功能安全驗證的案例
行業(yè)應(yīng)用方案 | 面向無人駕駛的安全性分析與驗證技術(shù)
一
預(yù)期功能安全的分析與驗證
通過medini與VRX仿真工具鏈的集成,完成自動駕駛功能的預(yù)期功能安全分析與驗證工作
運(yùn)行場景的危害分析與風(fēng)險評估
ODD的分析與驗證
系統(tǒng)故障與觸發(fā)條件的因果關(guān)系分析
系統(tǒng)架構(gòu)與冗余設(shè)計的分析與改進(jìn)
傳感器的性能限制分析與驗證
感知算法的缺陷分析與驗證
人機(jī)交互的分析與驗證
報警及降級策略的分析與驗證
邊緣場景的分析與驗證
環(huán)境參數(shù)對于自動駕駛系統(tǒng)的安全分析與驗證
感知算法的魯棒性分析驗證
二
功能安全的分析與驗證
通過對傳感器進(jìn)行功能安全分析與驗證,降低自動駕駛功能因E/E失效產(chǎn)生危害的可能性
傳感器的可靠性分析與失效率的計算
系統(tǒng)安全機(jī)制的設(shè)計與驗證
傳感器的失效模式與影響分析
故障容忍時間的分析與驗證
安全狀態(tài)的分析與驗證
Ansys完整的功能安全、預(yù)期功能安全分析驗證方案
Ansys通過提供完整的功能安全、預(yù)期功能安全分析驗證方案,減少大量人工確認(rèn)和重復(fù)性工作,大幅提高安全分析驗證的工作效率
展開 行業(yè)應(yīng)用方案 | 面向無人駕駛的安全性分析與驗證技術(shù)
一
預(yù)期功能安全的分析與驗證
通過medini與VRX仿真工具鏈的集成,完成自動駕駛功能的預(yù)期功能安全分析與驗證工作
運(yùn)行場景的危害分析與風(fēng)險評估
ODD的分析與驗證
系統(tǒng)故障與觸發(fā)條件的因果關(guān)系分析
系統(tǒng)架構(gòu)與冗余設(shè)計的分析與改進(jìn)
傳感器的性能限制分析與驗證
感知算法的缺陷分析與驗證
人機(jī)交互的分析與驗證
報警及降級策略的分析與驗證
邊緣場景的分析與驗證
環(huán)境參數(shù)對于自動駕駛系統(tǒng)的安全分析與驗證
感知算法的魯棒性分析驗證
二
功能安全的分析與驗證
通過對傳感器進(jìn)行功能安全分析與驗證,降低自動駕駛功能因E/E失效產(chǎn)生危害的可能性
傳感器的可靠性分析與失效率的計算
系統(tǒng)安全機(jī)制的設(shè)計與驗證
傳感器的失效模式與影響分析
故障容忍時間的分析與驗證
安全狀態(tài)的分析與驗證
Ansys完整的功能安全、預(yù)期功能安全分析驗證方案
Ansys通過提供完整的功能安全、預(yù)期功能安全分析驗證方案,減少大量人工確認(rèn)和重復(fù)性工作,大幅提高安全分析驗證的工作效率
展開 行業(yè)應(yīng)用方案 | 面向無人駕駛的安全性分析與驗證技術(shù)
一、預(yù)期功能安全的分析與驗證
通過medini與VRX仿真工具鏈的集成,完成自動駕駛功能的預(yù)期功能安全分析與驗證工作
運(yùn)行場景的危害分析與風(fēng)險評估
ODD的分析與驗證
系統(tǒng)故障與觸發(fā)條件的因果關(guān)系分析
系統(tǒng)架構(gòu)與冗余設(shè)計的分析與改進(jìn)
傳感器的性能限制分析與驗證
感知算法的缺陷分析與驗證
人機(jī)交互的分析與驗證
報警及降級策略的分析與驗證
邊緣場景的分析與驗證
環(huán)境參數(shù)對于自動駕駛系統(tǒng)的安全分析與驗證
感知算法的魯棒性分析驗證
二、功能安全的分析與驗證
通過對傳感器進(jìn)行功能安全分析與驗證,降低自動駕駛功能因E/E失效產(chǎn)生危害的可能性
傳感器的可靠性分析與失效率的計算
系統(tǒng)安全機(jī)制的設(shè)計與驗證
傳感器的失效模式與影響分析
故障容忍時間的分析與驗證
安全狀態(tài)的分析與驗證
Ansys完整的功能安全、預(yù)期功能安全分析驗證方案
Ansys通過提供完整的功能安全、預(yù)期功能安全分析驗證方案,減少大量人工確認(rèn)和重復(fù)性工作,大幅提高安全分析驗證的工作效率,并保證安全分析與驗證的追溯性和一致性。
展開 EPB功能安全筆記(20) 尾聲:ISO26262的總結(jié)和展望
沿著這個思路理解功能按照開發(fā)中的概念,可以得到如下解釋:
Safety verification:驗證功能安全需求有沒有被實現(xiàn)?
