ISO 26262 基于V模型，汽車功能安全開發(fā)活動始于概念階段，該階段主要包含以下內(nèi)容:

相關(guān)項定義(Item Definition)，即定義研究對象

危害分析和風險評估(HARA)，即導出安全目標及ASIL等級

功能安全方案開發(fā)(FSC)，即形成系統(tǒng)化概念階段工作方案輸出

該階段內(nèi)容將會分兩篇文章進行闡述，后續(xù)會考慮出專門實例闡述。

本篇著重聊以下內(nèi)容:

什么是概念階段開發(fā)

概念階段開發(fā)內(nèi)容 - 相關(guān)項定義

概念階段開發(fā)內(nèi)容 - HARA

01

什么是概念階段開發(fā)？

很多朋友可能疑惑，為啥它叫概念階段，聽著好像很不專業(yè)，接下來我們來看它的本質(zhì)。

汽車產(chǎn)品開發(fā)基于需求，需求是產(chǎn)品開發(fā)的基礎(chǔ)。好的需求一定程度直接決定產(chǎn)品性能和質(zhì)量，對汽車功能安全開發(fā)也不例外。

我們所熟知的功能實現(xiàn)的需求多源于用戶需求，而功能安全開發(fā)的需求源于功能實現(xiàn)部分。

在不同開發(fā)階段，需求根據(jù)其細化程度可分為:

功能層面的需求: 相對抽象的邏輯功能需求(就是大爺大媽們也能看得懂)，需細化至技術(shù)需求

技術(shù)層面的需求: 技術(shù)可實施的需求，可直接轉(zhuǎn)化為軟硬件開發(fā)

功能安全概念階段開發(fā)本質(zhì)就是，在相對抽象的邏輯功能層面，通過安全分析提出功能安全開發(fā)最初的安全需求。因此，被稱為概念階段。

具體而言，就是通過對相關(guān)相所實現(xiàn)的功能進行危害分析和風險評估(HARA)，導出功能安全開發(fā)最初安全目標(Safety Goal)以及功能安全需求(FSR)。

02

概念階段開發(fā) -?相關(guān)項定義

相關(guān)項定義的本質(zhì)為確定功能安全研究的對象，內(nèi)容比較簡單，方便理解直接上個人理解公式:

相關(guān)項?= 結(jié)構(gòu) + 功能描述 + 對象屬性特征

結(jié)構(gòu):?研究對象是什么，由哪些系統(tǒng)及組件構(gòu)成，一般采用UML或SysML結(jié)構(gòu)視圖表達(實在不行就上PPT)。

功能描述:?研究對象實現(xiàn)了哪些系統(tǒng)級別的功能，是后續(xù)危害分析和風險評估(HARA)基礎(chǔ)。

對象屬性特征:?對象預期的功能危險，內(nèi)部以及對外依賴關(guān)系(以接口體現(xiàn))，相關(guān)法律法規(guī)。

注: 可對相關(guān)項進行裁剪，復用類似相關(guān)項工作輸出產(chǎn)物，以此降低產(chǎn)品開發(fā)周期和成本。

03

概念階段開發(fā) -?HARA

3.1 什么是HARA

簡單來說，HARA(Hazard Analysis and Risk Assessment)是在概念階段為導出功能安全目標及其ASIL等級的系統(tǒng)安全分析方法。

具體而言，根據(jù)相關(guān)項定義的功能，分析其功能異常表現(xiàn)，識別其可能的潛在危害(Hazard)及危害事件(Hazard Event)，并對其風險進行量化(即確定ASIL等級)，導出功能安全目標(Safety Goal)和ASIL等級，以此作為功能安全開發(fā)最初最頂層的安全需求。

3.2 HARA流程

話不多說，直接上圖:

接下來，分別看看各流程中關(guān)鍵內(nèi)容及心得:

3.2.1?危害分析

目的: 利用安全分析方法(例如FMEA，HAZOP)，對相關(guān)項定義的功能進行分析識別危害和危害事件。

方法:

FMEA故障識別部分和HAZOP(Hazard and operability analysis)無本質(zhì)區(qū)別，流程基本類似。 ? 一般來說，HAZOP操作更為簡單，多用于功能安全概念階段識別相關(guān)項功能存在的潛在危害及危害事件。 ?

步驟一: 利用HAZOP分析相關(guān)項所定義的系統(tǒng)層面功能異常表現(xiàn)(非組件層面，功能安全需求分析才基于具體組件功能)

HAZOP基于定義的功能，使用以下規(guī)定的引導詞，分析每個功能的異常表現(xiàn)：

功能喪失: 在有需求時，不提供功能；

? ?(如車輛非預期加速)

在有需求時，提供錯誤的功能：

? ? ??? 錯誤的功能: 多于預期； ? ? ? ?(如車輛加速大于駕駛員需求) ? ? ??? 錯誤的功能: 少于預期； ? ? ? ?(如車輛加速小于駕駛員需求) ? ?? ?? 錯誤的功能: 方向相反； ? ? ? ?(如駕駛員要求加速，車輛出現(xiàn)減速)

非預期的功能: 無需求時，提供功能；

(如駕駛員無加速需求，車輛提供加速度)

輸出卡滯在固定值上: 功能不能按照需求更新。

(如駕駛員需先加速后減速，車輛一直提供加速)

注: 對每個功能分析不一定會用到所有引導詞，可對其進行裁剪。

功能異常分析舉例:?

