Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO 26262-3:2018 道路车辆——功能安全——第3部分:概念阶段
危险分析与风险评估(HARA)方法——项目定义、功能安全概念与ASIL确定
一、概念阶段:汽车功能安全的基石
ISO 26262-3:2018 定义了汽车功能安全开发中概念阶段的要求。概念阶段是关键的工程设计前端阶段,在此阶段定义基本安全架构,识别和分类危险,并建立初始安全要求。概念阶段的工作质量直接决定了后续所有开发活动的有效性和效率。
概念阶段包括三个主要活动:项目定义(第5条)、危险分析和风险评估(HARA,第6条)以及功能安全概念开发(第7条)。这些活动构成了一个逻辑序列:理解系统是什么(项目定义)→ 理解可能出什么问题(HARA)→ 决定如何应对(功能安全概念)。
在项目定义阶段投入充足的时间。一个定义良好的项目边界(包含清晰的接口和依赖关系记录)能使后续的HARA更高效,并降低因范围界定不完整而遗漏危险的可能性。
| 概念阶段活动 | 目标 | 关键输出 |
|---|---|---|
| 项目定义(第5条) | 定义项目及其边界、接口和依赖关系 | 项目定义文档 |
| 危险分析和风险评估(第6条) | 识别和分类危险事件,确定安全目标和ASIL | HARA报告、安全目标 |
| 功能安全概念(第7条) | 从安全目标推导功能安全要求 | 功能安全要求规范 |
二、危险分析和风险评估(HARA)方法论
HARA流程是ISO 26262风险确定的核心。它系统性地识别由E/E系统故障行为引起的潜在危险,并评估相关风险以确定每个安全目标所需的汽车安全完整性等级(ASIL)。HARA遵循结构化方法论:情境分析和危险识别、危险分类以及安全目标的确定。
危险分类使用三个参数:严重度(S)——对人员的潜在伤害程度,从S0(无伤害)到S3(危及生命的伤害);暴露率(E)——危险可能发生的运行情境的可能性,从E0(极小可能)到E4(高概率);可控性(C)——驾驶员或其他人避免伤害的能力,从C0(一般可控)到C3(难以或无法控制)。S、E和C的组合决定ASIL(A至D)或QM。
最常见的HARA错误是低估暴露率。工程师往往基于个人经验而非客观使用数据对运行情境进行分类。在支持暴露率分类时,应尽可能使用现场数据、车队研究和使用统计数据。
2018版对HARA流程进行了重要改进。增加了对卡车和客车差异的管理,认识到商用车辆具有与乘用车不同的运行特性和风险特征。标准还提供了关于HARA验证的更详细指导,要求对分析的完整性、正确性和一致性进行评审。
三、功能安全概念与工程设计洞察
功能安全概念(FSC)将安全目标转化为系统级的功能安全要求(FSR)。每个FSR规定了要实施的安全机制或措施,及其相关的ASIL、故障容错时间间隔和安全状态。FSC还定义了必要的故障检测和失效缓解机制、向安全状态的转换逻辑以及驾驶员警告概念。
一个结构良好的功能安全概念应清晰地区分”什么”和”如何”。FSC定义需要什么安全机制(例如”在100ms内检测传感器合理性故障”),而技术安全概念和硬件/软件设计则定义如何实施这些机制。
安全验证标准(第7.4.3条)在概念阶段定义,用于确定如何证明安全目标和功能安全概念的充分性。这些标准应包括验证每个安全目标是否正确、完整且对故障具有足够耐受度的方法。安全验证通常包括整车级测试、系统级测试和分析。
功能安全概念的验证(第7.4.4条)必须确保FSC与项目定义、安全目标和分类参数一致。验证还检查FSR是否适当地分配到系统架构要素,以及由此产生的安全机制是否能够在指定的时序约束内实现所需的风险降低。
关键设计考虑:FSC中定义的FTTI必须对预期的实施技术可行。一个常见的问题是指定了一个所选传感器、执行器和处理硬件无法实现的FTTI。在最终确定FTTI要求之前,务必进行时序可行性分析。
常见问题解答
问1:一个典型项目应该有多少个安全目标?
没有固定数量,取决于项目的复杂性和不同危险事件的数量。典型的项目可能有3-15个安全目标。每个需要不同风险降低策略的独特危险事件应有其自己的安全目标。然而,具有相同ASIL的相似危险可以合并为一个安全目标,前提是可以通过相同的安全措施来解决。
没有固定数量,取决于项目的复杂性和不同危险事件的数量。典型的项目可能有3-15个安全目标。每个需要不同风险降低策略的独特危险事件应有其自己的安全目标。然而,具有相同ASIL的相似危险可以合并为一个安全目标,前提是可以通过相同的安全措施来解决。
问2:安全目标能否在某些参数上为ASIL D而在其他参数上较低?
不能。ASIL由严重度、暴露率和可控性的组合根据ISO 26262-3中的ASIL确定表确定。每个危险事件获得单一的ASIL等级。
不能。ASIL由严重度、暴露率和可控性的组合根据ISO 26262-3中的ASIL确定表确定。每个危险事件获得单一的ASIL等级。
问3:安全目标和功能安全要求有什么区别?
安全目标是针对危险事件的顶层安全要求(例如”当未检测到驾驶员时,车辆不得超过5公里/小时”)。功能安全要求是从安全目标派生的系统级安全机制规范(例如”乘员检测系统应每100ms验证驾驶员存在,并在驾驶员缺席超过2秒时触发安全停车”)。
安全目标是针对危险事件的顶层安全要求(例如”当未检测到驾驶员时,车辆不得超过5公里/小时”)。功能安全要求是从安全目标派生的系统级安全机制规范(例如”乘员检测系统应每100ms验证驾驶员存在,并在驾驶员缺席超过2秒时触发安全停车”)。
问4:如何处理与非E/E系统故障相关的危险?
ISO 26262专门处理由E/E系统故障行为引起的危险。其他原因造成的危险(如电击、火灾、毒性)除非直接由E/E系统故障引起,否则不包括在范围内。这些其他危险应通过其他适用标准或特定领域的安全要求来处理。
ISO 26262专门处理由E/E系统故障行为引起的危险。其他原因造成的危险(如电击、火灾、毒性)除非直接由E/E系统故障引起,否则不包括在范围内。这些其他危险应通过其他适用标准或特定领域的安全要求来处理。
