日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機(jī)站
  • 小程序

    汽車測試網(wǎng)

  • 公眾號

    • 汽車測試網(wǎng)

    • 在線課堂

    • 電車測試

電車試驗(yàn):電機(jī)系統(tǒng)與電驅(qū)動總成安全——電驅(qū)動總成功能安全

2022-02-14 14:29:33·  來源:汽車測試網(wǎng)  
 
功能安全主要作用:當(dāng)危害影響發(fā)生時(shí),讓電子電氣系統(tǒng)進(jìn)入一個(gè)安全狀態(tài)并保持一個(gè)安全狀態(tài)。包含兩方面:系統(tǒng)失效(比如:錯(cuò)誤系統(tǒng)設(shè)計(jì))和隨機(jī)硬件故障(比如電
功能安全主要作用:當(dāng)危害影響發(fā)生時(shí),讓電子電氣系統(tǒng)進(jìn)入一個(gè)安全狀態(tài)并保持一個(gè)安全狀態(tài)。包含兩方面:系統(tǒng)失效(比如:錯(cuò)誤系統(tǒng)設(shè)計(jì))和隨機(jī)硬件故障(比如電子電氣元件老化)。其目的是使技術(shù)無法避免但又必須處理的危害最小化。
本指南修改遵循ISO 26262,適用于道路車輛上由電子、電氣和軟件組件組成的安全相關(guān)系統(tǒng)在安全生命周期內(nèi)的所有活動。
1)提供了一個(gè)汽車安全生命周期(管理、開發(fā)、生產(chǎn)、運(yùn)行、服務(wù)、報(bào)廢),并支持在這些生命周期階段內(nèi)對必要活動的剪裁;
2)提供了一種汽車特定的基于風(fēng)險(xiǎn)的分析方法以確定汽車安全完整性等級(ASIL);
3)應(yīng)用汽車安全完整性等級(ASIL)定義-本指南適用的要求,以避免不合理的殘余風(fēng)險(xiǎn);

4)提供了對于確認(rèn)和認(rèn)可措施的要求,以確保達(dá)到一個(gè)充分、可接受的安全等級;
5)提供了與供應(yīng)商相關(guān)的要求。
功能安全受開發(fā)過程(例如,包括需求規(guī)范、設(shè)計(jì)、實(shí)現(xiàn)、集成、驗(yàn)證、認(rèn)可和配置)、生產(chǎn)過程、服務(wù)過程和管理過程的影響。安全問題與常規(guī)的以功能為導(dǎo)向和以質(zhì)量為導(dǎo)向的開發(fā)活動及工作成果相互關(guān)聯(lián)。本指南涉及與安全相關(guān)的開發(fā)活動和工作成果。
本指南適用于安裝在量產(chǎn)乘用車上的包含一個(gè)或多個(gè)電子電氣系統(tǒng)的與安全相關(guān)的系統(tǒng)。
功能安全通常由整車廠提出安全目標(biāo),電驅(qū)動總成配套企業(yè)設(shè)計(jì)并實(shí)施功能安全方案。不同的整車廠、電驅(qū)動總成企業(yè)在功能安全的要求和實(shí)施方案上存在差異。下面所述僅是一個(gè)指導(dǎo)性示例,無需嚴(yán)格遵照執(zhí)行。
一、功能安全管理
1、安全文化的定義
概要:組織創(chuàng)設(shè)安全文化,支持功能安全的實(shí)現(xiàn)。以此,建立并維護(hù)組織的規(guī)則和管理流程。
要求:
1)支持功能安全活動的企業(yè)文化的培養(yǎng)。
2)遵循功能安全標(biāo)準(zhǔn)的原則。
3)功能安全相關(guān)的問題的分析,評估,可追溯性。
4)執(zhí)行功能安全相關(guān)的活動和文件管理規(guī)定。
