- ISO 26262 是对 IEC 61508 的改编,旨在满足道路车辆内电气和/或电子 (E/E) 系统的特定需求。
ISO 26262 解决了由 E/E 安全相关系统的故障行为引起的可能危害。
解决系统故障和随机硬件故障带来的风险。
系统安全是通过多种安全措施实现的。
ISO 26262 提供了一种基于汽车特定风险的方法来确定完整性等级 [汽车安全完整性等级 (ASIL)]。
ISO 26262使用ASIL来指定ISO 26262的适用要求,以避免不合理的残余风险。
汽车制造商、汽车供应商(一级供应商)、半导体供应商和知识产权供应商之间符合 ISO 26262 标准
风险评估使用三个标准进行:
- 严重程度- 造成多大的伤害?
- 暴露 – 多久可能发生一次?
- 可控性 – 危险可以控制吗?
- 对于每个危险事件,根据严重性、暴露和可控性确定 ASIL
然后制定安全目标,预防或减轻每次事件,避免不合理的风险
功能安全概念
功能安全概念涉及:
−故障检测和故障缓解 −安全状态转换 −容错机制 −驾驶员警告
问:这是一种自上而下的方法,通常是作为脱离上下文的安全元素(SEooC)开发的组件和IP,如何做出假设?
安全机制是由E/E功能或元件或其他技术实现的技术解决方案,用于检测故障或控制故障,以实现或保持安全状态实施安全机制以防止故障导致单点故障或减少残余故障并防止故障成为潜在故障 - 多点故障是单个故障,与其他独立故障相结合,导致多个点故障。
故障检测和响应时间
• 诊断测试间隔
− 通过安全机制执行在线诊断测试之间的时间
• 故障响应时间
− 从检测到故障到达到安全状态的时间跨度
• 容错时间间隔
− 在危险事件发生之前,系统中可能存在一个或多个故障的时间跨度
• 多点故障检测间隔
