功能安全之风险评估（HARA）

3.1风险评估

在风险评估过程中，假设物品的故障行为导致危险。根据定义，危险是潜在的危害源，其严重依赖于故障发生时的驾驶情况。因此，第一步可以是假定车辆驾驶或操作场景以指定伤害。根据操作方案，根据提供的指南确定暴露于该方案的可能性

3.1.1这份文件。对于危险事件，严重性和可控性分别按照4.2.2和4.2.3中提供的指南进行分配。对于给定的危险事件，对于包含该物品的车辆的合理且可预见的操作情况，重复该过程。

风险评估的结果取决于项目，车辆和数据的可用性。物品的功能设计和车辆特性将影响由此产生的危害情景的规格，以及E，S和C参数的类别和基本原理。分析师将这些因素考虑在内，并将分析的基本原理建立在待开发系统的特定特征上。

对于每个分析的危险事件，应记录最高ASIL以及指定暴露，严重性和可控性的基本原理（例如，在HARA模板中）。

注1：确定暴露率，严重性和可控性的顺序可以置换（即重新排序）。本文件假定暴露率，严重性和可控性按照图1中给出的顺序确定。

图1 -风险评估过程示例

4.2.1第1步- 暴露率测定

4.2.1.1一般信息

根据ISO 26262-3：2011 [1]，将车辆运行情况的暴露分配到表4中所示的五个等级之一。表4总结了表2，B.2和B.3中的示例。ISO 26262-3：2011 [1]针对各种暴露等级，包括暴露频率和暴露于车辆运行状况的持续时间。根据图1，风险评估的第一步是评估暴露于特定车辆运行情况的概率。这可能涉及同时需要的几个条件。暴露测定的目的是理解现实情况，包括正常驾驶条件和不利驾驶条件。但是，应该注意的是，不同的交通规则，环境条件等会影响所考虑的情况，并可能导致不同的暴露。

表4 -根据ISO 26262：2011 [1]的暴露等级描述

类	描述	基于频率的暴露信息标准（见[1]，第3部分表B.3）	基于持续时间的暴露信息标准（见[1]第3部分表B.2）
E0*	难以置信	未标明	未标明
E1	概率很低	绝大多数司机每年发生的次数少于一次	未标明
E2	概率低	绝大多数司机每年都会发生几次	平均运行时间的1％
E3	概率中等	对于普通驾驶员而言，每月或更多次发生一次	平均运行时间的1％至10％
E4	概率很高	几乎在每个驱动器中平均发生	>平均运行时间的10％
*没有为E0分配ASIL。

4.2.1.2基于持续时间的暴露率

如果故障行为直接导致危险事件，则根据车辆运行情况的持续时间选择暴露等级。

示例：考虑电动助力转向辅助系统错误施加的转向扭矩。当车辆处于静止状态时，这对驾驶员来说可能是轻微的后果，但是如果车辆沿着高速公路行驶，则驾驶员可能会离开预定的路径。为了沿着高速公路行驶，基于该车辆运行状况的持续时间来指定E4，因为它发生在整个运行时间的10％以上。

注意：随后可能会出现与危险相关的伤害的可能性，具体取决于处于风险中的人员或环境中的事件。

4.2.1.3基于频率的暴露率

暴露等级不仅适用于车辆操作情况，其中考虑的故障行为可直接导致危险事件（情况的持续时间相关），而且还适用于情况或状况可能引发危险事件的情况，如系统中的故障的结果已经在较早的时间点发生并且保持潜伏状态。因此，这种情况的发生将直接引发危险事件，因为它与预先存在的故障相结合而不管其持续时间

示例：可以选择暴露率频率来激活车辆后部的倒车灯。对于该示例，可以预期车辆操作情况“反向车辆”经常发生，因此选择E4。选择频率是因为无论何时发生灯故障，一旦齿轮转换到倒档就可能触发危险。

4.2.1.4车辆运行情况

图2提供了可用作起始参考的车辆操作情况列表。此示例列表不应被视为详尽无遗，并且在许多情况下可以并且应该组合这些情况以减少和简化HARA中考虑的情况列表（参见ISO 26262-3：2011,7.4.4.2）。