Safety validation: 確認(rèn)功能安全需求提的對不對?即功能安全需求實現(xiàn)了是否確實能保證安全?
根據(jù)這樣的解釋可以發(fā)現(xiàn)功能安全驗證(safety verification)和功能安全確認(rèn)(safety validation)屬于兩個維度。
關(guān)于系統(tǒng)/硬件/軟件三個層級的功能安全需求如何進(jìn)行安全驗證(safety verification)分別記錄在標(biāo)準(zhǔn)中的第4/5/6部分。而安全確認(rèn)的目的概括為:
提供符合安全目標(biāo)的證據(jù)及功能安全概念適合相關(guān)項的功能安全的證據(jù)。
提供安全目標(biāo)在整車層面上是正確的、完整的并得到完全實現(xiàn)的證據(jù)。
由此可以看出安全確認(rèn)中的“確認(rèn)”在于確認(rèn)安全目標(biāo)及安全目標(biāo)對應(yīng)的安全標(biāo)準(zhǔn)(safety criteria)是否被滿足。
在《EPB功能安全筆記(18)——功能安全驗證和確認(rèn)》中對功能安全驗證和確認(rèn)的關(guān)鍵點進(jìn)行了詳細(xì)說明。
1.6.功能安全評估
當(dāng)一切功能安全開發(fā)活動完成后,在正式量產(chǎn)之前,需要對開發(fā)產(chǎn)物進(jìn)行審核,審核通過后方能釋放產(chǎn)品。“ISO 26262,part2,功能安全管理”中詳細(xì)介紹了功能安全的審核流程和要求,對應(yīng)的術(shù)語為“認(rèn)可措施,Confirmation measures”。
展開 
自動駕駛功能安全評估:故障注入仿真試驗完善驗證
車輛如果翻轉(zhuǎn)或旋轉(zhuǎn),乘客就可能受傷,因此,轉(zhuǎn)向功能必須在 70ms 內(nèi)可用。關(guān)于與行為規(guī)劃相關(guān)的失效,例如由于 DGPS 故障導(dǎo)致失效,其反應(yīng)時間為 155ms,因此可能需要適當(dāng)?shù)?em>功能降級。最后,必須正確劃分不同的功能,以避免發(fā)生級聯(lián)故障。
四、結(jié)論
以上介紹了一種基于模擬的故障注入方法,以評估自動車輛功能的安全性。并將該方法應(yīng)用到嵌入自動橫向控制功能的城市車輛案例中。本文將重點放在基于最大橫向誤差和轉(zhuǎn)向飽和的永久性故障的 FTTI 值的確定上。本文所提方法的一個主要優(yōu)點是它可以作為安全分析方法的補(bǔ)充,實現(xiàn)一個 ISO 26262 兼容的安全評估過程。
展開 汽車功能安全工程師入行指南
主機(jī)廠端功能安全經(jīng)理的工作職責(zé)一般包括但不限于:
計劃和協(xié)調(diào)系統(tǒng)安全開發(fā)活動
進(jìn)行HARA分析,并結(jié)合分析結(jié)果和系統(tǒng)架構(gòu)定義功能安全概念(functional safety concept)和技術(shù)安全概念(technical safety concept)
將安全需求分配給對應(yīng)的子系統(tǒng),或者說分配給子系統(tǒng)的供應(yīng)商
負(fù)責(zé)協(xié)調(diào)子系統(tǒng)相互之間的功能安全需求的傳遞與澄清
協(xié)助內(nèi)部功能安全驗證,如創(chuàng)建整車test case和測試結(jié)果評估
對子系統(tǒng)功能安全開發(fā)進(jìn)行審核
供應(yīng)商端功能安全經(jīng)理的工作職責(zé)一般包括但不限于:
計劃和協(xié)調(diào)系統(tǒng)安全開發(fā)活動
