在第三篇中介紹了功能安全概念的目的是從安全目標(biāo)（SR）中得出功能安全要求（FSR），并將其分配給相關(guān)項(xiàng)的初步架構(gòu)要素或外部措施。

技術(shù)安全要求導(dǎo)出

圖1說(shuō)明了通過(guò)分層的方法，從危害分析和風(fēng)險(xiǎn)評(píng)估得出安全目標(biāo)，再由安全目標(biāo)得出功能安全要求。

圖1 安全目標(biāo)和功能安全要求層級(jí)

圖2給出了ISO26262相應(yīng)部分中的安全要求的結(jié)構(gòu)和分布的說(shuō)明。將功能安全要求分配給初步架構(gòu)要素。

圖2 安全要求的結(jié)構(gòu)

技術(shù)安全要求（TSR）是對(duì)功能安全要求（FSR）提煉，細(xì)化了功能安全的概念，同時(shí)考慮功能性的概念和初步的體系架構(gòu)。通過(guò)分析技術(shù)安全需要來(lái)驗(yàn)證符合功能安全需求。在整個(gè)開(kāi)發(fā)生命周期，技術(shù)安全需求是要落實(shí)功能安全概念的技術(shù)要求，其用意是從細(xì)節(jié)的單級(jí)功能安全要求到系統(tǒng)級(jí)的安全技術(shù)要求。

技術(shù)安全要求應(yīng)根據(jù)功能安全概念、相關(guān)項(xiàng)的初步架構(gòu)設(shè)想和如下系統(tǒng)特性來(lái)定義：

a.   外部接口，如通訊和用戶(hù)接口，如果適用；

b.   限制條件，例如環(huán)境條件或者功能限制；以及

c.    系統(tǒng)配置要求。

在第三篇文章中，從安全目標(biāo)道出了BMS的一個(gè)功能安全要求，圖3是對(duì)功能安全要求FSR1.2a導(dǎo)出的技術(shù)安全要求。

圖3

系統(tǒng)設(shè)計(jì)

基于概念階段的基本系統(tǒng)架構(gòu)，功能安全概念，技術(shù)安全要求和非功能性要求，按照ISO26262的下一步流程就是系統(tǒng)設(shè)計(jì)了。在這個(gè)階段，系統(tǒng)及子系統(tǒng)需要上面所定義的貫徹技術(shù)安全要求，需要反映前面定義的安全檢測(cè)及安全機(jī)制。

技術(shù)安全要求的應(yīng)分配給系統(tǒng)設(shè)計(jì)要素，同時(shí)系統(tǒng)設(shè)計(jì)應(yīng)完成技術(shù)安全要求，關(guān)于技術(shù)安全要求的實(shí)現(xiàn)，在系統(tǒng)設(shè)計(jì)中應(yīng)考慮如下問(wèn)題：

a.  系統(tǒng)設(shè)計(jì)的可驗(yàn)證性

b.  軟件硬件的技術(shù)實(shí)現(xiàn)性

c.  系統(tǒng)集成中的執(zhí)行測(cè)試能力

系統(tǒng)和子系統(tǒng)架構(gòu)應(yīng)該滿(mǎn)足各自ASIL 等級(jí)的技術(shù)安全需求，每個(gè)元素應(yīng)實(shí)現(xiàn)最高的ASIL技術(shù)安全需求，如果一個(gè)系統(tǒng)包含的子系統(tǒng)有不同的ASIL 等級(jí)，或者是安全相關(guān)的子系統(tǒng)和非安全相關(guān)的子系統(tǒng)，那么這些系統(tǒng)應(yīng)該以最高的ASIL等級(jí)來(lái)處理。

在系統(tǒng)設(shè)計(jì)階段，為了避免系統(tǒng)系失效，ISO26262針對(duì)不同的ASIL等級(jí)推薦了不同的分析方法，如FMEA,FAT等。如表1。由于內(nèi)因或者外因而引起系統(tǒng)失效應(yīng)當(dāng)避免或者消除。

表1

為減少系統(tǒng)性失效, 宜應(yīng)用值得信賴(lài)的汽車(chē)系統(tǒng)設(shè)計(jì)原則. 這些原則可能包括：

a.   值得信賴(lài)的技術(shù)安全概念的再利用；

b.   值得信賴(lài)的要素設(shè)計(jì)的再利用, 包括硬件和軟件組件；

c.   值得信賴(lài)的探測(cè)和控制失效的機(jī)制的再利用, 及

d.   值得信賴(lài)的或標(biāo)準(zhǔn)化接口的再利用。

為了確保值得信賴(lài)的設(shè)計(jì)原則或要素在新相關(guān)項(xiàng)中的適用性, 應(yīng)分析其應(yīng)用結(jié)果, 以及應(yīng)在再利用之前檢查其基本設(shè)想。

ASIL A、B、C、D 規(guī)定：為避免高復(fù)雜性帶來(lái)的故障，架構(gòu)設(shè)計(jì)應(yīng)該根據(jù)表2 中的原則來(lái)展現(xiàn)下列的屬性：模塊化，層次化，簡(jiǎn)單化

基于上面定義的TSR和概念階段定義的基本架構(gòu)圖，圖4是精煉之后的BMS系統(tǒng)架構(gòu)圖。

圖4

下一步是定義系統(tǒng)架構(gòu)，分配TSR給硬件和軟件，同時(shí)定義好軟件硬件接口HIS。

軟硬件接口規(guī)范應(yīng)規(guī)定的硬件和軟件的交互，并與技術(shù)安全的概念是一致的，應(yīng)包括組件的硬件設(shè)備，是由軟件和硬件資源控制支持軟件運(yùn)行的。軟硬件接口規(guī)范應(yīng)包括下面屬性：

a.   硬件設(shè)備的工作模式和相關(guān)的配置參數(shù)， 硬件設(shè)備的操作模式，如：缺省模式，

b.   初始化，測(cè)試或高級(jí)模式， 配置參數(shù)，如：增益控制，帶通頻率或時(shí)鐘分頻器。

c.    確保單元之間的獨(dú)立性和支持軟件分區(qū)的硬件特性

d.   共享和專(zhuān)用硬件資源，如內(nèi)存映射，寄存器，定時(shí)器，中斷，I / O 端口的分配。

e.   硬件設(shè)備的獲取機(jī)制，如串口，并口，從，主/從

f.    每個(gè)涉及技術(shù)安全概念的時(shí)序約束

硬件和其使用的軟件的相關(guān)診斷功能應(yīng)在軟硬件接口規(guī)范中規(guī)定：

a.   硬件診斷功能應(yīng)定義，例，檢測(cè)過(guò)流，短路或過(guò)熱

b.   在軟件中實(shí)現(xiàn)的硬件診斷功能

軟硬件接口規(guī)范在系統(tǒng)設(shè)計(jì)時(shí)制定，在硬件開(kāi)發(fā)和軟件開(kāi)發(fā)時(shí)被進(jìn)一步細(xì)化。應(yīng)使用表3列出的方法驗(yàn)證系統(tǒng)設(shè)計(jì)對(duì)于技術(shù)安全概念的符合性和完備性。

返回第一電動(dòng)網(wǎng)首頁(yè) >