是功能安全管理的核心部分,它确保了汽车电子系统的安全性能满足预定的安全要求。安全目标确认需要遵守一定的流程,以确保SG的确认符合功能安全的要求。

1、****危害分析和风险评估(HARA):

1.1 危害分析

首先进行危害分析,识别系统可能对人员、财产和环境造成的伤害。

危害分析(Hazard Analysis)矩阵

危害编号

危害描述

可能的失效模式

HAZ1

传感器故障导致的碰撞

传感器损坏、软件错误、硬件故障

HAZ2

系统误识别导致的非预期倒车

软件缺陷、环境干扰、传感器精度不足

HAZ3

执行器故障导致的倒车失控

执行器损坏、控制逻辑错误

HAZ4

软件故障导致的倒车路径规划错误

软件bug、数据损坏

HAZ5

环境因素影响导致的传感器性能下降

极端天气、障碍物干扰

HAZ6

驾驶员依赖过度导致的事故

驾驶员注意力不集中、反应迟缓

HAZ7

系统降级或失效导致的安全风险

系统降级策略不当、故障未被及时识别

1.2 分析评估

根据分析到的危害和时效模式进行风险评估,确定危害的严重度(Severity, S)、暴露度(Exposure, E)和可控度(Controllability, C)。

风险评估(Risk Assessment)

危害编号

严重性 (S)

暴露率 (E)

可控性 (C)

HAZ1

S3

E4

C3

HAZ2

S2

E3

C2

HAZ3

S3

E4

C3

HAZ4

S2

E3

C2

HAZ5

S1

E2

C1

HAZ6

S2

E3

C2

HAZ7

S3

E4

C3

2、****确定安全目标:

根据HARA的结果,定义安全目标,以避免或减轻已识别的危害。

基于上述风险评估,为每个危害事件制定安全目标:

SG1: 对于HAZ1,开发传感器冗余和故障检测机制,以降低碰撞风险。

SG2: 对于HAZ2,增强软件算法的鲁棒性,减少误识别。

SG3: 对于HAZ3,确保执行器的可靠性,并通过系统监控来防止失控。

SG4: 对于HAZ4,实施严格的软件测试和验证程序,确保路径规划的准确性。

SG5: 对于HAZ5,提高传感器的适应性和抗干扰能力。

SG6: 对于HAZ6,设计驾驶员监控系统,确保驾驶员在关键时刻能够接管控制。

SG7: 对于HAZ7,制定和实施有效的系统降级策略,并确保故障能够被及时识别。

3、****分配ASIL等级:

结合S、E、C的评估结果,根据ISO 26262-3:2018中的表格,分配相应的汽车安全完整性等级(ASIL)。

安全等级分配

害编号

严重性 (S)

暴露率 (E)

可控性 (C)

ASIL等级

HAZ1

S3

E4

C3

ASIL D

HAZ2

S2

E3

C2

ASIL C

HAZ3

S3

E4

C3

ASIL D

HAZ4

S2

E3

C2

ASIL C

HAZ5

S1

E2

C1

ASIL A

HAZ6

S2

E3

C2

ASIL C

HAZ7

S3

E4

C3

ASIL D

4. 制定安全要求:

基于安全目标,制定详细的安全要求,这些要求将指导后续的系统设计和开发。

根据安全目标,推导出具体的安全要求:

SR1: 实现传感器的双重或三重冗余,并集成故障检测逻辑。

SR2: 开发先进的目标识别算法,减少误识别概率。

SR3: 对执行器进行定期的健康监测,并确保其在关键情况下的响应能力。

SR4: 设计故障容错的路径规划软件,并进行充分的测试。

SR5: 增强传感器在恶劣环境下的性能,如防水、防尘、抗高温等。

SR6: 集成驾驶员监控系统,通过视觉和听觉警告提醒驾驶员。

SR7: 实现系统状态的实时监控,并在检测到降级情况时提供清晰的指示。

5. 概念设计:

开发功能安全概念(Functional Safety Concept, FSC),描述如何通过技术措施实现安全目标。

根据推导出的安全要求(Safety Requirements, SRs),可以进一步设定功能安全概念(Functional Safety Concept, FSC)。FSC是一份文档,它描述了如何通过技术和管理措施来满足安全要求,以实现安全目标。以下是根据上述安全要求设定的FSC的示例:

