一��、序言
1���、 相互認(rèn)識(shí)(自我介紹、學(xué)員介紹)
2����、 道路車輛的安全性思考(車輛安全與展望)
3、 討論:貴司產(chǎn)品如何影響車輛安全��?又是如何管控的����?
二、ISO26262:2011標(biāo)準(zhǔn)內(nèi)容解讀(10個(gè)部分)
1���、ISO26262-1 適用范圍和主要內(nèi)容
1.1 ISO26262的前身(IEC61508)
1.2 ISO26262適用范圍(5點(diǎn):3.5T以下乘用車、E/E安全相關(guān)系統(tǒng)(如輔助駕駛�、動(dòng)態(tài)控制、主被動(dòng)安全系統(tǒng))���、整個(gè)車輛生命周期���、2011年后車輛的E/E安全相關(guān)系統(tǒng)��、不適用為殘疾人設(shè)計(jì)的特殊目的車輛的E/E系統(tǒng))
1.3 ISO26262主要內(nèi)容(10點(diǎn):定義�����、功能安全管理、概念階段���、產(chǎn)品研發(fā)(系統(tǒng)級(jí)��、硬件級(jí)����、軟件級(jí))、生產(chǎn)和操作���、支持過程、基于ASIL和安全的分析���、ISO26262導(dǎo)則)
1.4 ISO26262應(yīng)用價(jià)值(4點(diǎn):提供車輛生命周期內(nèi)必要的改裝活動(dòng)��、提供了風(fēng)險(xiǎn)評(píng)估方法ASIL����、通過ASIL獲得可接受的殘余風(fēng)險(xiǎn)的必要安全要求�����、提供確保獲得足夠的可可接受的安全等級(jí)的有效性和確定性措施)
互動(dòng)交流:
1、 ISO26262是針對(duì)什么產(chǎn)品的安全標(biāo)準(zhǔn)���? 2、企業(yè)應(yīng)該如何建立和應(yīng)用ISO26262標(biāo)準(zhǔn)�?
2、ISO26262-2功能安全管理
2.1 項(xiàng)目安全生命周期(安全管理生命周期框圖)
2.2 項(xiàng)目安全生命周期各階段的認(rèn)識(shí)與理解:
- 項(xiàng)目定義 - 安全生命周期的初始化 - 危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估
- 功能安全概念 - 系統(tǒng)級(jí)產(chǎn)品研發(fā) - 硬件級(jí)產(chǎn)品研發(fā)
- 軟件級(jí)產(chǎn)品研發(fā) - 生產(chǎn)計(jì)劃和操作計(jì)劃 - 產(chǎn)品發(fā)布
- 產(chǎn)品的操作���、服務(wù)和拆解 - 可控性 - 外部措施
- 其它技術(shù) - 安全文化(安全經(jīng)驗(yàn)傳承���、重視安全)
3、ISO26262-3 概念階段
3.1 項(xiàng)目定義
3.1.1 項(xiàng)目信息: - 法規(guī)要求����,已知的國(guó)際和國(guó)際標(biāo)準(zhǔn) - 類似功能、系統(tǒng)或元素達(dá)到的行為
- 對(duì)項(xiàng)目預(yù)期行為的構(gòu)想 - 已知的失效模式和風(fēng)險(xiǎn)在內(nèi)的項(xiàng)目缺陷造成的潛在影響
3.1.2 項(xiàng)目的邊界條件以及相關(guān)項(xiàng)目之間的接口條件:
- 項(xiàng)目的所有元素 - 項(xiàng)目對(duì)其它項(xiàng)目或項(xiàng)目環(huán)境元素的相關(guān)影響
- 其它項(xiàng)目�,元素和環(huán)境對(duì)本項(xiàng)目的要求 - 子系統(tǒng)或者包含的元素中,對(duì)功能的單位和分配
- 影響項(xiàng)目功能時(shí)�����,項(xiàng)目的運(yùn)行情況
3.2 項(xiàng)目的安全生命周期
3.2.1 全新產(chǎn)品研發(fā)
3.2.2 現(xiàn)有產(chǎn)品升級(jí)改造
1. 做產(chǎn)品和使用環(huán)境分析�����,以制定出預(yù)期更改,并評(píng)估更改的影響
a) 設(shè)計(jì)更改與執(zhí)行更改 b) 配置數(shù)據(jù)或校準(zhǔn)數(shù)據(jù)的更改 c) 產(chǎn)品環(huán)境更改
2. 表述清楚產(chǎn)品使用前后條件的差別
a) 操作條件和操作模式 b) 環(huán)境接口 c) 安裝特征�����,如:安裝位置��、配置和變化
d) 環(huán)境條件范圍�,如:溫度、濕度�����、海拔����、震動(dòng)、EMC和汽油標(biāo)號(hào)等
