功能安全项目定义模板Item_Definition-ISO 26262-3-5

格式：xlsx
大小：15.66 KB
文档页数：2

下载文档原格式

iso26262功能安全评价方法

iso26262功能安全评价方法【原创实用版2篇】目录（篇1）1.Iso26262 功能安全评价方法的背景和意义2.Iso26262 功能安全评价方法的具体内容3.Iso26262 功能安全评价方法的实施步骤4.Iso26262 功能安全评价方法的优势和应用5.Iso26262 功能安全评价方法的未来发展正文（篇1）一、Iso26262 功能安全评价方法的背景和意义Iso26262 功能安全评价方法是一种针对汽车电子系统功能安全的国际标准，它的出现是为了确保汽车电子系统在失效情况下能够按照预期方式进行故障处理，从而避免对人员和环境造成伤害。

随着汽车电子化程度的不断提高，功能安全日益受到重视，Iso26262 功能安全评价方法应运而生，成为了保证汽车安全的重要手段。

二、Iso26262 功能安全评价方法的具体内容Iso26262 功能安全评价方法主要包括以下几个方面：1.安全目标的定义：根据汽车电子系统的功能和失效模式，明确安全目标，确保系统在失效情况下能够按照预期方式进行故障处理。

2.危害分析：通过对汽车电子系统可能的失效模式进行分析，评估可能带来的风险和危害程度。

3.功能安全等级：根据危害分析结果，为汽车电子系统中的各个功能分配相应的安全等级。

4.安全要求和措施：针对不同安全等级的功能，制定相应的安全要求和措施，确保系统在失效情况下能够满足安全目标。

5.验证和评估：对汽车电子系统进行实际验证和评估，检查系统在失效情况下是否能够按照预期方式进行故障处理。

三、Iso26262 功能安全评价方法的实施步骤1.建立项目团队：由汽车制造商、零部件供应商、技术服务公司等相关方共同组成项目团队，明确各方职责和任务。

2.收集和分析相关信息：收集汽车电子系统的设计、制造、使用等方面的信息，进行系统分析和失效模式分析。

3.制定安全目标和功能安全等级：根据分析结果，制定安全目标和功能安全等级。

4.制定和实施安全要求和措施：针对不同安全等级的功能，制定相应的安全要求和措施，并确保在系统设计和制造过程中得到有效实施。

汽车电子功能安全标准ISO26262解析（三）——硬件部分

汽车电子功能安全标准ISO26262解析（三）——硬件部分汽车电子功能安全标准ISO26262解析（三）——硬件部分原创pianpian_zct 最后发布于2017-12-29 13:09:34 阅读数13865 收藏展开1. The necessary activities and processes for the product development at the hardware level include:(1) the hardware implementation of the technical safety concept;(2) the analysis of potential hardware faults and their effects;(3) the coordination with software development.为了满足ISO26262，硬件方面需要做的工作包括：(1) 功能安全概念的硬件实现；(2) 潜在硬件失效及后果分析；(3) 与软件开发协同合作。

2. 硬件功能安全相关工作：硬件功能安全方面相关工作包括：(1) 5.5 initiation of product development at the hardware level: 启动硬件设计具体包括哪些工作包？目的是决定并计划硬件设计每个阶段的功能安全活动。

输入：完善后的项目计划、完善前的安全计划、完善后的集成测试计划输出：完善后的安全计划(2) 5.6 specification of hardware safety requirements: 定义硬件功能安全需求输入：安全计划、安全概念、系统设计说明书、硬件软件接口说明输出：硬件安全需求(包括测试和验证标准)、完善的硬件软件接口说明、硬件安全需求验证报告如何定义硬件功能安全需求，使用什么工具软件，模板如何？They are derived from the technical safety concept and system design specification.硬件功能安全需求来源于系统安全概念和系统设计文档。

