ISO-26262-道路車輛-功能安全-2018

ISO26262

道路車輛功能安全Roadvehicles—Functionalsafety

2020本作品使用微軟2016版PPT制作，也建議您使用相應(yīng)軟件打開及使用；本作品的內(nèi)容皆可根據(jù)您的需求進(jìn)行修改，包括文字、圖表、圖片等；本PPT背景可以修改，增加PPT背景是因?yàn)榉乐贡I圖！為了節(jié)省空間和提高設(shè)計(jì)的效率，部分內(nèi)容放置在母版中，當(dāng)您需要修改時(shí)，請(qǐng)通過(guò)“視圖”→“幻燈片母版”打開后修改；如果有相關(guān)問(wèn)題，可以在本站內(nèi)私信；嚴(yán)禁任何企業(yè)或個(gè)人盜用或轉(zhuǎn)賣。課件使用及說(shuō)明什么是ISO26262安全生命周期系統(tǒng)開發(fā)安全確認(rèn)認(rèn)證流程總結(jié)CONTENTS什么是ISO26262車輛行業(yè)功能安全應(yīng)用目的法律法規(guī)背景介紹ISO?26262介紹基本定義如何根據(jù)ISO26262開發(fā)安全產(chǎn)品/01車輛行業(yè)功能安全應(yīng)用目的安全，法規(guī)，產(chǎn)品責(zé)任，…汽車電子的安全問(wèn)題可能會(huì)導(dǎo)致高額的召回費(fèi)用！2013年10月日產(chǎn)SUV由于制動(dòng)控制軟件問(wèn)題，召回15.2萬(wàn)輛!2014年2月豐田第三代普銳斯由于混合系統(tǒng)中控制升壓轉(zhuǎn)換器軟件問(wèn)題召回190萬(wàn)輛!2014年國(guó)內(nèi)汽車122次召回中由于軟件問(wèn)題造成的有8次(中國(guó)汽車質(zhì)量網(wǎng)統(tǒng)計(jì))!車輛行業(yè)功能安全應(yīng)用目的為什么產(chǎn)品要考慮功能安全？·產(chǎn)品越來(lái)越復(fù)雜·很多控制單元包括安全相關(guān)功能汽車行業(yè)技術(shù)發(fā)展趨勢(shì)安全功能舉例·車輛系統(tǒng)越來(lái)越多的軟件使用·軟件包括安全相關(guān)部分自適應(yīng)前照明系統(tǒng)汽車防抱死制動(dòng)系統(tǒng)車身穩(wěn)定控制系統(tǒng)牽引力控制電子剎車力分配系統(tǒng)緊急制動(dòng)輔助系統(tǒng)防撞系統(tǒng)車道偏離警報(bào)系統(tǒng)自適應(yīng)助力轉(zhuǎn)向主動(dòng)停車輔助系統(tǒng)自適應(yīng)懸架控制電子制動(dòng)系統(tǒng)安全帶預(yù)緊安全氣囊司機(jī)瞌睡警示系統(tǒng)司機(jī)監(jiān)控系統(tǒng)自適應(yīng)遠(yuǎn)光燈輔助系統(tǒng)自適應(yīng)巡航系統(tǒng)自動(dòng)巡航系統(tǒng)胎壓監(jiān)控系統(tǒng)自適應(yīng)前燈高度調(diào)節(jié)功能安全法律法規(guī)背景介紹功能安全法律法規(guī)背景介紹法規(guī)認(rèn)證vs.產(chǎn)品責(zé)任（2）法規(guī)認(rèn)證·只能由被認(rèn)可的“技術(shù)服務(wù)機(jī)構(gòu)”進(jìn)行評(píng)估如：ECER13Annex18orECER79Annex6產(chǎn)品責(zé)任·獨(dú)立的評(píng)估根據(jù)：·（車輛）安全完整性等級(jí)（A）SIL·應(yīng)用標(biāo)準(zhǔn)為什么使用這IEC61508、ISO26262標(biāo)準(zhǔn)？ISO26262背景介紹道路車輛-功能安全I(xiàn)EC61508-電子電氣可編程電子安全相關(guān)系統(tǒng)的功能安全·80年代末期開始研究，應(yīng)用于越來(lái)越復(fù)雜的安全相關(guān)系統(tǒng)。·來(lái)源于過(guò)程工業(yè)·1998年發(fā)布第一版·2010年發(fā)布第二版ISO26262的目的·汽車行業(yè)的一些要求與機(jī)械行業(yè)和過(guò)程行業(yè)不同?！て嚢踩嚓P(guān)系統(tǒng)的復(fù)雜性越來(lái)越高·電子穩(wěn)定性控制·緊急制動(dòng)輔助系統(tǒng)等ISO26262標(biāo)準(zhǔn)ISO26262：11版介紹ISO26262標(biāo)準(zhǔn)ISO26262：18版介紹ISO26262背景介紹ISO26262范圍應(yīng)用于安全相關(guān)系統(tǒng)·包括一個(gè)或多個(gè)電子電氣系統(tǒng)并且·安裝于不超過(guò)3.5噸的乘用車ISO26262不應(yīng)用于安裝在特殊目的的的車輛上的電子電氣系統(tǒng)。