6.概念階段和系統(tǒng)開發(fā).

6.1.概述

這一條款概述了危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估背后的原則，使用簡化的示例來描述這些概念。

6.2.危害分析和風(fēng)險(xiǎn)評(píng)估實(shí)例.

6.2.1概述

考慮一個(gè)相關(guān)項(xiàng)控制嵌入在車輛中的儲(chǔ)能裝置的示例。例如，只有當(dāng)車輛運(yùn)行大于或等于15公里/小時(shí)，存儲(chǔ)的能量才會(huì)釋放。儲(chǔ)存的能量在小于15公里/小時(shí)時(shí)釋放會(huì)導(dǎo)致設(shè)備過熱和隨后的爆炸。

6.2.2HARA示例1

a.危險(xiǎn)識(shí)別

危險(xiǎn)，“設(shè)備不必要的的能量釋放，可能導(dǎo)致爆炸”，被確定。

b.危險(xiǎn)事件

識(shí)別的危險(xiǎn)可能導(dǎo)致危險(xiǎn)事件的駕駛情況被認(rèn)為是駕駛小于15公里/小時(shí)。如果在這種駕駛狀態(tài)下，由于相關(guān)項(xiàng)故障而產(chǎn)生的不必要的能量釋放，儲(chǔ)能裝置可能會(huì)爆炸，對(duì)車輛的使用者造成嚴(yán)重傷害。

c.識(shí)別的危險(xiǎn)事件的分類

爆炸導(dǎo)致車輛乘客受到危及生命的傷害，生存不確定：嚴(yán)重程度可估計(jì)為S3。

車輛行駛速度不到15公里/小時(shí)。根據(jù)車輛目標(biāo)市場的交通統(tǒng)計(jì)，這種情況發(fā)生在駕駛時(shí)間的1%至10%之間：這種情況的暴露可估計(jì)為E3。

駕駛員或車輛乘客控制相關(guān)項(xiàng)故障和裝置爆炸的能力被認(rèn)為是不可信的：這種可控性可以估計(jì)為C3（難以控制或無法控制）。

應(yīng)用ISO26262-3：2018的表4：ASIL測定導(dǎo)致ASILC。

6.2.3HARA示例2

本條款考慮的情況是，不必要的釋放能量的影響本質(zhì)上受到設(shè)計(jì)改進(jìn)的限制。這將導(dǎo)致對(duì)HARA的評(píng)價(jià)如下：

A.危險(xiǎn)識(shí)別

作為一種危險(xiǎn)，“可能導(dǎo)致爆炸的裝置不必要的能量釋放”被識(shí)別出來。

B.危險(xiǎn)事件

對(duì)于所有駕駛情況，不必要的能量釋放不會(huì)導(dǎo)致危險(xiǎn)事件。故相關(guān)項(xiàng)故障不能造成危害。

C.識(shí)別的危險(xiǎn)事件的分類

由于相關(guān)項(xiàng)失效不會(huì)導(dǎo)致危害，嚴(yán)重程度分類為S0，可控性不需要確定。因此，不需要定義安全目標(biāo)。

6.3.關(guān)于可控性分類的觀察

正如【危害分析和風(fēng)險(xiǎn)評(píng)估】(ISO26262-3：2018第6條)所解釋的，可控性代表了駕駛員或其他交通參與者能夠避免特定傷害的概率的估計(jì)。

在最簡單的情況下，對(duì)于給定的危險(xiǎn)事件只考慮一個(gè)結(jié)果，可控性表示對(duì)避免此結(jié)果的概率的估計(jì)。然而，可能還有其他情況。例如，嚴(yán)重的結(jié)果(例如：嚴(yán)重程度等級(jí)S2)可以是可能的，但相對(duì)容易避免(例如：可控性C1)而不那么嚴(yán)重的結(jié)果(例如：更難避免(例如，S1)。c3)。假設(shè)暴露類為E4，以下一組值可以是結(jié)果，這說明導(dǎo)致最高ASIL的不一定是最高的嚴(yán)重程度：

?E4、S2、C1→ASILA；及

?E4，S1，C3→ASILb。

在本例中，ASILB是危險(xiǎn)事件的適當(dāng)分類。

6.4.外部措施

6.4.1概述

外部措施是一種獨(dú)立于相關(guān)項(xiàng)的措施，它減少或減輕了相關(guān)項(xiàng)失效造成的風(fēng)險(xiǎn)。

注1：外部措施可在《HARA》中考慮，如果它們與該相關(guān)項(xiàng)所要執(zhí)行的功能無關(guān)。

注2：外部措施作為減少ASIL的技術(shù)假設(shè)，根據(jù)ISO26262-3：2018的6.4.4.4進(jìn)行了驗(yàn)證。

6.4.2車輛相關(guān)外部措施的示例1

車輛A配備了一個(gè)手動(dòng)操作的傳動(dòng)檔位箱，可以留在任何檔位，包括空檔，一旦鑰匙關(guān)閉。車輛B配備了一個(gè)自動(dòng)變速箱，在關(guān)鍵關(guān)閉時(shí)，保持一個(gè)檔位嚙合和一個(gè)正常關(guān)閉的離合器。這兩輛車都有一個(gè)額外的相關(guān)項(xiàng)，電動(dòng)駐車制動(dòng)器(EPB)。