ISO26262的安全档案概述

符合ISO 26262标准的安全档案如今，道路车辆上（Road Vehicles）越来越多的安全相关功能由电子/电气系统实现。

这些系统如果出现功能故障（Malfunction），就有对车辆乘员或者其他道路使用者造成伤害的风险，比如，电动助力转向系统（Electrical power steering, EPS）如果出现助力反向的功能故障，车辆将不能按照驾驶员预期的方向行驶，可能会导致严重车祸，造成人员伤害。

为了保证安全，应考虑如何将风险降低到可接受的范围。

2011年11月正式发布的道路车辆功能安全标准ISO 26262[1]就是为了解决这一问题，该标准为开发安全相关系统提拱了过程和要求，其中一个很重要的要求就是生成安全档案（Safety Case），安全档案的目的是通过结构化论证（Argument）来证明安全相关系统是可接受安全的。

但是，ISO 26262 标准对安全档案的描述的篇幅很短，并没有给出开发安全档案的指南。

本文基于安全气囊系统来介绍如何利用GSN（Goal Structuring Notation）[2]方法开发符合ISO 26262 标准的安全档案。

本文的结构为:第二部分介绍安全档案的起源和概念,安全档案的描述方法GSN；第三部分介绍如何用GSN的方法来开发安全气囊系统的安全档案。

一、安全档案其他行业如核工业、化学工业、海上石油、铁路行业等，都有法律法规要求在其设施正式投入使用之前，必须提交安全档案以证明其产品是可接受安全的。

安全档案起源于1957年英国温茨凯尔火灾（Windscale fire）事故[3]。

该事故发生后，成立了英国核监管部门——核设施监察局（Nuclear installations inspectorate, NII), 核设施为了获得运营许可，需要向NII提交一系列报告以证明设计的安全，此被广泛认为是第一个安全档案，虽然这时候还没有采用“安全档案”这个概念。

许多标准给出了安全档案的定义[4]，ISO 26262标准中的定义为：安全档案应该清晰、全面、合乎情理的论证（有证据支撑）系统在特定的环境中不存在不合理风险。

5.5-相关技术---功能安全法规ISO26262简介

ISO26262
形式认证法规ECER79(转向)包含对功能安全的基本要求。北美的OEM和供应商已经加快了追赶欧洲的步伐，正在依照ISO26262 建立自己IDE功能安全体系，SAE组织（美国机动车工程师协会）已经组件汽车功能安全委员会（AFSC：Automotive Functional safety committee）在为欧洲OEM提供产品的一级供应商的驱动下，日本在2010年末至2011年初，主流OEM启动了对ISO26262合规进程的启动会议，由JAMA(一般社团法人日本自动车工业会)和JARI（日本自动车研究所）合作创建通用的工作流程。国内的OEM和一级供应商也非常关注ISO26262的动态，国标的转化工作正在中国汽车技术研究中心的指导下全面展开
参考文献：电动助力转向系统故障诊断与失效保护作者：张瑞硕士论文 2014.10 中国科学技术大学
故障诊断技术
系统故障自诊断是指系统的自身的硬件设计或者程序对系统正常工作状态和工作异常作出判断，并根据故障特征，诊断系统故障通过失效保护及处理程序，准确的定位故障。根据不同的故障类型，使系统进入到安全的工作模式。
故障诊断技术
• 故障自诊断系统的主要任务有以下几块：系统对系统自身的故障探测、诊断系统对故障类别的判断、系统故障定位及系统故障失效保护等等。故障探测定义为系统正常工作后，通过周期性地实时监测系统的运行状态，并通过系统设计好的诊断条件，判断系统有没有产生了故障；诊断系统对故障类别的判断就是故障自诊断系统在检测出故障发生后，自动告知系统故障的模式；故障定位认为在故障自诊断系统监测出系统工作异常，并已经进行了系统故障类别的判断，按照系统预定义的诊断条件定义具体故障位置并记录故障诊断条件参数。同时，为系统的失效保护提供输入信息；故障失效保护是系统故障诊断过程中最后一个环节，同时也是最重要的一个环节，使系统能够根据故障原因，采取不同的保护措施。

