ISODIS26262道路车辆－－功能安全功能安全

1ISO/DIS26262道路车辆道路车辆道路车辆道路车辆－－－－功能安全功能安全功能安全功能安全赵斌莱茵检测认证服务（中国）有限公司电话:+86-10-65666660-104传真:+86-10-65666667电邮:bin.zhao@bj.chn.tuv.com网址:www.chn.tuv.com2�议程议程议程议程•背景介绍背景介绍背景介绍背景介绍•TUV莱茵集团及功能安全业务介绍•车辆行业功能安全应用目的•法律法规背景介绍•ISO26262背景介绍•基本定义•如何根据ISO26262开发安全产品•安全生命周期安全生命周期安全生命周期安全生命周期•功能安全管理•项目定义•风险分析，风险评估安全目标定义•功能安全要求•系统开发系统开发系统开发系统开发•系统级开发•硬件开发•软件开发•安全确认安全确认安全确认安全确认，，，，功能安全评估功能安全评估功能安全评估功能安全评估•安全分析•安全确认•安全论证•证明措施•认证流程认证流程认证流程认证流程•总结总结总结总结3TUV莱茵集团及功能安全业务介绍莱茵集团及功能安全业务介绍莱茵集团及功能安全业务介绍莱茵集团及功能安全业务介绍4做为国际知名的跨国集团做为国际知名的跨国集团做为国际知名的跨国集团做为国际知名的跨国集团，，，，我们提供质量我们提供质量我们提供质量我们提供质量、、、、安全安全安全安全评估认证服务评估认证服务评估认证服务评估认证服务�TÜVRheinlandGroup–全球服务全球服务全球服务全球服务�成立于1872�62个国家360个地区�员工超过14,000�销售额1.2亿欧元�6大业务领域�38个业务分支，超过2.500种不同的服务。5�德国莱茵德国莱茵德国莱茵德国莱茵TÜV大中华区大中华区大中华区大中华区2002TÜV莱茵宁波莱茵宁波莱茵宁波莱茵宁波1994TÜV莱茵广州莱茵广州莱茵广州莱茵广州1986TÜV莱茵台湾莱茵台湾莱茵台湾莱茵台湾1995TÜV莱茵北京莱茵北京莱茵北京莱茵北京1993TÜV莱茵深圳莱茵深圳莱茵深圳莱茵深圳1989TÜV莱茵上海莱茵上海莱茵上海莱茵上海2001TÜV莱茵青岛莱茵青岛莱茵青岛莱茵青岛1988TÜV莱茵香港莱茵香港莱茵香港莱茵香港2007台湾杜夫莱茵台湾杜夫莱茵台湾杜夫莱茵台湾杜夫莱茵2007TÜV莱茵无锡莱茵无锡莱茵无锡莱茵无锡6教育与咨询服务教育与咨询服务教育与咨询服务教育与咨询服务体系服务体系服务体系服务体系服务产品服务产品服务产品服务产品服务交通服务交通服务交通服务交通服务工业服务工业服务工业服务工业服务健康保健服务健康保健服务健康保健服务健康保健服务�我们一直专注于安全和质量我们一直专注于安全和质量我们一直专注于安全和质量我们一直专注于安全和质量咨询咨询咨询咨询测试测试测试测试检验检验检验检验认证认证认证认证认可认可认可认可7�德国莱茵德国莱茵德国莱茵德国莱茵TÜV集团集团集团集团功能安全服务内容功能安全服务内容功能安全服务内容功能安全服务内容功能安全服务内容功能安全服务内容功能安全服务内容功能安全服务内容产品认证管理体系功能安全人员培训功能安全应用安全相关的产品及系统基本培训,专门定制的研讨会,TUV功能安全工程师功能安全管理体系审核风险分析，功能安全的验证与确认8�我们的服务我们的服务我们的服务我们的服务咨询-功能安全相关要求测试/分析-形式认证-软件测试(应用软件、编译器）-环境测试(温度、气候、机械稳定性、电磁兼容等）-安全相关的可靠性数值计算-失效模式及有效性分析(FMEA)认证-产品认证并加贴标识-功能安全管理培训/研讨会-企业内部培训-TÜV功能安全程序（TÜVFunctionalSafetyProgram）-根据客户需要制定的研讨会（针对产品、体系等）9TÜV功能安全 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 功能安全计划功能安全计划功能安全计划是功能安全领域人员资格认证计划是功能安全领域人员资格认证计划是功能安全领域人员资格认证计划是功能安全领域人员资格认证计划，，，，课程由国际相关课程提供者组织课程由国际相关课程提供者组织课程由国际相关课程提供者组织课程由国际相关课程提供者组织，，，，主要课程如下：•安全仪表系统(IEC61511)•软硬件设计(IEC61508)•机械功能安全（IEC62061,ISO13849)•道路车辆功能安全（ISO26262)•管理，销售，市场人员培训.