功能安全之風(fēng)險(xiǎn)評(píng)估（HARA）

3.1風(fēng)險(xiǎn)評(píng)估

在風(fēng)險(xiǎn)評(píng)估過(guò)程中，假設(shè)物品的故障行為導(dǎo)致危險(xiǎn)。根據(jù)定義，危險(xiǎn)是潛在的危害源，其嚴(yán)重依賴于故障發(fā)生時(shí)的駕駛情況。因此，第一步可以是假定車輛駕駛或操作場(chǎng)景以指定傷害。根據(jù)操作方案，根據(jù)提供的指南確定暴露于該方案的可能性

3.1.1這份文件。對(duì)于危險(xiǎn)事件，嚴(yán)重性和可控性分別按照4.2.2和4.2.3中提供的指南進(jìn)行分配。對(duì)于給定的危險(xiǎn)事件，對(duì)于包含該物品的車輛的合理且可預(yù)見的操作情況，重復(fù)該過(guò)程。

風(fēng)險(xiǎn)評(píng)估的結(jié)果取決于項(xiàng)目，車輛和數(shù)據(jù)的可用性。物品的功能設(shè)計(jì)和車輛特性將影響由此產(chǎn)生的危害情景的規(guī)格，以及E，S和C參數(shù)的類別和基本原理。分析師將這些因素考慮在內(nèi)，并將分析的基本原理建立在待開發(fā)系統(tǒng)的特定特征上。

對(duì)于每個(gè)分析的危險(xiǎn)事件，應(yīng)記錄最高ASIL以及指定暴露，嚴(yán)重性和可控性的基本原理（例如，在HARA模板中）。

注1：確定暴露率，嚴(yán)重性和可控性的順序可以置換（即重新排序）。本文件假定暴露率，嚴(yán)重性和可控性按照?qǐng)D1中給出的順序確定。

圖1 -風(fēng)險(xiǎn)評(píng)估過(guò)程示例

4.2.1第1步- 暴露率測(cè)定

4.2.1.1一般信息

根據(jù)ISO 26262-3：2011 [1]，將車輛運(yùn)行情況的暴露分配到表4中所示的五個(gè)等級(jí)之一。表4總結(jié)了表2，B.2和B.3中的示例。ISO 26262-3：2011 [1]針對(duì)各種暴露等級(jí)，包括暴露頻率和暴露于車輛運(yùn)行狀況的持續(xù)時(shí)間。根據(jù)圖1，風(fēng)險(xiǎn)評(píng)估的第一步是評(píng)估暴露于特定車輛運(yùn)行情況的概率。這可能涉及同時(shí)需要的幾個(gè)條件。暴露測(cè)定的目的是理解現(xiàn)實(shí)情況，包括正常駕駛條件和不利駕駛條件。但是，應(yīng)該注意的是，不同的交通規(guī)則，環(huán)境條件等會(huì)影響所考慮的情況，并可能導(dǎo)致不同的暴露。

表4 -根據(jù)ISO 26262：2011 [1]的暴露等級(jí)描述

4.2.1.2基于持續(xù)時(shí)間的暴露率

如果故障行為直接導(dǎo)致危險(xiǎn)事件，則根據(jù)車輛運(yùn)行情況的持續(xù)時(shí)間選擇暴露等級(jí)。

示例：考慮電動(dòng)助力轉(zhuǎn)向輔助系統(tǒng)錯(cuò)誤施加的轉(zhuǎn)向扭矩。當(dāng)車輛處于靜止?fàn)顟B(tài)時(shí)，這對(duì)駕駛員來(lái)說(shuō)可能是輕微的后果，但是如果車輛沿著高速公路行駛，則駕駛員可能會(huì)離開預(yù)定的路徑。為了沿著高速公路行駛，基于該車輛運(yùn)行狀況的持續(xù)時(shí)間來(lái)指定E4，因?yàn)樗l(fā)生在整個(gè)運(yùn)行時(shí)間的10％以上。

