Your browser does not support script

會員服務

帳號
密碼
忘記密碼加入會員登入
電子報訂閱

【技術文章】淺談安全分析對ISO 26262之重要性

2019.08.08

車用系統之功能安全設計
受惠於汽車工藝不斷的演進,現代汽車上的電子電機系統越來越多,因此許多更進階、複雜的各種功能得以實現,除了傳統化石燃料汽車的引擎、變速箱控制,日趨成熟的各項主、被動安全功能如安全氣囊、防鎖死煞車系統、循跡防滑系統等等,乃至電動車電動化動力控制、進階駕駛輔助系統、自動駕駛,這些進階車輛應用都高度仰賴電子系統與軟體,同時也必須具備高度安全性。複雜的電子系統免不了發生不預期的錯誤進而導致不預期的行為,這對行駛於道路上的車輛而言很可能會造成攸關性命的危害情境,因此「功能安全」議題是現代車用系統設計開發不可或缺且被高度重視的一環。然而該如何確保車用系統的錯誤不會造成人員傷亡的事件發生呢?又該如何把「功能安全」導入系統設計開發之中呢?目前國際上廣泛被認定為最尖端的車輛功能安全標準是剛於2018年發布第2版的ISO 26262,此標準詳細地制定整個產品的生命週期各階段必需滿足的安全需求,藉此引導開發工程師透過分析、設計、測試、驗證產品以達成最終的功能安全目標。
 
功能安全的核心精神
依據ISO26262第一部之定義,功能安全(functional safety)指的是車載電子電機系統故障行為(malfunctioning behavior)並不會讓人員暴露於不合理的危害風險之中。如圖一所示,人員一定是事先處於某種危害情境,並進一步的惡化進而造成傷亡,我們在這裡定義的危害情境指的是汽車的某種非正常操駕狀態,如非預期加速、方向盤鎖死等等。汽車會處於危害狀態必定是相關的車用系統發生了一個或多個功能性失效,直接或間接所導致的結果,繼續深入的探究原因的話則可發現更底層的根因故障,如硬體或軟體故障,包含隨機故障(random fault)和系統性故障(systematic fault),因此,所有可能導致汽車處於危害情境的功能失效與故障一併構成功能安全的風險,想要設計安全的系統即是用盡辦法讓風險降至最低。執行面上有兩大方向—預防措施和控制措施,預防措施透過架構設計徹底的把根因故障從系統上移除,這是一勞永逸的方法,只是實務上會受限於成本或技術可行性;控制措施則是直接或間接地監控關鍵功能,一旦偵測到失效的發生即刻執行有效控制措施讓系統進入安全狀態(safe state),避免任由失效繼續擴大汽車進入危害情境。沒能被任何的預防措施和控制措施所覆蓋的功能性失效以及根因故障所造成的風險被稱為殘餘風險(residual risk),功能安全之達成與否很大程度取決於能否揪出所有相關的失效與故障以及清楚了解它們之間的鏈接、傳遞機制,ISO26262要求執行的安全活動都是圍繞在如何有系統性、有效地把殘餘風險降至最低程度。因此,邁向產品功能安全很重要的第一步就是針對待開發系統執行完整、透徹安全分析。

圖一、殘餘風險的概念
 
<請於網頁下方點擊下載全文>
 



檔案下載:

編號
檔名
class
版本
標題
敘述
建立時間
上次更新
狀態 下載

2019-08 技術文章_功能安全概論.pdf


2019-08-08 16:30:00
2019-08-08 16:30:00
需登入才能下載 下載
TOP