根据参与者的工作领域及经验，可以获得以下两种资格TÜV功能安全工程师功能安全工程师功能安全工程师功能安全工程师TÜV功能安全专家功能安全专家功能安全专家功能安全专家�TÜV功能安全计划功能安全计划功能安全计划功能安全计划（（（（TÜVFunctionalSafetyProgram））））2510�-功能安全能力中心功能安全能力中心功能安全能力中心功能安全能力中心了解进一步信息了解进一步信息了解进一步信息了解进一步信息www.tuvasi.com11�任重而道远任重而道远任重而道远任重而道远12车辆行业功能安全应用目的车辆行业功能安全应用目的车辆行业功能安全应用目的车辆行业功能安全应用目的13�安全安全安全安全,法规法规法规法规,产品责任产品责任产品责任产品责任,…汽车电子的安全问题可能会导致高额的召回费用汽车电子的安全问题可能会导致高额的召回费用汽车电子的安全问题可能会导致高额的召回费用汽车电子的安全问题可能会导致高额的召回费用•2010:丰田召回几百万的车辆，由于汽车油门踏板故障•2010:丰田召回超过300，000普瑞斯，由于潜在刹车问题•2010:尼桑召回超过500，000车辆，用于刹车和油量表问题•2009:奥迪召回超过10，000车辆，由于传输控制问题14�为什么产品要考虑功能安全为什么产品要考虑功能安全为什么产品要考虑功能安全为什么产品要考虑功能安全?•产品越来越复杂•很多控制单元包括安全相关功能Reference:AudiEuroforum2004ControlunitsthatusetheCAN/MOSTbus15�安全功能安全功能安全功能安全功能举举举举例例例例•车辆系统越来越多的软件使用•软件包括安全相关部分软件包括安全相关部分软件包括安全相关部分软件包括安全相关部分Adaptivefrontlights自适应前照明系统自适应前照明系统自适应前照明系统自适应前照明系统Anti-lockingbrakingsystem汽车防抱死制动系统汽车防抱死制动系统汽车防抱死制动系统汽车防抱死制动系统Vehiclestabilitycontrol车身稳定控制系统车身稳定控制系统车身稳定控制系统车身稳定控制系统Tractioncontrol牵引力控制牵引力控制牵引力控制牵引力控制Electronicbrakeforcedistribution电子刹车力分配系统电子刹车力分配系统电子刹车力分配系统电子刹车力分配系统Emergencybrakeassist紧急制动辅助系统紧急制动辅助系统紧急制动辅助系统紧急制动辅助系统Collisionprevention防撞系统防撞系统防撞系统防撞系统Lanedeparturewarningsystem车道偏离警报系统车道偏离警报系统车道偏离警报系统车道偏离警报系统Adaptivepowersteering自适应助力转向自适应助力转向自适应助力转向自适应助力转向Parkingassistant主动停车辅助系统主动停车辅助系统主动停车辅助系统主动停车辅助系统16�安全功能安全功能安全功能安全功能举举举举例例例例Adaptivesuspensioncontrol自适应悬架控制自适应悬架控制自适应悬架控制自适应悬架控制Electronicbrakesystem电子制动系统电子制动系统电子制动系统电子制动系统Seat-beltpre-tensioning安全带预紧安全带预紧安全带预紧安全带预紧Airbags安全气囊安全气囊安全气囊安全气囊Driverdrowsinessdetection司机瞌睡警示系统司机瞌睡警示系统司机瞌睡警示系统司机瞌睡警示系统Drivermonitoringsystem司机监控系统司机监控系统司机监控系统司机监控系统Adaptivehighbeam(lights)assistant自适应远光灯辅助系统自适应远光灯辅助系统自适应远光灯辅助系统自适应远光灯辅助系统Adaptivecruisecontrol自适应巡航系统自适应巡航系统自适应巡航系统自适应巡航系统Autonomouscruisecontrol自动巡航系统自动巡航系统自动巡航系统自动巡航系统Tirepressuremonitoringsystem胎压监控系统胎压监控系统胎压监控系统胎压监控系统Automaticfrontlightheightadjustment自适应前灯高度调节自适应前灯高度调节自适应前灯高度调节自适应前灯高度调节17功能安全法律法规背景介绍功能安全法律法规背景介绍功能安全法律法规背景介绍功能安全法律法规背景介绍18�法规认证法规认证法规认证法规认证vs.