符合ISO26262标准的软件测试项目解决方案

符合ISO26262标准的软件测试解决方案随着汽车行业的迅速发展，汽车电子电器E/E系统在汽车中的作用不断提高，ECU开发所占用的时间和成本也越来越高。

与此同时，越来越多的电子控制系统（例如车身稳定控制系统ESP，防抱死制动系统ABS，自适应前照明系统AFS等）具有与安全相关的功能，因此对ECU的安全要求也越来越高。

为了减少产品的开发时间和成本，降低由于安全问题而导致的维护甚至召回的风险，越来越多的整车厂和供应商开始重视汽车领域的功能安全问题，ECU软件功能安全的问题也成为汽车行业迫切需要解决的问题，车辆功能安全标准ISO 26262就在这样的环境和需求下应运而生，并于2011年11月正式发布第一版本，该标准是当前汽车业中最流行、最复杂、也是最重要的一份标准。

ISO 26262的目标是通过避免汽车E/E 系统故障行为可能导致的危害来提高E/E系统的功能安全。

ISO 26262采用车辆安全完整性等级（ASIL）来判断系统的功能安全程度，ASIL由ASIL A（最低）、ASIL B、ASIL C及ASIL D（最高）四个等级组成，ASIL等级越高表示系统的功能安全评估越严格,相应的表示系统正确执行安全功能，或者说的避免该功能出错的概率越高，即系统的安全可靠性越高。

ISO 26262标准的组成架构由十个规范和信息指导文件组成，其中ISO 26262—4/5/6阐述的是系统级/硬件级/软件级的产品开发，使用嵌套的V模型定义了每个开发阶段的过程以及相应的工作产品。

本解决方案主要阐明了在软件级产品开发阶段如何去理解ISO 26262的要求，并且指出了在实际的软件开发过程中如何结合ISO 26262的软件测试生命周期，通过包括软件测试工作的执行以及过程控制等方面来确保ECU软件质量满足ISO 26262软件级功能安全相应等级的要求。

基于V模式的ISO26262软件测试生命周期如图所示，基于V模式的ISO 26262-6软件测试生命周期可以划分为五个阶段：静态分析需求和功能需求：在软件级产品开发初始化阶段和软件安全需求规范制定阶段确定了一些基本的嵌入式软件静态分析需求和功能需求，这部分内容是以后设计和测试的基础；架构验证：在软件架构设计阶段，我们可以使用人工分析的方式来验证和测试软件架构层的内容，但是有条件的话最好使用合适的架构设计工具，在设计的过程中同时进行架构验证；静态测试：在软件单元设计和实现阶段同时进行静态测试，可以使用开发辅助工具来进行静态测试，这样不必因为静态测试的活动而改变开发流程。

功能安全FunctionalSafetyISO26262-1

功能安全FunctionalSafetyISO26262-1ISO 26262-1 词汇表ISO26262是基于IEC61508标准演化⽽来的⼀项标准，旨在满⾜道路车辆电⼦电⽓系统领域的特定需求。