基于HARA分析,根據(jù)安全需求和系統(tǒng)架構(gòu)定義功能安全概念(functional safety concept)和技術(shù)安全概念(technical safety concept),對系統(tǒng)架構(gòu)設(shè)計提出要求或建議
將安全需求分配給對應(yīng)的軟件工程師(和硬件工程師)
完成系統(tǒng)功能安全設(shè)計的定量分析和定性分析,通常分別使用FTA和FMEA
協(xié)助功能安全驗證,如創(chuàng)建整車test case和測試結(jié)果評估
作為客戶功能安全團(tuán)隊和功能安全審核團(tuán)隊的接口
對軟/硬件工程師提供功能安全開發(fā)建議和指導(dǎo)
一般來說,生產(chǎn)和報廢階段的功能安全活動不在系統(tǒng)功能安全工程師的職責(zé)范圍內(nèi)。
展開 功能安全管理(四):功能安全審核及功能安全評估
作者 | HYZY
出品 | 焉知
知圈 | 進(jìn)“芯片社群”請加微信13636581676,備注芯片
功能安全開發(fā)流程的終點應(yīng)該是對相關(guān)項的安全認(rèn)可,以確認(rèn)其達(dá)到了生產(chǎn)發(fā)布的安全條件。
一、認(rèn)可措施的關(guān)系
ISO 26262標(biāo)準(zhǔn)中定義的認(rèn)可措施包括認(rèn)可評審、功能安全審核和功能安全評估三種類型,ISO 26262標(biāo)準(zhǔn)中允許將認(rèn)可評審和功能安全審核與功能安全評估合并、聯(lián)合,以支持相關(guān)項類似變型的處理。
下圖1展示了三種認(rèn)可措施及驗證評審之間的關(guān)系,可以看出:
認(rèn)可評審/驗證評審與功能安全審核相對獨(dú)立,分別是針對工作成果及功能安全開發(fā)流程;
功能安全評估的范圍最廣,除涵蓋了認(rèn)可評審、驗證評審和功能安全審核外,還包括安全措施的適宜性和有效性、功能安全實現(xiàn)的論證、安全檔案提供的論證、安全異常原因已按規(guī)定關(guān)閉等其它內(nèi)容。
圖 1 認(rèn)可措施及驗證評審范圍
二、功能安全審核
1、功能安全審核內(nèi)涵
功能安全審核可類比ASPICE過程能力審核與TS 16949體系審核,可由公司的體系審核員或第三方機(jī)構(gòu)審核員按照ISO 26262標(biāo)準(zhǔn)中對于過程的要求,審核項目開發(fā)中的安全流程實施情況。
功能安全審核可與ASPICE過程能力評估一同進(jìn)行(特別是對于支持過程的審核),但ASPICE過程能力評估不能代替功能安全審核。
展開 EPB系統(tǒng)功能安全筆記 (19): 功能安全的認(rèn)可措施(Confirmation Measures)理解與辨析
,是否真的能夠?qū)崿F(xiàn)功能安全。
汽車電子行業(yè)的功能安全標(biāo)準(zhǔn)ISO26262
ASIL分為4個等級,從A到D,D的安全完整性等級最高。以車輛在駛出高速公路時出現(xiàn)非駕駛員意愿的加速為例,查表得到完全完整性等級為ASILB。
在ISO26262中,要求對每一個危險事件定義一個安全目標(biāo)。而根據(jù)危險分類,每一個安全目標(biāo)都會有一個汽車安全完整性等級(ASIL)。等級越高,意味著在生命周期中實現(xiàn)該安全目標(biāo)需要滿足的安全要求越多越嚴(yán)格。目前,德國博世的發(fā)動機(jī)控制器和變速箱控制器定義的最高安全完整性等級為ASILB。
3 ISO26262的應(yīng)用
