功能安全FunctionalSafetyISO26262-1
ISO 26262-1 词汇表
ISO26262是基于IEC61508标准演化⽽来的⼀项标准,旨在满⾜道路车辆电⼦电⽓系统领域的特定需求。 这种改编适⽤于由电⼦电⽓元件和软件组件组成的安全系统的整个⽣命周期内的所有活动。
安全是未来汽车发展的关键问题之⼀。⼀些新的功能,在驾驶员辅助、动⼒、车内动态控制和主动&被动安全系统等⽅⾯⽇益牵涉到越来越多的系统安全⼯程。这些功能的开发和集成会增加对安全系统开发流程、并证明所有合理的系统安全⽬标都得到满⾜的证据的需求程度。
随着技术复杂度、软件内容和机电⼀体化程度的不断提⾼,系统失效和随机硬件失效的风险也越来越⼤。ISO 26262会提供适当的要求和流程来避免这些风险。
系统安全是通过⼀系列安全措施来实现的,通过应⽤各种技术(例如机械、液压、⽓动、电⽓、电⼦、可编程电⼦),并在开发过程的各个层⾯上应⽤。尽管ISO26262涉及到电⼦电⽓系统的功能安全,但是它也会提供其他系统常⽤安全技术的框架。ISO26262可以:
a)提供车辆安全⽣命周期的⽀持(管理、开发、⽣产、操作、服务、报废);
b)提供车辆专⽤的风险评估⽅法(ASIL,Automotive Safety Integrity Levels,汽车安全完
整性等级);
c)使⽤ASIL评级提出可实施的功能安全需求,来避免不合理的剩余风险;
d)向供应商提供功能安全需求。
功能安全受到开发流程(需求规范、设计、实现、集成、验证、确认和配置)、⽣产和服务流程、管理流程的影响。
安全问题与以功能为导向、以质量为导向的开发活动和⼯作产品交织在⼀起。ISO 26262阐述了开发活动和⼯作产品等安全相关的内容。 1 名称解释:
⽂档、标准或者经验。
1.3architecture:架构;代表相关项/功能/系统/元件的构造块及构造块的边界和接⼝,且相
关的功能已经分配给了硬件/软件元件。
1.4assessment:评估;是指对相关项/元件特征的考察。
1.5audit:审计;是实施过程的考察。
1.6ASIL:车辆安全完整性等级,Automotive Safety Integrity Level;是指ABCD四个等级中
的⼀个等级,规定了相关项或元件的ISO26262需求和安全测量措施,来避免不合理剩余风险;其中,D代表最严格等级,A代表最不严格等级。
1.7ASIL decomposition:ASIL分解;指将安全需求冗余地分摊给那些⾜够独⽴的元件,⽬
的是降低这些独⽴元件的冗余安全需求的ASIL等级。
1.8availability:有效性;假设所需的外部资源可⽤的条件下,在特定条件、特定时间或时期
汽车中央扶手内,产品处于正在执⾏所需功能的状态的能⼒。
1.9baseline:基线;是指正处于配置管理中的某个或多个⼯作产品/相关项/元件的⼀个版
本,并作为变更管理流程的⼀个基础⽤于进⼀步开发。
1.10branch coverage:分⽀覆盖;指控制流分⽀中,已被执⾏的百分⽐。
注1:100%的分⽀覆盖率意味着100%的软件已执⾏语句覆盖率(statement coverage)。
注2:if语句总有两个分⽀:条件true和条件false,因此这⾥的所谓“分⽀”并不是指if … else中的else这个语句。
1.11calibration data:标定数据;指软件开发过程中,在软件build之后需要匹配的数据或
参数。
例:参数(parameter,例如低怠速值、发动机特性图);车辆特定参数(vehicle specific parameters,⼀般是⼀种⾃适应值,通过⾃动标定算法实现,例如节⽓门限位器);变体编码(variant coding,例如国家/地区代码、左舵/右舵)。
1.12candidate:候选项;指项⽬或元件的定义和使⽤条件与已发布的某个项⽬或元件⼀样或
⾼度相似。
注:此定义适⽤于在经使⽤验证的背景中候选项的使⽤情况。
1.13cascading failure:级联失效;元件/相关项的失效导致其他元件或相同相关项的其他元
件失效。
注:级联失效是⼀种⾮共因失效的相关失效。
