功能安全的危害分析和风险评估方法
EPB功能安全笔记(8):FMEA方法论介绍
EPB功能安全笔记(8):FMEA⽅法论介绍本⽂要点在上⽂(EPB功能安全笔记(7):EPB safety concept分析⽰例) 以⼀条Safety Goal为例,结合系统架构和功能定义与边界分析出功能安全需求,最终得到技术安全需求。
技术安全需求将分配给软件⼯程师和硬件⼯程师实现。
功能安全开发团队合作⽰意图⾄此,对功能安全需求分析的介绍将告⼀段落,从本⽂开始将展开对另⼀个主要功能安全开发⼯作的讨论——安全分析(Safety Analysis)。
在ISO 26262中关注两点失效:随机硬件失效(random hardware failure):在硬件要素的⽣命周期中,⾮预期发⽣并服从概率分布的失效。
系统性失效(systematic failure):以确定的⽅式与某个原因相关的失效,只有对设计或⽣产流程、操作规程、⽂档或其他相关因素进⾏变更后才可能排除这种失效。
站在以结果为导向的⾓度,安全分析的⽬的就是借助分析⽅法去实现以下三点⽬标从⽽证明产品符合ISO 26262的要求。
产品的失效被完整地识别系统性失效被有效地规避随机失效被控制在了可接受的范围内作为安全分析的开头,本⽂将介绍常⽤的分析系统性失效的⽅法——FMEA(Failure Mode and Effects Analysis)。
1.什么是FMEA?1.1.FMEA的⽬的对于企业来说,影响产品释放和质量的因素包括技术风险,财务风险,时间风险和策略风险。
FMEA (Failure Mode and Effects Analysis)则是针对技术风险,是对产品开发和⽣产流程中进⾏预防性质量管理的⼀种分析⽅法。
FMEA 有助于及时识别和评估系统或产品使⽤过程中所有可能的风险,并制定和实施适当的措施以优化产品开发和⽣产环节的质量控制以降低故障成本(如召回率)。
1.2.FMEA在汽车⾏业的标准FMEA历史悠久,最早于1949年在美国军事装备开发中提出,后来形成了国际标注1977年引⼊汽车⾏业,并随着时间发展产⽣了两个标准:德国汽车⼯业协会VDA:VDA Volume 4,“Product and Process FMEA”美国汽车⼯业⾏动⼩组AIAG:“FMEA Reference Manual”这两个标准的核⼼是⼀样的,但是仍然在⼀些概念的定义等⽅⾯存在差异,随着汽车⾏业全球化合作越来越深⼊,这些差异不可避免引起合作上的不便,对标准统⼀的呼声也越来越⾼,于是VDA和AIAG 在2019年联合发布了统⼀的标准“Failure Mode and Effects Analysis – FMEA Handbook”。
iso26262功能安全评价方法
iso26262功能安全评价方法【原创实用版2篇】目录(篇1)1.Iso26262 功能安全评价方法的背景和意义2.Iso26262 功能安全评价方法的具体内容3.Iso26262 功能安全评价方法的实施步骤4.Iso26262 功能安全评价方法的优势和应用5.Iso26262 功能安全评价方法的未来发展正文(篇1)一、Iso26262 功能安全评价方法的背景和意义Iso26262 功能安全评价方法是一种针对汽车电子系统功能安全的国际标准,它的出现是为了确保汽车电子系统在失效情况下能够按照预期方式进行故障处理,从而避免对人员和环境造成伤害。
随着汽车电子化程度的不断提高,功能安全日益受到重视,Iso26262 功能安全评价方法应运而生,成为了保证汽车安全的重要手段。
二、Iso26262 功能安全评价方法的具体内容Iso26262 功能安全评价方法主要包括以下几个方面:1.安全目标的定义:根据汽车电子系统的功能和失效模式,明确安全目标,确保系统在失效情况下能够按照预期方式进行故障处理。
2.危害分析:通过对汽车电子系统可能的失效模式进行分析,评估可能带来的风险和危害程度。
3.功能安全等级:根据危害分析结果,为汽车电子系统中的各个功能分配相应的安全等级。
4.安全要求和措施:针对不同安全等级的功能,制定相应的安全要求和措施,确保系统在失效情况下能够满足安全目标。