5)遵循流程的建立、執(zhí)行和維護(hù)方針。
6)確保賦予功能安全相關(guān)的管理人員適當(dāng)?shù)臋?quán)限。
2、安全活動相關(guān)的人才管理
概要:確保實(shí)施安全活動人員的能力,對于項(xiàng)目進(jìn)行人才的分配及培養(yǎng)的支持。
要求:人員技能、權(quán)限的規(guī)定。
1)安全相關(guān)的設(shè)計(jì)和驗(yàn)證的能力。
2)相關(guān)審核評估的能力。
3)ISO26262 及其他安全標(biāo)準(zhǔn)的知識。
4)公司內(nèi)部規(guī)定。
5)領(lǐng)域知識。
6)管理能力。
3、安全生命周期中的質(zhì)量管理
概要:建立和管理ISO/TS 16949 及ISO 9001 的質(zhì)量管理標(biāo)準(zhǔn)或與之等同的質(zhì)量管理體系。
要求:公司內(nèi)部的質(zhì)量管理規(guī)定。
明確描述質(zhì)量管理和功能安全的關(guān)聯(lián)。
4、功能安全管理的分工和責(zé)任
概要:任命具有權(quán)限、責(zé)任的安全管理者。
5、功能安全活動的計(jì)劃和調(diào)整
概要:制定安全計(jì)劃,進(jìn)行批準(zhǔn)和認(rèn)可評審,并進(jìn)行維護(hù)、管理。
6、功能安全生命周期的進(jìn)程
參考:ISO 26262-1 Figure 1 — Overview of ISO 26262。
7、安全檔案的管理
制定認(rèn)可措施計(jì)劃,按照獨(dú)立性和權(quán)限實(shí)施,認(rèn)可措施安全所要求的獨(dú)立性實(shí)施,執(zhí)行認(rèn)可措施的人員能夠接觸組織機(jī)構(gòu)、必要的產(chǎn)品項(xiàng)目信息及工具。
8、量產(chǎn)后的功能安全管理
安全完整性:安全功能是否能連續(xù)正常工作15 年,是否能及時(shí)檢測出系統(tǒng)錯(cuò)誤(例如:危害產(chǎn)生影響之前)。
完整性:是否考慮了各個(gè)方面,是否所有的詳細(xì)信息都被理解性地收集和保存。
文檔:是否所有的細(xì)節(jié)都得到了證明,即使在以后(產(chǎn)品生命周期15 年)。
9、SOP 后的量產(chǎn)管理
組織應(yīng)指定相關(guān)人員的責(zé)任和為生產(chǎn)發(fā)布后保持該項(xiàng)目的功能安全相關(guān)法律提供依據(jù)。
生產(chǎn)后釋放的規(guī)范應(yīng)保證項(xiàng)目功能安全的活動。
二、功能安全概念設(shè)計(jì)階段
1、相關(guān)項(xiàng)定義
目的:第一個(gè)目的是定義相關(guān)項(xiàng)即電機(jī)控制系統(tǒng),與其環(huán)境和其它相關(guān)項(xiàng)的依賴性和相互影響。第二個(gè)目的是為充分理解相關(guān)項(xiàng)即電機(jī)控制系統(tǒng)提供支持,以便執(zhí)行后續(xù)階段的活動。
要求:相關(guān)項(xiàng)的功能要求、非功能要求及環(huán)境依賴性的確認(rèn)。
定義相關(guān)項(xiàng)的邊界、接口以及提出與其他相關(guān)項(xiàng)和要素的交互關(guān)系。
相關(guān)項(xiàng)的定義:功能列表、使用環(huán)境要求、法律法規(guī)要求、已知安全要求、功能框圖、功能框圖的邊界。
2、結(jié)構(gòu)