對(duì)這兩種車輛的情況進(jìn)行了分析，其中包括：

?車輛停放（鑰匙脫落，駕駛員不在場）；

?車輛是斜坡上的路邊，位于人口稠密的城市地區(qū)；及

?發(fā)生了涉及EPB突然釋放的故障。

在這種情況下，車輛A，當(dāng)非預(yù)期中留在中立的鑰匙關(guān)閉，將可能滾動(dòng)，如果無人看管。這可能導(dǎo)致評(píng)估的可控性等級(jí)為C3，嚴(yán)重程度等級(jí)為S2或更高，取決于附近弱勢人員的存在，暴露等級(jí)大于E0。根據(jù)所分配的曝光評(píng)級(jí)，建議的評(píng)級(jí)導(dǎo)致ASILA和ASILC或QM之間分配的ASIL。

然而，B車總是嚙合一個(gè)檔位，所以它不移動(dòng)。因此，沒有由此產(chǎn)生的危險(xiǎn)。本設(shè)計(jì)中包含的與車輛有關(guān)的外部措施有助于消除這種情況下的風(fēng)險(xiǎn)，但只有在自動(dòng)變速箱和EPB能夠被證明是足夠獨(dú)立的情況下。

6.4.3.車輛相關(guān)外部措施的示例2

車輛A除具有停止啟動(dòng)功能外，還配有動(dòng)態(tài)穩(wěn)定性控制。車輛B只配備停止啟動(dòng)功能。

對(duì)這兩種車輛的情況進(jìn)行了分析，其中包括：

?該車輛正以中高速行駛（50公里/小時(shí)

?路面鋪設(shè)干燥，在郊區(qū)；

?該車輛正在接近道路中的中等彎曲；

?車輛速度和道路曲率有助于中高側(cè)向加速度；及

?停止啟動(dòng)功能的故障觸發(fā)了不想要的發(fā)動(dòng)機(jī)關(guān)閉，導(dǎo)致在場景中突然失去牽引力。

由于牽引力突然喪失，車輛上產(chǎn)生偏航力矩，要求駕駛員調(diào)整轉(zhuǎn)向輸入，重新建立車輛的控制。在B車中執(zhí)行此操作可以被證明具有較低的可控性，這可能導(dǎo)致高風(fēng)險(xiǎn)。風(fēng)險(xiǎn)分類將取決于所分配的風(fēng)險(xiǎn)等級(jí)。相反，A車的動(dòng)態(tài)穩(wěn)定性控制特性限制了橫向不穩(wěn)定性的影響。因此，A型車輛的可控性等級(jí)會(huì)更好因此，車輛相關(guān)的外部措施提供的

動(dòng)態(tài)穩(wěn)定性控制有助于降低這種情況下的風(fēng)險(xiǎn)。然而，只有當(dāng)可以證明正在考慮的啟動(dòng)-停止功能中的故障不能傳播到動(dòng)態(tài)穩(wěn)定控制功能時(shí)，情況才會(huì)如此。

注：對(duì)示例中使用的危險(xiǎn)進(jìn)行深入分析可在參考[6]中找到。

6.5.組合安全目標(biāo)的示例

6.5.1.導(dǎo)言

安全目標(biāo)是相關(guān)項(xiàng)的頂層安全要求。它們導(dǎo)致了必要的功能安全要求，以避免危險(xiǎn)事件的不合理風(fēng)險(xiǎn)。它們是根據(jù)ISO26262-3：2018的6.4.4（【功能安全的確定】在概念階段確定的。當(dāng)安全目標(biāo)相似或在不同的情況下引用相同的危險(xiǎn)時(shí)，它們可以組合成一個(gè)單一的安全目標(biāo)，具有原始安全目標(biāo)的最高ASIL。這可以簡化進(jìn)一步的開發(fā)，因?yàn)閷⒐芾砀俚陌踩繕?biāo)，同時(shí)仍然涵蓋所有已確定的危險(xiǎn)。

6.5.2.概述

在下面的示例中，所示的相關(guān)項(xiàng)、安全目標(biāo)和ASIL分類僅用于說明安全目標(biāo)組合過程。此示例不反映ISO26262系列標(biāo)準(zhǔn)在類似實(shí)際相關(guān)項(xiàng)上的應(yīng)用。特別是，它在故障模式識(shí)別、情況分析和車輛水平影響評(píng)估方面還不完整。

為了簡單起見，示例僅限于兩個(gè)安全目標(biāo)的組成，但相同的方法可以擴(kuò)展到更多的初始安全目標(biāo)。

6.5.3.功能定義

考慮配備電氣駐車制動(dòng)(EPB)系統(tǒng)的車輛。當(dāng)由特定駕駛員的要求激活時(shí)，EPB系統(tǒng)對(duì)車輛的后輪施加制動(dòng)扭矩，以防止車輛在駐車時(shí)非預(yù)期移動(dòng)（駐車功能）。

6.5.4.安全目標(biāo)適用于不同情況下的相同危險(xiǎn)

6.5.4.1災(zāi)害分析和風(fēng)險(xiǎn)評(píng)估

為了簡化示例，只考慮以下駐車功能的故障模式：

非預(yù)期駐車制動(dòng)激活。

注意在這種情況下，“非預(yù)期激活”一詞是指沒有駕駛員請(qǐng)求的功能驅(qū)動(dòng)。

這種故障模式可能會(huì)導(dǎo)致不同的車輛效應(yīng)，這取決于故障發(fā)生時(shí)的具體情況，如表1所示。

表1-不同情況下相同危險(xiǎn)造成的安全目標(biāo)

6.5.4.2安全目標(biāo)闡述

如上所述，相同的安全目標(biāo)和安全狀態(tài)適用于這兩種情況。因此，可以定義以下安全目標(biāo)：

?安全目標(biāo)：避免車輛移動(dòng)時(shí)駐車功能非預(yù)期激活；

?安全狀態(tài)：禁止EPB；及

?ASIL：表1中確定的更高ASIL被分配給這個(gè)安全目標(biāo)。

責(zé)任編輯：lq