传感器冗余与故障检测

FSC1.1: 设计包含双重或三重冗余的传感器系统,以确保在主要传感器失效时仍有备份传感器可用。

FSC1.2: 集成自诊断和故障检测机制,能够实时监测传感器性能,并在检测到异常时触发警告。

目标识别算法

FSC2.1: 开发和实施先进的目标识别算法,利用机器学习和人工智能技术提高识别准确性。

FSC2.2: 对算法进行持续的训练和优化,以适应不断变化的驾驶环境和条件。

执行器健康监测

FSC3.1: 实施执行器的定期自检程序,包括性能测试和状态监控。

FSC3.2: 确保执行器在关键情况下能够及时响应,即使在部分失效的情况下也能保持基本功能。

故障容错路径规划

FSC4.1: 设计具备故障容错能力的路径规划软件,能够在检测到潜在故障时重新规划安全路径。

FSC4.2: 对路径规划软件进行严格的测试,包括模拟故障情况和极端驾驶场景。

传感器环境适应性

FSC5.1: 增强传感器的防水、防尘和抗高温性能,确保在恶劣环境下也能稳定工作。

FSC5.2: 对传感器进行环境适应性测试,包括温度循环、湿度测试和耐候性测试。

驾驶员监控系统

FSC6.1: 集成驾驶员监控系统,使用摄像头和生物传感器来监测驾驶员的警觉性和参与度。

FSC6.2: 设计直观的视觉和听觉警告,以在系统检测到需要驾驶员接管时及时通知。

系统状态实时监控

FSC7.1: 开发系统状态实时监控工具,以持续跟踪系统性能和健康状态。

FSC7.2: 在系统降级或检测到关键故障时,提供清晰的指示和警告,指导驾驶员采取适当行动。

安全文化和培训

FSC8: 培养安全文化,确保所有团队成员了解功能安全的重要性,并为驾驶员提供关于系统限制和操作程序的培训。

安全档案和文档

FSC9: 维护详细的安全档案,包括设计文档、测试结果、安全分析报告和审核记录。

  1. 应急响应和事故处理

FSC10: 制定应急响应计划,以便在发现安全问题时迅速采取行动,并建立事故处理流程,用于调查和记录事故原因。

通过这样的FSC,可以确保ARF系统从概念到部署的每个阶段都考虑到了安全性,并且通过一系列的技术和管理措施来降低风险,从而实现安全目标。

6. 技术安全要求:

从安全目标推导出技术安全要求,包括操作模式、安全功能和接口要求。

基于功能安全概念(FSC),可以为自动倒车功能(ARF)建立技术安全要求(Technical Safety Requirements, TSRs)。这些要求将定义具体的技术规范和标准,以确保FSC中提出的概念得到实施。

技术安全要求示例:

传感器冗余与故障检测

TSR1.1: 选择具有内置冗余的传感器,以支持硬件冗余。

TSR1.2: 实现软件算法,以定期交叉验证传感器输出,检测不一致性。

目标识别算法

TSR2.1: 开发使用多层感知器或卷积神经网络的算法,以提高目标识别的准确性。

TSR2.2: 实施算法的持续学习机制,以适应新的驾驶场景。

执行器健康监测

TSR3.1: 设计执行器的实时状态监控系统,包括温度、压力和电流监测。

TSR3.2: 为执行器开发故障模拟测试,以验证系统的响应能力。

故障容错路径规划

TSR4.1: 采用基于规则的路径规划方法,以确保在故障情况下的安全性。

TSR4.2: 实现路径规划软件的单元测试和集成测试,以验证故障容错能力。

传感器环境适应性

TSR5.1: 确保传感器满足IP67或更高标准的防水防尘要求。

TSR5.2: 对传感器进行高温和低温测试,以验证其在极端温度下的性能。

驾驶员监控系统

TSR6.1: 集成驾驶员面部识别技术,以监测驾驶员的注意力和疲劳状态。

TSR6.2: 设计多模式警告系统,包括视觉、听觉和触觉反馈。

系统状态实时监控

TSR7.1: 开发系统健康状态的实时监控仪表板,供技术人员监控。

TSR7.2: 实现系统降级模式的自动化测试,以验证降级策略的有效性。

安全文化和培训

TSR8: 制定安全培训计划,包括功能安全、操作程序和应急响应。

安全档案和文档

TSR9: 建立电子化安全档案系统,以便于访问、更新和审计。

应急响应和事故处理

TSR10: 开发应急响应流程,包括故障报告、事故调查和纠正措施。

硬件设计

TSR11: 硬件设计应符合ISO 26262标准的D级要求,以支持最高的安全完整性。

软件架构

TSR12: 软件架构应采用分层设计,确保安全关键功能的隔离。

接口要求

TSR13: 定义清晰的系统接口要求,包括传感器、执行器和外部通信接口。

诊断覆盖率

TSR14: 实现100%的诊断覆盖率,以确保所有潜在故障都能被检测到。

安全相关的系统测试

TSR15: 进行安全相关的系统测试,包括随机硬件故障注入测试和系统压力测试。

通过这些技术安全要求,ARF系统的开发团队可以确保系统在技术层面满足功能安全的要求,从而降低风险并提高整体安全性。这些要求将指导详细的系统设计、实现和验证过程。

7. 系统设计和开发:

根据技术安全要求,进行系统设计和开发,确保满足安全目标。

针对上述技术安全要求(TSRs),系统设计和开发阶段需要采取一系列具体的措施来确保自动倒车功能(ARF)的安全性。以下是系统设计和开发的关键步骤:

  1. 系统架构设计

设计分层架构:确保软件组件之间有清晰的接口和隔离,以避免单点故障。

硬件选择:选择符合ISO 26262标准的硬件组件,特别是对于安全相关的系统。

  1. 传感器系统设计

冗余设计:为关键传感器设计冗余路径,如使用多个雷达或摄像头。

环境适应性:确保传感器具备足够的防水、防尘和耐温性能。

  1. 执行器系统设计

健康监测:为执行器设计内置的诊断和健康监测功能。

响应能力测试:定期进行执行器响应能力的测试,确保在关键时刻能够可靠工作。

  1. 软件系统开发

目标识别算法:开发和训练先进的目标识别算法,确保在各种环境下都能准确识别障碍物。

路径规划软件:设计能够处理多种故障情况的路径规划软件,并进行充分测试。

  1. 驾驶员监控系统

注意力监测:集成驾驶员监控系统,使用生物识别技术监测驾驶员的注意力。

警告系统:设计多模式警告系统,包括视觉、听觉和触觉反馈,以确保驾驶员能够及时接收到警告信息。

  1. 系统状态监控

实时监控仪表板:开发系统状态监控仪表板,供技术人员实时监控系统状态。

降级模式测试:对系统降级模式进行自动化测试,确保在检测到关键故障时能够安全地降级功能。

  1. 安全文化和培训

安全培训:为开发团队和最终用户提供全面的安全培训。

应急响应培训:确保所有相关人员了解应急响应流程。

  1. 文档和记录

安全档案:建立和维护详细的安全档案,包括设计文档、测试结果和安全分析报告。

变更管理:实施严格的变更管理流程,确保所有变更都经过适当的审查和测试。

  1. 测试和验证

单元测试:对所有软件组件进行单元测试,确保它们按预期工作。

集成测试:进行集成测试,以验证不同组件之间的交互。

系统测试:执行系统测试,包括随机硬件故障注入测试和系统压力测试。

  1. 诊断和故障管理

诊断覆盖率:确保所有关键系统都有100%的诊断覆盖率。

故障管理策略:开发故障管理策略,包括故障检测、报告和恢复。

  1. 安全分析

HARA更新:在设计和开发过程中定期更新HARA,以确保所有新的风险都被识别和评估。

安全分析工具:使用安全分析工具,如故障树分析(FTA)和失效模式与影响分析(FMEA)。

  1. 合规性验证

ISO 26262合规性:确保所有设计和开发活动都符合ISO 26262标准的要求。

  1. 持续改进

反馈循环:建立一个反馈循环,以便从测试和市场反馈中学习和改进。

8. 安全验证:

通过一系列的测试和活动验证系统设计和实现是否符合安全要求。

安全验证是确保自动倒车功能(ARF)满足所有技术和管理安全要求(TSRs)的重要过程。以下是针对ARF系统进行安全验证的关键步骤:

  1. 验证计划制定

制定详细的验证计划:包括所有预定的验证活动、资源、时间表和成功标准。

  1. 单元测试

对所有软件组件进行单元测试:验证每个单元的功能是否符合设计规格。

  1. 集成测试

执行集成测试:确保不同软件组件之间的接口和交互按预期工作。

  1. 硬件测试

对硬件组件进行测试:包括冗余传感器和执行器,验证其在各种环境条件下的性能。

  1. 系统测试

进行系统级测试:包括模拟故障和极端条件,以验证系统的整体性能和故障响应。

  1. 硬件在环(HIL)测试

使用HIL测试:模拟真实世界的条件,验证硬件组件在实际操作中的响应。

  1. 软件在环(SIL)测试

执行SIL测试:在模拟的硬件环境中测试软件,确保软件逻辑和控制算法的正确性。

  1. 驾驶员在环(DIL)测试

进行DIL测试:在真实或模拟的驾驶环境中,评估驾驶员与系统交互的影响。

  1. 诊断和故障检测验证

验证系统的诊断能力:确保所有关键组件的故障都能被及时检测和报告。

  1. 性能验证

验证系统性能:包括传感器的响应时间、执行器的精确度和路径规划算法的效率。

  1. 环境适应性验证

在不同环境条件下测试系统:包括极端温度、湿度、振动和电磁干扰条件。

  1. 安全功能验证

验证安全关键功能:包括故障检测、系统降级和驾驶员警告系统。

  1. 回归测试

进行回归测试:在系统更新或维护后,验证安全性能没有退化。

  1. 安全分析方法应用

应用安全分析方法:如故障树分析(FTA)、失效模式与影响分析(FMEA)和HAZOP,以识别潜在的风险。

  1. 安全目标和安全要求追溯性分析

确保可追溯性:验证测试结果与安全目标和安全要求之间的关联。

  1. 文档和记录审查

审查所有测试文档和记录:确保测试活动被充分记录,并与安全档案保持一致。

  1. 第三方审计和评估

进行第三方审计:由独立机构评估验证过程的有效性。

  1. 应急响应和事故处理流程验证

验证应急响应计划:确保在发生安全事件时,有明确的流程和措施。

  1. 用户培训和操作验证

验证用户培训材料和程序:确保驾驶员和操作人员能够正确使用系统。

  1. 安全验证报告

编制安全验证报告:详细记录验证过程、结果和任何发现的问题。

  1. 持续改进

根据验证结果进行改进:解决验证过程中发现的问题,并持续改进安全性能。

9. 安全确认:

安全确认是通过评估和分析整个开发过程中的安全性活动,确认系统的安全性,并提供最终的安全性评估。

安全确认(Safety Validation)是ISO 26262功能安全开发流程中的最终阶段,旨在通过独立的审查和测试,确认产品在整个生命周期内符合所有安全要求。以下是针对自动倒车功能(ARF)进行安全确认的关键步骤:

  1. 安全确认计划

制定安全确认计划:明确安全确认的目标、方法、资源、时间表和责任分配。

  1. 独立审查

进行独立审查:由未参与开发的第三方专家进行系统和过程的审查。

  1. 测试结果分析

分析验证测试结果:确保所有测试结果符合预定的安全目标和要求。

  1. 安全案例评估

评估安全案例:检查安全案例是否充分证明了系统的安全性。

  1. 安全分析方法应用

应用安全分析方法:如FTA、FMEA、HAZOP等,以识别和评估剩余风险。

  1. 安全要求追溯性检查

追溯性检查:确保每个安全要求都有相应的措施,并得到充分验证。

  1. 系统文档审查

审查系统文档:包括设计文档、测试报告、安全档案和用户手册。

  1. 现场测试和评估

进行现场测试:在实际使用环境中评估系统的性能和安全性。

  1. 硬件和软件审查

审查硬件和软件:确保它们符合预定的安全标准和性能要求。

  1. 应急响应和事故处理流程测试

-测试应急响应流程:确保在发生安全事件时,能够按照预定流程有效响应。

  1. 用户培训和操作确认

-确认用户培训效果:确保驾驶员和操作人员能够正确理解和使用系统。

  1. 安全性能监控

-实施安全性能监控:在产品部署后,持续监控系统的安全性能。

  1. 安全确认报告
  • 编制安全确认报告:记录安全确认过程、发现的问题和改进措施。
  1. 问题解决和闭环

-解决发现的问题:对安全确认过程中发现的任何问题进行整改,并验证整改效果。

  1. 监管合规性检查

检查监管合规性:确保产品符合所有相关的法律法规和行业标准。

  1. 产品发布审查

进行产品发布审查:在产品发布前,由项目团队和利益相关者进行最终审查。

  1. 持续改进

-持续改进:根据安全确认的反馈,持续改进产品和流程,以提高安全性。

这个流程需要跨部门的合作,包括工程师、项目经理、安全专家和质量保证人员。每个步骤都必须有详细的文档记录,并在整个开发周期中进行严格的管理和控制。


本文转载自: https://blog.csdn.net/MUKAMO/article/details/138253117
版权归原作者 MUKAMO 所有, 如有侵权,请联系我们删除。

“ISO26262安全目标(SG)的开发和落地过程案例”的评论:

还没有评论