圖5-5 電機(jī)控制系統(tǒng)結(jié)構(gòu)框圖
電機(jī)控制系統(tǒng)包括如下組件:
電機(jī)控制器;
電機(jī)。
3、功能
電機(jī)控制系統(tǒng)應(yīng)基于當(dāng)前車輛狀態(tài)和路況提供以下功能:
(功能安全邊界定義的時(shí)候這里不考慮電機(jī))
表5-4 電機(jī)控制器功能
表5-5 電機(jī)控制器詳細(xì)功能

4、非功能要求
1)直流母線電壓范圍;
2)工作環(huán)境溫度范圍(℃);
3)進(jìn)出水口間壓差;
4)冷卻方式;
5)冷卻水入口溫度;
6)水冷流量;
7)輔助電源或其他方式可保證系統(tǒng)處于安全狀態(tài);
8)需要進(jìn)行有效的防水防塵措施;
9)電機(jī)控制器絕緣電阻應(yīng)滿足安規(guī)標(biāo)準(zhǔn);
10)MCU 應(yīng)滿足IP67 或更高等級的防護(hù)要求;
11)驅(qū)動電機(jī)系統(tǒng)在運(yùn)行中所產(chǎn)生的電磁輻射干擾應(yīng)符合相關(guān)國家標(biāo)準(zhǔn)和產(chǎn)品技術(shù)文件規(guī)定;
12)驅(qū)動電機(jī)系統(tǒng)電磁輻射抗干擾性應(yīng)符合相關(guān)國家標(biāo)準(zhǔn)和產(chǎn)品技術(shù)文件規(guī)定。
5、安全生命周期的啟動
有了相關(guān)項(xiàng)定義之后,就要確定項(xiàng)目的安全生命周期,對項(xiàng)目的安全生命周期進(jìn)行初始化,也就是開始對項(xiàng)目的安全生命周期進(jìn)行細(xì)化。而要進(jìn)行細(xì)化,就要區(qū)分項(xiàng)目是新產(chǎn)品研發(fā)還是既有產(chǎn)品的改造。如果是全新的設(shè)備研發(fā),則相關(guān)工作就得從安全生命周期的開始做起。如果是既有產(chǎn)品的改造,那么從項(xiàng)目定義開始的這些流程都可以使用一些既有的文件對整個(gè)過程進(jìn)行定制?,F(xiàn)有產(chǎn)品升級改造,就要注意以下一些問題:
1)要做產(chǎn)品和使用環(huán)境的分析,以制定出預(yù)期更改,并評估這些更改產(chǎn)生的影響。
a)對項(xiàng)目的更改包括設(shè)計(jì)更改和執(zhí)行更改。設(shè)計(jì)更改應(yīng)該是由需求規(guī)范、功能和性能的增加或者成本的優(yōu)化所致,執(zhí)行更改不能影響項(xiàng)目的規(guī)格和性能,但可以影響執(zhí)行特征。執(zhí)行更改可以由軟故障更改,使用新的研發(fā)成果或生產(chǎn)工具所致。
b)如果配置數(shù)據(jù)和校準(zhǔn)數(shù)據(jù)的更改會影響到產(chǎn)品的行為,則更改須考慮這些數(shù)據(jù)。
c)對產(chǎn)品環(huán)境的更改應(yīng)該是由產(chǎn)品要使用的新的目標(biāo)環(huán)境或由于其他相關(guān)產(chǎn)品或元素升級而引發(fā)。
2)要表述清楚產(chǎn)品使用的前后條件的差別,包括:
a)操作條件和操作模式;
b)環(huán)境接口;
c)安裝特征,如:在車輛內(nèi)部的位置,車輛的配置和變化等;
d)環(huán)境條件的范圍,如:溫度,海拔,濕度,震動,EMC 和汽油標(biāo)號等。
1)要明確給出產(chǎn)品變更的描述以及影響的范圍。如果不能明確產(chǎn)品的變更和對環(huán)境數(shù)據(jù)影響的改變,則相關(guān)影響的分析數(shù)據(jù)都要進(jìn)行記錄。
2)影響到的服役產(chǎn)品,需要進(jìn)行升級的,要進(jìn)行逐一列出。
3)定制的相關(guān)安全活動應(yīng)符合各個(gè)應(yīng)用生命周期階段的要求,包括:
a)定制應(yīng)基于影響分析的結(jié)果。
b)定制的結(jié)果應(yīng)包括在符合ISO26262-2 的安全計(jì)劃中。
c)影響到的產(chǎn)品須返工,包括確認(rèn)計(jì)劃和驗(yàn)證計(jì)劃。
確定了以上這些基本信息之后,對所要進(jìn)行的產(chǎn)品研發(fā)或者設(shè)備更改工作就有了一個(gè)清晰明確的定義,對產(chǎn)品的預(yù)期使用功能、環(huán)境,以及與相關(guān)設(shè)備的接口也有了一個(gè)明確的定義,接下來就可以進(jìn)行危險(xiǎn)分析和風(fēng)險(xiǎn)評估了。
6、危害分析和風(fēng)險(xiǎn)評估
危險(xiǎn)分析和風(fēng)險(xiǎn)評估的目的和之前的ISO13849,IEC62061 等的標(biāo)準(zhǔn)一樣,都是為了將設(shè)備存在的危險(xiǎn)識別出來,并根據(jù)危險(xiǎn)的程度按照一定的原則對其進(jìn)行分類,從而針對不同的風(fēng)險(xiǎn)設(shè)定具體的安全目標(biāo),并最終減小或消除風(fēng)險(xiǎn),避免未知風(fēng)險(xiǎn)的發(fā)生。
狀況分析:故障行為記述了成為危害事件的運(yùn)行狀況及運(yùn)行模式。
危害識別:在整車層面可以觀測的狀態(tài)或行為來定義危害。
通過FTA(故障樹分析)進(jìn)行危害事件的提出危害分析與風(fēng)險(xiǎn)評估的目的是識別相關(guān)項(xiàng)中因故障而引起的危害并對危害進(jìn)行歸類,制定相應(yīng)的安全目標(biāo),以避免不合理的風(fēng)險(xiǎn)。
其中,應(yīng)基于相關(guān)項(xiàng)的功能行為,來分析其潛在的危害事件。再從危害時(shí)間的嚴(yán)重程度、暴露概率、可控性三個(gè)方面對相關(guān)項(xiàng)進(jìn)行系統(tǒng)性的評估,從而確定安全目標(biāo)及相應(yīng)的ASIL等級。概要:在整車層面通過運(yùn)行場景和運(yùn)行模式的組合來描述危害事件,通過組合各危害事件,來識別事件結(jié)果。
7、ASIL 等級定義
概要:對于每個(gè)危害事件,通過嚴(yán)重度/暴露概率/可控性的評估矩陣來定義ASIL 等級

圖5-6 ASIL 等級定義
表5-6 嚴(yán)重度/暴露概率/可控性的評估矩陣
8、安全目標(biāo)
概要:對于有ASIL 等級的危害事件,定義它相應(yīng)的安全目標(biāo)。
要求:對每個(gè)危害實(shí)施危害分析和風(fēng)險(xiǎn)評估,定義其ASIL 等級,設(shè)立安全目標(biāo)。
功能安全目標(biāo)還可以包含高壓電擊和電池起火等,取決于主機(jī)廠要求,但這里不展開。
表5-7 功能安全目標(biāo)