3. 要明確定義產(chǎn)品變更以及影響范圍
4. 影響到的服役產(chǎn)品��,需要進(jìn)行升級(jí)的����,要逐一列出
5. 定制的相關(guān)安全活動(dòng)應(yīng)符合各個(gè)應(yīng)用生命周期階段的要求
a) 定制應(yīng)基于影響分析的結(jié)果 b) 定制的結(jié)果應(yīng)包括在符合ISO26262-2的安全計(jì)劃中
c) 影響到的產(chǎn)品須返工,包括確認(rèn)計(jì)劃和驗(yàn)證計(jì)劃
3.2.3 項(xiàng)目的危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估
- 危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估的目的 - 危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估的步驟
- 情形分析和危險(xiǎn)識(shí)別:
a.準(zhǔn)備用來進(jìn)行評(píng)估的操作情況清單 b.系統(tǒng)的確定清單上的危險(xiǎn) c.風(fēng)險(xiǎn)定義
d.明確相關(guān)操作條件和操作模式下危險(xiǎn)事件的影響 e.對(duì)超出ISO262的風(fēng)險(xiǎn)�,也要給予相應(yīng)措施
- 對(duì)風(fēng)險(xiǎn)進(jìn)行分級(jí),設(shè)定安全目標(biāo),并按風(fēng)險(xiǎn)等級(jí)采取合理的措施
- 風(fēng)險(xiǎn)的分類(3個(gè)指標(biāo))
a) 傷害的嚴(yán)重性(4個(gè)等級(jí)���,S0���,S1,S2����,S3)
b) 操作條件下暴露于危險(xiǎn)中的可能性(5個(gè)等級(jí)��,E0��,E1���,E2��,E3����,E4)
c) 危險(xiǎn)事件的可控性(4個(gè)等級(jí)�,C0,C1�����,C2,C3)
d) 風(fēng)險(xiǎn)的ASIL等級(jí)表(4個(gè)等級(jí)��,A���、B����、C���、D)
3.2.4 功能安全概念
- 基本的安全機(jī)制和安全措施:
1) 故障檢測(cè)和失效緩解措施 2) 安全狀態(tài)轉(zhuǎn)換 3) 故障容錯(cuò)機(jī)制
4) 故障檢測(cè)和司機(jī)警示裝置 5) 邏輯仲裁 6) 安全目標(biāo)和功能安全要求的層次結(jié)構(gòu)
7) 功能安全要求的來源:
a) 應(yīng)從安全目標(biāo)和安全狀態(tài)來獲得�����,并考慮預(yù)想架構(gòu)�����、功能概念���、操作模式和系統(tǒng)狀態(tài)
b) 要為每個(gè)安全目標(biāo)設(shè)定至少一個(gè)功能安全要求
c) 每個(gè)功能安全要求都要考慮以下內(nèi)容:
1.操作模式 2.故障容錯(cuò)時(shí)間間隔 3.安全狀態(tài),過渡到安全狀態(tài)是否符合設(shè)備要求
4.急停操作間隔 5.功能冗余
d) 警示和降級(jí)
e) 如果安全狀態(tài)不能通過立即關(guān)閉來達(dá)到����,則需指定一個(gè)緊急操作
1) 這些動(dòng)作應(yīng)該在功能安全概念中詳細(xì)描述
2) 駕駛員或陷入危險(xiǎn)中的人員可以使用的手段或者控制要在功能安全概念中詳細(xì)描述
- 功能安全的分配:
a) 研發(fā)安全架構(gòu)概念
b) 功能安全要求分配
1.功能安全要求的分配應(yīng)該基于項(xiàng)目預(yù)想架構(gòu)的元素進(jìn)行
2.分配過程中�����,ASIL和功能安全要求考慮的內(nèi)容信息都要繼續(xù)傳承
3.如果多個(gè)功能安全要求被分配到同一個(gè)架構(gòu)元素��,則這個(gè)架構(gòu)元素應(yīng)以這些功能安全要求最高 ASIL等級(jí)進(jìn)行研發(fā)
4.如果項(xiàng)目由超過一個(gè)的系統(tǒng)組成��,則對(duì)于每個(gè)獨(dú)立系統(tǒng)和他們的接口的功能安全要求都要從考 慮預(yù)想系統(tǒng)架構(gòu)的功能安全要求中獲得�,而這些功能安全要求也都要被分配到系統(tǒng)中去
5.如果ASIL等級(jí)需要被拆解�,則要符合ISO26262-9第五條款的要求
6.如果安全要求被分配到其他技術(shù)的元素中�����,則無需考慮ASIL等級(jí)