这种改编适⽤于由电⼦电⽓元件和软件组件组成的安全系统的整个⽣命周期内的所有活动。

安全是未来汽车发展的关键问题之⼀。

⼀些新的功能，在驾驶员辅助、动⼒、车内动态控制和主动&被动安全系统等⽅⾯⽇益牵涉到越来越多的系统安全⼯程。

这些功能的开发和集成会增加对安全系统开发流程、并证明所有合理的系统安全⽬标都得到满⾜的证据的需求程度。

随着技术复杂度、软件内容和机电⼀体化程度的不断提⾼，系统失效和随机硬件失效的风险也越来越⼤。

ISO 26262会提供适当的要求和流程来避免这些风险。

系统安全是通过⼀系列安全措施来实现的，通过应⽤各种技术（例如机械、液压、⽓动、电⽓、电⼦、可编程电⼦），并在开发过程的各个层⾯上应⽤。

尽管ISO26262涉及到电⼦电⽓系统的功能安全，但是它也会提供其他系统常⽤安全技术的框架。

ISO26262可以：a)提供车辆安全⽣命周期的⽀持（管理、开发、⽣产、操作、服务、报废）；b)提供车辆专⽤的风险评估⽅法（ASIL，Automotive Safety Integrity Levels，汽车安全完整性等级）；c)使⽤ASIL评级提出可实施的功能安全需求，来避免不合理的剩余风险；d)向供应商提供功能安全需求。

功能安全受到开发流程（需求规范、设计、实现、集成、验证、确认和配置）、⽣产和服务流程、管理流程的影响。

安全问题与以功能为导向、以质量为导向的开发活动和⼯作产品交织在⼀起。

ISO 26262阐述了开发活动和⼯作产品等安全相关的内容。

1 名称解释：⽂档、标准或者经验。

1.3architecture：架构；代表相关项/功能/系统/元件的构造块及构造块的边界和接⼝，且相关的功能已经分配给了硬件/软件元件。

ISO26262培训课件

13
Control units that use the CAN/MOST bus
为什么产品要考虑功能安全? • 产品越来越复杂 • 很多控制单元包括安全相关功能
Reference: Audi Euroforum 2004 14
安全功能举例
• 车辆系统越来越多的软件使用 • 软件包括安全相关部分
Seat-belt pre-tensioning
安全带预紧
Airbags
安全气囊
Driver drowsiness detection
司机瞌睡警示系统
Driver monitoring system
司机监控系统
Adaptive high beam (lights) assistant 自适应远光灯辅助系统
为什么使用这两个标准?
19
ISO26262背景介绍
20
ISO/DIS 26262 – 道路车辆 – 功能安全
IEC 61508 – 电子电气可编程电子安全相关系统的功能安全
• 80年代末期开始研究，应用于越来越复杂的安全相关系统。 • 来源于过程工业 • 1998年发布第一版 • 2010年发布第二版
传感器
控制器
执行器
Terms of Functional Safety
27
安全机制(safety mechanism)
由E/E功能或元素执行的措施，或者是其他技术，目的是达到安全状态或保持安全状态，或者两者同时考虑。如：能够达到，保持安全状态能够警告司机，以便于司机能够及时采取措施避免失效的影响
17
法规认证 vs. 产品责任 (1)
法规认证 2007/46/EC
71/320/EEC 制动系统

iso26262中hsr定义 -回复

iso26262中hsr定义-回复HSR (硬件安全性要求)ISO 26262是一项国际标准，用于指导汽车电子系统的功能安全性，以确保车辆在使用过程中对驾驶员和其他道路用户的安全。