9、功能安全概念
功能安全概念階段的主要目的是通過前面的危險(xiǎn)分析和風(fēng)險(xiǎn)評估之后得出的安全目標(biāo)來確定具體的功能安全要求,并將它們分配到初步的設(shè)計(jì)架構(gòu),或者外部減少危險(xiǎn)的措施當(dāng)中去,以確保滿足相關(guān)的功能安全要求。
安全概念主要是為了從安全目標(biāo)中得出功能安全要求,并將其分配給相關(guān)項(xiàng)的架構(gòu)要素或外部措施。制定功能安全要求時(shí),應(yīng)從相關(guān)項(xiàng)的運(yùn)行模式、故障容錯(cuò)時(shí)間間隔、安全狀態(tài)、緊急運(yùn)行時(shí)間間隔及功能冗余等方面進(jìn)行考慮,同時(shí)可以使用安全分析(例如FMEA、FTA、HAZOP)的方法,使制定的功能安全要求更加完善。安全概念還應(yīng)按照GB/T 34590.9中的要求進(jìn)行驗(yàn)證,表明與安全目標(biāo)的一致性和符合性,即減輕或避免危害事件的能力。

圖5-7 FSR 對應(yīng)的FTA 分析
10、功能安全需求分配
功能安全需求分配到要素需要考慮以下幾點(diǎn):
1)基于相關(guān)項(xiàng)初期架構(gòu)的要素
2)繼承:ASIL 和功能安全需求信息
以下情況接受最高ASIL 等級
若下一功能安全需求被分配到了相同的架構(gòu)要素中。
若相關(guān)項(xiàng)包含多個(gè)系統(tǒng),那么導(dǎo)出獨(dú)立系統(tǒng)和他們的接口的功能安全需求
如果獨(dú)立冗余:可以進(jìn)行ASIL 分配另外,如果ASIL 等級需要被拆解,則要符合ISO26262-9 第五條款的要求。
三、功能安全的系統(tǒng)階段
1、啟動系統(tǒng)層面產(chǎn)品開發(fā)
進(jìn)行正式系統(tǒng)開發(fā)前,應(yīng)基于GB/T 34590.4 相關(guān)規(guī)定,指定系統(tǒng)層面產(chǎn)品開發(fā)的安全活動計(jì)劃,包括確定設(shè)計(jì)和集成過程中適當(dāng)?shù)姆椒ê痛胧?、測試及驗(yàn)證計(jì)劃、功能安全評估計(jì)劃等。
系統(tǒng)級產(chǎn)品開發(fā)啟動的目標(biāo)是確定和規(guī)劃在系統(tǒng)開發(fā)各個(gè)子階段的功能安全活動。這部分內(nèi)容在ISO26262-8 中也有描述。系統(tǒng)級安全活動包含在安全計(jì)劃中。
2、技術(shù)安全需求設(shè)計(jì)
技術(shù)安全要求是實(shí)現(xiàn)功能安全概念必要的技術(shù)要求,目的是將相關(guān)項(xiàng)層面的功能安全要求細(xì)化到系統(tǒng)層面的技術(shù)安全要求。應(yīng)基于GB/T 34590.4 相關(guān)規(guī)定,根據(jù)功能安全概念、相關(guān)項(xiàng)的初步架構(gòu)設(shè)想、外部接口、限制條件等系統(tǒng)特性來制定技術(shù)安全要求。技術(shù)安全要求應(yīng)從故障探測/指示/控制措施、安全狀態(tài)、故障容錯(cuò)時(shí)間間隔等方面考慮,定義必要的安全機(jī)制。
根據(jù)用于開發(fā)FSR 和初步體系結(jié)構(gòu)的“輸入-過程處理-輸出”(I-P-O)模型,確定輸入、處理、輸出的TSR。
下面舉幾個(gè)例來說明:
表5-8 輸入中的技術(shù)安全需求