5.验证和评估:对汽车电子系统进行实际验证和评估,检查系统在失效情况下是否能够按照预期方式进行故障处理。
三、Iso26262 功能安全评价方法的实施步骤1.建立项目团队:由汽车制造商、零部件供应商、技术服务公司等相关方共同组成项目团队,明确各方职责和任务。
2.收集和分析相关信息:收集汽车电子系统的设计、制造、使用等方面的信息,进行系统分析和失效模式分析。
3.制定安全目标和功能安全等级:根据分析结果,制定安全目标和功能安全等级。
4.制定和实施安全要求和措施:针对不同安全等级的功能,制定相应的安全要求和措施,并确保在系统设计和制造过程中得到有效实施。
危害因素辨识及风险评价
危害因素辨识及风险评价
术语
• 二类危害源 • 人的不安全行为、物的不安全状态、环
境不良、管理上的缺陷。 行人被撞.flv
危害因素辨识及风险评价
术语
• 所有危害因素尽管表现形式不同,但从本质 上讲,之所以能造成危险、危害后果(伤亡 事故、损害人身健康和物的损坏等)均可归 结为存在能量、有害物质(一类危险源)和 能量、有害物质失去控制(二类危险源)两 方面因素的综合作用,并导致能量的意外释 放或有害物质泄漏、散发的结果。故存在能 量、有害物质和失控是危害因素产生的根本 原因,都是危害因素。
危害因素辨识及风险评价
术语
• 危险源 是指可能造成人员伤害、财产损失、环境破坏
或这些情况组合的根源和状态。 危险源可以是存在危险的一件设备、一处设施
或一个系统,也可能是一件设备、一处设施或一 个系统中存地危险的一部分。也可以是可能产生 不期望后果的人或物。液化石油气在生产、储存、 运输和使用过程中,可能发生泄露,引起中毒、 火灾或爆炸事故,因此充装了液化石油气的储罐 是危险源;
危害因素辨识及风险评价
危害因素辨识及风险评价
ห้องสมุดไป่ตู้
图片
危害因素辨识及风险评价
术语
• 风险 某一特定危害事件发生的可能性与后果
的组合。 • 隐患
泛指生产系统中可导致人的不安全行为, 物的不安全状态,环境不良,管理上的缺 陷。
绿灯也要减速.flv
危害因素辨识及风险评价
术语
• 环境因素 • 是指一个组织的活动、产品和服务中能与环境发
危害因素辨识及风险评价
术语
• 危害因素 • 一个组织的活动、产品或服务中可能导致
人员伤害或疾病、财产损失、工作环境破 坏、有害的环境影响或这些情况组合的要 素,包括根源和状态。 • 根源:导致事故的前提。一类危险源。 • 状态:导致事故的条件。二类危险源。
危害辨识及风险评估简介
危害辨识及风险评估简介危害辨识及风险评估是一种用于确定潜在危害并评估风险程度的方法。
它可以帮助组织或个人了解可能发生的危险,分析潜在的后果,并采取适当的措施来降低或消除风险。
危害辨识是一个系统的过程,用于识别可能导致伤害或损害的威胁。
这些威胁可以来自于内外部环境,如疾病、自然灾害、事故等。
辨识危害的过程可以通过收集信息、调查数据、分析相关文献等方式进行。
辨识出潜在危害后,就可以进一步评估其风险。
风险评估是根据危害的性质、概率和可能导致的后果来评估风险的程度。
风险评估可以使用各种方法进行,包括定性评估和定量评估。
定性评估是基于专家判断或经验的主观评估,通过对危害的描述和可能的后果进行评估。
定量评估则是利用数学模型和统计分析等工具进行风险计算,以确定风险的具体数值。
危害辨识及风险评估的目的是为了帮助组织或个人更好地了解可能的风险,并采取相应的对策。
它可以帮助组织制定有效的风险管理计划,保护员工的安全和健康,减少财产损失,并确保业务的可持续发展。
在进行危害辨识及风险评估时,需要采取一系列的步骤。
首先,需要明确目标,确定要评估的系统或活动。
其次,收集相关信息和数据,包括事故报告、监测数据、经验教训等。
然后,分析收集到的信息,并识别出可能的危害。
接下来,评估危害的概率和后果,确定风险的程度。
最后,制定相应的措施来降低或消除风险,并制定风险管理计划。
危害辨识及风险评估具有很多优点。
首先,它可以帮助组织或个人识别出潜在的危害,提高对风险的认识。
