6.概念階段和系統(tǒng)開發(fā).

6.1.概述

這一條款概述了危險分析和風(fēng)險評估背后的原則，使用簡化的示例來描述這些概念。

6.2.危害分析和風(fēng)險評估實例.

6.2.1概述

考慮一個相關(guān)項控制嵌入在車輛中的儲能裝置的示例。例如，只有當(dāng)車輛運行大于或等于15公里/小時，存儲的能量才會釋放。儲存的能量在小于15公里/小時時釋放會導(dǎo)致設(shè)備過熱和隨后的爆炸。

6.2.2HARA示例1

a.危險識別

危險，“設(shè)備不必要的的能量釋放，可能導(dǎo)致爆炸”，被確定。

b.危險事件

識別的危險可能導(dǎo)致危險事件的駕駛情況被認(rèn)為是駕駛小于15公里/小時。如果在這種駕駛狀態(tài)下，由于相關(guān)項故障而產(chǎn)生的不必要的能量釋放，儲能裝置可能會爆炸，對車輛的使用者造成嚴(yán)重傷害。

c.識別的危險事件的分類

爆炸導(dǎo)致車輛乘客受到危及生命的傷害，生存不確定：嚴(yán)重程度可估計為S3。

車輛行駛速度不到15公里/小時。根據(jù)車輛目標(biāo)市場的交通統(tǒng)計，這種情況發(fā)生在駕駛時間的1%至10%之間：這種情況的暴露可估計為E3。

駕駛員或車輛乘客控制相關(guān)項故障和裝置爆炸的能力被認(rèn)為是不可信的：這種可控性可以估計為C3（難以控制或無法控制）。

應(yīng)用ISO26262-3：2018的表4：ASIL測定導(dǎo)致ASILC。

6.2.3HARA示例2

本條款考慮的情況是，不必要的釋放能量的影響本質(zhì)上受到設(shè)計改進的限制。這將導(dǎo)致對HARA的評價如下：

A.危險識別

作為一種危險，“可能導(dǎo)致爆炸的裝置不必要的能量釋放”被識別出來。

B.危險事件

對于所有駕駛情況，不必要的能量釋放不會導(dǎo)致危險事件。故相關(guān)項故障不能造成危害。

C.識別的危險事件的分類

由于相關(guān)項失效不會導(dǎo)致危害，嚴(yán)重程度分類為S0，可控性不需要確定。因此，不需要定義安全目標(biāo)。

6.3.關(guān)于可控性分類的觀察

正如【危害分析和風(fēng)險評估】(ISO26262-3：2018第6條)所解釋的，可控性代表了駕駛員或其他交通參與者能夠避免特定傷害的概率的估計。

在最簡單的情況下，對于給定的危險事件只考慮一個結(jié)果，可控性表示對避免此結(jié)果的概率的估計。然而，可能還有其他情況。例如，嚴(yán)重的結(jié)果(例如：嚴(yán)重程度等級S2)可以是可能的，但相對容易避免(例如：可控性C1)而不那么嚴(yán)重的結(jié)果(例如：更難避免(例如，S1)。c3)。假設(shè)暴露類為E4，以下一組值可以是結(jié)果，這說明導(dǎo)致最高ASIL的不一定是最高的嚴(yán)重程度：

?E4、S2、C1→ASILA；及

?E4，S1，C3→ASILb。

在本例中，ASILB是危險事件的適當(dāng)分類。

6.4.外部措施

6.4.1概述

外部措施是一種獨立于相關(guān)項的措施，它減少或減輕了相關(guān)項失效造成的風(fēng)險。

注1：外部措施可在《HARA》中考慮，如果它們與該相關(guān)項所要執(zhí)行的功能無關(guān)。

注2：外部措施作為減少ASIL的技術(shù)假設(shè)，根據(jù)ISO26262-3：2018的6.4.4.4進行了驗證。

6.4.2車輛相關(guān)外部措施的示例1

車輛A配備了一個手動操作的傳動檔位箱，可以留在任何檔位，包括空檔，一旦鑰匙關(guān)閉。車輛B配備了一個自動變速箱，在關(guān)鍵關(guān)閉時，保持一個檔位嚙合和一個正常關(guān)閉的離合器。這兩輛車都有一個額外的相關(guān)項，電動駐車制動器(EPB)。