图2 -潜在的车辆运行情况（示例）

4.2.1.5暴露等级分配指南

1.风险评估中的风险评估基于对适用和可用数据的专家评估以及考虑不同地理位置或目标市场的交通概况，文化，道路状况和驾驶风格的信息。如有疑问，可以使用估算。

2.暴露的分配可以考虑暴露于车辆运行状况的频率或暴露于车辆运行状况的总体持续时间的概率。在某些情况下，两种暴露标准都可能适用，在这种情况下，必须单独评估每个标准，从而导致单独的ASIL指定。

示例：根据暴露持续时间，暴露于“洗车”情景可以根据暴露频率和E2产生E3。

3.可以通过考虑在某种车辆的实际使用中发生的情况来完成对暴露率的评估。如果合适，可以考虑目标市场特定的风险。但是，这不应该用于人为地增加或减少暴露因子。

4.ISO 26262-3：2011 [1]中提供的用于暴露率的车辆操作情况的示例可以用作暴露率分配的参考。

5.在评估某些车辆运行情况时，可能需要多个因素来使危险进展到导致特定危害的点。除了可能导致车辆运行情况的若干因素之外，一些因素可能是密切相关的。对于危险事件先决条件的任何组合因素的正确暴露因子通过识别因子之间的相关性来计算。

示例：如果存在冰雪，则与道路上的摩擦减少高度相关。如果雪/冰的存在和减少的道路摩擦分别被认为是E2级暴露，那么要求两个E2额定暴露因子不应该导致相当于小于E2的暴露。实际上，错误地将这些因素视为独立因素将会导致低估的暴露率类别。

6.在HARA中，维护人员不应评估由常见工作场所安全义务所涵盖的危险以及由维修项目引起的所有危险（见4.1，注1）。

7.定义的危险事件必须足够具体，以便规定危害并始终如一地确定可控性。

·情况可以分为其他特定情况（可能导致不同的S和/或C类）。

·如果结果相似或相同，则应结合与相同危险相关的多种情况。

·上述指南不得用于人为增加或减少暴露因子。

·这并不是要求对所有可能的组合进行详尽的检查;足以考虑具有代表性的车辆运行情况，包括那些导致最高ASIL的情况。

4.2.2第2步- 严重性确定

4.2.2.1一般信息

根据ISO 26262：2011 [1]，特定危险事件造成的潜在危害的严重等级被分配到表5中所示的四个等级之一。这些严重等级是为分配ASIL提供指导的一般类别。对于特定的危险事件。

严重级别通常不能确定性地分配，因为任何实际碰撞的结果严重性取决于许多因素，其中许多因素无法提前确定。影响严重程度的因素包括：

1.碰撞类型- 例如平面（例如头部，后端，侧面碰撞）

2.碰撞参与者之间或单个车辆事件发生时的相对速度

3.相关车辆的相对尺寸，高度和结构完整性（即碰撞兼容性）

4.车辆乘员和非乘员受到碰撞力的健康和年龄

5.安全防护设备（例如安全带，儿童安全带）的车辆使用者是否使用

6.合格，快速紧急援助的可用性和响应（急救队）

在这些因素中，可以投射一些碰撞特性，并且在某些情况下，可以投射估计的相对碰撞速度。对于假定的危险事件，无法事先合理预测可能影响损伤结果严重程度的大多数其他因素。上述因素在实际可行的范围内被视为确定风险评估期间使用的暴露和可控性因素的一部分。

在除了最微不足道的碰撞之外的所有碰撞中，包括死亡在内的伤害的可能性永远不会等于零。对于所有道路使用者而言，可能影响伤害潜力的特征是极其多样的，包括驾驶者（机动车辆驾驶员和乘客）和非驾车者（例如，行人和脚踏车）。参与交通碰撞的人员包括年轻，健康的人，这些人可能能够容忍相当大的碰撞力，而不会对老年人，体弱的个体造成重大伤害，即使在轻微的低速碰撞中也可能容易受到重大伤害。因此，几乎任何碰撞类型的结果都包括结果可能性的分布，范围从财产损失到无伤害到死亡。

表5提供了ISO 26262：2011 [1] S0-S3严重性类的描述。

表5 - ISO 26262：2011 [1]的严重等级描述

严重等级	描述
S0*	没有伤害
S1	轻微和中度伤害
S2	严重和危及生命的伤害，生存可能
S3	生命威胁伤害（生存不确定），致命伤害

*没有为S0分配ASIL。

注意：有关严重性分类的示例，请参阅ISO 26262-3：2011，表B1。

严重性类将根据代表性危险事件方案分配给给定的危险事件。开发此假设方案将涉及从多个信息源中提取，包括但不要求或限于专家分析和判断，分析特定相关崩溃或测试的技术报告，模拟实验和历史崩溃数据。附录B提供了一些一般信息，可用于为给定的车辆级运动控制危险分配适当的严重级别。