其次,它可以帮助组织或个人有效管理风险,提高工作场所的安全和健康水平。
此外,危害辨识及风险评估可以为决策提供依据,帮助组织或个人更加明智地选择和采取措施。
然而,危害辨识及风险评估也存在一些挑战和限制。
首先,风险评估是一个复杂的过程,需要专业知识和专业工具的支持。
其次,危害辨识及风险评估需要充分的数据和信息支持,而这往往是有限的。
另外,风险评估本身也存在着主观性和不确定性的问题,需要进行有效的沟通和讨论。
危害辨识与风险评估标准
危害辨识与风险评估标准
危害:可能导致伤害或疾病、财产损失、工作环境破坏或这些情况组合的条件或行为。
风险:某一特定危害可能造成损失或损害的潜在性变成现实的机会,通常表现为某一特定危险情况发生的可能性和后果的组合。
风险评估:辨识危害引发特定事件的可能性、暴露和结果的严重度,并将现有风险水平与规定的标准、目标风险水平进行比较,确定风险是否可以容忍的全过程。
危害名称:执行每一步骤中存在的可能危及人员、设备、电网和企业形象的危害的具体称谓,作业中经常面临的危害名称可针对《安健环危害因素表》进行选择,表中位涉及的危害一般填写格式为“副词+名词或动名词”,如:“压力不足的车胎”、“有尖角的设备”等。
危害类别:分为9大类,包括:物理危害、化学危害、机械危害、生物危害、人机工效危害、社会-心理危害、行为危害、环境危害、能源危害。
危害分布、特性及产生风险条件:对辨识出的危害,在本单位范围内进行普查,确定其存在的数量、位置、时间以及相关的化学或物理特性,即说明在执行同类作业任务时,该危害存在于哪些地方?有多少?什么时间会涉及到?该危害的可能重量、强度、长度等如何?
危害可能导致的风险后果:即现存危害可能引起风险的具体结果信息,包括:人身伤残(列明可能的人体伤、残部位)、人身死亡(列明可能的死亡人数)、设备损坏(列明可能损坏的设备或部件)、事故/事件(列明可能的设备和电网事故,包括特大、重大、较大和一般事故,是否中断安全记录等)、健康受损(列明涉及到人员的生理和心理上的可能影响)、环境污染/破坏(列明污染/破坏的环境区域和范围)。
风险种类与风险范畴:导致风险的原因及对应的类别参照下表。
危害辨识与风险评估标准资料
【最新资料,WORD 文档,可编辑修改】。
安全风险评估
安全风险评估1概述编辑本段安全风险评估:现代企业安全管理的必备手段当任何生产经营活动被鉴定为有安全事故危险性时,便应考虑怎样进行评估工作,以简化及减少风险评估的次数来提高效率。
安全风险评估主要由以下3个步骤所组成:识别安全事故的危害、评估危害的风险和控制风险的措施及管理。
第一个步骤:识别安全事故的危害识别危害是安全风险评估的重要部分。
若不能完全找出安全事故危害的所在,就没法对每个危害的风险作出评估,并对安全事故危害作出有效的控制。
这里简单介绍如何识别安全事故的危害。
(1)危险材料识别一识别哪些东西是容易引发安全事故的材料,如易燃或爆炸性材料等,找出它们的所在位置和数量,处理的方法是否适当。
(2)危险工序识别一找出所有涉及高空或高温作业、使用或产生易燃材料等容易引发安全事故的工序,了解企业是否已经制定有关安全施工程序以控制这些存在安全危险的工序,并评估其成效。
(3)用电安全检查一电气安全事故是当今企业的一个带有普遍性的安全隐患,对电气的检查是每一个企业安全风险评估必不可少的一项内容。
用电安全检查包括检查电气设备安装是否符合安全要求、插座插头是否严重超负荷、电线是否老化腐蚀、易燃工作场所是否有防静电措施、电器设备有无定期维修保养以避免散热不良产生热源等。
(4)工作场地整理一检查工场是否存在安全隐患,如是否堆积大量的可燃杂物(如纸张、布碎、垃圾等),材料有否摆放错误,脚手架是否牢固等等。
(6)安全事故警报一找出工作场所是否有安全事故警报装置或安排,并查究它们能否操作正常。
(7)其它一留意工作场所是否有其他机构的员工在施工,例如:当装修工程进行,装修工人所使用的工具或材料均可增加安全隐患。
第二步骤:控制风险的措施风险控制就是使风险降低到企业可以接受的程度,当风险发生时,不至于影响企业的正常业务运作。