超声波电子驱鼠器
1.14common cause failure:共因失效CCF;指某个单独特定的事件或根本原因导致的相关
项的两个或多个元件失效。
注:CCF是⼀种⾮级联失效的相关失效。
1.15component:组件/零部件;指⾮系统级的元件,这些元件⼀般是因为在逻辑和技术可
以从系统中分割出来,并由多个硬件或多个软件单元组成。
注:⼀个组件是⼀个系统的⼀部分。
1.16configuration data:配置数据;在软件build期间,分配并控制软件build过程的数据。
例:预处理器指令;软件build脚本(例如XML配置⽂件等构建脚本)。
发光陀螺注1:配置数据不能包括可执⾏代码或可判断代码;
注2:配置数据控制软件的build(构建)。只有配置数据选择的代码或数据能包括到可执⾏代码中。
1.17confirmation measure:确认措施;指对功能安全相关的确认审查(confirmation review)、
审计(audit)、评估(assessment)。
1.18confirmation review:确认评审;确认⼯作产品符合ISO26262的要求,且参与的评审员
具备所要求的独⽴性。
注1:ISO26262-2中会给出完整的评审清单;
注2:审查的⽬的是为了保证评审项对于ISO26262的合规性。
tek-081
1.19controllability:可控性;指通过相关⼈员的及时反应,来避免特定伤害/损害的能⼒;该
能⼒可能需要外部措施的⽀持。
注1:所谓的相关⼈员,包括驾驶员、乘客或靠近车辆的外部⼈员;
注2:危害分析和风险评估(HARA)中的参数C,代表了可控性的潜⼒。
1.20dedicated measure:专⽤措施;指确保违反安全⽬标的估计概率在声称的失效率范围内
的措施。
例:设计功能点,如硬件的过度设计(额定电功率或额定热应⼒)和物理分离(例如印刷电路板上触
点的间距);对来料进⾏特殊抽样试验,降低因违反安全⽬标的失效模式的发⽣风险;⽼化测试;专⽤控制计划。
1.21degradation:退化;指失效发⽣后的安全设计策略。
注:退化可以是功能性的减少、性能的较少或功能性和性能的双重减少。
1.22dependent failures:相关失效;是指有⼀种失效,其同时或连续发⽣失效的概率不能表
⽰为各⾃⽆条件概率的简单乘积。
注1:当A和B两个失效同时发⽣的概率P AB≠P A×P B时,A和B两个失效算做相关失效。其中P AB指A和B两个失效同时发⽣的概率;P A指A发⽣失效的概率;P B指B发⽣失效的概率。
注2:相关失效包括共因失效和级联失效。
1.23detected fault:检出故障;在规定时间内,由防⽌潜伏故障发⽣的安全机制检测到的故 障,叫做检出故障。
例:检出故障可由功能安全概念中定义的专⽤安全机制来检测。这种安全机制包括:检测出错误后,
通过仪表板上的报警装置
1.24development interface agreement:开发接⼝协议;表⽰客户和供应商之间的协议,规
钢套箱定了各⽅交换活动、证据或⼯作产品的责任。
1.25diagnostic coverage:诊断覆盖率;指安全机制所检测或控制的硬件元器件失效的⽐例。
注1:诊断覆盖率可以根据残余故障或硬件元器件中可能出现的潜在多点故障来评估;
注2:定义见ISO26262-5给出的⽅程表⽰;
注3:可考虑在架构的不同层级实现安全机制。
水稻脱粒机1.26diagnostic test interval:诊断测试间隔;安全机制执⾏在线诊断测试的时间间隔。
1.27distributed development:分布式开发;在客户和供应商之间为整个相关项或元件或⼦
系统划分开发责任,来进⾏相关项或元件的开发⼯作。
注:客户和供应商是合作⽅的⾓⾊。
1.28diversity:多样性;指以独⽴性为⽬标,满⾜相同需求的不同解决⽅案。
例:多样的程序设计;多样化的硬件。
注:多样性并不能保证独⽴性,但可以解决某些类型的共因失效。
1.29dual-point failure:双点失效;两个独⽴故障共同导致违反安全⽬标的故障的发⽣。