針對車輛轉(zhuǎn)向系統(tǒng)轉(zhuǎn)向功能，根據(jù)HAZOP引導詞分析，其功能異常表現(xiàn)有:?非預期轉(zhuǎn)向，轉(zhuǎn)向不足，過度轉(zhuǎn)向等。

步驟二:?將危害和運行場景結(jié)合，形成危害事件

危害 + 運行場景?=?危害事件

危害是抽象的可能性，不可量化，需結(jié)合不同運行場，形成具體的危害事件

運行場景即車輛運行環(huán)境，包括道路場景(例如道路類型，路面附著情況等)和駕駛場景(運行狀態(tài)，車速等)。J2980提供了場景分類參考，分析中需確保危害最大化化的運行場景。

同一危害在不同的運行場景下，形成危害事件的嚴重性，出現(xiàn)的頻率及對其危險的可控性不同，即ASIL等級不同

例如: 車輛非預期轉(zhuǎn)向這一危害，在不同車速下和道路環(huán)境下，可能和周邊基礎(chǔ)設(shè)施或人發(fā)生碰撞，可能和迎面駛來汽車碰撞，也可能發(fā)生側(cè)翻等等，造成的傷害是不一樣的，這也是為什么需要將危害量化為危害事件的重要原因。

危害分析注意事項及約束:

1

危害和危害事件定義必須基于整車層面，例如危害:非預期的車輛加速

2

只考慮將定義的相關(guān)項功能造成的危害并假設(shè)其他相關(guān)項正常工作

3

不應(yīng)考慮將要實施或已經(jīng)在前代相關(guān)項中實施的安全機制，例如功能監(jiān)控，硬件冗余等

4

需考慮相關(guān)項外部措施，例如其他相關(guān)項內(nèi)的ESP，ASB或安全氣囊，滅火器等

5

功能失效和相應(yīng)的危害之間的關(guān)系: 多對一，一對多

6

需要考慮合理的誤操作造成的危害，例如駕駛安全距離保持不夠

3.2.2 評價危害事件的風險，即ASIL等級

首先，通過以下三個參數(shù)，對其進行賦值，對危害事件的風險進行量化評估：

嚴重度（Severity）

暴露度（Exposure）

可控度（Controllability）

具體定義和取值見ISO 26262-3:2018，其中：

1

嚴重度主要根據(jù)AIS分級，關(guān)注對人造成傷害的嚴重程度(非對物體的傷害)。不僅需考慮車內(nèi)駕駛員乘客傷害，還需考慮外部環(huán)境中的人員，包括行人，其他車輛人員傷害等

2

暴露度可基于持續(xù)運行時間占比或發(fā)生頻率確定，不應(yīng)考慮裝備該相關(guān)項的車輛數(shù)量或占比

3??

可控度可控性受多種因素影響，需駕駛員進行合理假設(shè)(例如健康，有駕照)，相對比較難量化，對于C2及C3基于一定樣本的用戶測試決定??

4

三個參數(shù)一般根據(jù)ISO 26262-3:2018附錄并結(jié)合經(jīng)驗，統(tǒng)計數(shù)據(jù)，仿真，測試等確定。如果存在不確定性，可以適當考慮取較大的值

5

不同企業(yè)對同一危害事件的風險量化，即三個參數(shù)數(shù)值確定，可能不盡相同，審核的重點在于有理有據(jù)，合理即可

然后，根據(jù)ISO 26262-3:2018，Table 4 ? ASIL determination得到每個危害事件的安全等級ASIL。ASIL等級定義了對相關(guān)項功能安全開發(fā)必要的要求和安全措施，其中，D代表最高嚴格等級，A代表最低嚴格等級。QM屬于一般質(zhì)量管理。

為了免去查表的麻煩，這里分享個簡單的ASIL等級計算公式：

? ? ? ? ?????? S + E + C =10 => ASIL D

? ? ? ? ? ?? ? S + E + C = 9?=> ASIL C

? ? ? ? ? ???? S + E + C = 8?=> ASIL B

? ? ? ? ? ? ? ?S + E + C = 7?=> ASIL A

? ? ? ? ?? ? ? S + E + C < 7?=> QM

3.2.3 安全目標

危害事件的反面即為安全目標，其中:

可以對相似的危害事件進行組合和分類，再導出安全目標，以此降低分析工作量

針對分類后的每一個危害事件導出對應(yīng)的安全目標

若導出的安全目標存在相似，可對其進行合并，并繼承其中最高的ASIL等級

為了方便朋友們進行安全分析，特意制作HARA分析模板如下:

審核編輯：劉清