1.选择安全控制措施为了降低或消除安全体系范围内所涉及到的被评估的风险,企业应该识别和选择合适的安全控制措施。
危害识别与风险评估之安全检查表分析法
和规程。
•
安全检查表的条款应尽可能完善,以便可以有针
对的对系统的设计和操作检查。(对工艺部分,安全检
查表应比一般的安全检查表增添一些细节部分内容,
以便检查更彻底。)
• (2)安全检查。对现有系统装置的安全检查,应
包括巡视和自检检查主要工艺单元区域。在巡
视过程中,检查人员按检查表的项目条款对工
艺设备和操作情况逐项比较检查。检查人员依
• 检查表有各种形式,不论何种形式的检查表, 总体的要求是第一内容必须全面,以避免遗漏 主要的潜在危险。第二要重点突出,简明扼要, 否则的话,检查要点太多,容易掩盖主要危险, 分散人们的注意力,反而使评价不确切。为此, 重要的检查条款可作出标记,以便认真查 对。
• 安全检查表主要有以下优点: • (1)检查项目系统、完整,可以做到不遗
• (3)通过系统安全分析确定的危险部位及防范措施,也是制 定安全检查表的依据。系统安全分析的方法可以多种多样,如预 先危险分析、可操作性研究、故障树,等等。
5、编制程序及应用说明 检查表的编制程序如图2-1所示。
• 一旦确定检查的范围,安全检查表分析应包括3个主要 步骤:
•
(1)选择安全检查表。安全检查表分析方法是一种
• 3、安全检查表的分类 • 安全检查表的分类方法可以有许多种,如可按基本
类型分类,可按检查内容分类,也可按使用场 合分 类。
• 目前,安全检查表有3种类型:定性检查表、半 定 量检查表和否决型检查表。定性安全检查表是列出检 查要点逐项检查, 检查结果以“对” “否”表示,检 查结果不能量化;半定量检查表是给每个检查要点赋 以分值,检查结果以总分表示,有了量的概念,这样, 不同的检查对象也可以相互比较,但缺点是检查要点 的准确赋值比较困难,而且个别十分突出的危险不能 充分地表现出来,我国原化工部1990、1991、1992年 安全检查表以及中国石化、天然气总公司安全评价方 法中的检查表即为此种类型;否决型检查是给一些特 别重要的检查要点作出标记,这些检查要点如不满足, 检查结果视为不合格,即具一票否决的作用,这样可 以做到重点突出,我国的《GB 13548-92光气及光气 化产品生产装置安全评价通则》中的检查表即属此类。
安全风险评估方法及介绍
安全风险评估方法及介绍安全风险评估方法主要有安全检查表分析法(SCL)和作业危害分析法(JHA)法,风险等级判定选用MES评价法和预先危险性分析法(PHA)。
1安全检查表法分析法(SCL)安全检查表法是按照相关的法律法规、标准、规范等编制一套标准的安全检查表,对已知的危险类别、设计缺陷以及与一般工艺设备、操作、管理有关的潜在危险性和有害性进行判别检查。
针对实际可能存在的危险、危害因素及发生事故的可能性,提出安全技术对策措施及建议。
选择安全检查表分析的原因:安全检查表方法能够直接将现场勘查结果直接对照相关法律、法规和规程规范标准的要求,就可以得出准确结论,评价方法直观、一目了然。
安全检查表法具有以下优点:(1)能够事先编制,故可有充分的时间组织有经验的人员来编写,做到系统化、完整化,不致于漏掉能导致危险的关键因素;(2)可以根据规定的标准、规范和法规,检查遵守的情况,提出准确的评价;(3)表的应用方式是有问有答,给人的印象深刻,能起到安全教育的作用。
表内还可注明改进措施的要求,隔一段时间后重新检查改进情况;(4)简明易懂,容易掌握。
2工作危害分析法(JHA)JHA法的主要优点为:(1)较细致,将一项作业按步骤分解,识别每一个步骤中的危害和可能的事故,并设法消除;(2)简便易行、便于掌握,分析细致。
因此JHA主要用于日常作业活动的风险辨识,辨识每个作业的危害,其目的是根据风险辨识结果,制定控制措施,编制作业活动安全操作规程,控制风险。
其主要程序为:从作业活动清单中选定一项作业活动,将作业活动分解为若干个相连的工作步骤,识别每个工作步骤地潜在危害因素,然后通过风险评价,判定风险等级,制定控制措施/具体步骤和说明见下图工作危害分析/JHA步骤3MES评价法MES法是2002年提出的,已经在冶金、机械、化工、电力、建筑、船舶、煤炭、交通运输行业的很多企业及从事科研、讲师、仓储、物业管理等很多单位得到成功的应用。
