危害(Hazard)外永、風險(Risk)秘车、緩解( Mitigation)州既、殘余風險(Residual Risk )
危害(Hazard)和風險(Risk)罗侯,在不同的行業(yè)標準中有不同的解釋丹禀,在ISO26262-1中危害的定義是”potential source of harm caused by malfunctioning behaviour of the item(即口糕,由相關項異常表現(xiàn)而導致的傷害的潛在來源)“萍诱,而在IEC61508中的定義僅 為“potential source of harm傷害的潛在來源”稼钩,并未涉及功能異常表現(xiàn)具帮。
? ? ? 撇開這些拗口的學術定義谭网,可以用類比的方式來理解這些學術用語汪厨。危害(hazard)是一座冰山,風險(Risk)是一艘撞向冰山的船愉择。而緩解或者降級( Mitigation)可以理解為將冰山涂成黃色讓人更加容易看見劫乱,而這時的殘余風險(Residual Risk)可以理解為大霧天或者夜晚發(fā)生的碰撞。
? ? 概括一點來說锥涕,危害(hazard)就是環(huán)境中客觀存在衷戈,并可能引起風險(Risk)的事物,而風險(Risk)是則主動的可能導致危險情景的行為层坠。當風險被識別出來之后殖妇,如果足夠嚴重,必須采取降級(Mitigation)手段來減輕它的影響破花。舉如下一個和汽車電子相關的例子谦趣,將存儲數(shù)據(jù)和程序的內(nèi)存(memory)作為危害(hazard),與其相關的風險如下:
風險(Risk)1,次級宇宙射線輻射
? ? ? ? ? 次級宇宙射線輻射會導致內(nèi)存中出現(xiàn)位翻轉(bit-flip),從而引起控制模式的非預期轉變座每,從而可能導致危險操作場景前鹅。一種典型的緩解方式(mitigation)是使用ECC內(nèi)存(錯誤檢測及修正內(nèi)存)。殘余風險則包括出現(xiàn)ECC無法檢測的錯誤(3個位錯誤)峭梳,應用程序沒能正確處理內(nèi)存報錯的相關中斷舰绘,或者ECC無法覆蓋的緩存(cache)。
風險(Risk)2葱椭,內(nèi)存耗盡
? ? ? 應用程序存在內(nèi)存泄漏(memory leak)引起內(nèi)存不能繼續(xù)訪問捂寿,從而產(chǎn)生非預期失效導致危險場景。典型的緩解方式(mitigation)是每個應用在啟動時保留充足的靜態(tài)緩存挫以,并在整個運行過程中不釋放者蠕。這種方式的殘余風險是出現(xiàn)在測試或者設計時未考慮到的情況窃祝,導致分配的靜態(tài)內(nèi)存不夠用掐松。這時如果嚴格執(zhí)行編碼規(guī)范MISRA C踱侣,可以進一步降低風險。
? ? 通常來說大磺,每種危害都會對應幾種風險抡句,每種風險都會有幾種相對應的緩解方法(mitigation)。
關注微信訂閱號 autotechspace (汽車知識共享空間)獲取更多實時內(nèi)容杠愧。待榔。。