产品责任产品责任产品责任产品责任(1)法规认证2007/46/EC71/320/EEC制动系统ECER13制动系统70/311/EEC转向装置ECER79转向装置e1E1产品责任IEC61508ISODIS262622007/46/EC给出了给出了给出了给出了EC指令和指令和指令和指令和ECE法规的适用完整列表法规的适用完整列表法规的适用完整列表法规的适用完整列表19�法规认证法规认证法规认证法规认证vs.产品责任产品责任产品责任产品责任(2)法规认证法规认证法规认证法规认证•只能由被认可的“技术服务机构”进行评估如：ECER13Annex18orECER79Annex6产品责任产品责任产品责任产品责任•独立的评估根据：•（车辆）安全完整性等级(A)SIL•应用 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 •IEC61508•ISODIS26262为什么使用这两个标准为什么使用这两个标准为什么使用这两个标准为什么使用这两个标准?20ISO26262背景介绍背景介绍背景介绍背景介绍21�ISO/DIS26262–道路道路道路道路车辆车辆车辆车辆–功能安全功能安全功能安全功能安全IEC61508–电子电气可编程电子安全相关系统的功能安全•80年代末期开始研究，应用于越来越复杂的安全相关系统。•来源于过程工业•1998年发布第一版•2010年发布第二版ISO/DIS26262的目的•汽车行业的一些要求与机械行业和过程行业不同。•汽车安全相关系统的复杂性越来越高•电子稳定性控制•紧急制动辅助系统紧急制动辅助系统紧急制动辅助系统紧急制动辅助系统•…22�ISO/DIS26262范围范围范围范围ISO/DIS26262应用于应用于应用于应用于安全相关系统安全相关系统安全相关系统安全相关系统•包括一个或多个电子电气系统并且•安装于不超过3.5吨的乘用车ISO/DIS26262不应用于安装在特殊目的的的车辆上的电子电气系统不应用于安装在特殊目的的的车辆上的电子电气系统不应用于安装在特殊目的的的车辆上的电子电气系统不应用于安装在特殊目的的的车辆上的电子电气系统。。。。如如如如：：：：残残残残疾人车辆疾人车辆疾人车辆疾人车辆ISO/DIS26262不应用于非安全相关的电子电气系统不应用于非安全相关的电子电气系统不应用于非安全相关的电子电气系统不应用于非安全相关的电子电气系统。。。。Q?什么是乘用车？23�基本定义基本定义基本定义基本定义24�什么是安全什么是安全什么是安全什么是安全？？？？安全安全安全安全???25�达到什么程度才算安全达到什么程度才算安全达到什么程度才算安全达到什么程度才算安全?26�功能安全功能安全功能安全功能安全满足下列条件，安全系统是符合功能安全的：•随机随机随机随机、、、、系统系统系统系统、、、、共因失效不会导致安全系统的错误功能共因失效不会导致安全系统的错误功能共因失效不会导致安全系统的错误功能共因失效不会导致安全系统的错误功能，，，，从而导致从而导致从而导致从而导致：：：：•人的伤害或死亡人的伤害或死亡人的伤害或死亡人的伤害或死亡•环境的污染环境的污染环境的污染环境的污染•设备或财产的损失设备或财产的损失设备或财产的损失设备或财产的损失在正常条件及存在故障条件下，控制设备、系统的安全功能必须都能够保证27�安全功能安全功能安全功能安全功能安全相关系统的功能安全相关系统的功能安全相关系统的功能安全相关系统的功能，，，，用来减小风险并且达到用来减小风险并且达到用来减小风险并且达到用来减小风险并且达到/保持安全保持安全保持安全保持安全状态状态状态状态PLCU传感器控制器执行器安全功能总是针对一个安全回路而言，不是针对一个设备或部件TermsofFunctionalSafety28�安全 机制 综治信访维稳工作机制反恐怖工作机制企业员工晋升机制公司员工晋升机制员工晋升机制图 安全机制安全机制安全机制(safetymechanism)由由由由E/E功能或元素执行的措施功能或元素执行的措施功能或元素执行的措施功能或元素执行的措施，，，，或者是其他技术或者是其他技术或者是其他技术或者是其他技术，，，，目的是达到安全状态或保目的是达到安全状态或保目的是达到安全状态或保目的是达到安全状态或保持安全状态持安全状态持安全状态持安全状态，，，，或者两者同时考虑或者两者同时考虑或者两者同时考虑或者两者同时考虑。。。。