道路车辆功能安全 ISO 26262标准（9-4）—面向汽车安全完整性等级 (ASIL) 和安全的分析

写在前面

本系列文章主要讲解道路车辆功能安全ISO26262标准的相关知识，希望能帮助更多的同学认识和了解功能安全标准。

若有相关问题，欢迎评论沟通，共同进步。(*^▽^*)

1. 道路车辆功能安全ISO 26262标准

9. ISO 26262-9 面向汽车安全完整性等级 (ASIL) 和安全的分析

四、安全分析

1. 目标

安全分析的目的是验证功能、行为、条款设计和要素相关的故障和失效的后果。安全分析也提供了基于条件和原因的信息，这些原因和信息能够引起违反安全目标或安全规范。

此外，安全分析也有助于新功能或非功能性风险的确认，这些风险在风险分析和危险评价过程中没有确认。

2. 通则

安全分析包括：

——安全目标和安全概念的确认；

——安全概念和安全规范的验证；

——条件和原因的确认，包括故障和失效，这能引起违反安全目标或安全规范；

——检测故障或失效的额外规则的确认；

——检测故障或失效而要求的响应（行动/测量）的确认；

——验证安全目标或要求兼容性的额外要求的确认，包括安全相关的车辆测试。

安全分析在概念和产品开发阶段的抽象阶段的合适环节开展。定量分析方法指出了失效频率，而定性分析方法确认失效但是不能指明失效频次。两种分析方法都依靠相关故障类型和故障模型的认知。

定性分析方法包括：

——在系统、设计或流程阶段的定性 FMEA；

——定性 FTA；

——HAZOP；

——定性 ETA；

注意 1：上面列出的定性分析方法可以应用在软件中，当没有更多合适的软件特定分析方法存在时。

定量分析补充了定性安全分析。它们都用来验证硬件设计是否违反了对硬件架构矩阵评价时定义的目标以及由于随机硬件失效（参见 26262-5）引起的违反安全目标的评价。定量安全分析需要额外的知识，即硬件元件的定量失效率。

定量分析方法包括

——定量 FMEA；

——定量 FTA；

——定量 ETA；

——Markov 模型；

——可靠性框图；

注意 2： 定量分析方法只能用于随机硬件失效。在 ISO26262 中，这些分析方法不能用于系统失效分析。

对于安全分析分类的其他标准，通过他们的执行方式给出：

——归纳分析方法是由底-顶的方法，从已知的原因开始，预测未知的影响；

——推理分析方法是由顶-底的方法，从已知的现象开始，推断未知的原因； 例如：系统，FMEAs 的设计和过程，ETA，Markov 模型是归纳分析方法。FTA 和可靠性功能框图是推理分析方法。

3. 本条款的输入

1. 必要条件

——在他们被应用的等级定义的安全规范：根据ISO 26262-3:2011, 8.5.1, or ISO 26262-4:2011, 6.5.1, or ISO 26262-5:2011, 6.5.1, or ISO 26262-6:2011, 6.5.1 要求的系统、硬件或软件。

——在他们被应用的安全分析等级定义的要素的架构信息： 根据ISO 26262-3:2011, 8.5.1, or ISO 26262-4:2011, 6.5.1, or ISO 26262-5:2011, 6.5.1, or ISO 26262-6:2011, 6.5.1 定义的系统、硬件或软件。

注意：架构信息用来确定安全分析的界限。

——根据 ISO26262-2：2011，6.5.1 制定的安全计划； 注意：安全计划包含了安全分析的目标。

2. 更进一步支持信息

下列信息要被考虑：

——故障模型（来自与外部源）

4. 要求与推荐要求

1. 安全分析应当根据适当的标准和指导意见执行。

2. 安全分析的结果将指明各自的安全目标和安全要求是否兼容。

3. 如果安全目标和安全规范不兼容，安全分析的结果将被用来预防措施、检测、故障或失效的影响缓解测量。

4. 源自安全分析的测量作为在系统级、硬件级、软件级产品开发的一部分执行，分别根据 ISO 26262-4, or ISO 26262-5, or ISO 26262-6。

5. 在产品研发过程中进行的安全分析时新认定的风险（不在安全目标之内）将根据 ISO26262-8 中规定的变更管理中的风险分析和危险评价中进行引入和评估。

6. 用于安全分析的故障模型与对应的开发阶段是一致的，例如，硬件设计，硬件架构矩阵评估和由于随机硬件失效（ISO26262-5）导致的违反安全目标的评估。

7. 额外的安全相关的测试实例需求是通过应用故障模型和安全分析结果决定的。

8. 安全分析根据 ISO26262-8 验证。

9. 定性安全分析将包括：

A） 可能引起违反安全目标和安全要求的故障或失效的系统级认定，起源于：

——条款或要素本身；

——条款或要素内部之间的互相作用；

——条款或要素的应用；

B） 每一个确定的故障的后果对确定违反安全目标或安全要求的潜在性的评价。

C） 每一个认定故障原因的认定。

D） 潜在安全概念弱点的认定或对认定的支持：包括在处理如潜在的故障、多点故障，公共原因失效和串行失效等异常时安全机制失效。

注意： 在条款或要素之间，条款的内部或外部的相互作用的测试应当要执行，目的是评价独立性或干扰的等级。

10. 如果应用定量安全分析，那么如下内容要包括：

A） 硬件架构矩阵评价和由于随机硬件失效引起的违反安全目标的评价而需要的定量数据（参见 ISO26262-5）；

B） 可能导致违反安全目标或安全规则的故障或失效的系统级评定；

C） 潜在安全概念弱点的评价和排序，包括安全机制失效；

D） 诊断测试间隔，紧急操作间隔，在故障检测和维修之间的时间。

11. 如果定性安全分析应用来支持与定量分析要求相兼容，在这些安全分析的细节程度应到合适选择。

5. 工作成果

安全分析来自第4条。

本文章是博主花费大量的时间精力进行梳理和总结而成，希望能帮助更多的小伙伴~