ISO 26262 Technical-Safety-Concept：安全分析詳解

上一篇文章,我們討論了系統(tǒng)架構(gòu)設(shè)計(jì)以及粒度級(jí)別將如何影響我們的安全。本次我們接著來(lái)聊一聊安全分析相關(guān)內(nèi)容。

01

安全分析

安全分析是在系統(tǒng)架構(gòu)設(shè)計(jì)上來(lái)執(zhí)行的建模技術(shù),用來(lái)識(shí)別架構(gòu)中的安全漏洞。安全分析可以根據(jù)其進(jìn)行的方式來(lái)分類:

Inductive analysis: 歸納分析是一種自下而上的方法,從已知的原因開始,識(shí)別可能的影響 → FMEA;

Deductive analysis: 演繹分析是一種自上而下的方法,從已知的影響出發(fā),來(lái)尋找可能的原因 → FTA;

FMEA從系統(tǒng)所有的失效模式的潛在原因出發(fā),向前推進(jìn)。所以FMEA是一種自下而上(Bottom-Up)的風(fēng)險(xiǎn)分析方法。另一方面,FTA分析是從預(yù)先確定的影響到失效模式的所有可能原因的反向進(jìn)行,因此,FTA是一種自上而下(Top-Down)的方法。在這種情況下,FTA分析對(duì)于復(fù)雜系統(tǒng)或者影響因素很高的關(guān)鍵過程不是一個(gè)合適的工具,比如:相同組件有許多的頂層事件。在這種情況下,FMEA分析更適合于安全分析。

安全分析的主要目的是什么?

安全分析的目標(biāo)是確保由于系統(tǒng)故障或隨機(jī)硬件故障而違反安全目標(biāo)的風(fēng)險(xiǎn)足夠低。

如何讓故障足夠低?

通過識(shí)別先前在HARA期間未識(shí)別的新危害,這些新的危害(內(nèi)部或者外部)可能導(dǎo)致違反安全目標(biāo)。

支持安全概念、安全要求的驗(yàn)證,明確設(shè)計(jì)要求和試驗(yàn)要求,也就是說(shuō),它有助于設(shè)計(jì)。

如果新的危害有可能違反安全目標(biāo),則必須更新HARA,如果對(duì)于車輛級(jí)別的分析產(chǎn)生了額外的危害,則更新ASIL等級(jí)。另一方面,新的危害可能不會(huì)違反安全目標(biāo),因此應(yīng)確定預(yù)防或者控制故障的安全措施。

如果新檢測(cè)到的危害是舊危害的變體呢?
那我們需要對(duì)新發(fā)現(xiàn)的危害進(jìn)行注釋,并且證明安全概念已經(jīng)涵蓋了這種新的危害,不需要進(jìn)行ASIL升級(jí)或者其他額外的安全措施。

安全分析的范圍:

安全目標(biāo)和安全概念的確認(rèn);

安全概念和安全需求的驗(yàn)證;

識(shí)別故障檢測(cè)額外的安全要求;

安全分析又分為定性分析(qualitative)和定量分析(quantitative)

什么是定性分析?

定性的識(shí)別故障,但是不去預(yù)測(cè)故障頻率;

比如:定性FMEA和DFMRA;定性FTA和HAZOP;

什么是定量分析?

定量分析方法預(yù)測(cè)故障發(fā)生的頻率,只處理隨機(jī)硬件故障,不適用于系統(tǒng)故障的推斷。

比如:定量FMEA;定量FTA;馬爾科夫模型(Markov models);可靠性框圖(RBD)

總之,通過進(jìn)行安全分析,我們降低了系統(tǒng)故障的可能性。此外,在適用的情況下,應(yīng)采用可靠的系統(tǒng)設(shè)計(jì)原則。