如如如如：：：：能够达到能够达到能够达到能够达到，，，，保持安全状态保持安全状态保持安全状态保持安全状态能够警告司机能够警告司机能够警告司机能够警告司机，，，，以便于司机能够及时采取措施避免失效的影响以便于司机能够及时采取措施避免失效的影响以便于司机能够及时采取措施避免失效的影响以便于司机能够及时采取措施避免失效的影响29�级联失效和共因失效级联失效和共因失效级联失效和共因失效级联失效和共因失效级联失效级联失效级联失效级联失效共因失效共因失效共因失效共因失效30�安全架构安全架构安全架构安全架构（（（（safetyarchitecture)通过一组元素相互作用通过一组元素相互作用通过一组元素相互作用通过一组元素相互作用，，，，来满足安全要求来满足安全要求来满足安全要求来满足安全要求，，，，包括冗余包括冗余包括冗余包括冗余、、、、独立概念独立概念独立概念独立概念31�充分信任的设计原则充分信任的设计原则充分信任的设计原则充分信任的设计原则（（（（well-trusteddesignprinciple)－－－－预先使用经验证明没有安全问题的设计原则预先使用经验证明没有安全问题的设计原则预先使用经验证明没有安全问题的设计原则预先使用经验证明没有安全问题的设计原则。。。。如如如如：：：：隔离安全功能和非安全功能隔离安全功能和非安全功能隔离安全功能和非安全功能隔离安全功能和非安全功能67％％％％降额使用降额使用降额使用降额使用32如何根据如何根据如何根据如何根据ISO26262开发安全产品开发安全产品开发安全产品开发安全产品?33�功能安全功能安全功能安全功能安全：：：：5个步骤实现个步骤实现个步骤实现个步骤实现所有产品都来源于设想所有产品都来源于设想所有产品都来源于设想所有产品都来源于设想:•公司想开发一个更好的刹车系统。•航线偏离报警系统的更改•产品成本太高/制造难度大/可靠性低…•...对于复杂性系统对于复杂性系统对于复杂性系统对于复杂性系统，，，，功能安全很重要功能安全很重要功能安全很重要功能安全很重要，，，，如果如果如果如果：：：：•功能失效会导致危险事件•功能丧失会导致危险事件•危险分析和风险评估结果证明需要ASIL需要安全功能吗?Step134�功能安全功能安全功能安全功能安全：：：：5个步骤实现个步骤实现个步骤实现个步骤实现接下来建立功能安全 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 接下来建立功能安全管理制度接下来建立功能安全管理制度接下来建立功能安全管理制度也就是为安全工作的协调和监控提供一个框架也就是为安全工作的协调和监控提供一个框架也就是为安全工作的协调和监控提供一个框架也就是为安全工作的协调和监控提供一个框架Step2功能安全管理安全工作安全工作安全工作35�功能安全功能安全功能安全功能安全：：：：5个步骤实现个步骤实现个步骤实现个步骤实现通过危险分析和风险评估来确认哪些危险事件应该考虑通过危险分析和风险评估来确认哪些危险事件应该考虑通过危险分析和风险评估来确认哪些危险事件应该考虑通过危险分析和风险评估来确认哪些危险事件应该考虑对每一个可识别的危险事件对每一个可识别的危险事件对每一个可识别的危险事件对每一个可识别的危险事件，，，，都需要定义相应的安全目标都需要定义相应的安全目标都需要定义相应的安全目标都需要定义相应的安全目标（（（（safetygoal））））•确认如何能够到达并且保持安全状态（safestate））））•确认ASIL的级别的级别的级别的级别Step3安全目标安全目标安全目标安全目标:保持笼子结构的完整性饥饿的狮子饥饿的狮子饥饿的狮子饥饿的狮子–可爱的,但是非常危险危险事件危险事件危险事件危险事件:狮子跑出笼子36�功能安全功能安全功能安全功能安全：：：：5个步骤实现个步骤实现个步骤实现个步骤实现根据可识别的安全目标根据可识别的安全目标根据可识别的安全目标根据可识别的安全目标，，，，做出安全概念做出安全概念做出安全概念做出安全概念（（（（safetyconcept））））包括以下内容包括以下内容包括以下内容包括以下内容•基本系统架构•达到并且保持安全的技术措施系统级设计系统级设计系统级设计系统级设计，，，，软硬件设计和开发将依据安全概念软硬件设计和开发将依据安全概念软硬件设计和开发将依据安全概念软硬件设计和开发将依据安全概念在设计开发过程中在设计开发过程中在设计开发过程中在设计开发过程中，，，，应采取必要的安全措施和验证活动应采取必要的安全措施和验证活动应采取必要的安全措施和验证活动应采取必要的安全措施和验证活动Step437�功能安全功能安全功能安全功能安全：：：：5个步骤实现个步骤实现个步骤实现个步骤实现安全确认用来确保开发项目能够满足分配给它的安全目标安全确认用来确保开发项目能够满足分配给它的安全目标安全确认用来确保开发项目能够满足分配给它的安全目标安全确认用来确保开发项目能够满足分配给它的安全目标.功能安全评估同时考虑到产品和过程功能安全评估同时考虑到产品和过程功能安全评估同时考虑到产品和过程功能安全评估同时考虑到产品和过程，，，，提高了项目的安全置信级别提高了项目的安全置信级别提高了项目的安全置信级别提高了项目的安全置信级别。。。。Step538功能安全管理功能安全管理功能安全管理功能安全管理39�功能安全管理功能安全管理功能安全管理功能安全管理安全管理安全管理安全管理安全管理:•定义安全生命周期模型生命周期模型生命周期模型生命周期模型•需要创造培养公司的安全文化安全文化安全文化安全文化•定义相关部门、人员的职责职责职责职责•确保人员能力资质人员能力资质人员能力资质人员能力资质•确保足够的质量管理质量管理质量管理质量管理工作ISO/DIS26262-240�功能安全需要做什么功能安全需要做什么功能安全需要做什么功能安全需要做什么41�开发阶开发阶开发阶开发阶段安全生命周期模型段安全生命周期模型段安全生命周期模型段安全生命周期模型Step1.概念概念概念概念阶阶阶阶段段段段Step2.产产产产品品品品开发阶开发阶开发阶开发阶段段段段Step3.生生生生产产产产和和和和运运运运行行行行阶阶阶阶段段段段42生产操作，服务和试运行产品开发系统级产品开发硬件产品开发软件生产计划操作计划�ISO/DIS26262–安全生命周期模型安全生命周期模型安全生命周期模型安全生命周期模型项目定义安全生命周期的初始化风险分析及评估功能安全概念ISO26262-4ISO26262-3ISO26262-3ISO26262-3ISO26262-3ISO26262-5ISO26262-6ISO26262-7ISO26262-7ISO26262-7ISO26262-7概念概念概念概念阶阶阶阶段段段段产产产产品品品品开发阶开发阶开发阶开发阶段段段段生生生生产产产产，，，，运运运运行行行行阶阶阶阶段段段段43项目定义项目定义项目定义项目定义44�项目和其他相关概念项目和其他相关概念项目和其他相关概念项目和其他相关概念在安全相关产品开发时，第一件事就是项目定义项目定义项目定义项目定义项目定义Itemdefinition关注以下开发内容关注以下开发内容关注以下开发内容关注以下开发内容:•确认相关功能•开发怎样进行•再使用存在的产品或更改?不正确的项目定义可能会导致后继工作出现严重的问题不正确的项目定义可能会导致后继工作出现严重的问题不正确的项目定义可能会导致后继工作出现严重的问题不正确的项目定义可能会导致后继工作出现严重的问题ISO/DIS26262-10Clause4.245�项目定义项目定义项目定义项目定义在项目定义过程中，必须考虑所有相关需求•功能性的需求•非功能性需求(费用,尺寸,环境要求,ASIL…)•法规要求•标准,导则项目定义要考虑行业专家意见ISO/DIS26262-3Clause5项目定义对于开发正确的系统起着关键作用46�项目定义项目定义项目定义项目定义ISO/DIS26262-3Clause5举例:方向盘锁传感器:速度传感器执行器:电机带动涡轮，涡轮控制锁定装置机械系统:涡轮司机:踩踏板控制速度的参考值47危险分析危险分析危险分析危险分析、、、、风险评估和安全目标风险评估和安全目标风险评估和安全目标风险评估和安全目标48�执行危险分析和风险评估执行危险分析和风险评估执行危险分析和风险评估执行危险分析和风险评估对于项目来说对于项目来说对于项目来说对于项目来说，，，，理解相关功能必须理解相关功能必须理解相关功能必须理解相关功能必须：：：：•对项目相关危险识别和分类对项目相关危险识别和分类对项目相关危险识别和分类对项目相关危险识别和分类•制定安全目标预防或减轻危险制定安全目标预防或减轻危险制定安全目标预防或减轻危险制定安全目标预防或减轻危险安全目标应确保项目的运行风险低至可以接受。