一、安全設計過程
安全設計強調自上而下的階層化設計過程,各個層面的安全設計輸入為上層安全架構與對本層的安全需求,輸出為本層的安全架構及對下層的安全需求。
1)安全設計的層次
下圖1及圖2分别展現了從相關項到硬體層面及軟體層面的階層化功能安全開發過程:
圖 1 階層化功能安全開發過程(相關項層面到硬體層面的)
圖 2 階層化功能安全開發過程(相關項層面到軟體層面的)
圖1和圖2中定義的不同層次安全設計過程有:
功能安全概念functional safety concept
功能安全概念是在邏輯架構層面進行的安全設計,目的是從安全目标中得出功能安全需求,并将其配置設定給相關項的初步架構要素或外部措施,并定義要素之間的必要互動。
技術安全概念technical safety concept
技術安全概念是定義技術安全需求,并将技術安全需求和相關資訊配置設定給系統要素,以提供系統層面的功能安全方案。技術安全概念的目的是将相關項層面的功能安全要求細化到系統層面的技術安全要求。
硬體設計
硬體安全設計包括硬體架構設計和硬體詳細設計:
‒硬體架構設計表示所有的硬體元件以及它們彼此的互相關系;
‒硬體詳細設計是在電氣原理圖級别上,表示構成硬體元件的元器件間的互相連接配接。
軟體架構設計
軟體架構設計描述全部軟體元件及其在層次結構中的互動:靜态方面,如所有軟體元件間的接口和資料路徑;動态方面,如程序順序和時序行為。
軟體單元設計
軟體單元設計為分别按照模組化或編碼指南,以模型或直接以源代碼的形式實作。
2)同層架構設計
在同層架構設計中,需運用IPO(In Process Out)模型,搭建初始安全架構,并在此基礎上運用各類安全分析方法,完成安全需求配置設定、獨立性設計、安全機制設計等詳細設計内容。
圖 3 安全設計過程
二、安全分析
1)安全分析目的
安全分析屬于安全驗證及确認措施的一種,目的在于確定因系統性失效及随機硬體失效導緻違反安全目标的風險足夠低。具體目标包括:
識别出在先前危害分析及風險評估中未被發現的新危害;
識别出可能導緻違反安全目标的故障或失效;
識别出故障或失效的潛在原因;
為定義故障預防安全措施、故障控制安全措施提供支援;
為安全概念的适用性提供證據;
支援對安全概念、安全要求的驗證,及識别設計需求和測試需求。
2)安全分析範圍
安全分析的範圍包括:
對安全目标和安全概念的确認;
對安全概念和安全要求的驗證;
對可導緻違背安全目标或安全要求的條件及包括故障和失效的原因的識别;
對關于故障探測或失效探測的額外安全要求的識别;
對探測故障或失效所需的響應行為/響應措施的制定,及對為驗證安全目标和安全要求是否得到滿足所需的額外要求的識别,包括安全相關的車輛測試。
3)安全分析方法
ISO 26262标準中給出了兩種安全分析方法的分類原則:
定性分析與定量分析
定性分析方法識别失效,但不預測失效頻率。常用定性分析方法包括:FMEA、定性FTA、HAZOP等。
定量安全分析是對定性安全分析的補充,可預測失效頻率。定量分析可用于驗證硬體設計是否符合已定義的硬體架構度量評估目标值和因随機硬體失效導緻違背安全目标的評估目标值。定量安全分析還要求掌握硬體要素定量失效率的知識。常用定量分析方法包括:FMEDA、定量FTA等。
歸納分析與演繹分析
歸納分析是由下而上的方法,旨在從系統各元器件的失效原因推導出它們的失效對系統的影響,參見下圖4。常用歸納分析方法包括:FMEA、HAZOP。
圖 4 歸納分析示意
演繹分析方法是由上而下的方法,旨在從非預期的系統行為推導出導緻該行為的可能原因,參見下圖5。常用的演繹分析方法為FTA。