4.2.2.2碰撞相关危险的严重等级分配指南

1.HARA中的严重等级分配需要专家评估和考虑相关交通概况，车辆速度和道路状况的代表性样本。对历史事故数据的分析倾向于高估未来道路和车辆技术随着时间的推移而不断改善的伤害风险度量（防撞性和防撞性），以及改善道路使用者行为的教育和执法工作，但也可能不会包括适用于与新功能相关的不同场景的数据。在这种情况下，可以使用模型将新场景插入历史数据的上下文中，以便更好地预测结果。

2.通常，道路使用者受伤风险随着碰撞速度的增加而增加。对于平面碰撞，某些历史事故数据库中可用的delta速度（delta v）的碰撞后估计可能有助于事故严重性评估。可以考虑其他碰撞后估计来代替Δv（例如，能量等效速度，车辆/物体之间的相对速度），并且可以考虑诸如车辆重叠和挤压/侵入的其他碰撞特性。附录B提供了一些可能有助于严重性分类的一般指导。对于非平面碰撞，例如车辆侧翻，可以考虑根据危险情况的其他可用标准用于严重性估计。ISO 26262-3：2011 [1]中提供的严重性示例也可以视为严重性分配的参考。

3.在根据历史数据确定可能的严重性碰撞结果分类时，应考虑可用数据与正在开发的系统的相关性。例如，随着新的主动安全功能被引入，其在某些即将发生的碰撞情况下自动干预以控制车辆动态，驾驶员和车辆控制之间的平衡正在改变。因此，当前数据可能并不总是反映新功能的应用可能的结果。在确定该产品的严重性和ASIL时，车辆或系统制造商应考虑应用于其特定车辆的所有技术。

正在考虑的代表性方案的严重性级别记录在HARA中。

注1：严重性等级的分配也应考虑相对于暴露。如果选择的严重性高于一般驾驶情况的交通数据所指示的那么，则应选择暴露与处于该驾驶状况的可能性一致并且暴露于故障将导致危险事件的情况导致更严重的伤害。

注2：历史崩溃数据不一定能预测未来碰撞类型的伤害结果。由于车辆，道路和道路使用者的行为会随着时间的推移而不断变化以改善交通安全，因此历史崩溃数据往往会高估未来的碰撞风险和伤害严重程度。因此，不建议将历史崩溃数据简单应用于项目伤害结果，并将严重级别分配给特定的车辆级别危险。

4.2.3步骤3 - 可控性确定

4.2.3.1一般信息

根据ISO 26262-3：2011 [1]，危险事件的可控性分配到四个级别之一，如表6所示。

表6 - ISO 26262：2011 [1]的可控性等级描述

可控性等级	标题	描述
C0*	一般可控	如果存在针对特定危险的专用法规，则可控性在与其一致时可以被评定为C0 关于充分可控性的相应现有经验。对于C0的使用，参见ISO 26262-3：2011,7.4.3.8。
C1	简单可控	99％或更多的司机或其他交通参与者通常能够避免指定的伤害。
C2	通常可控制	所有司机或其他交通参与者中的90％或更多通常能够避免指定的伤害
C3	难以控制或无法控制	所有司机或其他交通参与者中不到90％通常能够避免指定的伤害

*没有为C0分配ASIL。

注意：说明使用了基于ISO 26262-3：2011,7.4.3.7，注2的“指定危害”。

4.2.3.2可控性等级分配指南

1.可控性等级可以通过使用可用数据，通过在模拟器或车辆中执行测试或通过咨询跨学科专家团队（例如，人为因素）来确定。

2.ISO 26262-3：2011，附录B.4中提供的“可控性”示例也可视为“可控性”分配的参考。

3.在可控性确定期间，当E / E系统发生故障可能导致驾驶员反应时，可能会考虑危险对相关人员的不利影响（参见ISO 26262-3：2011,8.4.2.6）。为了评估这种潜在的不利影响，可以采用“高级驾驶辅助系统设计和评估实践规范[3]”的方法。这是由Response 3项目起草的，并得到了欧洲汽车制造商协会（ACEA）的认可。