安全风险分级管控及评价方法
风险分级管控及评价方法LS法安全风险评价判定准则1.风险矩阵法的主要内容是:识别出存在的风险,分析和评价风险事件发生的可能性和后果,二者相乘,得出风险的风险值,确定风险级别,进而决定应当采取的风险控制措施。
数学表达式为:R=L×S,其中,R 代表风险值;L 代表风险事件发生可能性;S 代表风险事件后果严重程度。
2.风险事件发生可能性(L)取值针对识别出的风险,对照风险事件发生的可能性,取其最大值作为最终 L 值,即满足若干条件之一时就取对应的 L 值,而无需满足所有条件。
对照过程中,涉及到资料的,要见证到具体名称和条款;涉及到人员的,要具体到所有参与者。
事件发生的可能性(L)用事件发生的概率表示,取值如下表所示:风险事件发生可能性(L)参考取值表注:当缺少基础资料或者无法取得充分可靠的数据或者分析数据不具有成本效益性时,取值可参照类似性质、规模企业的业内平均水平。
3.风险事件后果严重程度(S)取值从人员伤亡、经济损失二个维度对风险事件后果严重程度进行评价取值,以最大值作为最终 S 值,即满足若干条件之一时就取对应的 S 值,而无需满足所有条件。
风险事件后果严重程度(S)参考取值表4. 风险评价风险评价是根据风险分析的结果,确定风险等级。
4.1 风险值(R)根据公式 R=L×S 计算出风险的风险值(R),并取最大值作为该风险的最终风险值(R)。
风险矩阵(R)4.2 风险等级根据风险值(R)的大小,将风险由高到低分为重大风险、较大风险、一般风险和低风险四个等级。
LEC法安全风险评价判定准则表1 可能性(L)基准值表2 暴露率(E)基准值表3 后果(C)基准值表4 风险等级(D=L×E×C)标准。
功能安全的基本定义
航空航天:功能安全标准应用于航空航天领域,保障飞机和航天器的安全性和可靠性,确 保乘客的生命安全。
石油化工行业
石油化工行业:功能安全标准用于评估和控制石油化工生产过程中的 风险,保障人员和设备安全。
功能安全与网络安全的关系
功能安全关注设备或系统的安全性,确保其正常 运行,避免因故障导致的人身伤害和财产损失。
网络安全关注网络空间的安全性,保护网络基础 设施免受攻击和破坏,保障信息的机密性、完整 性和可用性。
功能安全与网络安全相互关联,共同保障 工业控制系统的安全。工业控制系统需要 同时考虑功能安全和网络安全,制定相应 的安全策略和管理措施。
随着工业控制系统的发展和智能化程度的提高, 功能安全与网络安全之间的联系将更加紧密,需 要加强跨领域的合作与交流,共同应对安全挑战。
感谢观看
汇报人:
EN 50128
EN 50128:铁路应用—通信、 信号和处理系统—功能安全
EN 50128适用于铁路信号系统、 列车控制系统和相关设备
添加标题
添加标题
添加标题
添加标题
EN 50128定义了铁路控制系统 的功能安全要求,包括硬件、软 件和人的因素
EN 50128强调了风险评估和安 全管理在功能安全中的重要性
应用领域:广泛应用于工业自动化、轨道交通、汽车、核电等领域
ISO 26262
定义:功能安全 标准,旨在确保 道路机动车辆及 其电子系统的功 能安全
ቤተ መጻሕፍቲ ባይዱ目的:降低因电 子系统故障对驾 驶员及其他道路 使用者带来的潜 在风险
应用范围:适用 于道路机动车辆 及其电子系统, 包括汽车及摩托 车
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
10.16638/ki.1671-7988.2019.15.033
功能安全的危害分析和风险评估方法
楼志江
(比亚迪汽车工业有限公司,广东深圳518118)
摘要:在功能安全开发过程中,关键指标ASIL存在定义过于抽象、评估指标过于主观的问题,因此,很多功能安全工程师无法得出有效的ASIL评级结果。
文章通过数学分析,为功能安全工程师了解释了ASIL的物理意义,同时针对ASIL的定级问题提出了九条建议措施。