c) 如果功能安全概念依賴于其他技術(shù)的原色���,則應(yīng)考慮:
1.靠其它技術(shù)執(zhí)行的功能安全要求應(yīng)該從其相應(yīng)的元素中獲得并分配到元素中去
2.明確與其他技術(shù)的接口的相關(guān)功能安全要求
3.有應(yīng)其他技術(shù)執(zhí)行的功能安全要求要確保有具體的措施
d) 依賴于外部風(fēng)險(xiǎn)較低措施的功能安全概念應(yīng)滿足以下要求:
1.應(yīng)用于外面風(fēng)險(xiǎn)較低措施的功能安全要求應(yīng)該從相應(yīng)的外部風(fēng)險(xiǎn)較低措施中獲得并分配其中去
2.明確與外部風(fēng)險(xiǎn)較低措施的接口的功能安全要求
3.如果外部風(fēng)險(xiǎn)較低措施由E/E系統(tǒng)構(gòu)成���,則功能安全要求可以用ISO26262來進(jìn)行評(píng)估
4.必須確保由外部風(fēng)險(xiǎn)較低措施執(zhí)行的功能安全要求的正確執(zhí)行
e) 功能安全概念應(yīng)該按照ISO26262-8第九條款的要求來驗(yàn)證與安全目標(biāo)的一致性和符合性
f) 項(xiàng)目安全確認(rèn)的原則應(yīng)該學(xué)習(xí)的寫在功能安全概念中
g) 功能安全要求的審核應(yīng)該闡明功能安全要求符合安全目標(biāo)
4、ISO26262-4 系統(tǒng)級(jí)產(chǎn)品開發(fā)
4.1 系統(tǒng)級(jí)產(chǎn)品開發(fā)啟動(dòng)
4.2 技術(shù)安全需求制定(技術(shù)安全需求規(guī)范����、安全機(jī)制、ASIL分解、潛在故障避免���、產(chǎn)品/運(yùn)行/維護(hù)和結(jié)
束�、檢驗(yàn)和確認(rèn))
4.3 系統(tǒng)設(shè)計(jì)(系統(tǒng)設(shè)計(jì)規(guī)范和技術(shù)安全概念�����、系統(tǒng)架構(gòu)設(shè)計(jì)約束���、系統(tǒng)失效的避免措施����、運(yùn)行過程中隨
機(jī)硬件失效的控制措施��、硬件和軟件配置���、硬件和軟件接口規(guī)范<HSI>�、產(chǎn)品運(yùn)行/維護(hù)和關(guān)閉要求�����、 系統(tǒng)設(shè)計(jì)驗(yàn)證)
4.4 項(xiàng)目集成和測(cè)試(集成測(cè)試計(jì)劃制定���、軟硬件集成與測(cè)試�、系統(tǒng)集成和測(cè)試、測(cè)試目標(biāo)和測(cè)試方法)
4.5 安全確認(rèn) 4.6功能安全評(píng)估 4.7 產(chǎn)品發(fā)布
5�、ISO26262-5 硬件級(jí)產(chǎn)品開發(fā)
5.1 硬件級(jí)產(chǎn)品開發(fā)初始化 5.2 硬件安全需求規(guī)范擬定
5.3 硬件設(shè)計(jì)(硬件架構(gòu)設(shè)計(jì)、硬件詳細(xì)設(shè)計(jì)����、安全分析、硬件設(shè)計(jì)驗(yàn)證��、生產(chǎn)/運(yùn)行/服務(wù)和關(guān)閉)
5.4 硬件體系指標(biāo)評(píng)估
6�����、ISO26262-6 軟件級(jí)產(chǎn)品開發(fā)
6.1 軟件級(jí)產(chǎn)品開發(fā)啟動(dòng) 6.2 軟件安全需求規(guī)范擬定 6.3 軟件體系設(shè)計(jì)
6.4 軟件單元設(shè)計(jì)和實(shí)現(xiàn) 6.5 軟件單元測(cè)試 6.6 軟件集成和測(cè)試
6.7 軟件安全需求和驗(yàn)證
7���、ISO26262-7生產(chǎn)運(yùn)行
7.1 生產(chǎn) 7.2 運(yùn)行、服務(wù)(保養(yǎng)和維護(hù))和關(guān)閉
8���、ISO26262-8支持過程
8.1 分布式開發(fā)接口 8.2 安全需求規(guī)范和管理 8.3 配置管理 8.4 變更管理 8.5 驗(yàn)證
8.6 文檔 8.7 可信的軟件工具 8.8 軟件組件證明 8.9 硬件組件證明 8.10 論證證明
9����、ISO26262-9 面向汽車安全完整性等級(jí)(ASIL)和安全分析
9.1 考慮ASIL裁剪等級(jí)分解要求 9.2 要素共存標(biāo)準(zhǔn) 9.3 關(guān)聯(lián)故障分析 9.4 安全分析
10���、ISO26262-10 指南
互動(dòng)練習(xí):自由討論��,答疑解惑
浙公網(wǎng)安備 33010802003509號(hào)