ISO/DIS26262-3,clause749�汽车领域项目基本流程汽车领域项目基本流程汽车领域项目基本流程汽车领域项目基本流程识别所有相关的车辆状态和驾驶条件识别所有相关的车辆状态和驾驶条件识别所有相关的车辆状态和驾驶条件识别所有相关的车辆状态和驾驶条件识别潜在系统失效识别潜在系统失效识别潜在系统失效识别潜在系统失效(危险危险危险危险)根据驾驶条件对所有危险分类根据驾驶条件对所有危险分类根据驾驶条件对所有危险分类根据驾驶条件对所有危险分类针对每一个危险事件针对每一个危险事件针对每一个危险事件针对每一个危险事件，，，，定义车辆安全完整性等级定义车辆安全完整性等级定义车辆安全完整性等级定义车辆安全完整性等级收集输入文档和信息收集输入文档和信息收集输入文档和信息收集输入文档和信息得出安全目标和安全需求得出安全目标和安全需求得出安全目标和安全需求得出安全目标和安全需求ISO/DIS26262-3,clause7;ISO/DIS26262-3,annexB50S:严重性E:暴露的可能性C:可控性C1C2C3E1E4E3E2E1E4E3E2E1E4E3E2S1S3S2QMQMQMQMQMQMQMQMQMAABQMQMQMQMQMAABQMQMQMAABCBQMAABCBDC�车辆安全完整性等级评估车辆安全完整性等级评估车辆安全完整性等级评估车辆安全完整性等级评估(4)51�车辆安全完整性等级车辆安全完整性等级车辆安全完整性等级车辆安全完整性等级ASIL0ASILAASILBASILDASILC52�汽车安全完整性等级举例汽车安全完整性等级举例汽车安全完整性等级举例汽车安全完整性等级举例TSR–交通标识识别交通标识识别交通标识识别交通标识识别•正确识别:QMorASILA电磁方向盘锁定系统电磁方向盘锁定系统电磁方向盘锁定系统电磁方向盘锁定系统•驾驶时防止锁定:ASILD安全气囊安全气囊安全气囊安全气囊•需要时打开安全气囊:ASILA•不需要时不能打开气囊:ASILD注：汽车安全完整性等级主要与安全需求和功能安全概念有关。53系系系系统开发统开发统开发统开发54�生命周期生命周期生命周期生命周期系统级产品初始开发系统设计系统设计硬件设计软件设计软硬件集成测试技术安全需求规范系统设计硬件设计软件设计软硬件集成测试技术安全需求规范系统设计硬件设计软件设计软硬件集成测试系统集成测试系统集成测试交通工具的集成测试技术安全需求规范技术安全需求规范系统设计技术安全需求的规范系统子系统Ａ子系统Ｂ55�系统设计系统设计系统设计系统设计技术安全概念和系统设计描述技术安全概念和系统设计描述技术安全概念和系统设计描述技术安全概念和系统设计描述：：：：•如何应用功能需求和技术安全需求如何应用功能需求和技术安全需求如何应用功能需求和技术安全需求如何应用功能需求和技术安全需求功能安全系统设计应保证功能安全系统设计应保证功能安全系统设计应保证功能安全系统设计应保证•充分信任的和实验证明良好的系统架构•可验证的、标准里描述的经验证使用的方法。可能使用的功能安全验证方法包括可能使用的功能安全验证方法包括可能使用的功能安全验证方法包括可能使用的功能安全验证方法包括•系统设计检查,走查•仿真•原型设计,车辆测试•安全分析(FTA,FMEA)56硬件开发硬件开发硬件开发硬件开发57�硬件安全需求规范硬件安全需求规范硬件安全需求规范硬件安全需求规范基于技术安全需求基于技术安全需求基于技术安全需求基于技术安全需求，，，，对于硬件设计对于硬件设计对于硬件设计对于硬件设计，，，，以下各方面需要清晰定义以下各方面需要清晰定义以下各方面需要清晰定义以下各方面需要清晰定义:1.硬件安全需求规范包括•测试规则•质量规则2.硬件架构指标需求•单点故障指标(SPFM)•潜在故障指标(LFM)3.随机硬件失效需求•偏离安全目标的概率4.