ISO 26262 是针对整个汽车电子系统的要求进行分级，并提供了一组在设计、开发和验证过程中必须满足的硬件和软件安全性需求。

其中之一就是硬件安全性要求(HSR)。

HSR是ISO 26262标准中的一个重要概念，主要关注由硬件部分引起的功能安全问题。

HSR定义了在硬件电路和组件设计过程中所需采取的安全性措施，以减少故障状态的发生，并防止这些故障导致车辆的不安全行为。

从汽车其他系统的安全配置开始，HSR提供了一系列指导性规则，以确保硬件设计符合整体系统的安全要求。

HSR主要通过以下几个步骤实施：1. 概要需求分析阶段：在这个阶段，系统设计师需要定义系统级功能安全性目标并将其转化为硬件级目标。

这些目标应该在整个设计过程中得到保持，并与系统级目标保持一致。

同时，概要需求分析还需要定义硬件的安全性等级和安全性目标，以便提供给下一阶段的详细设计。

2. 详细设计和实现阶段：在这个阶段，详细的硬件设计和实现工作将开始。

首先，硬件设计师需要依据系统级功能安全性目标和安全性等级，确定硬件组件的安全性需求。

这些需求可能包括故障检测和诊断机制、错误处理和容错能力、系统监测和反馈等。

然后，设计师需要选择适合的硬件架构和组件，以满足这些安全性需求。

在设计的过程中，还需要考虑故障和错误的影响范围，并采取适当的冗余技术和故障检测机制来保证硬件的安全性。

3. 组件集成和验证阶段：在这个阶段，设计师需要将硬件组件进行集成，并进行安全性测试。

这些测试包括功能安全性验证、硬件故障注入测试、硬件设备失效效应分析等。

通过这些测试，设计师可以验证硬件设计是否满足预期的功能安全性和安全性目标。

4. 配置管理和过程评估阶段：在这个阶段，需要建立一套配置管理系统，以确保硬件设计的变更和修正能够按照规定的流程进行。

10-汽车功能安全（ISO26262）系列：软件开发-软件开发模型及安全需求

10-汽车功能安全（ISO26262）系列：软件开发-软件开发模型及安全需求本篇属于汽车功能安全专题系列第10篇内容，我们开始聊汽车功能安全软件开发相关内容。

开始阅读之前强烈建议参考之前系列文章:01 - 汽车功能安全(ISO 26262)系列 - 开篇02 - 汽车功能安全系列之概念阶段开发 - Item Definition & HARA03 - 汽车功能安全(ISO 26262)系列: 概念阶段开发 - 功能安全需求及方案(FSR&FSC)04 - 汽车功能安全(ISO 26262)系列: 系统阶段开发 - 技术安全需求(TSR)及安全机制05 - 汽车功能安全(ISO 26262)系列: 系统阶段开发 - 技术安全方案TSC及安全分析06 - 汽车功能安全(ISO 26262)系列: 系统阶段开发 - 系统安全架构07 - 汽车功能安全(ISO 26262)系列: 硬件开发 - 硬件安全需求，安全设计及安全机制08 - 汽车功能安全(ISO 26262)系列: 硬件开发 - 硬件随机失效概率化评估09 - 汽车功能安全(ISO 26262)系列: 硬件开发 - 随机硬件失效量化FMEDA在功能安全系统开发阶段，我们已经得到了技术层面可实施的技术安全需求TSR，并将其分配至系统架构中的硬件(HW)和软件(SW)组件，接下来以此为基础进行相应硬件和软件功能安全开发。

对于软件功能安全开发而言，具体来讲，主要包括以下内容:•软件开发模型•什么是软件安全需求•软件架构安全设计•软件详细设计•软件安全测试•鉴于内容较多，我们这篇来聊前两部分内容。

01软件开发模型为了更好了解软件及其功能安全开发过程，我们首先来聊聊软件开发模型。

不管是ISO 26262，Aspice还是System Engineering，其开发过程都基于V模型，可以说V模型是汽车工程师必修内容。

对于功能安全而言，软件功能安全开发V模型属于ISO 26262第6部分内容，是系统开发大的V模型中软件开发部分，紧接着第4部分系统开发内容。

ISO26262《道路车辆功能安全》

ISO 26262 《道路车辆功能安全》标准简要介绍ISO 26262（Road vehicles- Functional safety）道路车辆功能安全系列标准于2011年11月15日正式颁布，该标准的目的在于提高汽车电子、电气产品的功能安全，在产品的研发流程和管理流程中，预先分析和评估潜在的危害和风险，通过实施科学的安全技术措施、规范和方法来降低风险，利用软、硬件系统化的测试、验证和确认方法，使电子、电气产品的安全功能在安全生命周期内满足汽车安全完整性等级的要求，提升系统或产品的可靠性，避免过当设计而增加成本以及避免因系统失效、随机硬件失效、设计缺陷所带来的风险，使电子系统的安全功能在各种严酷条件下保持正常运作，确保驾乘人员及路人的安全。

