客服热线:
手机版
二维码
ISO26262 中 ASIL 与 DFMEA 有什么区别?
ASIL中安全完整性等级考虑功能失效的严重性、暴露率和可控性,DFMEA中考虑故障严重度、发生度和探测度,两者关注点和控制方法看起来是一样的。
ASIL 全称是Automotive safety integration level 针对的是电子模块制定的标准The standard ISO 26262 is an adaptation of the Functional Safety standardIEC 61508forAutomotive Electric/Electronic Systems.ISO 26262 defines functional safety for automotive equipment applicable throughout the lifecycle of all automotive electronic and electrical safety-related systems.
分为Severity / exposure/ controllabilitySeverity Classifications (S):S0No InjuriesS1Light to moderate injuriesS2Severe to life-threatening (survival probable) injuriesS3Life-threatening (survival unCErtain) to fatal injuriesExposure Classifications (E):E0Incredibly unlikelyE1Very low probability (injury could happen only in rare operating conditions)E2Low probabilityE3Medium probabilityE4High probability (injury could happen under most operating conditions)Controllability Classifications (C):C0Controllable in generalC1Simply controllableC2Normally controllable (most drivers could act to prevent injury)C3Difficult to control or uncontrollable
后根据3个指标对某个系统进行S/E/C 综合评价得到总的ASIL等级
D级最高依次CBDQM QM指的在质量管理体系内开发的功能即可满足。
FMEA全称是Failure mode effect analysis 。分为Severity/Occurrence/Detective。
S/O/D 根据程度分为1-10.其中Occurance的定义如下
评价指标为RPN=S*O*D 通常原则为RPN超过100以及S>9必须采取措施。
因此区别在于1个针对电子模块系统进行的1个风险管理体系FMEA则应用更广泛。
对于发生度评价指标量化程度不同。Exposure和Occurrence;
对于可探测度和可控性的定义不同,FMEA更多关注于子系统零件本身失效是否能够被发现,输入能够是实验报告,检车设备,防错设计等。而Contrallability则是整车驾驶员对失效的可控制性。
补充说明:1. 首先,ISO26262的ASIL与DFMEA的打分对象不同
二者具有相同点,都研究失效(failure)。那么,我们举1个具体的例子来对比:“整车控制器(VCU)上的某个器件发生失效后,导致VCU发出错误的扭矩命令,从而使动力总成输出过大扭矩,车辆发生了非预期加速。而前方恰好有车,非预期加速导致了追尾碰撞,驾驶员受到不同程度的伤害”。以下图标明此事件,发生在element level的fault向上级系统层层传递,导致了vehicle level的failure(也能够叫做malfunction或malfunction hazard)。Vehicle level的failure在一定的情景下会危害到人的安全,发生危害事件(Hazard event).DFMEA的打分对象是element或component或system或vehicle,在企业中,不同系统级别的DFMEA通常是在不同级别部门里进行,某一系统级别的failure mode是上级系统的fault。DFMEA打分的3个维度Severity/Occurrence/Detective都是针对器件或系统的:Severity严重度:某个器件或系统失效后有多严重?
Occurrence频度:某个器件或系统失效有多频繁?
Detective探测度:发现失效的难度程度(可能性)有多高?
ISO26262的打分对象是Hazard event,打分的3个维度Severity / exposure/ controllability都是针对可能危害到人身安全的危害事件的(若只损害汽车而不危害到人身安全,则为S0,不必须打分):
Severity严重度:危害事件会对人造成多大危害?(无大碍、轻伤、致残、致死)
Exposure暴露度:此危害事件的情景(Scenario)发生的频繁程度?(注意,与系统无关,情景的频繁程度)
Controllability可控度:驾驶员通过观察系统警示信息或快速反应,以避免危害事件发生的难易程度。(注意,不是系统主动避免危害事件)。
综上,二者的打分对象是完全不同的。DFMEA关注的是系统或器件,而ISO26262关注的则是抽象概念的危害事件(所谓抽象,是指ISO26262时在打分的情况下是不关注系统的,可适用于不同车辆。)
2. 其次,二者的思维方法是完全不同的(对应于题主所说的“控制方法”)。
DFMEA是典型的归纳式(inductive)方法,从单个fault出发,去思考可能引发的后果(failure或hazard)。
与DFMEA相对应的是故障树方法(FTA: fault tree analysis),从hazard去分析可能的原因,是一种演绎式(deductive)方法。
ISO26262的功能安全是一整套体系与流程,不能笼统地说是归纳式的还是演绎式的。但从上面的图能够看出,ISO26262的分析起点是Hazard event,从最终的后果去定ASIL等级,再通过一定的方法将ASIL等级分配给系统、子系统、部件、器件。从宏观的思路上来看,这与FTA类似而与FMEA相反,是一种演绎的思维方法。3. 最后,二者的概念级别是不同的。DFMEA与FTA能够是同一级别的概念,是分析失效的两种不同思维方法。而ISO26262是一整套流程,大体上能够分为几大阶段:
概念阶段Concept Phase
系统开发阶段System Design (V型开发)
硬件开发阶段Hardware Design
软件定制阶段Software Design
每一阶段,均会使用到FMEA方法与FTA方法(有可能只做部分工作,而不是完整的FMEA或FTA)。ISO26262将FMEA与FTA当作是整套流程的一种工具。