4.由驾驶员损伤（即驾驶员使用药物，酒精或睡眠剥夺）或驾驶员疏忽或分心造成的延长响应时间不包括在可控性考虑因素中（参见ISO 26262-3：2011,7.4.3.7，注2）。

5.在适用于特定分析时，应考虑合理可预见的误用。

6.可以考虑相关的环境特征（例如道路上的护栏）和驾驶员体验/行为/训练。如果项目与其他车载系统之间存在足够的独立性，如果它们能够在危险事件期间减轻危险，则可以在HARA中考虑相关的车载系统（ISO 26262-3：2011,7.4.1.2，注1）。

7.当需要为特定车辆平台设置可控性等级时，不应将可选的安全或驾驶员辅助系统（例如，车道保持辅助系统）视为降低风险的措施。

4.2.4第4步- ASIL测定

4.2.4.1结合S，E和C来确定ASIL

根据ISO 26262-3：2011,7.4.4.1，根据ISO 26262-3：2011表4，使用参数“严重性”，“暴露概率”和“可控性”确定每个危险事件的ASIL [1]。ASIL确定基于S，E和C一致的相关场景。

注意：如果新系统的合成ASIL与具有大量现场历史的类似现有系统的危险经验不一致，则可能表明用于导出新系统的S，E和C类的现场和交通数据需要要重新检查。这也与HARA过程本质上是迭代的事实一致。

表7 -根据ISO 26262-3：2011确定ASIL的标准[1]

ASIL测定	C1	C2	C3
S1	E1	质量管理	质量管理	质量管理
E2	质量管理	质量管理	质量管理
E3	质量管理	质量管理	A
E4	质量管理	A	B
S2	E1	质量管理	质量管理	质量管理
E2	质量管理	质量管理	A
E3	质量管理	A	B
E4	A	B	C
S3	E1	质量管理	质量管理	A
E2	质量管理	A	B
E3	A	B	C
E4	B	C	D

在为新系统确定ASIL时，可以在适当时将可能由新系统故障行为导致的严重性和事故发生的严重性与现有相关事故数据进行比较。然后可以评估测试对象的危险响应行为以得出初始可控性类别。

评估人员应避免高估严重性，暴露和可控性等级以及由此导致的ASIL，否则可能导致功能降低，甚至取消可能改善车辆整体安全性的有益特征。同样，评估人员还应避免低估严重性，暴露和可控性等级以及由此导致的ASIL，否则可能导致安全要求不足。

4.3安全目标与安全状态之间的关系

在执行HARA时，输出是一组安全目标以确保安全操作。这些是源于物品故障行为可能导致的潜在危险。安全状态和相关安全措施在功能或技术安全概念中明确规定，以便在项目出现故障时实现安全目标。安全状态并不总是需要HARA，尽管在安全状态与项目级别的特定故障相同的情况下，可能由HARA引起涉及安全状态条件的危险。因此，由于安全目标和安全状态都是由于考虑到安全生命周期中不同点的故障行为而导致的，因此可能导致不一致。为了保证安全案例的一致性，建议注意安全状态不违反安全目标。该建议可以通过安全目标和安全状态的不同表述来实现。例如，安全目标可以是“避免在没有警告的情况下失去即将发生的碰撞制动功能”，并且安全状态可以是“禁用该功能并通知驾驶员该功能不可用”。在这种安全状态下，警告减轻了功能丧失的结果，因为驾驶员意识到他不能依赖它。安全概念和HARA必须一致，否则会对安全情况产生不利影响。如果安全目标的安全状态导致违反不同的，不太重要的安全目标，则必须注意其各自的安全要求保持一致。建议支持该策略的理由。

示例：考虑一个系统，其中避免故障被指定为具有高，依赖于车辆的ASIL的安全目标。然后，分析人员也错误地将此故障指定为开发概念阶段的“安全状态”，就像以前的应用程序中所做的那样，故障被指定为较低的ASIL。然后，在硬件设计阶段，当在确定单点故障度量时分析组件故障的影响时，指定诸如安全机制的措施导致故障。然而，这违反了要求安全机制导致安全状态的安全目标。技术安全概念现在有一个矛盾。为了解决这个问题，可以指定不同的安全状态，或者可以重新设计故障条件，并且可以重复HARA。

审核编辑 ：李倩