表5-9 處理過程的技術(shù)安
表5-10 輸出的技術(shù)安全需求全需求
3、制定安全機(jī)制
基于技術(shù)安全要求,制定安全機(jī)制:提出需要展開的技術(shù)安全需求。例:進(jìn)一步展開技術(shù)安全需求,并分配容錯(cuò)事件間隔要求。
安全機(jī)制的討論:基于技術(shù)安全要求及系統(tǒng)設(shè)計(jì)架構(gòu),討論為了實(shí)現(xiàn)其功能運(yùn)行的機(jī)制。例:角度檢測功能,基于要素及極限值進(jìn)行討論,需要在何處進(jìn)行檢測。
為使項(xiàng)目達(dá)到或維持一個(gè)安全狀態(tài)的安全機(jī)制應(yīng)規(guī)定:
1)安全狀態(tài)的切換;
2)容錯(cuò)的時(shí)間間隔;
3)如果安全狀態(tài)不能立即達(dá)到,應(yīng)確定應(yīng)急操作的時(shí)間間隔;
4)維持安全狀態(tài)的措施。
ASIL 分解按照ISO 26262-9:2011,第5 條款。
4、系統(tǒng)設(shè)計(jì)
系統(tǒng)設(shè)計(jì)應(yīng)基于功能概念、相關(guān)項(xiàng)的初步架構(gòu)設(shè)想和技術(shù)安全要求。在實(shí)現(xiàn)技術(shù)安全要求相關(guān)的內(nèi)容時(shí),應(yīng)從驗(yàn)證系統(tǒng)設(shè)計(jì)的能力、軟硬件設(shè)計(jì)的技術(shù)能力、執(zhí)行系統(tǒng)測試的能力等方面考慮系統(tǒng)設(shè)計(jì)。為避免系統(tǒng)性失效,應(yīng)對系統(tǒng)設(shè)計(jì)進(jìn)行安全分析以識別系統(tǒng)性失效的原因和系統(tǒng)性故障的影響。為降低系統(tǒng)運(yùn)行過程中隨機(jī)硬件失效造成的影響,應(yīng)在系統(tǒng)設(shè)計(jì)中定義探測、控制或減輕隨機(jī)硬件失效的措施。系統(tǒng)設(shè)計(jì)中定義軟硬件接口規(guī)范,并在后續(xù)硬件開發(fā)和軟件開發(fā)過程中進(jìn)行細(xì)化。
參考:ISO 26262-4 table2 properties of modular system design為了避免失效造成的高復(fù)雜性,架構(gòu)設(shè)計(jì)需要通過以下原則進(jìn)行:
1)模塊化;
2)適當(dāng)?shù)牧6燃墑e;
3)簡單性。
5、導(dǎo)出技術(shù)安全概念
目的:基于系統(tǒng)設(shè)計(jì)的結(jié)果,將技術(shù)安全要求分配硬件、軟件。
概要:由功能安全需求導(dǎo)出技術(shù)安全需求,進(jìn)行系統(tǒng)設(shè)計(jì),導(dǎo)出技術(shù)安全概念。
1)系統(tǒng)設(shè)計(jì)的可驗(yàn)證性;
2)軟件硬件的技術(shù)實(shí)現(xiàn)性;
3)系統(tǒng)集成中的執(zhí)行測試能力。
6、實(shí)施安全分析
基于系統(tǒng)設(shè)計(jì)架構(gòu)及技術(shù)安全概念的結(jié)果,采用FTA 及FMEA 方法進(jìn)行安全分析。
7、系統(tǒng)設(shè)計(jì)驗(yàn)證
參考:ISO 26262-4 Table 3 — System design verification。
8、系統(tǒng)集成與測試
基于GB/T 34590.4 相關(guān)規(guī)定,分別進(jìn)行軟硬件、系統(tǒng)、整車層級的集成和測試,驗(yàn)證每一條功能和技術(shù)安全要求是否滿足規(guī)范,以及系統(tǒng)設(shè)計(jì)在整個(gè)相關(guān)項(xiàng)上是否得到正確實(shí)施。
集成和測試階段包括三個(gè)階段和兩個(gè)主要目標(biāo)如下所述:第一階段為每個(gè)項(xiàng)目包含的元件的硬件和軟件的集成。第二階段是一個(gè)項(xiàng)目的元件的集成以形成一個(gè)完整的系統(tǒng)。第三階段是項(xiàng)目與車輛的周圍系統(tǒng)的集成。
集成過程的第一個(gè)目標(biāo)是根據(jù)ASIL 等級和安全需求規(guī)范測試符合各項(xiàng)安全要求。第二個(gè)目的是驗(yàn)證“系統(tǒng)設(shè)計(jì)”覆蓋的安全要求正確地由整個(gè)項(xiàng)實(shí)施。項(xiàng)目元件的集成是從軟件硬件集成,系統(tǒng)集成到整車集成系統(tǒng)。集成測試會在每個(gè)階段的執(zhí)行來證明系統(tǒng)元件正確交互。根據(jù)ISO 26262-5 和ISO 26262-6 完成硬件和軟件的開發(fā),然后按照第8 條款(項(xiàng)目集成和測試)開始進(jìn)行系統(tǒng)集成。
9、集成與測試的計(jì)劃和定義
測試項(xiàng)目的導(dǎo)出方法
參考參考:ISO 26262-4 Table 4 —Methods for deriving test cases for
integration testing
四、功能安全硬件設(shè)計(jì)階段
基于GB/T 34590-5 相關(guān)規(guī)定,將技術(shù)安全概念,技術(shù)安全要求和系統(tǒng)設(shè)計(jì)說明落實(shí)到硬件層級,設(shè)計(jì)完整且詳細(xì)的硬件安全要求。
