ISO 26262 基于V模型，汽車功能安全開發活動始于概念階段，該階段主要包含以下內容:

相關項定義(Item Definition)，即定義研究對象

危害分析和風險評估(HARA)，即導出安全目標及ASIL等級

功能安全方案開發(FSC)，即形成系統化概念階段工作方案輸出

該階段內容將會分兩篇文章進行闡述，后續會考慮出專門實例闡述。

本篇著重聊以下內容:

什么是概念階段開發

概念階段開發內容 - 相關項定義

概念階段開發內容 - HARA

01

什么是概念階段開發？

很多朋友可能疑惑，為啥它叫概念階段，聽著好像很不專業，接下來我們來看它的本質。

汽車產品開發基于需求，需求是產品開發的基礎。好的需求一定程度直接決定產品性能和質量，對汽車功能安全開發也不例外。

我們所熟知的功能實現的需求多源于用戶需求，而功能安全開發的需求源于功能實現部分。

在不同開發階段，需求根據其細化程度可分為:

功能層面的需求: 相對抽象的邏輯功能需求(就是大爺大媽們也能看得懂)，需細化至技術需求

技術層面的需求: 技術可實施的需求，可直接轉化為軟硬件開發

功能安全概念階段開發本質就是，在相對抽象的邏輯功能層面，通過安全分析提出功能安全開發最初的安全需求。因此，被稱為概念階段。

具體而言，就是通過對相關相所實現的功能進行危害分析和風險評估(HARA)，導出功能安全開發最初安全目標(Safety Goal)以及功能安全需求(FSR)。

02

概念階段開發 -?相關項定義

相關項定義的本質為確定功能安全研究的對象，內容比較簡單，方便理解直接上個人理解公式:

相關項?= 結構 + 功能描述 + 對象屬性特征

結構:?研究對象是什么，由哪些系統及組件構成，一般采用UML或SysML結構視圖表達(實在不行就上PPT)。

功能描述:?研究對象實現了哪些系統級別的功能，是后續危害分析和風險評估(HARA)基礎。

對象屬性特征:?對象預期的功能危險，內部以及對外依賴關系(以接口體現)，相關法律法規。

注: 可對相關項進行裁剪，復用類似相關項工作輸出產物，以此降低產品開發周期和成本。

03

概念階段開發 -?HARA

3.1 什么是HARA

簡單來說，HARA(Hazard Analysis and Risk Assessment)是在概念階段為導出功能安全目標及其ASIL等級的系統安全分析方法。

具體而言，根據相關項定義的功能，分析其功能異常表現，識別其可能的潛在危害(Hazard)及危害事件(Hazard Event)，并對其風險進行量化(即確定ASIL等級)，導出功能安全目標(Safety Goal)和ASIL等級，以此作為功能安全開發最初最頂層的安全需求。

3.2 HARA流程

話不多說，直接上圖:

接下來，分別看看各流程中關鍵內容及心得:

3.2.1?危害分析

目的: 利用安全分析方法(例如FMEA，HAZOP)，對相關項定義的功能進行分析識別危害和危害事件。

方法:

FMEA故障識別部分和HAZOP(Hazard and operability analysis)無本質區別，流程基本類似。 ? 一般來說，HAZOP操作更為簡單，多用于功能安全概念階段識別相關項功能存在的潛在危害及危害事件。 ?

步驟一: 利用HAZOP分析相關項所定義的系統層面功能異常表現(非組件層面，功能安全需求分析才基于具體組件功能)

HAZOP基于定義的功能，使用以下規定的引導詞，分析每個功能的異常表現：

功能喪失: 在有需求時，不提供功能；

? ?(如車輛非預期加速)

在有需求時，提供錯誤的功能：

? ? ??? 錯誤的功能: 多于預期； ? ? ? ?(如車輛加速大于駕駛員需求) ? ? ??? 錯誤的功能: 少于預期； ? ? ? ?(如車輛加速小于駕駛員需求) ? ?? ?? 錯誤的功能: 方向相反； ? ? ? ?(如駕駛員要求加速，車輛出現減速)

非預期的功能: 無需求時，提供功能；

(如駕駛員無加速需求，車輛提供加速度)

輸出卡滯在固定值上: 功能不能按照需求更新。

(如駕駛員需先加速后減速，車輛一直提供加速)

注: 對每個功能分析不一定會用到所有引導詞，可對其進行裁剪。

功能異常分析舉例:?