注意：隨后可能會(huì)出現(xiàn)與危險(xiǎn)相關(guān)的傷害的可能性，具體取決于處于風(fēng)險(xiǎn)中的人員或環(huán)境中的事件。

4.2.1.3基于頻率的暴露率

暴露等級(jí)不僅適用于車輛操作情況，其中考慮的故障行為可直接導(dǎo)致危險(xiǎn)事件（情況的持續(xù)時(shí)間相關(guān)），而且還適用于情況或狀況可能引發(fā)危險(xiǎn)事件的情況，如系統(tǒng)中的故障的結(jié)果已經(jīng)在較早的時(shí)間點(diǎn)發(fā)生并且保持潛伏狀態(tài)。因此，這種情況的發(fā)生將直接引發(fā)危險(xiǎn)事件，因?yàn)樗c預(yù)先存在的故障相結(jié)合而不管其持續(xù)時(shí)間

示例：可以選擇暴露率頻率來(lái)激活車輛后部的倒車燈。對(duì)于該示例，可以預(yù)期車輛操作情況“反向車輛”經(jīng)常發(fā)生，因此選擇E4。選擇頻率是因?yàn)闊o(wú)論何時(shí)發(fā)生燈故障，一旦齒輪轉(zhuǎn)換到倒檔就可能觸發(fā)危險(xiǎn)。

4.2.1.4車輛運(yùn)行情況

圖2提供了可用作起始參考的車輛操作情況列表。此示例列表不應(yīng)被視為詳盡無(wú)遺，并且在許多情況下可以并且應(yīng)該組合這些情況以減少和簡(jiǎn)化HARA中考慮的情況列表（參見ISO 26262-3：2011,7.4.4.2）。

圖2 -潛在的車輛運(yùn)行情況（示例）

4.2.1.5暴露等級(jí)分配指南

1.風(fēng)險(xiǎn)評(píng)估中的風(fēng)險(xiǎn)評(píng)估基于對(duì)適用和可用數(shù)據(jù)的專家評(píng)估以及考慮不同地理位置或目標(biāo)市場(chǎng)的交通概況，文化，道路狀況和駕駛風(fēng)格的信息。如有疑問(wèn)，可以使用估算。

2.暴露的分配可以考慮暴露于車輛運(yùn)行狀況的頻率或暴露于車輛運(yùn)行狀況的總體持續(xù)時(shí)間的概率。在某些情況下，兩種暴露標(biāo)準(zhǔn)都可能適用，在這種情況下，必須單獨(dú)評(píng)估每個(gè)標(biāo)準(zhǔn)，從而導(dǎo)致單獨(dú)的ASIL指定。

示例：根據(jù)暴露持續(xù)時(shí)間，暴露于“洗車”情景可以根據(jù)暴露頻率和E2產(chǎn)生E3。

3.可以通過(guò)考慮在某種車輛的實(shí)際使用中發(fā)生的情況來(lái)完成對(duì)暴露率的評(píng)估。如果合適，可以考慮目標(biāo)市場(chǎng)特定的風(fēng)險(xiǎn)。但是，這不應(yīng)該用于人為地增加或減少暴露因子。

4.ISO 26262-3：2011 [1]中提供的用于暴露率的車輛操作情況的示例可以用作暴露率分配的參考。

5.在評(píng)估某些車輛運(yùn)行情況時(shí)，可能需要多個(gè)因素來(lái)使危險(xiǎn)進(jìn)展到導(dǎo)致特定危害的點(diǎn)。除了可能導(dǎo)致車輛運(yùn)行情況的若干因素之外，一些因素可能是密切相關(guān)的。對(duì)于危險(xiǎn)事件先決條件的任何組合因素的正確暴露因子通過(guò)識(shí)別因子之間的相關(guān)性來(lái)計(jì)算。

示例：如果存在冰雪，則與道路上的摩擦減少高度相關(guān)。如果雪/冰的存在和減少的道路摩擦分別被認(rèn)為是E2級(jí)暴露，那么要求兩個(gè)E2額定暴露因子不應(yīng)該導(dǎo)致相當(dāng)于小于E2的暴露。實(shí)際上，錯(cuò)誤地將這些因素視為獨(dú)立因素將會(huì)導(dǎo)致低估的暴露率類別。

