汽车功能安全 – 危险分析和风险评估

术语

注： 下面的术语的定义是作者基于ISO 26262的定义，再加上自己的理解给出的，和ISO 26262会有些差别。正式、准确、完整的定义请参考ISO 26262。

危险

Harzard
危险 是可能会造成人身伤害的失效。

注意：不会造成人身伤害的失效不是危险。比如汽车的收音机坏了，这个失效会导致乘员不能收听广播，但不会造成乘员人身伤害，所以它不是危险。

什么是失效可以参见文章潜在失效模式和后果分析 FMEA 10分钟教程中失效模式的解释。

暴露率

Exposure

暴露率，描述危险出现时，人员暴露在失效能造成危害的场景中的概率。

注意：

• 暴露率和失效的发生概率无关，和失效能造成危害的场景的概率有关。
• 危险一般只在特定的场景下才能会对人产生伤害。比如安全气囊不能弹出只在汽车发生碰撞时才会对乘员造成伤害

暴露率分为五个等级，分别为E0/E1/E2/E3/E4。E0是几乎不可能暴露于危险中，E4是可能性极高。

严重度

Severity
严重度 描述危险可能对驾驶员、乘员、或者行人等涉险人员的伤害程度。比如助理转向失灵比轮胎漏气的严重度高。
严重分为4个等级，分别为S0/S1/S2/S3，级别越高，伤害越严重。

可控度

Controllability
可控度 描述危险出现时，驾驶员或其他涉险人员通过及时反应能够避免事故或伤害的可能性。比如轮胎漏气比助理转向失灵的可控度高。

可控度总共4个等级，分别为C0/C1/C2/C3，等级越高，可控性越差。

危险事件

Hazardous event
危险事件 是一个危险和一个运行场景的组合。

把危险和运行场景拆开，是因为危险一般只在特定的运行场景下才能会对人产生伤害。详细解释参见暴露率的定义。

汽车安全完整性等级

Automotive Safety Integrity Level （ASIL）

ASIL等级基于S、E、C这三个影响因子，按照下表确定。

ASIL描述危险的风险等级，其中D代表最高等级，A代表最低等级，QM表示质量管理（Quality Management），表示按照质量管理体系开发系统或功能就足够了，不用考虑ISO26262中的要求。

功能安全等级要求越高，对系统、软件、硬件的开发流程要求越严格，对硬件随机失效的要求越高。

危险分析和风险评估

Hazard analysis and risk assessment
一种为了避免不可接受的风险的方法，用于识别和归类危险事件，并制定可以预防或减轻相应危险的安全目标及其ASIL等级。

危险分析和风险评估步骤

一般有以下4个步骤：

步骤1 熟悉产品功能和失效

熟悉产品的功能和失效就是了解分析的对象，是进一步分析的基础。

步骤2 识别危险

识别可能会造成乘员人身伤害的失效。

步骤3 识别危险事件

一个危险可能只在特定的运行环境下会对人产生伤害。实例可以参见暴露定义中的例子。

识别危险事件就是找出会使危害对人产生伤害的运行环境。

步骤4 为识别的危险分类

定义危险的严重度、暴露、可控度，得出ASIL等级。同时也会得到功能安全目标（功能安全目标就是避免危险）。

危险分析和风险评估例子

这个例子来自ISO 2626-10:2011。

此例中的分析对象是一个装在车上的控制储能设备的产品。只有车速大于或等于 15km/h 时，储存的能量才应该被释放。在车速低于15 km/h 时释放能量会使设备过热，进而导致设备爆炸。

分析1:
a） 危险识别
— 导致能量非期望地释放的失效会导致爆炸

产品失效导致能量非预期地释放。储能装置爆炸，导致了车上乘员严重伤害。

根据 ISO 26262-3:2011 表 4，ASIL等级为ASIL C。

分析2:
a） 危险识别
— 失效导致能量不能被释放

b） 危险事件

— 任何驾驶工况

产品有失效但是不会导致储能设备释放能量，所以不会导致乘员伤害

版权声明： 本文为博主原创，未经许可禁止转载。原文地址： https://www.cnblogs.com/byronsh/p/hazard-analysis-and-risk-assessment.html

本文的数字签名如下：

数字签名验证方法