針對車輛轉向系統轉向功能，根據HAZOP引導詞分析，其功能異常表現有:?非預期轉向，轉向不足，過度轉向等。

步驟二:?將危害和運行場景結合，形成危害事件

危害 + 運行場景?=?危害事件

危害是抽象的可能性，不可量化，需結合不同運行場，形成具體的危害事件

運行場景即車輛運行環境，包括道路場景(例如道路類型，路面附著情況等)和駕駛場景(運行狀態，車速等)。J2980提供了場景分類參考，分析中需確保危害最大化化的運行場景。

同一危害在不同的運行場景下，形成危害事件的嚴重性，出現的頻率及對其危險的可控性不同，即ASIL等級不同

例如: 車輛非預期轉向這一危害，在不同車速下和道路環境下，可能和周邊基礎設施或人發生碰撞，可能和迎面駛來汽車碰撞，也可能發生側翻等等，造成的傷害是不一樣的，這也是為什么需要將危害量化為危害事件的重要原因。

危害分析注意事項及約束:

1

危害和危害事件定義必須基于整車層面，例如危害:非預期的車輛加速

2

只考慮將定義的相關項功能造成的危害并假設其他相關項正常工作

3

不應考慮將要實施或已經在前代相關項中實施的安全機制，例如功能監控，硬件冗余等

4

需考慮相關項外部措施，例如其他相關項內的ESP，ASB或安全氣囊，滅火器等

5

功能失效和相應的危害之間的關系: 多對一，一對多

6

需要考慮合理的誤操作造成的危害，例如駕駛安全距離保持不夠

3.2.2 評價危害事件的風險，即ASIL等級

首先，通過以下三個參數，對其進行賦值，對危害事件的風險進行量化評估：

嚴重度（Severity）

暴露度（Exposure）

可控度（Controllability）

具體定義和取值見ISO 26262-3:2018，其中：

1

嚴重度主要根據AIS分級，關注對人造成傷害的嚴重程度(非對物體的傷害)。不僅需考慮車內駕駛員乘客傷害，還需考慮外部環境中的人員，包括行人，其他車輛人員傷害等

2

暴露度可基于持續運行時間占比或發生頻率確定，不應考慮裝備該相關項的車輛數量或占比

3??

可控度可控性受多種因素影響，需駕駛員進行合理假設(例如健康，有駕照)，相對比較難量化，對于C2及C3基于一定樣本的用戶測試決定??

4

三個參數一般根據ISO 26262-3:2018附錄并結合經驗，統計數據，仿真，測試等確定。如果存在不確定性，可以適當考慮取較大的值

5

不同企業對同一危害事件的風險量化，即三個參數數值確定，可能不盡相同，審核的重點在于有理有據，合理即可

然后，根據ISO 26262-3:2018，Table 4 ? ASIL determination得到每個危害事件的安全等級ASIL。ASIL等級定義了對相關項功能安全開發必要的要求和安全措施，其中，D代表最高嚴格等級，A代表最低嚴格等級。QM屬于一般質量管理。

為了免去查表的麻煩，這里分享個簡單的ASIL等級計算公式：

? ? ? ? ?????? S + E + C =10 => ASIL D

? ? ? ? ? ?? ? S + E + C = 9?=> ASIL C

? ? ? ? ? ???? S + E + C = 8?=> ASIL B

? ? ? ? ? ? ? ?S + E + C = 7?=> ASIL A

? ? ? ? ?? ? ? S + E + C < 7?=> QM

3.2.3 安全目標

危害事件的反面即為安全目標，其中:

可以對相似的危害事件進行組合和分類，再導出安全目標，以此降低分析工作量

針對分類后的每一個危害事件導出對應的安全目標

若導出的安全目標存在相似，可對其進行合并，并繼承其中最高的ASIL等級

為了方便朋友們進行安全分析，特意制作HARA分析模板如下:

審核編輯：劉清