6.在HARA中，維護(hù)人員不應(yīng)評(píng)估由常見工作場(chǎng)所安全義務(wù)所涵蓋的危險(xiǎn)以及由維修項(xiàng)目引起的所有危險(xiǎn)（見4.1，注1）。

7.定義的危險(xiǎn)事件必須足夠具體，以便規(guī)定危害并始終如一地確定可控性。

·情況可以分為其他特定情況（可能導(dǎo)致不同的S和/或C類）。

·如果結(jié)果相似或相同，則應(yīng)結(jié)合與相同危險(xiǎn)相關(guān)的多種情況。

·上述指南不得用于人為增加或減少暴露因子。

·這并不是要求對(duì)所有可能的組合進(jìn)行詳盡的檢查;足以考慮具有代表性的車輛運(yùn)行情況，包括那些導(dǎo)致最高ASIL的情況。

4.2.2第2步- 嚴(yán)重性確定

4.2.2.1一般信息

根據(jù)ISO 26262：2011 [1]，特定危險(xiǎn)事件造成的潛在危害的嚴(yán)重等級(jí)被分配到表5中所示的四個(gè)等級(jí)之一。這些嚴(yán)重等級(jí)是為分配ASIL提供指導(dǎo)的一般類別。對(duì)于特定的危險(xiǎn)事件。

嚴(yán)重級(jí)別通常不能確定性地分配，因?yàn)槿魏螌?shí)際碰撞的結(jié)果嚴(yán)重性取決于許多因素，其中許多因素?zé)o法提前確定。影響嚴(yán)重程度的因素包括：

1.碰撞類型- 例如平面（例如頭部，后端，側(cè)面碰撞）

2.碰撞參與者之間或單個(gè)車輛事件發(fā)生時(shí)的相對(duì)速度

3.相關(guān)車輛的相對(duì)尺寸，高度和結(jié)構(gòu)完整性（即碰撞兼容性）

4.車輛乘員和非乘員受到碰撞力的健康和年齡

5.安全防護(hù)設(shè)備（例如安全帶，兒童安全帶）的車輛使用者是否使用

6.合格，快速緊急援助的可用性和響應(yīng)（急救隊(duì)）

在這些因素中，可以投射一些碰撞特性，并且在某些情況下，可以投射估計(jì)的相對(duì)碰撞速度。對(duì)于假定的危險(xiǎn)事件，無(wú)法事先合理預(yù)測(cè)可能影響損傷結(jié)果嚴(yán)重程度的大多數(shù)其他因素。上述因素在實(shí)際可行的范圍內(nèi)被視為確定風(fēng)險(xiǎn)評(píng)估期間使用的暴露和可控性因素的一部分。

在除了最微不足道的碰撞之外的所有碰撞中，包括死亡在內(nèi)的傷害的可能性永遠(yuǎn)不會(huì)等于零。對(duì)于所有道路使用者而言，可能影響傷害潛力的特征是極其多樣的，包括駕駛者（機(jī)動(dòng)車輛駕駛員和乘客）和非駕車者（例如，行人和腳踏車）。參與交通碰撞的人員包括年輕，健康的人，這些人可能能夠容忍相當(dāng)大的碰撞力，而不會(huì)對(duì)老年人，體弱的個(gè)體造成重大傷害，即使在輕微的低速碰撞中也可能容易受到重大傷害。因此，幾乎任何碰撞類型的結(jié)果都包括結(jié)果可能性的分布，范圍從財(cái)產(chǎn)損失到無(wú)傷害到死亡。

