基于道路车辆功能安全的变更影响分析方法与流程
本发明涉及汽车制造领域,具体涉及基于道路车辆功能安全的变更影响分析方法。
背景技术:
影响分析是工程技术领域的一种常用方法。
由于在工程实践中遇到的问题多种多样,因此很难对影响分析方法统一或标准化。
ISO 26262(Road vehicles-Functional safety)道路车辆功能安全系列标准于2011年11月15日正式颁布,该标准的目的在于提高汽车电子、电气产品的功能安全,在产品的研发流程和管理流程中,预先分析和评估潜在的危害和风险,通过实施科学的安全技术措施、规范和方法来降低风险,利用软、硬件系统化的测试、验证和确认方法,使电子、电气产品的安全功能在安全生命周期内满足汽车安全完整性等级的要求,提升系统或产品的可靠性,避免过当设计而增加成本以及避免因系统失效、随机硬件失效、设计缺陷所带来的风险,使电子系统的安全功能在各种严酷条件下保持正常运作,确保驾乘人员及路人的安全。
该系列标准适用于安装在最大总质量为3.5吨的量产乘用车上的与安全相关的电子电气系统(包括电子、电气和软件组件)。
在实际的生产制造过程中,零部件供应商所提供的产品为平台化成熟产品,而客户有自己独特的要求,例如在工况C1的情况下,关闭对信号S1的监 控,需要对成熟产品进行变更。在这种情况下,零部件供应商需要对这项变更进行影响分析,以确定变更造成影响的风险程度,为变更决策提供重要的参考信息。
在ISO26262道路车辆功能安全标准的第三部分和第八部分都对影响分析有一定的要求,但是并未对该分析提出具体可操作的方法。
技术实现要素:
针对现有技术中存在的问题,本发明解决的问题是提供一种基于道路车辆功能安全的变更影响分析方法,利用产品的基于道路车辆功能安全的工作产物,对变更进行影响分析,以确定变更造成影响的风险程度,为变更决策提供重要的参考信息。
本发明提供一种基于道路车辆功能安全的变更影响分析方法,利用产品的基于道路车辆功能安全的工作产物,对于产品在第一工况下进行的第一变更,进行影响分析,方法包括以下步骤:
(a)基于工作产物中的系统架构,根据第一变更涉及的信号确定受第一变更影响的功能列表;
(b)根据第一工况与受第一变更影响的功能列表,确定在第一工况下受第一变更影响的第一情景列表;
(c)根据第一情景列表,确定第一变更造成影响的风险程度。
进一步地,步骤(a)中系统架构,用于表示产品的信号与产品的功能之间的多对多的关系。
进一步地,步骤(b)包括以下步骤:
(b1)根据受第一变更影响的功能列表,以及工作产物中的功能情景列表,获取受第一变更影响的第二情景列表;
(b2)根据第一工况,以及工作产物中的工况情景列表,获取第一工况下的第三情景列表;
(b3)将同时属于第二情景列表与第三情景列表的情景,列入第一情景列表。
进一步地,步骤(b1)中的功能情景列表,用于表示产品的功能与情景之间的多对多的关系。
进一步地,步骤(b2)中的工况情景列表,用于表示产品的工况与情景之间的一对多的关系。
进一步地,步骤(b)包括以下步骤:
(b4)根据第一工况、受第一变更影响的功能列表以及工作产物中的功能情景工况列表,获取第一情景列表。
进一步地,步骤(b4)中的功能情景工况列表,用于表示产品的功能、情景与工况三者之间的关系。
进一步地,步骤(c)中第一变更造成影响的风险程度以风险列表表示,风险列表包括安全目标与安全等级。
进一步地,步骤(c)包括以下步骤:
(c1)如果第一情景列表存在未处理的情景,从第一情景列表中取出一个未处理的情景;如果第一情景列表没有未处理的情景,风险分析结束;
(c2)根据工作产物中的情景安全目标列表与安全目标列表,获取情景对应的安全目标及安全等级;
(c3)如果安全目标及安全等级未列入风险列表,将安全目标及安全等级列入风险列表,执行步骤(c1)。
进一步地,步骤(c2)中的情景安全目标列表,用于表示产品的情景与安全目标之间的关系。
本发明还提供一种基于道路车辆功能安全的变更影响分析方法,利用产品的基于道路车辆功能安全的工作产物,对于产品在第一输入参数条件下进行的第一变更,进行影响分析,方法包括以下步骤:
(a)基于工作产物中的系统架构,根据第一变更涉及的第二输入参数确定受第一变更影响的第一参数列表,系统架构用于表示第二输入参数与第一参数之间的关系;
(b)根据第一输入参数与受第一变更影响的第一参数列表,以及工作产物中的第一参数、第二参数与第一输入参数之间的关系,或者根据第一输入参数与受第一变更影响的第一参数列表,工作产物中的第一参数与第二参数的关系以及工作产物中的第一输入参数与第二参数的关系,确定在第一输入参数条件下受第一变更影响的第二参数列表;