工作成果对ASIL的评估工作就有一定的指导意义,功能安全工程师们在实际开发过程中可以酌情参考采纳。
关键词:功能安全;ASIL
中图分类号:U461.91 文献标识码:B 文章编号:1671-7988(2019)15-90-02
Hazard Analysis and Risk Assessment of Function Safety Development
Lou Zhijiang
(BYD Automobile Industry CO., Ltd., Guangdong Shenzhen 518118)
Abstract: As the key index in function safety development, ASIL has an obscure definition and its classification rules are too subjective for engineers. Therefore, most functional safety engineers are unable to obtain effective ASIL classification result. Through mathematical analysis, this paper explains the physical meaning of ASIL for functional safety engineers, and then puts forward nine reference rules for ASIL classification. This paper has certain guiding significance for ASIL classification, and hence functional safety engineers can refer to these rules as appropriate.
Keywords: Functional safety; ASIL
CLC NO.: U461.91 Document Code: B Article ID: 1671-7988(2019)15-90-02
引言
所谓功能安全,即是通过分析和设计,将系统电子元器件失效引起的安全风险降低到社会接受的水平。
关于汽车功能安全的研究由来已久,早在上世纪80年代,欧洲已经针对发动机系统电子元器件失效的问题提出了EGAS三层架构[1]。
之后,工程师们将功能安全的开发思想和流程逐渐整理完善,并于2011 年11 月,发布了第一版汽车电子电气系统功能安全的国际标准ISO 26262[2],之后第二版也于2018年正式发布[3]。
ASIL,全称汽车安全完整性等级(Automotive Safety Integrity Level),用于描述失效风险水平以及系统功能可靠性的大小,是贯穿整个功能安全开发过程的一个重要概念。
因此,ASIL评估的正确与否,对功能安全的开发起着至关重要的作用。
然而,在实际开发过程中,由于ISO 26262对于ASIL 的定义过于抽象,很多工程师难以理解ASIL的物理意义,加上ISO 26262中关于ASIL的评估准则主观性太强,导致很多工程师难以得出客观有效的ASIL评估结果。
为此,美国机动车工程师学会先后发布了SAE J2980的第一版和第二版用于指导ASIL定级[4],但是该标准在很多问题上还是过于主观,在实际应用中还存在很多问题。
因此,本文通过数学推导介绍了ASIL的物理意义,同时结合实际的工程应用问题,提出了九点建议准则,作为为ASIL评估的参考意见。
作者简介:楼志江(1989.6-),男,博士,工程师,就职于比亚迪汽车工业有限公司,主要研究方向为汽车电子技术,功能安全等。
90
楼志江:功能安全的危害分析和风险评估方法
91
1 ASIL 物理意义及评估参考准则
所谓功能安全,就是功能失效引起的后果降低到社会能够接受的水平。
换就话说,就是希望导致事故严重度(S )越高的失效,引起事故发生的概率(f )越低,即:
(1)
其中λ为一个定值,代表社会的接受水平。
其中事故发生的概率f 需要从三个方面进行综合考虑:首先,它和电子元器件发生失效的概率f 0相关;其次,即便电子元器件发生失效,其造成的事故的严重度(S )也是和事故发生的场景息息相关的,例如对刹车失效而言,该故障发生在雨雪天造成的后果比在晴天发生造成的后果要严重,因此,f 也和场景发生的概率相关,即暴露率(E );最后,即便发生了故障,有的问题驾驶员和行人具有处理能力,能防止事故的发生,因此,f 也和驾驶员和行人的故障处理能力相关,即可控性(C )。
因此,公式(1)可以写成如下:
(2)
公式中f 0是和电子元器件系统的设计水平直接挂钩的,f 0越小,代表系统的失效率非常低。
因此,功能安全取
,
利用严重度(S )、暴露率(E )、可控性(C )三者来计算ASIL 等级,ASIL 等级越高表明事故的后果越严重,我们需要失效率更低的电子元器件系统才能控制住该失效引起的风险。
因此,ASIL 既能用于描述失效风险的大小,也能用于描述系统的安全等级。
表1 ASIL 评级表
如表1所述,ASIL 基于严重度(S )、暴露率(E )、可控性(C )三者等级而确定。
SAE J2980和ISO 26262均给出了严重度(S )、暴露率(E )、可控性(C )的评估标准,但是这些准则主观性太大,不适合实际功能安全开发。
结合SAE J2980、ISO 26262以及实际开发经验,本文就ASIL 的评估问题,提出以下的一些参考准则:
准则1:评估的重点始终为整车层面单个功能的影响,而且暂且不考虑已经或者将要实施的安全机制(故障检测、报警、处理等安全措施)。
准则2:驾驶员的过失操作不在考虑范围内。
准则3:场景不可分割太细,否则暴露率会过低,造成整体ASIL 等级过低的后果。
倘若场景的分割操作不会对严重度和可控性造成影响,仅仅只能降低暴露率,那这样的场景分割操作就是没必要的。
准则4:凡是和机械刹车失效、转向失效、电池燃烧、电控爆炸相关的故障,通常情况下严重度均取最高等级S3。
类似效果的故障也取S3,例如驾驶过程中误触发电子驻车制动系统(EPB ),因为其效果和意外刹车一样,因此,严重度等级也取S3。
准则5:对同一个失效,在转弯或者超车的场景下的严重度比直线行驶场景下的严重度要高一个到两个等级。
准则6:暴露率评估可以采取按环境条件约束数量逐级递减的方法。
例如高速超车的情况,暴露率可以按照如下方法逐级分解为:高速公路暴露率等级为4,同时考虑超车的情况,暴露率等级降低一级为3,因此高速超车的暴露率等级为3。
准则7:和场景无关的危害的暴露率等级均取4 倘若一个失效在任何场景下都会发生严重的事故,则其暴露率可以直接评定为4.
准则8:可控性评估需要考虑驾驶员的应对能力,倘若驾驶员有充足的时间进行反应和处理,则可以适当降级。
因此,车速和前后车距是可控性评估的重要考虑因素。
准则9:有的故障在引起事故前已经做出报警,或者驾驶员可明显感知到异常,则可以适当降低可控性等级。
2 总结
本文从数学层面分析了ASIL 的物理意义,同时,针对实际功能安全开发过程中ASIL 评估主观性强的问题,提出了九点建议准则。
本文的工作成果对ASIL 的评估工作就有一定的指导意义,功能安全工程师们在实际开发过程中可以酌情参考采纳。
参考文献
[1] Standardized E-Gas Monitoring Concept for Gasoline and Diesel
Engine Control Units, Version 6.0, EGAS Workgroup, 2015-07-13. [2] ISO 26262: 2011 Road vehicles-Functional safety. [3] ISO 26262: 2018 Road vehicles-Functional safety.
[4] SAE J2980: Considerations for ISO 26262 ASIL Hazard Classifica
-tion, SAE(2015) 8.。