表5提供了ISO 26262：2011 [1] S0-S3嚴(yán)重性類的描述。

表5 - ISO 26262：2011 [1]的嚴(yán)重等級(jí)描述

*沒有為S0分配ASIL。

注意：有關(guān)嚴(yán)重性分類的示例，請(qǐng)參閱ISO 26262-3：2011，表B1。

嚴(yán)重性類將根據(jù)代表性危險(xiǎn)事件方案分配給給定的危險(xiǎn)事件。開發(fā)此假設(shè)方案將涉及從多個(gè)信息源中提取，包括但不要求或限于專家分析和判斷，分析特定相關(guān)崩潰或測(cè)試的技術(shù)報(bào)告，模擬實(shí)驗(yàn)和歷史崩潰數(shù)據(jù)。附錄B提供了一些一般信息，可用于為給定的車輛級(jí)運(yùn)動(dòng)控制危險(xiǎn)分配適當(dāng)?shù)膰?yán)重級(jí)別。

4.2.2.2碰撞相關(guān)危險(xiǎn)的嚴(yán)重等級(jí)分配指南

1.HARA中的嚴(yán)重等級(jí)分配需要專家評(píng)估和考慮相關(guān)交通概況，車輛速度和道路狀況的代表性樣本。對(duì)歷史事故數(shù)據(jù)的分析傾向于高估未來(lái)道路和車輛技術(shù)隨著時(shí)間的推移而不斷改善的傷害風(fēng)險(xiǎn)度量（防撞性和防撞性），以及改善道路使用者行為的教育和執(zhí)法工作，但也可能不會(huì)包括適用于與新功能相關(guān)的不同場(chǎng)景的數(shù)據(jù)。在這種情況下，可以使用模型將新場(chǎng)景插入歷史數(shù)據(jù)的上下文中，以便更好地預(yù)測(cè)結(jié)果。

2.通常，道路使用者受傷風(fēng)險(xiǎn)隨著碰撞速度的增加而增加。對(duì)于平面碰撞，某些歷史事故數(shù)據(jù)庫(kù)中可用的delta速度（delta v）的碰撞后估計(jì)可能有助于事故嚴(yán)重性評(píng)估?？梢钥紤]其他碰撞后估計(jì)來(lái)代替Δv（例如，能量等效速度，車輛/物體之間的相對(duì)速度），并且可以考慮諸如車輛重疊和擠壓/侵入的其他碰撞特性。附錄B提供了一些可能有助于嚴(yán)重性分類的一般指導(dǎo)。對(duì)于非平面碰撞，例如車輛側(cè)翻，可以考慮根據(jù)危險(xiǎn)情況的其他可用標(biāo)準(zhǔn)用于嚴(yán)重性估計(jì)。ISO 26262-3：2011 [1]中提供的嚴(yán)重性示例也可以視為嚴(yán)重性分配的參考。

3.在根據(jù)歷史數(shù)據(jù)確定可能的嚴(yán)重性碰撞結(jié)果分類時(shí)，應(yīng)考慮可用數(shù)據(jù)與正在開發(fā)的系統(tǒng)的相關(guān)性。例如，隨著新的主動(dòng)安全功能被引入，其在某些即將發(fā)生的碰撞情況下自動(dòng)干預(yù)以控制車輛動(dòng)態(tài)，駕駛員和車輛控制之間的平衡正在改變。因此，當(dāng)前數(shù)據(jù)可能并不總是反映新功能的應(yīng)用可能的結(jié)果。在確定該產(chǎn)品的嚴(yán)重性和ASIL時(shí)，車輛或系統(tǒng)制造商應(yīng)考慮應(yīng)用于其特定車輛的所有技術(shù)。

正在考慮的代表性方案的嚴(yán)重性級(jí)別記錄在HARA中。

注1：嚴(yán)重性等級(jí)的分配也應(yīng)考慮相對(duì)于暴露。如果選擇的嚴(yán)重性高于一般駕駛情況的交通數(shù)據(jù)所指示的那么，則應(yīng)選擇暴露與處于該駕駛狀況的可能性一致并且暴露于故障將導(dǎo)致危險(xiǎn)事件的情況導(dǎo)致更嚴(yán)重的傷害。

