概念阶段和系统开发-电子发烧友网

6.概念阶段和系统开发.

6.1.概述

这一条款概述了危险分析和风险评估背后的原则，使用简化的示例来描述这些概念。

6.2.危害分析和风险评估实例.

6.2.1概述

考虑一个相关项控制嵌入在车辆中的储能装置的示例。例如，只有当车辆运行大于或等于15公里/小时，存储的能量才会释放。储存的能量在小于15公里/小时时释放会导致设备过热和随后的爆炸。

6.2.2HARA示例1

a.危险识别

危险，“设备不必要的的能量释放，可能导致爆炸”，被确定。

b.危险事件

识别的危险可能导致危险事件的驾驶情况被认为是驾驶小于15公里/小时。如果在这种驾驶状态下，由于相关项故障而产生的不必要的能量释放，储能装置可能会爆炸，对车辆的使用者造成严重伤害。

c.识别的危险事件的分类

爆炸导致车辆乘客受到危及生命的伤害，生存不确定：严重程度可估计为S3。

车辆行驶速度不到15公里/小时。根据车辆目标市场的交通统计，这种情况发生在驾驶时间的1%至10%之间：这种情况的暴露可估计为E3。

驾驶员或车辆乘客控制相关项故障和装置爆炸的能力被认为是不可信的：这种可控性可以估计为C3（难以控制或无法控制）。

应用ISO26262-3：2018的表4：ASIL测定导致ASILC。

6.2.3HARA示例2

本条款考虑的情况是，不必要的释放能量的影响本质上受到设计改进的限制。这将导致对HARA的评价如下：

A.危险识别

作为一种危险，“可能导致爆炸的装置不必要的能量释放”被识别出来。

B.危险事件

对于所有驾驶情况，不必要的能量释放不会导致危险事件。故相关项故障不能造成危害。

C.识别的危险事件的分类

由于相关项失效不会导致危害，严重程度分类为S0，可控性不需要确定。因此，不需要定义安全目标。

6.3.关于可控性分类的观察

正如【危害分析和风险评估】(ISO26262-3：2018第6条)所解释的，可控性代表了驾驶员或其他交通参与者能够避免特定伤害的概率的估计。

在最简单的情况下，对于给定的危险事件只考虑一个结果，可控性表示对避免此结果的概率的估计。然而，可能还有其他情况。例如，严重的结果(例如：严重程度等级S2)可以是可能的，但相对容易避免(例如：可控性C1)而不那么严重的结果(例如：更难避免(例如，S1)。c3)。假设暴露类为E4，以下一组值可以是结果，这说明导致最高ASIL的不一定是最高的严重程度：

ØE4、S2、C1→ASILA；及

ØE4，S1，C3→ASILb。

在本例中，ASILB是危险事件的适当分类。

6.4.外部措施

6.4.1概述

外部措施是一种独立于相关项的措施，它减少或减轻了相关项失效造成的风险。

注1：外部措施可在《HARA》中考虑，如果它们与该相关项所要执行的功能无关。

注2：外部措施作为减少ASIL的技术假设，根据ISO26262-3：2018的6.4.4.4进行了验证。

6.4.2车辆相关外部措施的示例1

车辆A配备了一个手动操作的传动档位箱，可以留在任何档位，包括空档，一旦钥匙关闭。车辆B配备了一个自动变速箱，在关键关闭时，保持一个档位啮合和一个正常关闭的离合器。这两辆车都有一个额外的相关项，电动驻车制动器(EPB)。

对这两种车辆的情况进行了分析，其中包括：

Ø车辆停放（钥匙脱落，驾驶员不在场）；

Ø车辆是斜坡上的路边，位于人口稠密的城市地区；及

Ø发生了涉及EPB突然释放的故障。

在这种情况下，车辆A，当非预期中留在中立的钥匙关闭，将可能滚动，如果无人看管。这可能导致评估的可控性等级为C3，严重程度等级为S2或更高，取决于附近弱势人员的存在，暴露等级大于E0。根据所分配的曝光评级，建议的评级导致ASILA和ASILC或QM之间分配的ASIL。

然而，B车总是啮合一个档位，所以它不移动。因此，没有由此产生的危险。本设计中包含的与车辆有关的外部措施有助于消除这种情况下的风险，但只有在自动变速箱和EPB能够被证明是足够独立的情况下。

6.4.3.车辆相关外部措施的示例2

车辆A除具有停止启动功能外，还配有动态稳定性控制。车辆B只配备停止启动功能。

对这两种车辆的情况进行了分析，其中包括：

Ø该车辆正以中高速行驶（50公里/小时

Ø路面铺设干燥，在郊区；

Ø该车辆正在接近道路中的中等弯曲；

Ø车辆速度和道路曲率有助于中高侧向加速度；及

Ø停止启动功能的故障触发了不想要的发动机关闭，导致在场景中突然失去牵引力。

由于牵引力突然丧失，车辆上产生偏航力矩，要求驾驶员调整转向输入，重新建立车辆的控制。在B车中执行此操作可以被证明具有较低的可控性，这可能导致高风险。风险分类将取决于所分配的风险等级。相反，A车的动态稳定性控制特性限制了横向不稳定性的影响。因此，A型车辆的可控性等级会更好因此，车辆相关的外部措施提供的

动态稳定性控制有助于降低这种情况下的风险。然而，只有当可以证明正在考虑的启动-停止功能中的故障不能传播到动态稳定控制功能时，情况才会如此。

注：对示例中使用的危险进行深入分析可在参考[6]中找到。

6.5.组合安全目标的示例

6.5.1.导言

安全目标是相关项的顶层安全要求。它们导致了必要的功能安全要求，以避免危险事件的不合理风险。它们是根据ISO26262-3：2018的6.4.4（【功能安全的确定】在概念阶段确定的。当安全目标相似或在不同的情况下引用相同的危险时，它们可以组合成一个单一的安全目标，具有原始安全目标的最高ASIL。这可以简化进一步的开发，因为将管理更少的安全目标，同时仍然涵盖所有已确定的危险。

6.5.2.概述

在下面的示例中，所示的相关项、安全目标和ASIL分类仅用于说明安全目标组合过程。此示例不反映ISO26262系列标准在类似实际相关项上的应用。特别是，它在故障模式识别、情况分析和车辆水平影响评估方面还不完整。

为了简单起见，示例仅限于两个安全目标的组成，但相同的方法可以扩展到更多的初始安全目标。

6.5.3.功能定义

考虑配备电气驻车制动(EPB)系统的车辆。当由特定驾驶员的要求激活时，EPB系统对车辆的后轮施加制动扭矩，以防止车辆在驻车时非预期移动（驻车功能）。

6.5.4.安全目标适用于不同情况下的相同危险

6.5.4.1灾害分析和风险评估

为了简化示例，只考虑以下驻车功能的故障模式：

非预期驻车制动激活。

注意在这种情况下，“非预期激活”一词是指没有驾驶员请求的功能驱动。

这种故障模式可能会导致不同的车辆效应，这取决于故障发生时的具体情况，如表1所示。

表1-不同情况下相同危险造成的安全目标