很多國外整車廠(戴姆勒o克萊斯勒,寶馬,奧迪等)和零部件供應(yīng)商(德國博世,大陸集團(tuán),德爾福等)參與了制訂ISO26262標(biāo)準(zhǔn),同時也在落實ISO26262的實施。德國博世在2011年3月以后的產(chǎn)品均滿足該標(biāo)準(zhǔn)。同時,由于ISO26262對開發(fā)工具提出了要求,因此也得到了汽車領(lǐng)域開發(fā)工具供應(yīng)商的積極響應(yīng),比如德國ETAS集團(tuán)就宣稱將對用于軟件開發(fā)的ASCET、INCA等產(chǎn)品按ISO26262要求進(jìn)行分類和驗證。
在歐洲,通常由整車廠或主機(jī)廠負(fù)責(zé)車輛的功能安全,定義安全目標(biāo),因為他們可以站在系統(tǒng)集成的角度看到所有系統(tǒng)之間的聯(lián)系。整車廠或主機(jī)廠進(jìn)行風(fēng)險分析,并提供安全目標(biāo)、安全狀態(tài)和容錯時間,而供應(yīng)商則根據(jù)安全目標(biāo)實現(xiàn)安全概念,最后整車廠或主機(jī)廠進(jìn)行檢查。
考慮以下因素,當(dāng)下國內(nèi)的汽車產(chǎn)品設(shè)計也需要考慮在未來滿足該標(biāo)準(zhǔn):
1)對產(chǎn)品安全的責(zé)任;
2)國內(nèi)客戶有車輛出口的需求,在歐洲,滿足ISO26262通常被認(rèn)為是法規(guī)的要求;
3)國內(nèi)日益增長的功能安全需求。
展開 功能安全--安全分析
來源 | 汽車ECU開發(fā)
在ISO26262功能安全中,有多個地方需要進(jìn)行安全分析,安全分析的質(zhì)量很重要的決定了功能安全項目的成敗,本文針對ISO26262中提到的各種安全分析進(jìn)行匯總說明(HARA、FMEA、FTA、FMEDA、SWFMEA、DFA)。
01 HARA
在概念階段,功能安全要求進(jìn)行HARA分析。
HARA(危害分析與風(fēng)險評估)目的是識別項目的功能故障引起的危害,對危害事件進(jìn)行分類,然后定義與之對應(yīng)的安全目標(biāo),以避免不可接受的風(fēng)險。
HARA分析步驟:
SEC說明:
ASIL等級說明:
QM指的是 質(zhì)量管理,表示此項功能不影響安全,通過質(zhì)量管理保證即可。
舉例說明:
HARA分析示例
危害事件 場景分析 S E C ASIL
EPS按照非預(yù)期的方向轉(zhuǎn)向 在城市道路,車輛正常勻速行駛(E4),車輛方向按照非預(yù)期轉(zhuǎn)向,此時駕駛員很難控制(C3),道路兩邊人員較多,可能造成路人或者駕駛員的傷亡(S3) 3 4 3 D
02 FMEA
在系統(tǒng)階段,功能安全要求針對各種失效模式進(jìn)行分析。
FMEA是一種自下而上的歸納分析方法,用于識別系統(tǒng)失效(failure),找出失效原因(Fault),以及分析失效影響(Effect)。
展開 詳解功能安全概念階段
派生的過程中,功能安全需求獨(dú)立于系統(tǒng)的技術(shù)架構(gòu),還要給功能安全需求分配唯一的ID,當(dāng)前狀態(tài)及對應(yīng)ASIL等級屬性。下面是一個表格形式的功能安全需求的例子:
1.7 功能安全概念(Functional Safety Concept)
功能安全概念(Functional Safety Concept)是Part 3的最后一個活動。雖然在產(chǎn)品開發(fā)尚未進(jìn)入系統(tǒng)設(shè)計階段(Part 4),但此時需要假設(shè)一個系統(tǒng)架構(gòu)(System Architectural Design),因為功能安全概念需要在整車的架構(gòu)上實現(xiàn)。功能安全概念階段需要描述必要的功能安全需求,并分配這些安全需求到系統(tǒng)的功能要素(Element)上。在ISO 26262中,功能安全概念階段要求達(dá)成以下目標(biāo):