注2：歷史崩潰數(shù)據(jù)不一定能預(yù)測(cè)未來(lái)碰撞類型的傷害結(jié)果。由于車輛，道路和道路使用者的行為會(huì)隨著時(shí)間的推移而不斷變化以改善交通安全，因此歷史崩潰數(shù)據(jù)往往會(huì)高估未來(lái)的碰撞風(fēng)險(xiǎn)和傷害嚴(yán)重程度。因此，不建議將歷史崩潰數(shù)據(jù)簡(jiǎn)單應(yīng)用于項(xiàng)目傷害結(jié)果，并將嚴(yán)重級(jí)別分配給特定的車輛級(jí)別危險(xiǎn)。

4.2.3步驟3 - 可控性確定

4.2.3.1一般信息

根據(jù)ISO 26262-3：2011 [1]，危險(xiǎn)事件的可控性分配到四個(gè)級(jí)別之一，如表6所示。

表6 - ISO 26262：2011 [1]的可控性等級(jí)描述

*沒有為C0分配ASIL。

注意：說(shuō)明使用了基于ISO 26262-3：2011,7.4.3.7，注2的“指定危害”。

4.2.3.2可控性等級(jí)分配指南

1.可控性等級(jí)可以通過(guò)使用可用數(shù)據(jù)，通過(guò)在模擬器或車輛中執(zhí)行測(cè)試或通過(guò)咨詢跨學(xué)科專家團(tuán)隊(duì)（例如，人為因素）來(lái)確定。

2.ISO 26262-3：2011，附錄B.4中提供的“可控性”示例也可視為“可控性”分配的參考。

3.在可控性確定期間，當(dāng)E / E系統(tǒng)發(fā)生故障可能導(dǎo)致駕駛員反應(yīng)時(shí)，可能會(huì)考慮危險(xiǎn)對(duì)相關(guān)人員的不利影響（參見ISO 26262-3：2011,8.4.2.6）。為了評(píng)估這種潛在的不利影響，可以采用“高級(jí)駕駛輔助系統(tǒng)設(shè)計(jì)和評(píng)估實(shí)踐規(guī)范[3]”的方法。這是由Response 3項(xiàng)目起草的，并得到了歐洲汽車制造商協(xié)會(huì)（ACEA）的認(rèn)可。

4.由駕駛員損傷（即駕駛員使用藥物，酒精或睡眠剝奪）或駕駛員疏忽或分心造成的延長(zhǎng)響應(yīng)時(shí)間不包括在可控性考慮因素中（參見ISO 26262-3：2011,7.4.3.7，注2）。

5.在適用于特定分析時(shí)，應(yīng)考慮合理可預(yù)見的誤用。

6.可以考慮相關(guān)的環(huán)境特征（例如道路上的護(hù)欄）和駕駛員體驗(yàn)/行為/訓(xùn)練。如果項(xiàng)目與其他車載系統(tǒng)之間存在足夠的獨(dú)立性，如果它們能夠在危險(xiǎn)事件期間減輕危險(xiǎn)，則可以在HARA中考慮相關(guān)的車載系統(tǒng)（ISO 26262-3：2011,7.4.1.2，注1）。

7.當(dāng)需要為特定車輛平臺(tái)設(shè)置可控性等級(jí)時(shí)，不應(yīng)將可選的安全或駕駛員輔助系統(tǒng)（例如，車道保持輔助系統(tǒng)）視為降低風(fēng)險(xiǎn)的措施。

4.2.4第4步- ASIL測(cè)定

4.2.4.1結(jié)合S，E和C來(lái)確定ASIL

根據(jù)ISO 26262-3：2011,7.4.4.1，根據(jù)ISO 26262-3：2011表4，使用參數(shù)“嚴(yán)重性”，“暴露概率”和“可控性”確定每個(gè)危險(xiǎn)事件的ASIL [1]。ASIL確定基于S，E和C一致的相關(guān)場(chǎng)景。

注意：如果新系統(tǒng)的合成ASIL與具有大量現(xiàn)場(chǎng)歷史的類似現(xiàn)有系統(tǒng)的危險(xiǎn)經(jīng)驗(yàn)不一致，則可能表明用于導(dǎo)出新系統(tǒng)的S，E和C類的現(xiàn)場(chǎng)和交通數(shù)據(jù)需要要重新檢查。這也與HARA過(guò)程本質(zhì)上是迭代的事實(shí)一致。