為保證硬件安全要求的完整性,在設(shè)計(jì)時(shí)應(yīng)考慮包含以下內(nèi)容:
1)安全機(jī)制及其屬性;
2)驗(yàn)證的標(biāo)準(zhǔn);
3)硬件度量的目標(biāo)值;
4)FTTI;
5)其它與安全相關(guān)的要求。
為保證硬件安全要求的質(zhì)量,應(yīng)按照GB/T 34590-8 中第6 章的要求進(jìn)行硬件安全要求的設(shè)計(jì)、驗(yàn)證和管理。
為使硬件被軟件正確地控制和使用,應(yīng)對軟硬件接口(HSI)進(jìn)行充分的細(xì)化,并描述出硬件和軟件之間的每一項(xiàng)安全相關(guān)的關(guān)聯(lián)性。
1、啟動硬件層面產(chǎn)品開發(fā)
概要:基于安全計(jì)劃和項(xiàng)目計(jì)劃,定義并更新系統(tǒng)層面的安全活動計(jì)劃。
計(jì)劃產(chǎn)品開發(fā)中硬件元件的活動(包括支持過程)。
在設(shè)計(jì)過程中應(yīng)使用適當(dāng)?shù)姆椒ê痛胧?
硬件開發(fā)過程中應(yīng)兼顧系統(tǒng)和軟件的生命周期。
2、硬件安全需求規(guī)范
硬件安全需求規(guī)范:硬件安全要求應(yīng)來源于技術(shù)安全概念和系統(tǒng)設(shè)計(jì)規(guī)范:
1)詳細(xì)的硬件-軟件接口(HSI)要求。
2)所有與安全相關(guān)的硬件要求必須以硬件安全要求的形式出現(xiàn)。
3)故障對來自外部干擾的容忍(例如:開放式輸入)。
4)安全機(jī)制用來檢測和修復(fù)內(nèi)部(例如:組件失效)和外部(控制失效)失效。
5)安全機(jī)制用來修復(fù)暫時(shí)性和永久性失效。
6)硬件指標(biāo)的目標(biāo)值。
3、硬件架構(gòu)設(shè)計(jì)
設(shè)計(jì)原則:
1)分層設(shè)計(jì)
2)避免不必要的接口復(fù)雜化
3)避免不必要的硬件組件復(fù)雜化(簡單設(shè)計(jì))
4)可維護(hù)性
5)可測試性
基于GB/T 34590-5 相關(guān)規(guī)定,進(jìn)行硬件架構(gòu)設(shè)計(jì)和硬件詳細(xì)設(shè)計(jì),并進(jìn)行硬件安全分析,以滿足系統(tǒng)設(shè)計(jì)說明和硬件安全需求的要求。
為避免硬件的系統(tǒng)性風(fēng)險(xiǎn),一般應(yīng)進(jìn)行硬件架構(gòu)設(shè)計(jì),然后進(jìn)行硬件詳細(xì)設(shè)計(jì)。在硬件架構(gòu)設(shè)計(jì)時(shí),應(yīng)確保每個(gè)硬件組件繼承了正確的ASIL 等級,并可追溯到與之相關(guān)的硬件安全要求。
4、硬件詳細(xì)設(shè)計(jì)
在硬件設(shè)計(jì)時(shí),應(yīng)運(yùn)用相關(guān)的經(jīng)驗(yàn)總結(jié),并考慮安全相關(guān)硬件組件失效的非功能性原因,如果適用,可包含以下因素:溫度,振動,水,灰塵,EMI,來自硬件架構(gòu)的其他組件或其所在環(huán)境的串?dāng)_。
為提高設(shè)計(jì)的可靠性,應(yīng)遵循GB/T 34590-5 中的“模塊化的硬件設(shè)計(jì)原則”和“魯棒性設(shè)計(jì)原則”,如降額設(shè)計(jì)、最壞情況分析等。
為識別硬件失效的原因和故障的影響,應(yīng)按GB/T 34590-5 中的要求,根據(jù)不同的ASIL 等級,使用“演繹分析”(如FTA)或“歸納分析”(如FMEA)的方法進(jìn)行安全分析。
如果安全分析表明生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢與安全相關(guān),則應(yīng)定義其與安全相關(guān)的特殊特性并輸出說明性文件。為驗(yàn)證硬件設(shè)計(jì)與硬件安全要求的一致性和完整性,應(yīng)按GB/T34590-5 中的要求,對硬件設(shè)計(jì)進(jìn)行驗(yàn)證。
5、硬件設(shè)計(jì)-安全分析
識別失效的原因和故障的影響;
針對所考慮的安全目標(biāo),進(jìn)行安全分析識別;
避免單點(diǎn)故障的有效性的證據(jù);
避免潛伏故障的有效性的證據(jù);
確定硬件設(shè)計(jì)的獨(dú)立性;
如引入新危害,重新進(jìn)行危害分析和風(fēng)險(xiǎn)評估。
6、硬件設(shè)計(jì)-組件的鑒定
基于GB/T 34590-8 相關(guān)規(guī)定,對其中復(fù)雜的硬件組件及元器件應(yīng)進(jìn)行硬件組件的鑒定,確保硬件組件合規(guī)使用并為FMEDA 分析提供基礎(chǔ)數(shù)據(jù)。
7、硬件架構(gòu)度量的評估
基于GB/T 34590-5 相關(guān)規(guī)定,進(jìn)行硬件架構(gòu)度量的評估,并將評估結(jié)果和優(yōu)化建議反饋到系統(tǒng)設(shè)計(jì)、硬件設(shè)計(jì)、軟件設(shè)計(jì)環(huán)節(jié),以優(yōu)化產(chǎn)品設(shè)計(jì),使最終的“單點(diǎn)故障度量”和“潛伏故障度量”滿足對應(yīng)ASIL 的要求。

