最新资讯
ISO 26262 标准中的风险分析是一个从定性评估到定量计算的完整闭环体系。它不仅包含前期的危害识别与风险分级,还涵盖了硬件层面的深度量化指标计算。
HARA 是 ISO 26262 安全生命周期的基石,主要发生在项目开发的早期(概念阶段)。它的核心目的是识别系统中的潜在危害,并对其进行科学的风险分级。
1. 风险量化的三大核心参数HARA 通过三个关键维度对每一个危险事件进行评分,从而确定其风险等级:
严重度 (Severity, S):评估危险事件发生时,对人员造成伤害的严重程度(如轻伤、重伤或致命伤害)。
暴露率 (Exposure, E):评估车辆处于该危险场景下的频率或概率(如罕见、偶尔或频繁发生)。
可控性 (Controllability, C):评估驾驶员或系统在危险发生时,采取措施避免伤害的能力(如易于控制、难以控制或无法控制)。
2. ASIL 等级的确定通过将 S、E、C 三个参数代入标准化的风险矩阵中,可以得出汽车安全完整性等级(ASIL)。ASIL 分为 QM(质量管理)、A、B、C、D 五个等级,其中 ASIL D 代表最高风险等级,要求在后续开发中采取最严格的安全措施。
在确定了 ASIL 等级后,需要运用多种分析方法来识别和规避设计缺陷。这些方法通常结合使用,形成互补:
| 分析方法 | 核心逻辑 | 适用场景与作用 |
|---|---|---|
| FMEA (失效模式与影响分析) | 自下而上 (归纳法) | 从零部件出发,分析每个组件的失效模式及其对系统的影响,广泛用于设计与生产阶段。 |
| FTA (故障树分析) | 自上而下 (演绎法) | 设定一个顶事件(如“车辆起火”),层层分解找出导致该事件的底层原因,直观展示故障因果链。 |
| DFA (设计故障分析) | 聚焦设计源头 | 在设计早期审查电路、软件架构等,主动发现设计逻辑缺陷或不合理之处。 |
当进入硬件开发阶段,针对随机硬件失效,ISO 26262 要求必须进行严格的量化评估。FMEDA(失效模式、影响及诊断分析) 是实现这一目标的核心工具。它是在传统 FMEA 的基础上,引入了失效率(FIT)和诊断覆盖率(DC)等精确数据,以计算出满足 ASIL 等级要求的硬件指标。
硬件量化的三大核心指标:
单点故障度量 (SPFM)
含义:衡量安全机制能够检测或控制单点故障的能力。
量化要求:例如,对于最高的 ASIL D 等级,SPFM 必须 ≥ 99%。这意味着系统中未被检测到的单点故障比例必须极低。
潜伏故障度量 (LFM)
含义:衡量系统对潜伏故障(即本身不直接导致危险,但与其他故障组合后会引发危险的故障)的检测能力。
量化要求:对于 ASIL D 等级,LFM 通常要求 ≥ 90%。
随机硬件失效概率 (PMHF)
含义:评估整个硬件架构在整个生命周期内,因随机硬件失效导致违背安全目标的平均概率。
量化要求:单位为 FIT(1 FIT = 10⁻⁹ 失效/小时)。对于 ASIL D,PMHF 的目标值通常要求 ≤ 10 FIT。
量化实践的关键步骤:在实际工程落地(如使用 Excel 模板进行 FMEDA 计算)时,工程师需要重点关注以下几个增量价值的构建:
引入失效率数据:从标准数据库(如 SN 29500)获取元器件的失效率(λ)。
细化故障模式分布:明确每个元器件具体的失效模式占比(例如某电容短路占 70%,开路占 30%)。
映射诊断机制与覆盖率:为每个失效模式匹配对应的安全机制(如看门狗、冗余校验),并给出合理的诊断覆盖率(DC)数值。
通过 HARA 确定风险等级,再利用 FMEA/FTA 进行系统级排查,最后通过 FMEDA 完成硬件级的精准量化,这套组合拳构成了 ISO 26262 完整的风险分析与量化实践体系。
推荐阅读:
亚远景-拒绝“为了评估而评估”:如何让 ASPICE 真正融入日常开发?
亚远景-ASPICE在供应链管理中的角色:如何利用标准评估和选择供应商
亚远景-从仿真测试到实车验证:ISO/PAS 8800 的测试策略
亚远景-ASPICE评估:汽车软件开发过程评估的方法与经验总结
推荐服务:
点击查看亚远景ASPICE、ISO26262实施工具-APMS研发过程管理平台