该系列标准适用于安装在最大总质量为3.5吨的量产乘用车上的与安全相关的电子电气系统（包括电子、电气和软件组件）。

该标准所涵盖的范围广泛，几乎所涉及到了所有与功能安全相关的汽车电子、电气产品，包括传统汽车和新能源汽车。

该系列标准：⏹提出了一个汽车安全生命周期概念（管理、开发、生产、运行、维护、停用）；⏹提出了一个专用于汽车的基于风险分析的方法，以确定汽车安全完整性等级（ASIL：Automotive Safety Integrity Level）；⏹利用汽车安全完整性等级来制定相应的规范和措施以避免不合理的残余风险；⏹提出了验证和确认方法的规范以确保达到可接受的安全完整性等级；⏹提出了与供应商相关的规范要求。

功能安全受开发过程（包括规范要求、设计、应用、集成、验证、确认和配置）、生产过程和管理过程的影响。

ISO 26262系列标准由以下十部分组成：第1部分术语规定了ISO26262系列标准所应用的术语、定义和缩略语，如功能安全、功能安全要求、安全目标、生命周期、评估、汽车安全完整性等级、开发接口协议、嵌入式软件、软件组件、软件工具、软件单元、失效、失效模式、失效率、故障、故障模式、危险分析和风险评估、潜在故障、单点失效、单点故障、多点故障、随机硬件失效、系统故障、系统失效、瞬态故障、安全验证等。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

3 Co
3-5 Ite
Overview/Objective:
Objectives
General
The first objective is to define This clause lists the requirements and recommendations for establishing the
5.4.2
a) the elements of the item;
NOTE The elements could be also based on other technology
b) the assumptions concerning the effects of the item's behaviour on other items or elements, that is the environment of the item; c) interactions of the item with other items or elements; d) functionality required by other items, elements and the environment; e) functionality required from other items, elements and the environment; f) the allocation and distribution of functions among the involved systems and elements; and g) the operating scenarios which impact the functionality of the item
The second objective is to
"Initiation of safety lifecycle" (see Clause 6),
support an adequate
"Hazard analysis and risk assessment" (see Clause 7) and
understanding of the item so "Functional safety concept" (see Clause 8).
✓
✓
✓
✓
3574941039.xlsx
2
3-5 Item Definition
that the activities in subsequent
phases can be performed.
Work products:
3-5.5
Item definition resulting from requirements 5.4.
Name: Version: Date: State:
requirments
A
B
C
D
The functional and non-functional requirements of the item as well as the dependencies between the item and its environment shall be made available.
5.4.1
This information includes: a) functional concept, describing the purpose and functionality, including the operating modes and states of the item; b) operational and environmental constraints; c) legal requirements (especially laws and regulations), national and international standards d) behaviour achieved by similar functions, items or elements, if any; e) assumptions on behaviour expected from the item; and f) potential consequences of behaviour shortfalls including known failure modes and hazards.
interaction with the environment
and other items.
This definition serves to provide sufficient information about the item to the
persons who conduct the subsequent subphases:
NOTE 1 Requirements can be classified as safety-related after safety goals and their respective ASIL have been defined.
NOTE 2 The required information is a necessary input for the item definition although it is not safety-related. If not already available, its generation can be triggered by the requirements of this clause.
1
3-5 Item Definition
The boundary of the item its interfaces, and the assumptions concerning its interaction with other items and elements, shall be defined considering:
WP Concept 1.7 xx.yy.2014 ISO 26262:2011
* .. * ..
Key Words
Checklist - Item Definition (ISO 26262-3)
Req.
Requirements - reference to ISO 26262
Interpretation / Key Words / Detailed ASIL ASIL ASIL ASIL
and describe the item, its
definition of the item with regard to its functionality, interfaces,
depeቤተ መጻሕፍቲ ባይዱdencies on and
environmental conditions, legal requirements, hazards etc.
✓
✓
✓
✓
NOTE This can include known safety-related incidents on similar items.
Results of the Review
Remark of the Assessor during the
Assessment
Status
3574941039.xlsx