圖5-8 硬件量化需求
表5-11 故障指標(biāo)的評估

1)硬件診斷覆蓋率
參考ISO 26262-5。
2)失效模式分類

圖5-9 硬件失效模式分析
3)隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評估
由于隨機(jī)硬件失效而違背安全目標(biāo)的目標(biāo)值基于GB/T 34590-5 相關(guān)規(guī)定,進(jìn)行PMHF評估或割集分析評估,優(yōu)化使相關(guān)安全目標(biāo)沒有由于隨機(jī)硬件失效帶來的不可接受的風(fēng)險(xiǎn)。
8、硬件集成和測試
基于GB/T 34590-5 相關(guān)規(guī)定,進(jìn)行硬件集成和測試,通過測試確保所開發(fā)的硬件符合硬件安全要求。硬件集成測試用例的生成應(yīng)考慮GB/T 34590-5 的表10 中所列的方法。
為了驗(yàn)證安全機(jī)制的完整性和正確性,硬件集成測試應(yīng)考慮以下方法:功能測試、故障注入測試和電氣測試。為了驗(yàn)證硬件在外部應(yīng)力下的魯棒性,硬件集成測試應(yīng)考慮GB/T34590-5 的表12 中所列方法。
五、功能安全軟件設(shè)計(jì)階段
1、啟動軟件層面的產(chǎn)品開發(fā)
編寫啟動計(jì)劃內(nèi)容
1)啟動軟件開發(fā)活動的適當(dāng)方法;
2)軟件開發(fā)的剪裁;
3)配置軟件開發(fā);
4)軟件生命周期的一致性;
5)方法、相應(yīng)工具的選擇;
6)選擇適當(dāng)?shù)慕:途幊陶Z言;
7)設(shè)計(jì)和編碼指南。
2、軟件安全需求規(guī)范
軟件安全需求分析目的是依據(jù)安全技術(shù)規(guī)范以及系統(tǒng)設(shè)計(jì)說明書制定軟件安全需求,同時(shí)驗(yàn)證軟件安全需求與安全技術(shù)規(guī)范及系統(tǒng)設(shè)計(jì)說明書是否一致。
軟件安全需求分析階段需滿足完整性、可測試性、可追溯性要求。
軟件安全需求分析時(shí),應(yīng)從如下方面考慮:充分識別失效會違反安全技術(shù)要求的軟件功能;需來源于安全技術(shù)要求和系統(tǒng)設(shè)計(jì)方案;應(yīng)識別軟件與硬件之間所有安全相關(guān)的屬性;包含足夠的硬件運(yùn)行資源,有效的安全相關(guān)等信息的確認(rèn);軟硬件接口說明書應(yīng)是確認(rèn)有效的;測試驗(yàn)證方法應(yīng)是安全有效的。
3、軟件架構(gòu)設(shè)計(jì)
軟件安全監(jiān)控架構(gòu)設(shè)計(jì)目的在于開發(fā)一個(gè)可以滿足并實(shí)現(xiàn)軟件安全需求的軟件架構(gòu)。
軟件安全監(jiān)控架構(gòu)設(shè)計(jì)需結(jié)合功能安全相關(guān)軟件需求和非功能安全相關(guān)軟件需求,全局考慮軟件的架構(gòu)設(shè)計(jì),并進(jìn)行軟件安全分析。
軟件安全監(jiān)控架構(gòu)設(shè)計(jì)時(shí),應(yīng)從如下方面考慮:應(yīng)該是可配置、可實(shí)施、易于測試和可維護(hù)的;需遵循模塊化、高類聚、低耦合、低復(fù)雜度的要求;應(yīng)細(xì)化到足夠支持詳細(xì)設(shè)計(jì);應(yīng)具備靜態(tài)和動態(tài)特性;應(yīng)滿足獨(dú)立性的要求;應(yīng)覆蓋軟件安全需求等。
1)軟件架構(gòu)設(shè)計(jì)原則
參考ISO 26262 Table 3 — Principles for software architectural design
(1)軟件架構(gòu)設(shè)計(jì)應(yīng)開發(fā)到軟件單元層級,即不可再分級別。
(2)軟件架構(gòu)應(yīng)描述軟件單元的靜態(tài)設(shè)計(jì)。
(3)靜態(tài)設(shè)計(jì):
a)軟件結(jié)構(gòu)包含它的等級;
b)數(shù)據(jù)處理的邏輯順序;