表7 -根據(jù)ISO 26262-3：2011確定ASIL的標(biāo)準(zhǔn)[1]

在為新系統(tǒng)確定ASIL時(shí)，可以在適當(dāng)時(shí)將可能由新系統(tǒng)故障行為導(dǎo)致的嚴(yán)重性和事故發(fā)生的嚴(yán)重性與現(xiàn)有相關(guān)事故數(shù)據(jù)進(jìn)行比較。然后可以評(píng)估測(cè)試對(duì)象的危險(xiǎn)響應(yīng)行為以得出初始可控性類別。

評(píng)估人員應(yīng)避免高估嚴(yán)重性，暴露和可控性等級(jí)以及由此導(dǎo)致的ASIL，否則可能導(dǎo)致功能降低，甚至取消可能改善車輛整體安全性的有益特征。同樣，評(píng)估人員還應(yīng)避免低估嚴(yán)重性，暴露和可控性等級(jí)以及由此導(dǎo)致的ASIL，否則可能導(dǎo)致安全要求不足。

4.3安全目標(biāo)與安全狀態(tài)之間的關(guān)系

在執(zhí)行HARA時(shí)，輸出是一組安全目標(biāo)以確保安全操作。這些是源于物品故障行為可能導(dǎo)致的潛在危險(xiǎn)。安全狀態(tài)和相關(guān)安全措施在功能或技術(shù)安全概念中明確規(guī)定，以便在項(xiàng)目出現(xiàn)故障時(shí)實(shí)現(xiàn)安全目標(biāo)。安全狀態(tài)并不總是需要HARA，盡管在安全狀態(tài)與項(xiàng)目級(jí)別的特定故障相同的情況下，可能由HARA引起涉及安全狀態(tài)條件的危險(xiǎn)。因此，由于安全目標(biāo)和安全狀態(tài)都是由于考慮到安全生命周期中不同點(diǎn)的故障行為而導(dǎo)致的，因此可能導(dǎo)致不一致。為了保證安全案例的一致性，建議注意安全狀態(tài)不違反安全目標(biāo)。該建議可以通過(guò)安全目標(biāo)和安全狀態(tài)的不同表述來(lái)實(shí)現(xiàn)。例如，安全目標(biāo)可以是“避免在沒有警告的情況下失去即將發(fā)生的碰撞制動(dòng)功能”，并且安全狀態(tài)可以是“禁用該功能并通知駕駛員該功能不可用”。在這種安全狀態(tài)下，警告減輕了功能喪失的結(jié)果，因?yàn)轳{駛員意識(shí)到他不能依賴它。安全概念和HARA必須一致，否則會(huì)對(duì)安全情況產(chǎn)生不利影響。如果安全目標(biāo)的安全狀態(tài)導(dǎo)致違反不同的，不太重要的安全目標(biāo)，則必須注意其各自的安全要求保持一致。建議支持該策略的理由。

示例：考慮一個(gè)系統(tǒng)，其中避免故障被指定為具有高，依賴于車輛的ASIL的安全目標(biāo)。然后，分析人員也錯(cuò)誤地將此故障指定為開發(fā)概念階段的“安全狀態(tài)”，就像以前的應(yīng)用程序中所做的那樣，故障被指定為較低的ASIL。然后，在硬件設(shè)計(jì)階段，當(dāng)在確定單點(diǎn)故障度量時(shí)分析組件故障的影響時(shí)，指定諸如安全機(jī)制的措施導(dǎo)致故障。然而，這違反了要求安全機(jī)制導(dǎo)致安全狀態(tài)的安全目標(biāo)。技術(shù)安全概念現(xiàn)在有一個(gè)矛盾。為了解決這個(gè)問(wèn)題，可以指定不同的安全狀態(tài)，或者可以重新設(shè)計(jì)故障條件，并且可以重復(fù)HARA。

審核編輯 ：李倩