软硬件接口(HSI)规范58�硬件失效模式的分类硬件失效模式的分类硬件失效模式的分类硬件失效模式的分类λRF+λSPFλMPFLλMPFD+Pλs失效率λ硬件故障非安全相关的故障安全故障可检测或可察觉的多点故障潜在的多点失效残余+单点故障安全相关故障安全故障至少使用潜在故障指标至少使用单点故障指标不会偏离安全目标59软件开发软件开发软件开发软件开发60�讨论讨论讨论讨论:软件设计时会遇到什么问题软件设计时会遇到什么问题软件设计时会遇到什么问题软件设计时会遇到什么问题?•不同的开发人员有不同的编码观点和方式•高复杂性：•接口•算法•诊断•……•软件实现比硬件实现更便宜•配置管理/版本控制•与开发、验证工具高度相关•对于每个工具的使用，开发人员都需要受到培训培训培训培训•完整的并且易理解相关文档文档文档文档•软件可以持续更改61�软件开发软件开发软件开发软件开发V模型模型模型模型输出验证测试4-7系统设计6-6软件需求规范6-7软件架构设计6-8软件模块设计和执行6-9软件模块测试6-10软件集成和测试6-11软件安全需求规范的验证4-8项目集成和测试项目测试软件测试软件测试软件测试设计阶段验证设计阶段验证设计阶段验证Part4系统Part6软件ISO/DIS26262-6,Figure262安全分析安全分析安全分析安全分析、、、、安全安全安全安全确确确确认认认认与安全与安全与安全与安全论证论证论证论证63�安全分析安全分析安全分析安全分析安全分析主要目的安全分析主要目的安全分析主要目的安全分析主要目的：：：：•检查故障和失效的后果。•考虑项目和元素的功能，运行状况和设计•提供有可能造成偏离安全目标的原因和条件的信息。分析也考虑分析也考虑分析也考虑分析也考虑•识别新的功能性的和非功能性的危险ISO/DIS26262-9Section8安全分析支持安全系统的开发，通过另一个视角对系统和功能检查64�安全分析安全分析安全分析安全分析安全分析可以用不同的方法安全分析可以用不同的方法安全分析可以用不同的方法安全分析可以用不同的方法•归纳法,i.e.由下至上分析•演绎法,i.e.由上至下分析安全分析方法举例安全分析方法举例安全分析方法举例安全分析方法举例•失效模式及潜在后果分析（FMEA）•故障树分析（FTA）•马尔可夫模型•可靠性框图ISO/DIS26262-9Section8故障子系统影响系统级影响系统级影响系统级原因部件级原因部件失效65�安全确认安全确认安全确认安全确认安全确认安全确认安全确认安全确认（（（（车辆级别车辆级别车辆级别车辆级别vehiclelevel））））：：：：•电子电气系统•软件•硬件•其他技术相关的元素•外部措施为研发的系统提供下列证据为研发的系统提供下列证据为研发的系统提供下列证据为研发的系统提供下列证据：：：：•适合预期用途•安全措施是充分的ISO/DIS26262-4Clause966�什么是安全论证什么是安全论证什么是安全论证什么是安全论证?通过分析开发阶段安全工作的产出通过分析开发阶段安全工作的产出通过分析开发阶段安全工作的产出通过分析开发阶段安全工作的产出，，，，论证项目的安全目标是否达到并满足要求论证项目的安全目标是否达到并满足要求论证项目的安全目标是否达到并满足要求论证项目的安全目标是否达到并满足要求通常说法通常说法通常说法通常说法[1]安全论证定义为安全论证定义为安全论证定义为安全论证定义为•清晰的、易于理解的、可辩护的论证：对于具体环境来说，系统的安全是可以接受的Aclear,comprehensiveanddefensibleargumentthatasystemisacceptablysafetooperateinaparticularcontextISO/DIS26262-2,6.4.5[1]T.P.Kelly,ArguingSafety–ASystematicApproachtoSafetyCaseManagement,DPhilThesis,DepartmentofComputerScience,UniversityofYork,UK,1998ISO26262-1,1.10367�证明措施的独立性要求证明措施的独立性要求证明措施的独立性要求证明措施的独立性要求ISO/DIS26262-2Table1评估审核复核复核复核复核复核复核复核复核Type证明措施证明措施证明措施证明措施I3I2I0—功能安全评估功能安全评估功能安全评估功能安全评估I3I2I0—功能安全过程功能安全过程功能安全过程功能安全过程I3I2I1I0安全论证的完成安全论证的完成安全论证的完成安