如：殘疾人車輛非安全相關(guān)的電子電氣系統(tǒng)?；径x什么是安全？安全？？？基本定義達(dá)到什么程度才算安全？基本定義功能安全滿足下列條件，安全系統(tǒng)是符合功能安全的：·隨機(jī)、系統(tǒng)、共因失效不會(huì)導(dǎo)致安全系統(tǒng)的錯(cuò)誤功能，從而導(dǎo)致：·人的傷害或死亡·環(huán)境的污染·設(shè)備或財(cái)產(chǎn)的損失在正常條件及存在故障條件下，控制設(shè)備、系統(tǒng)的安全功能必須都能夠保證!基本定義安全功能安全相關(guān)系統(tǒng)的功能，用來(lái)減小風(fēng)險(xiǎn)并且達(dá)到/保持安全狀態(tài)PLC安全功能總是針對(duì)一個(gè)安全回路而言，不是針對(duì)一個(gè)設(shè)備或部件傳感器控制器|執(zhí)行器基本定義安全機(jī)制（safetymechanism）由E/E功能或元素執(zhí)行的措施，或者是其他技術(shù)，目的是達(dá)到安全狀態(tài)或保持安全狀態(tài)，或者兩者同時(shí)考慮。如：能夠達(dá)到，保持安全狀態(tài)能夠警告司機(jī)，以便于司機(jī)能夠及時(shí)采取措施避免失效的影響基本定義級(jí)聯(lián)失效和共因失效級(jí)聯(lián)失效基本定義安全架構(gòu)（safetyarchitecture）通過(guò)一組元素相互作用，來(lái)滿足安全要求，包括冗余、獨(dú)立概念基本定義充分信任的設(shè)計(jì)原則（well-trusteddesignprinciple）一預(yù)先使用經(jīng)驗(yàn)證明沒有安全問(wèn)題的設(shè)計(jì)原則。如：隔離安全功能和非安全功能67%降額使用如何根據(jù)ISO26262開發(fā)安全產(chǎn)品？所有產(chǎn)品都來(lái)源于設(shè)想：·公司想開發(fā)一個(gè)更好的剎車系統(tǒng)。·航線偏離報(bào)警系統(tǒng)的更改·產(chǎn)品成本太高/制造難度大/可靠性低…對(duì)于復(fù)雜性系統(tǒng)，功能安全很重要，如果：·功能失效會(huì)導(dǎo)致危險(xiǎn)事件·功能喪失會(huì)導(dǎo)致危險(xiǎn)事件·危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估結(jié)果證明需要ASIL功能安全：5個(gè)步驟實(shí)現(xiàn)第一步如何根據(jù)ISO26262開發(fā)安全產(chǎn)品？接下來(lái)建立功能安全管理制度也就是為安全工作的協(xié)調(diào)和監(jiān)控提供一個(gè)框架功能安全：5個(gè)步驟實(shí)現(xiàn)第2步如何根據(jù)ISO26262開發(fā)安全產(chǎn)品？通過(guò)危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估來(lái)確認(rèn)哪些危險(xiǎn)事件應(yīng)該考慮。對(duì)每一個(gè)可識(shí)別的危險(xiǎn)事件，都需要定義相應(yīng)的安全目標(biāo)（safetygoa）·確認(rèn)如何能夠到達(dá)并且保持安全狀態(tài)（safestate）·確認(rèn)ASIL的級(jí)別功能安全：5個(gè)步驟實(shí)現(xiàn)第3步如何根據(jù)ISO26262開發(fā)安全產(chǎn)品？根據(jù)可識(shí)別的安全目標(biāo)，做出安全概念（safetyconcept）包括以下內(nèi)容·基本系統(tǒng)架構(gòu)·達(dá)到并且保持安全的技術(shù)措施系統(tǒng)級(jí)設(shè)計(jì)，軟硬件設(shè)計(jì)和開發(fā)將依據(jù)安全概念。在設(shè)計(jì)開發(fā)過(guò)程中，應(yīng)采取必要的安全措施和驗(yàn)證活動(dòng)。功能安全：5個(gè)步驟實(shí)現(xiàn)第4步如何根據(jù)ISO26262開發(fā)安全產(chǎn)品？安全確認(rèn)用來(lái)確保開發(fā)項(xiàng)目能夠滿足分配給它的安全目標(biāo)。功能安全評(píng)估同時(shí)考慮到產(chǎn)品和過(guò)程，提高了項(xiàng)目的安全置信級(jí)別。