指定與相關(guān)項安全目標(biāo)相符功能行為(Functional Behavior)或者降級的功能行為(Degraded Functional Behavior)。系統(tǒng)功能的降級是指如果由于故障不能正確的運(yùn)行,需要系統(tǒng)工作在一個功能或性能受限的狀態(tài)。一般系統(tǒng)降級要設(shè)計降級的策略,如近光燈系統(tǒng),降級策略要求至少有一個燈可以工作。
根據(jù)安全目標(biāo),指定針對合適的手段及時檢測和控制相關(guān)的故障的限制條件
在相關(guān)項的層面上,設(shè)計策略或者措施用來達(dá)成要求的容錯能力,或者基于相關(guān)項本身、駕駛員或者外部措施以減輕相關(guān)故障造成的影響
分配功能安全需求到系統(tǒng)架構(gòu)或者外部措施上
驗證功能安全概念并指定功能安全確認(rèn)標(biāo)準(zhǔn),這里的驗證是指對設(shè)計過程的驗證(Verification),主要是檢查設(shè)計過程的正確性。
2 功能安全概念階段相關(guān)技術(shù)
為保障功能安全概念階段的活動能夠正確實施,對應(yīng)每個活動都有一系列的實施方法。本節(jié)對涉及到的一些重要技術(shù)手段進(jìn)行介紹。
展開 
詳解功能安全概念階段
派生的過程中,功能安全需求獨(dú)立于系統(tǒng)的技術(shù)架構(gòu),還要給功能安全需求分配唯一的ID,當(dāng)前狀態(tài)及對應(yīng)ASIL等級屬性。下面是一個表格形式的功能安全需求的例子:
1.7 功能安全概念(Functional Safety Concept)
功能安全概念(Functional Safety Concept)是Part 3的最后一個活動。雖然在產(chǎn)品開發(fā)尚未進(jìn)入系統(tǒng)設(shè)計階段(Part 4),但此時需要假設(shè)一個系統(tǒng)架構(gòu)(System Architectural Design),因為功能安全概念需要在整車的架構(gòu)上實現(xiàn)。功能安全概念階段需要描述必要的功能安全需求,并分配這些安全需求到系統(tǒng)的功能要素(Element)上。在ISO 26262中,功能安全概念階段要求達(dá)成以下目標(biāo):
指定與相關(guān)項安全目標(biāo)相符功能行為(Functional Behavior)或者降級的功能行為(Degraded Functional Behavior)。系統(tǒng)功能的降級是指如果由于故障不能正確的運(yùn)行,需要系統(tǒng)工作在一個功能或性能受限的狀態(tài)。一般系統(tǒng)降級要設(shè)計降級的策略,如近光燈系統(tǒng),降級策略要求至少有一個燈可以工作。
根據(jù)安全目標(biāo),指定針對合適的手段及時檢測和控制相關(guān)的故障的限制條件
在相關(guān)項的層面上,設(shè)計策略或者措施用來達(dá)成要求的容錯能力,或者基于相關(guān)項本身、駕駛員或者外部措施以減輕相關(guān)故障造成的影響
分配功能安全需求到系統(tǒng)架構(gòu)或者外部措施上
驗證功能安全概念并指定功能安全確認(rèn)標(biāo)準(zhǔn),這里的驗證是指對設(shè)計過程的驗證(Verification),主要是檢查設(shè)計過程的正確性。
2 功能安全概念階段相關(guān)技術(shù)
為保障功能安全概念階段的活動能夠正確實施,對應(yīng)每個活動都有一系列的實施方法。
展開 新技術(shù)挑戰(zhàn)下如何高效開展ISO26262功能安全分析?