全论证的完成I3I2I1I0预先使用的论证预先使用的论证预先使用的论证预先使用的论证I1I1I0—软件工具的考核软件工具的考核软件工具的考核软件工具的考核I3I2I1I1安全分析安全分析安全分析安全分析(FMEA,FTA,…)I2I2I1I0确认计划确认计划确认计划确认计划I2I2I1I0集成和测试计划集成和测试计划集成和测试计划集成和测试计划I3I2I1—安全计划安全计划安全计划安全计划I3I3I3I3危险分析和风险评估危险分析和风险评估危险分析和风险评估危险分析和风险评估DCBATargetASILI0,I1,I2,I3说明独立性水平68�第三方功能安全评估第三方功能安全评估第三方功能安全评估第三方功能安全评估为了增加项目符合为了增加项目符合为了增加项目符合为了增加项目符合ISO26262的可信度的可信度的可信度的可信度，，，，可以由第三方评审人员做功能安全可以由第三方评审人员做功能安全可以由第三方评审人员做功能安全可以由第三方评审人员做功能安全评估评估评估评估对对对对ASILC和和和和ASILD，，，，需要满足独立性要求需要满足独立性要求需要满足独立性要求需要满足独立性要求•标准没有正式提到第三方评估第三方评估的好处第三方评估的好处第三方评估的好处第三方评估的好处：：：：•另一种角度•功能安全评估专业知识•公司外的人力资源69认证流程认证流程认证流程认证流程70第二阶段主检主检主检主检进一步的功能、安全和环境测试出测试报告第二阶段主检主检主检主检进一步的功能、安全和环境测试出测试报告第三阶段发证发证发证发证进入测试产品发证流程颁发证书第三阶段发证发证发证发证进入测试产品发证流程颁发证书第一阶段概念评估概念评估概念评估概念评估检查、评估安全概念出概念评估报告第一阶段概念评估概念评估概念评估概念评估检查、评估安全概念出概念评估报告�认证与产品研发应该并行71�第一阶段的主要任务第一阶段的主要任务第一阶段的主要任务第一阶段的主要任务：：：：概念评估:•检查并评审产品需求规范和安全设计概念•在产品各个生命周期阶段，尤其在开发过程中（质量管理），检查并评估故障避免措施的计划。•评估检测和控制故障需采取的措施（诊断）FMEDA, 评价 LEC评价法下载LEC评价法下载评价量规免费下载学院评价表文档下载学院评价表文档下载 是否安全完整等级能够达到预期的目的。•文件系统的审核（设计和质量管理）•电磁兼容，环境测试需求的定义。•为主检阶段出具项目计划•根据概念评估的结果出具报告。72�第二阶段的主要任务第二阶段的主要任务第二阶段的主要任务第二阶段的主要任务：：：：主检:•测试所有的安全相关的功能，最坏情况分析（软硬件）•检测和控制故障的验证(故障插入测试），FMEDA的验证与执行。•软件验证测试的评审（模块，集成测试，系统测试）•对开发过程中创建的产品文档评审（设计文档，测试、验证、审核记录）•安全相关的可靠性数据的定义及计算•环境测试(incl.EMC)•用户文档的检查（安装，操作手册，安全手册）•提供测试报告73�第三阶段第三阶段第三阶段第三阶段发证:•基于测试报告，认证机构颁发证书74总结总结总结总结75�ISO26262–总结总结总结总结ISO26262将在将在将在将在2011年中正式发布年中正式发布年中正式发布年中正式发布•描述汽车系统功能安全当前发展水平ISO26262目前没有指令和法规的强制要求目前没有指令和法规的强制要求目前没有指令和法规的强制要求目前没有指令和法规的强制要求•不符合标准可能导致产品责任相关的问题早期准备符合早期准备符合早期准备符合早期准备符合ISO26262是非常必要的是非常必要的是非常必要的是非常必要的•对于产品设计、开发、生产所有方面有大量的要求76�ISO26262–总结总结总结总结功能安全管理功能安全管理功能安全管理功能安全管理•安全组织机构的管理•人员资质的要求•安全文化是必要的技术要求技术要求技术要求技术要求•随机硬件失效，架构指标•系统失效•软件开发需求生产和操作要求生产和操作要求生产和操作要求生产和操作要求•生产控制、质量确保•现场反馈监控、持续改进123tλλλλ123tλλλλEarlyfailurephaseUsefulLifetimeEndoflifetimeAssumption:Thefailurerateλλλλisconstantovertime77Anyquestion???