失效模式和影响分析(FEMA)方法最初是为了分析军事系统的故障而开发的,它使用结构化的、系统的电子表格来记录设计、制造或装配过程、产品或服务中所有可能的故障、风险评估和管理策略。
典型的FMEA电子表格捕获所有系统/组件信息,包括项目、功能需求、故障模式和故障原因。每个可能的失败原因都有相关的风险,这些风险来自于它的发生和严重程度。在此之后,第一个重点是设计行动,即通过失败的原因将这些风险降低到尽可能低的水平。在考虑了设计动作之后,部件应该准备好通过物理测试或基本原理进行验证,以证明其健壮性和满足安全性能要求的能力。在验证、设计评审、客户评审/测试过程中可能会出现问题。这些问题或故障需要反馈到FMEA中,以确保额外的风险被添加到关注的部分,以证明我们已经减轻了这些故障并适合继续验证过程。下面给出了FMEA方法的实例电子表格,FMEA方法具有直观清晰、可行性高的优点,得到了航空航天和汽车行业的进一步发展和采用。
目标结构表示法(GSN)是T. P. Kelly在Toulmin的论证模型的启发下提出的一种表示论证的图形表示法。GSN方法采用了一种简单的论证结构表示法,该方法已被证明能够有效地提供客观的安全证据,因此被广泛地用于开发用于工业用途和研究目的的安全案例。最近,GSN方法已被纳入ISO26262,以满足关键的安全保证汽车系统,如启动/停止系统、EPS系统。
通常,GSN的方法由一群象征符号与方向箭头代表单个元素显式(安全目标、解决方案、上下文和策略)的观点和这些元素之间的关系,例如矩形框的安全目标,椭圆框的假设或理由,圆形框的解决方案,平行四边形框的参数,圆方框的上下文(附加信息)。下面给出一个使用GSN构造的安全参数示例。
如图6所示,目标系统的安全目标需要通过识别可能存在的危害,并通过充分和适当的证明来减轻危害并实现。由于系统的复杂性,顶层安全目标通常需要分解为子层目标,这种分解可能会一直持续到子层的声明和证据被确定为止。
以下章节详细描述了采用FMEA和GSN方法结合ISO26262道路车辆功能安全标准构建的INISHGT自动驾驶汽车的安全案例。此外,这些方法的绩效评估为一个有效的、可防御的安全案例提供了指导。
在目前的工作中,安全案例调查和记录了所有与自动驾驶车辆相关的危险和风险,包括机械系统、电气硬件、应用和嵌入式软件、通信、乘客的健康和安全、道路使用者、行人、风险评估、工作安全系统、保险和责任。
考虑到INSIGHT车辆的原型性质,生成了一组车辆调试测试的安全目标,目标是实现可接受的安全。根据安全工作的目标,选择安全过程原理论证的原则为:
2. 风险评估。根据危害发生的频率、危害的严重程度和危害的可控性对危害进行分类,并根据SAE J2980标准确定系统的安全完整性等级(ASIL)。
ASIL应根据其严重级别(S1-S3)、暴露概率(E1-E4)和可控性级别(C1-C3)确定(如图7所示)。数字1代表最低水平,4代表最高水平。严重性、暴露和可控性的分类载于SAEJ2980。
可以看到,有四个ASIL被去除:ASILA, ASIL B, ASIL C和ASIL D,其中A代表最不严格的等级,D代表最严格的等级。质量管理表明质量管理体系能够很好地开发元素,以实现分配给预期功能的安全需求。或者它可以支持预期功能和安全机制之间的独立性的基本原理。
当系统具有较高的ASIL且受到约束时,可以通过多个冗余子系统协同工作来分解系统的安全需求,每个子系统具有较低的ASIL。这个过程就是所谓的ASIL分解,它能使最佳的安全策略得到有效的开发。
INSIGHT自动驾驶汽车有两个锂离子电池单元安装在后面的电池托盘上。蓄电池和充电系统是车载电源的重要组成部分。这些电池集成了车载电池管理系统(BMS)。BMS具有测量电池电压和温度、执行电池平衡功能和监测电池故障状态等功能,通过CAN将这些信息提供给外部系统。由于锂离子电池含有可吸收的电解质,当电池过热或短路时可能会引起火灾/爆炸和其他危险。然后,安全案例必须包括对电池和充电系统的风险评估。本节以电池与充电系统为案例研究,检验基于产品的安全合理性论证。
已查明与电池和充电系统有关的潜在故障行为和潜在危险。然后分别对车辆危害的严重程度、可控性、暴露概率和ASIL等级进行分类。电池和充电系统的故障显然是不可取的。然而,系统设计特性将与此类故障相关的风险降低到可接受的水平。这个有效的论点(策略)是由符合ISO 26262的证据支持的。
可以清楚地看到,FMEA更适合记录证据和上下文。但它似乎很难有效地传达所有必要的信息。而GSN更适合于表示一个决策过程,特别是对一个涉及多个风险的复杂系统进行安全目标分解。然而,对于一个复杂的系统,GSN必须包含许多子目标,这些子目标可能会导致GSN结构复杂,难以遵循。
在开发INSIGHT自动驾驶汽车的过程中,安全性一直是首要考虑的问题。目前的工作已经开发了一个安全案例以提供保证,任何合理的剩余风险已经避免了在车辆调试测试。本安全案例符合ISO26262:2011道路车辆功能安全标准。安全评估的原则结论是,INSIGHT的设计理念和操作理念没有任何特征表明INSIGHT系统的安全水平是不可接受的。因此,INSIGHT车辆可以接受地安全开始操作。
对系统安全性的评估采用了多种方法,包括针对FMEA、GSN和SAE指南的评估,以及量化的风险评估。与所有已确定的危害相关的风险被认为是可容忍或可接受的风险类别。以INSIGHT汽车电池与充电系统为例,论证了安全目标合理性论证的典型结构。分析结果表明,所采用的方法是合理的。
通过对FMEA和GSN方法的效果考察,发现FMEA更适合对证据和上下文进行记录。但它似乎很难有效地传达所有必要的信息。而GSN更适合于表示一个决策过程,特别是对一个涉及多个风险的复杂系统进行安全目标分解。因此,提出了一种FMEA与GSN相结合的方法,以高效、有效地构建一个有效的、可防御的安全案例。
汽车测试网-创办于2008年,报道汽车测试技术与产品、趋势、动态等 联系邮箱 marketing#auto-testing.net (把#改成@)