当前位置:首页 > 汽车 >

当前焦点!ISO26262 中 ASIL 与 DFMEA 有什么区别?

注: 本文转摘自<倍思天成>, 解释权和所有权归原作者所有。

ISO26262 中 ASIL 与 DFMEA 有什么区别?

ASIL中安全完整性等级考虑功能失效的严重性、暴露率和可控性,DFMEA中考虑故障严重度、发生度和探测度,两者关注点和控制方法看起来是一样的。


(资料图片仅供参考)

ASIL 全称是Automotive safety integration level 针对的是电子模块制定的标准

The standard ISO 26262 is an adaptation of the Functional Safety standardIEC 61508for Automotive Electric/Electronic Systems. ISO 26262 defines functional safety for automotive equipment applicable throughout the lifecycle of all automotive electronic and electrical safety-related systems.

分为Severity / exposure/ controllability Severity Classifications (S): S0 No Injuries S1 Light to moderate injuries S2 Severe to life-threatening (survival probable) injuries S3 Life-threatening (survival uncertain) to fatal injuries Exposure Classifications (E): E0 Incredibly unlikely E1 Very low probability (injury could happen only in rare operating conditions) E2 Low probability E3 Medium probability E4 High probability (injury could happen under most operating conditions) Controllability Classifications (C): C0 Controllable in general C1 Simply controllable C2 Normally controllable (most drivers could act to prevent injury) C3 Difficult to control or uncontrollable

后根据三个指标对某个系统进行S/E/C 综合评价得到总的ASIL等级

D级最高依次CBDQM QM指的在质量管理体系内开发的功能即可满足。

FMEA全称是Failure mode effect analysis 。分为Severity/Occurrence/Detective。

S/O/D 根据程度分为1-10.其中Occurance的定义如下 评价指标为RPN=S*O*D 一般原则为RPN超过100以及S>9必须采取措施。 所以区别在于一个针对电子模块系统进行的一个风险管理体系FMEA则应用更广泛。 对于发生度评价指标量化程度不同。Exposure和Occurrence;

对于可探测度和可控性的定义不同,FMEA更多关注于子系统零件本身失效是否可以被发现,输入可以是实验报告,检车设备,防错设计等。而Contrallability则是整车驾驶员对失效的可控制性。

--------------------------------------------------------------------------------------

补充说明:

1. 首先,ISO26262的ASIL与DFMEA的打分对象不同 二者具有相同点,都研究失效(failure)。那么,我们举一个具体的例子来对比: “整车控制器(VCU)上的某个器件发生失效后,导致VCU发出错误的扭矩命令,从而使动力总成输出过大扭矩,车辆发生了非预期加速。而前方恰好有车,非预期加速导致了追尾碰撞,驾驶员受到不同程度的伤害”。 以下图表示此事件,发生在element level的fault向上级系统层层传递,导致了vehicle level的failure(也可以叫做malfunction或malfunction hazard)。Vehicle level的failure在一定的情景下会危害到人的安全,发生危害事件(Hazard event). DFMEA的打分对象是element或component或system或vehicle,在企业中,不同系统级别的DFMEA一般是在不同级别部门里进行,某一系统级别的failure mode是上级系统的fault。DFMEA打分的3个维度Severity/Occurrence/Detective都是针对器件或系统的: Severity严重度 :某个器件或系统失效后有多严重?

Occurrence频度 :某个器件或系统失效有多频繁?

Detective探测度 :发现失效的难度程度(可能性)有多高? ISO26262的打分对象是Hazard event,打分的3个维度Severity / exposure/ controllability都是针对可能危害到人身安全的危害事件的(若只损害汽车而不危害到人身安全,则为S0,不需要打分):

Severity严重度 :危害事件会对人造成多大危害?(无大碍、轻伤、致残、致死)

Exposure暴露度 :此危害事件的情景(Scenario)发生的频繁程度?(注意,与系统无关,情景的频繁程度)

Controllability可控度 :驾驶员通过观察系统警示信息或快速反应,以避免危害事件发生的难易程度。(注意,不是系统主动避免危害事件)。

综上,二者的打分对象是完全不同的。DFMEA关注的是系统或器件,而ISO26262关注的则是抽象概念的危害事件(所谓抽象,是指ISO26262时在打分的时候是不关注系统的,可适用于不同车辆。)

2. 然后,二者的思维方法是完全不同的(对应于题主所说的“控制方法”)。

DFMEA是典型的归纳式(inductive)方法,从单个fault出发,去思考可能引发的后果(failure或hazard)。

与DFMEA相对应的是故障树方法(FTA: fault tree analysis),从hazard去分析可能的原因,是一种演绎式(deductive)方法。

ISO26262的功能安全是一整套体系与流程,不能笼统地说是归纳式的还是演绎式的。但从上面的图可以看出,ISO26262的分析起点是Hazard event,从最终的后果去定ASIL等级,再通过一定的方法将ASIL等级分配给系统、子系统、部件、器件。从宏观的思路上来看,这与FTA类似而与FMEA相反,是一种演绎的思维方法。

3. 最后,二者的概念级别是不同的。

DFMEA与FTA可以是同一级别的概念,是分析失效的两种不同思维方法。

而ISO26262是一整套流程,大体上可以分为几大阶段:

概念阶段Concept Phase

系统开发阶段System Design (V型开发)

硬件开发阶段Hardware Design

软件开发阶段Software Design

每一阶段,均会使用到FMEA方法与FTA方法(有可能只做部分工作,而不是完整的FMEA或FTA)。ISO26262将FMEA与FTA当作是整套流程的一种工具。

关键词: 评价指标 有什么区别

相关新闻
科技
精彩推送