功能安全：5個(gè)步驟實(shí)現(xiàn)第5步什么是安全生命周期功能安全管理項(xiàng)目定義風(fēng)險(xiǎn)分析，風(fēng)險(xiǎn)評(píng)估安全目標(biāo)定義功能安全要求/02功能安全管理安全管理：·定義安全生命周期模型·需要?jiǎng)?chuàng)造培養(yǎng)公司的安全文化·定義相關(guān)部門、人員的職責(zé)·確保人員能力資質(zhì)·確保足夠的質(zhì)量管理工作功能安全管理功能安全管理開發(fā)階段安全生命周期模型功能安全管理ISO26262-安全生命周期模型項(xiàng)目和其他相關(guān)概念項(xiàng)目和其他相關(guān)概念I(lǐng)SO26262-10Clause4.2在安全相關(guān)產(chǎn)品開發(fā)時(shí)，第一件事就是項(xiàng)目定義項(xiàng)目定義關(guān)注以下開發(fā)內(nèi)容：·確認(rèn)相關(guān)功能·開發(fā)怎樣進(jìn)行·再使用存在的產(chǎn)品或更改？不正確的項(xiàng)目定義可能會(huì)導(dǎo)致后繼工作出現(xiàn)嚴(yán)重的問(wèn)題!項(xiàng)目定義ISO26262-3Clause5在項(xiàng)目定義過(guò)程中，必須考慮所有相關(guān)需求·功能性的需求·非功能性需求（費(fèi)用，尺寸，環(huán)境要求，ASIL..…）·法規(guī)要求·標(biāo)準(zhǔn)，導(dǎo)則項(xiàng)目定義要考慮行業(yè)專家意見！項(xiàng)目定義對(duì)于開發(fā)正確的系統(tǒng)起著關(guān)鍵作用。項(xiàng)目定義ISO26262-3Clause5舉例：方向盤鎖|傳感器：速度傳感器執(zhí)行器：電機(jī)帶動(dòng)渦輪，渦輪控制鎖定裝置機(jī)械系統(tǒng)：渦輪司機(jī)：踩踏板控制速度的參考值危險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估和安全目標(biāo)標(biāo)執(zhí)行危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估ISO26262-3，clause7對(duì)于項(xiàng)目來(lái)說(shuō)，理解相關(guān)功能必須：·對(duì)項(xiàng)目相關(guān)危險(xiǎn)識(shí)別和分類·制定安全目標(biāo)預(yù)防或減輕危險(xiǎn)安全目標(biāo)應(yīng)保證項(xiàng)目的運(yùn)行風(fēng)險(xiǎn)低至可以接受！汽車領(lǐng)域項(xiàng)目基本流程汽車領(lǐng)域項(xiàng)目基本流程ISO26262-3，clause7；ISO26262-3，annexB危險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估和安全目標(biāo)車輛安全完整性等級(jí)評(píng)估（4）S：嚴(yán)重性E：暴露的可能性C：可控性危險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估和安全目標(biāo)車輛安全完整性等級(jí)危險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估和安全目標(biāo)汽車安全完整性等級(jí)舉例TSR-交通標(biāo)識(shí)識(shí)別·正確識(shí)別：QMorASILA電磁方向盤鎖定系統(tǒng)·駕駛時(shí)防止鎖定：ASILD安全氣囊·需要時(shí)打開安全氣囊：ASILA·不需要時(shí)不能打開氣囊：ASILD注：汽車安全完整性等級(jí)主要與安全需求和功能安全概念有關(guān)。系統(tǒng)開發(fā)系統(tǒng)級(jí)開發(fā)硬件開發(fā)軟件開發(fā)/03系統(tǒng)開發(fā)生命周期系統(tǒng)設(shè)計(jì)技術(shù)安全概念和系統(tǒng)設(shè)計(jì)描述：·如何應(yīng)用功能需求和技術(shù)安全需求功能安全系統(tǒng)設(shè)計(jì)應(yīng)保證·充分信任的和實(shí)驗(yàn)證明良好的系統(tǒng)架構(gòu)·可驗(yàn)證的、標(biāo)準(zhǔn)里描述的經(jīng)驗(yàn)證使用的方法?？