c)數(shù)據(jù)類型和他們的特性;
d)軟件元件之間的接口;
e)外部與軟件之間的接口;
f)架構(gòu)和外部不見部件的約束。
(4)若基于模型開發(fā),模型結(jié)構(gòu)是固有的。
(5)軟件組件的動態(tài)設(shè)計(jì):
a)功能和行為;
b)軟件組件之間的數(shù)據(jù)流;
c)外部接口的數(shù)據(jù)流;
d)時(shí)間約束條件;
e)控制流和進(jìn)程的并發(fā)性。
2)軟件架構(gòu)設(shè)計(jì)安全分析
目的:
(1)明確順序和故障響應(yīng)
(2)推薦測試用例
(3)識別軟件故障規(guī)避策略
(4)安全機(jī)制的效果展示。例如:診斷,控制硬件故障的恢復(fù),為了解決系統(tǒng)失效機(jī)制。
(5)評估資源使用和分配
驗(yàn)證方法:
參考ISO 26262-5 Table 6 — Methods for the verification of the software architectural design
4、軟件單元設(shè)計(jì)和實(shí)現(xiàn)
軟件詳細(xì)設(shè)計(jì)時(shí),應(yīng)從如下方面考慮:應(yīng)包含足夠的必要信息以便于后續(xù)活動開展;
應(yīng)詳細(xì)描述其功能特征;應(yīng)滿足可測性、可維護(hù)、低復(fù)雜度、可讀性和健壯性等要求;詳細(xì)設(shè)計(jì)應(yīng)滿足與軟件安全需求、軟件架構(gòu)、編碼準(zhǔn)則、詳細(xì)設(shè)計(jì)說明書等一致性的要求。
軟件單元設(shè)計(jì)原則參考ISO26262-Table 8 — Design principles for software unit design and implementation
5、軟件安全算法測試
軟件算法測試用于證明軟件單元模塊符合軟件詳細(xì)設(shè)計(jì)說明書要求,該要求包括:軟件功能要求的符合性,接口要求的一致性,算法的健壯與高效等。軟件算法測試案例設(shè)計(jì)時(shí),需按照軟件詳細(xì)設(shè)計(jì)說明書、軟件失效分析報(bào)告要求,采用需求分析、等價(jià)類劃分、邊界值分析、錯(cuò)誤猜想、故障注入等方法。
軟件算法測試活動,要做好詳細(xì)設(shè)計(jì)、失效分析報(bào)告、測試案例、測試數(shù)據(jù)、測試缺陷的雙向可追溯性與過程的完整性。軟件算法測試同時(shí)還需要度量驗(yàn)證軟件算法質(zhì)量,包括單元覆蓋度(如:語句覆蓋度,分支覆蓋度,修正判定條件覆蓋度等),代碼編碼規(guī)則,以及其他靜態(tài)度量指標(biāo)(如:圈復(fù)雜度等),具體請參見GB/T 34590-6 相關(guān)要求。
6、軟件集成與架構(gòu)符合性測試
軟件集成與架構(gòu)符合性測試主要用于驗(yàn)證軟件組件集成功能以及軟件組建之間的接口是否符合軟件架構(gòu)設(shè)計(jì)文檔要求。
軟件集成通??煞譃樵鲋呈郊膳c一次性集成。不同的集成方式,對應(yīng)的集成測試策略也不同。常用到的測試方法包括:基于需求的測試,接口測試,故障注入測試,資源占用測試以及模型與代碼的背靠背測試。
軟件集成測試也包含質(zhì)量度量過程, 主要度量指標(biāo)包括功能覆蓋度和函數(shù)調(diào)用覆蓋度。
參考ISO 26262-5Table 10 — Methods for software unit testing
7、軟件安全需求驗(yàn)證
軟件安全需求驗(yàn)證的目的在于確保軟件在目標(biāo)硬件環(huán)境上能夠正確實(shí)現(xiàn)軟件安全需求。通常需采用驗(yàn)證方法包括硬件在環(huán)測試、電子電氣試驗(yàn)臺架測試以及實(shí)車測試等。軟件安全需求驗(yàn)證不但要從功能角度驗(yàn)證軟件安全需求的符合情況,還要從性能角度驗(yàn)證是否滿足性能要求(如:程序安裝測試、負(fù)載測試、軟件安全需求覆蓋度等)。
分享到:
 
反對 0 舉報(bào) 0 收藏 0 評論 0
滬ICP備11026917號-25