(c)根据第二参数列表、工作产物中的第二参数与安全目标之间的关系以及安全目标列表,确定第一变更造成影响的风险程度,风险程度以风险列表表示,风险列表包括安全目标与安全等级。
与现有技术相比,本发明提供一种基于道路车辆功能安全的变更影响分析方法具有以下优点:利用产品的基于道路车辆功能安全的工作产物,对产品的变更,提出具体可操作的影响分析方法,以确定变更造成影响的风险程度,为变更决策提供重要的参考信息。
附图说明
图1是本发明的一个实施例中的产品的系统架构的部分示意图;
图2是功能与情景、工况的对应关系图;
图3是情景与安全目标的对应关系图。
具体实施方式
在汽车的生产制造过程中,零部件供应商所提供的产品为平台化成熟产 品,在发动机点火时有可能会造成整车电压波动,进而导致方向盘转角传感器不正常工作,因此客户要求:在发动机处于点火状态时,关闭对方向盘转角传感器发出的转角信号的监控。
在这种情况下,零部件供应商需要对这项变更进行影响分析,以确定变更对产品造成影响的风险程度。
本实施例中,利用产品的基于道路车辆功能安全的工作产物,对于产品在第一工况下进行的第一变更,进行影响分析,其中第一工况为C1,即发动机处于点火状态,第一变更为关闭对信号S1的监控,第一变更涉及信号S1,信号S1为方向盘转角传感器发出的转角信号。
本实施例中,基于道路车辆功能安全的变更影响分析方法,利用产品的基于道路车辆功能安全的工作产物,对于产品在第一工况下进行的第一变更,进行影响分析,包括以下步骤:
(a)基于工作产物中的系统架构,根据第一变更涉及的信号确定受第一变更影响的功能列表;
(b)根据第一工况与受第一变更影响的功能列表,确定在第一工况下受第一变更影响的第一情景列表;
(c)根据第一情景列表,确定第一变更造成影响的风险程度。
步骤(a)中系统架构,用于表示产品的信号与产品的功能之间的多对多的关系。
如图1所示;第一变更涉及的信号为信号S1,信号S1与功能1、功能3相关,本实施例中,功能1为主动横摆控制(Active Yaw Control,AYC)。
在实际应用中,产品的系统架构以信号功能表的形式存储在文件或数据库中,该表用于表示信号与功能之间的多对多的关系,本实施例中相关记录如下表所示:
当查询条件设置为“信号=信号S1”,即可得到与信号S1相关的功能列表,这个列表也就是受第一变更影响的功能列表{功能1,功能3}。
步骤(b)根据第一工况与受第一变更影响的功能列表,确定在第一工况下受第一变更影响的第一情景列表,可以采用不同的方法:
方法一:
适用于工作产物中包括功能情景列表与工况情景列表的情况,功能情景列表用于表示产品的功能与情景之间的多对多的关系;工况情景列表用于表示产品的工况与情景之间的一对多的关系。
本实施例中功能情景列表的相关记录如下表所示:
本实施例中工况情景列表的相关记录如下表所示:
步骤(b)中确定在第一工况下受第一变更影响的第一情景列表的具体步骤如下:
(b1)根据受第一变更影响的功能列表,以及工作产物中的功能情景列表,获取受第一变更影响的第二情景列表,具体地,当查询条件设置为“功能=功能1OR功能3”即可得到第二情景列表{情景1,情景2,情景3,情景4,情景5};
(b2)根据第一工况,以及工作产物中的工况情景列表,获取第一工况下的第三情景列表,具体地,当查询条件设置为“工况=C1”,即可得到第三情景列表{情景3,情景4,情景5};
(b3)将同时属于第二情景列表与第三情景列表的情景,列入第一情景列表{情景3,情景4,情景5}。
可以理解,步骤(b1)与步骤(b2)并没有时序上的限制,也可以先执行步骤(b2)再执行步骤(b1),然后执行步骤(b3),同样可以获得在第一工况下受第一变更影响的第一情景列表。
方法二:
适用于工作产物中包括功能情景工况列表的情况,功能情景工况列表用于表示产品的功能、情景与工况之间的关系。
本实施例中功能情景工况列表的相关记录如下表所示:
步骤(b)中确定在第一工况下受第一变更影响的第一情景列表的具体步骤如下:
(b4)根据所述第一工况、受第一变更影响的功能列表以及所述工作产物中的功能情景工况列表,获取所述第一情景列表;具体地,当查询条件设置为“工况=C1”AND“功能=功能1OR功能3”,即可得到受第一变更影响的第一情景列表{情景3,情景4,情景5}。
本实施例中产品的安全目标列表具体的相关记录如下表所示:
ISO 26262标准根据安全风险程度对系统或系统某组成部分确定划分由A到D的安全需求等级(Automotive Safety Integrity Level汽车安全完整性等级ASIL),其中D级为最高等级,需要最苛刻的安全需求。伴随着ASIL等级的增加,针对系统硬件和软件开发流程的要求也随之增强。
情景安全目标列表基于道路车辆功能安全分析得到,用于表示情景与安全目标之间的关系,本实施例中情景安全目标列表具体的相关记录如下表所示:
步骤(c)中第一变更造成影响的风险程度以风险列表表示,风险列表包括安全目标与安全等级。
步骤(c)根据第一情景列表,确定所述第一变更造成影响的风险程度,包括以下步骤:
(c1)如果第一情景列表存在未处理的情景,从第一情景列表中取出一个未处理的情景;如果第一情景列表没有未处理的情景,风险分析结束;
(c2)根据工作产物中的情景安全目标列表与安全目标列表,获取情景对应的安全目标及安全等级;
(c3)如果安全目标及安全等级未列入风险列表,将安全目标及安全等级列入风险列表,执行步骤(c1)。
步骤(c1)中依次对受第一变更影响的第一情景列表{情景3,情景4,情 景5}进行处理;首先取出情景3,情景3为车辆在弯道高速行驶(假设本实施例中车辆为混合动力汽车,汽车发动机在任何情况下都有可能点火)。步骤(c2)中在情景安全目标表中查询,查询条件设置为“情景=情景3”,即可获得情景3相关的安全目标,查询安全目标列表即可获得安全等级,本实施例中得到的情景3对应的安全目标及安全等级为{安全目标SG1,ASIL D}。
本实施例中,安全目标SG1为避免车辆失去稳定性,ASIL D级为最高等级。具体含义是:混合动力车辆在弯道高速行驶(情景3)时,若此时发动机点火(第一工况C1),按客户要求变更,即关闭方向盘转角传感器发出的转角信号(信号S1)的监控,则有可能违反安全目标SG1(避免车辆失去稳定性),也就是造成车辆失去稳定性。
步骤(c3)将{安全目标SG1,ASIL D}列入风险列表。
用同样的方法得到情景4对应的安全目标及安全等级为{安全目标SG3,ASIL A},以及情景5对应的安全目标及安全等级为{安全目标SG4,ASIL B},并列入风险列表。
本实施例中得到的风险列表为:
安全目标SG1 ASIL D
安全目标SG3 ASIL A
安全目标SG4 ASIL B
由此可以得到,如果在工况C1的情况下,关闭对信号S1的监控,会对安全目标SG1、SG3以及SG4产生影响,风险列表中同时列出了这些安全目标的安全等级,确定了变更造成影响的风险程度,为变更决策提供重要的参考信息。
通常客户要求的变更涉及较高安全等级的安全目标,例如上述风险列表 中的{安全目标SG1,ASIL D},安全等级为D,D级为最高等级,且无切实可行的方案以避免违反安全目标1,则无法按客户要求进行变更。
如果客户要求的变更不涉及任何安全目标,或有切实可行的方案可确保安全目标不会违反,则变更没有风险,可按客户要求进行更改。
在另一个实施例中,利用产品的基于道路车辆功能安全的工作产物,对于产品在第一工况下进行的第一变更,进行影响分析。
变更涉及第一输入参数及第二输入参数,其中第一输入参数例如是第一工况,第二输入参数例如是产品的信号。如图1所示,第一工况为C1,即发动机点火状态,第一变更为关闭对信号S1的监控,第一变更涉及信号S1,信号S1为方向盘转角传感器发出的转角信号。
基于道路车辆功能安全的变更影响分析方法包括以下步骤:
(a)基于工作产物中的系统架构,根据第一变更涉及的第二输入参数确定受第一变更影响的第一参数列表,系统架构用于表示第二输入参数与第一参数之间的关系;
(b)根据第一输入参数与受第一变更影响的第一参数列表,以及工作产物中的第一参数、第二参数与第一输入参数之间的关系,或者根据第一输入参数与受第一变更影响的第一参数列表,工作产物中的第一参数与第二参数的关系以及工作产物中的第一输入参数与第二参数的关系,确定在第一输入参数条件下受第一变更影响的第二参数列表;
(c)根据第二参数列表、工作产物中的第二参数与安全目标之间的关系以及安全目标列表,确定第一变更造成影响的风险程度,风险程度以风险列表表示,风险列表包括安全目标与安全等级。
上述方法中,第一输入参数为第一工况C1,第二输入参数为信号S1,第一参数为功能,第二参数为情景。
当然,也可以采用其他的输入参数、参数以及工作产物中输入参数与参数、参数之间的关系,进行影响分析。
虽然本发明已以较佳实施例披露如上,但本发明并非限定于此。任何本领域技术人员,在不脱离本发明的精神和范围内所作的各种更动与修改,均应纳入本发明的保护范围内,因此本发明的保护范围应当以权利要求所限定的范围为准。
- 还没有人留言评论。精彩留言会获得点赞!