注1:双点故障是⼆阶多点故障;
注2:ISO26262中所述的双点失效包括⼀个影响安全相关元件的故障,⼀个影响相应的安全机制以达到或保持安全状态的故障。
注3:对于直接违反安全⽬标的双点失效,需要两个独⽴故障的存在,例如,因残余故障与安全故障的组合⽽违反安全⽬标的故障就不属于双点故障,因为残余故障不算第⼆个独⽴故障,⽆论该故障是否导致了违反安全⽬标的情况发⽣。
1.30dual-point fault:双点故障;两个独⽴的单个故障共同导致的故障,叫做双点故障。
注1:只有识别出双点失效后,才能识别出双点故障,例如故障树中的割集分析;
注2:见多点故障。
1.31electrical and/or electronic system,电⼦电⽓系统,E/E system;即由电⼦和/或电⽓元
件组成的系统,包括可编程电⼦元件。
例:电源;传感器或其他输⼊设备;通信路径;执⾏器或其他输出设备。
1.32element:元件;系统或系统的⼀些组成部件,包括组件、硬件、软件、硬件部件和软
件单元。
1.33embedded software:嵌⼊式软件;在处理元件中执⾏的完全集成的软件。
注:处理元件⼀般是⼀个MCU、FPGA或ASIC,但也可能是⼀个更复杂的零部件或⼦系统。(PS:⽐如SOC⽚上系统?)
1.34emergency operation:应急操作;就是降级的功能,从故障发⽣时的状态开始,转变到
预警和降级概念的安全状态。
1.35emergency operation interval:应急操作间隔;指需要应急操作来⽀持预警和降级概念
的时间跨度。
注:应急操作是预警和降级概念的⼀部分。
1.36error:错误;计算、观察或测量的值或条件,与真实、规定或理论上正确的值或条件之
注1:错误的发⽣,可能是由于不可预见的操作条件,或由于系统、⼦系统或零部件的1.44fault reaction time:故障响应时间;从检测出故障到安全状态的时间跨度。
1.45fault tolerant time interval:容错时间间隔;发⽣危害事件之前,系统可能存在⼀个或多
个故障的时间跨度。
1.46field data:现场数据;指从相关项或元件使⽤过程中获得的数据,包括累计运⾏时间、
所有的失效记录以及运⾏中的运⾏情况记录。
注:现场数据通常来⾃客户使⽤过程。
1.47formal notation:正式符号;完全定义了的语法和语义描述技术。
例:Z符号(Z);符号模型检查器(NUSMV);原型验证系统(PVS);维也纳开发法(VDM)。
1.48formal verification:正式验证;证明系统的⾏为符合所需⾏为的形式标注规范的⽅法。
1.49freedom from interference:不受⼲扰;指两个或多个元件之间不存在可能导致违反安
全要求的级联故障。
:同构冗余;需求的多个但相同的实现。
1.61independence:独⽴性;两个或两个以上要素之间,不存在可能导致违反安全要求的相
关失效,或不存在违反⾏动当事⼈组织分离原则的相关失效。
1.62independence failures:独⽴失效;(失效)同时或连续发⽣的概率,可以表⽰为其⽆条
件概率的简单乘积的失效。
1.63informal notation:⾮正式符号;没有完全定义的语法描述技术。
例:图表中的描述;
注:语法定义不完整,意味着语义也没有完全定义。
1.64informal verification:⾮正式验证;那些不被视为半正式或正式验证技术的验证⽅法。
例:设计评审;模式评审。
1.65inheritance:继承性;在开发过程中,以不变的⽅式将需求传递到下⼀个更细化的层级。
1.66initial ASIL:初始ASIL;指由危害分析产⽣的ASIL,或由之前ASIL分解产⽣的ASIL。
注:初始ASIL是当前或者下⼀步ASIL分解的起始点。
1.67inspection:检测;按照正式程序检查⼯作产品,检查异常情况。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议