赡苁褂玫墓δ馨踩?yàn)證方法包括·系統(tǒng)設(shè)計(jì)檢查，走查·仿真·原型設(shè)計(jì)，車輛測(cè)試·安全分析（FTA，F(xiàn)MEA）硬件開發(fā)硬件安全需求規(guī)范基于技術(shù)安全需求，對(duì)于硬件設(shè)計(jì)，以下各方面需要清晰定義：1.硬件安全需求規(guī)范包括·測(cè)試規(guī)則·質(zhì)量規(guī)則2.硬件架構(gòu)指標(biāo)需求·單點(diǎn)故障指標(biāo)（SPFM）·潛在故障指標(biāo)（LFM）3.隨機(jī)硬件失效需求·偏離安全目標(biāo)的概率4.軟硬件接口（HSI）規(guī)范硬件失效模式的分類軟件開發(fā)軟件開發(fā)參考階段模型安全確認(rèn)，功能安全評(píng)估安全分析安全確認(rèn)安全論證證明措施/04安全分析、安全確認(rèn)與安全論證安全分析ISO26262-9Setion8安全分析主要目的：·檢查故障和失效的后果?！た紤]項(xiàng)目和元素的功能，運(yùn)行狀況和設(shè)計(jì)·提供有可能造成偏離安全目標(biāo)的原因和條件的信息。分析也考慮·識(shí)別新的功能性的和非功能性的危險(xiǎn)。安全分析支持安全系統(tǒng)的開發(fā)，通過(guò)另一個(gè)視角對(duì)系統(tǒng)和功能檢查！安全分析ISO28282-9Secion8安全分析可以用不同的方法·歸納法，i.e.由下至上分析·演繹法，i.e.由上至下分析安全分析方法舉例·失效模式及潛在后果分析（FME·故障樹分析（FTA）·馬爾可夫模型·可靠性框圖安全確認(rèn)ISO28262-4Clause9安全確認(rèn)（車輛級(jí)別vehiclelevel）·電子電氣系統(tǒng)·軟件·硬件·其他技術(shù)相關(guān)的元素·外部措施為研發(fā)的系統(tǒng)提供下列證據(jù)：·適合預(yù)期用途·安全措施是充分的安全論證什么是安全論證？ISO262622，64.5通過(guò)分析開發(fā)階段安全工作的產(chǎn)出，論證項(xiàng)目的安全目標(biāo)是否達(dá)到并滿足要求。ISO26262-1，1.103安全論證定義為·清晰的、易于理解的、可辯護(hù)的論證：對(duì)于具體環(huán)境來(lái)說(shuō)，系統(tǒng)的安全是可以接受的。證明措施的獨(dú)立性要求ISO26262-2Table1第三方功能安全評(píng)估為了增加項(xiàng)目符合ISO26262的可信度，可以由第三方評(píng)審人員做功能安全評(píng)估。對(duì)ASILC和ASILD需要滿足獨(dú)立性要求·標(biāo)準(zhǔn)沒有正式提到第三方評(píng)估第三方評(píng)估的好處：·另一種角度·功能安全評(píng)估專業(yè)知識(shí)·公司外的人力資源認(rèn)證流程認(rèn)證過(guò)程介紹/05認(rèn)證流程認(rèn)證流程概念評(píng)估主檢發(fā)證第一階段的主要任務(wù)：概念評(píng)估：·檢查并評(píng)審產(chǎn)品需求規(guī)范和安全設(shè)計(jì)概念·在產(chǎn)品各個(gè)生命周期階段，尤其在開發(fā)過(guò)程中（質(zhì)量管理），檢查并評(píng)估故障避免措施的計(jì)劃?！ぴu(píng)估檢測(cè)和控制故障需采取的措施（診斷）FMEDA，評(píng)價(jià)是否安全完整等級(jí)能夠達(dá)到預(yù)期的目的。·文件系統(tǒng)的審核（設(shè)計(jì)和質(zhì)量管理）·電磁兼容，環(huán)境測(cè)試需求的定義。·為主檢階段出具項(xiàng)目計(jì)劃·根據(jù)概念評(píng)估的結(jié)果出具報(bào)告。第二階段的主要任務(wù)：主檢：·測(cè)試所有的安全相關(guān)的功能，最壞情況分析（軟硬件）·檢測(cè)和控制故障的驗(yàn)證（故障插入測(cè)試），F(xiàn)MEDA的驗(yàn)證與執(zhí)行?！ぼ浖?yàn)證測(cè)試的評(píng)審（模塊，集成測(cè)試，系統(tǒng)測(cè)試）·對(duì)開發(fā)過(guò)程中創(chuàng)建的產(chǎn)品文檔評(píng)審（設(shè)計(jì)文檔，測(cè)試、驗(yàn)證、審核記錄）·安全相關(guān)的可靠性數(shù)據(jù)的定義及計(jì)算·環(huán)境測(cè)i試（incl.EMC）·用戶文檔的檢查（安裝，操作手冊(cè)，安全手冊(cè)）·提供測(cè)試報(bào)告第三階段發(fā)證：·基于測(cè)試報(bào)告，認(rèn)證機(jī)構(gòu)頒發(fā)證書總結(jié)&答疑課程總結(jié)/06