ANSYS medini對ISO 26262安全生命周期實現(xiàn)全面支持
medini支持從概念階段,到系統(tǒng) 、軟硬件、芯片級的安全分析和可靠性預(yù)計,同時涵蓋定性和定量的分析,從功能安全到信息安全,是一個全流程的工具平臺。
medini工具中,內(nèi)置多個符合ISO26262 最佳實踐的工程模板。基于這些模板,工具自動搭建功能安全分析和驗證的整體框架,整個文件夾中會包含Item definition,Hazard Analysis and Risk Assessment,Safety Goals and Requirement,System Design,Safety Analysis,以及任務(wù)檢查單等文件包。基于這樣一些基本的框架和任務(wù)檢查單,工具會告訴我們在整個功能安全過程中需要做什么工作,以及提供哪些工作產(chǎn)物。
首先在Item Denfinition中開始項目定義,medini支持用文本、圖片等多種形式對整個項目進(jìn)行描述。同樣在Item Denfinition中還需要定義功能和識別故障,工具中可以輕松定義整車級及系統(tǒng)級的功能層次架構(gòu),并且可以把之前創(chuàng)建的功能分配給相應(yīng)的架構(gòu)組件。
隨后進(jìn)入Hazard Analysis and Risk Assessment。medini工具會自動把內(nèi)置的操作場景庫條目和功能、故障、相應(yīng)的危害進(jìn)行組合,形成危害事件,生成HRAR表格。安全分析人員基于工程經(jīng)驗來判斷危害事件里的三個參數(shù)Severity,Exposure,Controllability后,工具自動計算出ASIL等級,隨后可以進(jìn)一步為其關(guān)聯(lián)/創(chuàng)建安全目標(biāo)以及安全狀態(tài)。
展開 先進(jìn)的 NC 程序安全驗證方法
在數(shù)控加工中,尤其是車銑復(fù)合和五軸銑削加工中,NC程序的安全性是一個普遍的關(guān)切。NC程序的安全性驗證,占用了大量的編程時間。本文中,我們利用機(jī)床本身的功能,探討一種安全、快捷、高效的NC程序驗證方法。
通過這種方法,數(shù)控機(jī)床操作者可以在正式加工之前,快速檢查刀長補(bǔ)正和加工坐標(biāo)系零點位置是否準(zhǔn)確無誤。
01
應(yīng)用場景
數(shù)控加工中,常見的安全問題包括:碰撞、干涉和過切等。導(dǎo)致這些安全問題的原因有多種,有時是NC程序有問題,有時是現(xiàn)場加工參數(shù)設(shè)置錯誤導(dǎo)致。目前,通常使用驗證軟件來發(fā)現(xiàn)NC程序中存在的上述問題。但使用驗證軟件驗證時,必須創(chuàng)建準(zhǔn)確的模擬環(huán)境,模擬實際加工中的機(jī)床、夾具、刀具、毛坯等要素。這是一個復(fù)雜繁瑣的過程。而且,如果是機(jī)床參數(shù)設(shè)置錯誤導(dǎo)致的安全問題,這種方法是無法預(yù)先發(fā)現(xiàn)的,而只能在加工時才能發(fā)現(xiàn)。以下所述的就是這樣一種情形。
圖中的3D模型,需要進(jìn)行端面、外圓的車削,以及徑向、端面、錐面的銑槽和鉆孔加工。可以用津上TMA8J 或 MAZAK INTEGREX J-200 車銑復(fù)合機(jī)床加工。J200 機(jī)床具備B軸擺頭,可以實現(xiàn)徑向、軸向車銑加工,具備3+2定向加工功能。
展開 SOLIDWORKS 2023新增功能 - SIMULATION仿真驗證
? 利用基于函數(shù)的處理功能來處理頻率、扭曲和線性靜態(tài)算例,其中包括節(jié)點到曲面交互和虛擬墻體定義 。
優(yōu)點:利用求解器改進(jìn)提高頻率和扭曲算例求解速度
5. 塑料材料數(shù)據(jù)庫和報告改進(jìn)
? 使用制造商提供的全新和更新的材料等級以及最新屬性值,提高仿真精度,同時移除了過時的等級。
? 使用新的增強(qiáng)材料數(shù)據(jù)庫管理器更輕松地瀏覽材料。
? 利用增強(qiáng)的摘要和報告功能輕松創(chuàng)建更豐富的文檔。
優(yōu)點:利用最新的材料數(shù)據(jù)和增強(qiáng)的可用性,提高注塑成型仿真的精度。