對這兩種車輛的情況進行了分析，其中包括：

?車輛停放（鑰匙脫落，駕駛員不在場）；

?車輛是斜坡上的路邊，位于人口稠密的城市地區(qū)；及

?發(fā)生了涉及EPB突然釋放的故障。

在這種情況下，車輛A，當(dāng)非預(yù)期中留在中立的鑰匙關(guān)閉，將可能滾動，如果無人看管。這可能導(dǎo)致評估的可控性等級為C3，嚴(yán)重程度等級為S2或更高，取決于附近弱勢人員的存在，暴露等級大于E0。根據(jù)所分配的曝光評級，建議的評級導(dǎo)致ASILA和ASILC或QM之間分配的ASIL。

然而，B車總是嚙合一個檔位，所以它不移動。因此，沒有由此產(chǎn)生的危險。本設(shè)計中包含的與車輛有關(guān)的外部措施有助于消除這種情況下的風(fēng)險，但只有在自動變速箱和EPB能夠被證明是足夠獨立的情況下。

6.4.3.車輛相關(guān)外部措施的示例2

車輛A除具有停止啟動功能外，還配有動態(tài)穩(wěn)定性控制。車輛B只配備停止啟動功能。

對這兩種車輛的情況進行了分析，其中包括：

?該車輛正以中高速行駛（50公里/小時

?路面鋪設(shè)干燥，在郊區(qū)；

?該車輛正在接近道路中的中等彎曲；

?車輛速度和道路曲率有助于中高側(cè)向加速度；及

?停止啟動功能的故障觸發(fā)了不想要的發(fā)動機關(guān)閉，導(dǎo)致在場景中突然失去牽引力。

由于牽引力突然喪失，車輛上產(chǎn)生偏航力矩，要求駕駛員調(diào)整轉(zhuǎn)向輸入，重新建立車輛的控制。在B車中執(zhí)行此操作可以被證明具有較低的可控性，這可能導(dǎo)致高風(fēng)險。風(fēng)險分類將取決于所分配的風(fēng)險等級。相反，A車的動態(tài)穩(wěn)定性控制特性限制了橫向不穩(wěn)定性的影響。因此，A型車輛的可控性等級會更好因此，車輛相關(guān)的外部措施提供的

動態(tài)穩(wěn)定性控制有助于降低這種情況下的風(fēng)險。然而，只有當(dāng)可以證明正在考慮的啟動-停止功能中的故障不能傳播到動態(tài)穩(wěn)定控制功能時，情況才會如此。

注：對示例中使用的危險進行深入分析可在參考[6]中找到。

6.5.組合安全目標(biāo)的示例

6.5.1.導(dǎo)言

安全目標(biāo)是相關(guān)項的頂層安全要求。它們導(dǎo)致了必要的功能安全要求，以避免危險事件的不合理風(fēng)險。它們是根據(jù)ISO26262-3：2018的6.4.4（【功能安全的確定】在概念階段確定的。當(dāng)安全目標(biāo)相似或在不同的情況下引用相同的危險時，它們可以組合成一個單一的安全目標(biāo)，具有原始安全目標(biāo)的最高ASIL。這可以簡化進一步的開發(fā)，因為將管理更少的安全目標(biāo)，同時仍然涵蓋所有已確定的危險。

6.5.2.概述

在下面的示例中，所示的相關(guān)項、安全目標(biāo)和ASIL分類僅用于說明安全目標(biāo)組合過程。此示例不反映ISO26262系列標(biāo)準(zhǔn)在類似實際相關(guān)項上的應(yīng)用。特別是，它在故障模式識別、情況分析和車輛水平影響評估方面還不完整。

為了簡單起見，示例僅限于兩個安全目標(biāo)的組成，但相同的方法可以擴展到更多的初始安全目標(biāo)。

6.5.3.功能定義

考慮配備電氣駐車制動(EPB)系統(tǒng)的車輛。當(dāng)由特定駕駛員的要求激活時，EPB系統(tǒng)對車輛的后輪施加制動扭矩，以防止車輛在駐車時非預(yù)期移動（駐車功能）。

6.5.4.安全目標(biāo)適用于不同情況下的相同危險

6.5.4.1災(zāi)害分析和風(fēng)險評估

為了簡化示例，只考慮以下駐車功能的故障模式：

非預(yù)期駐車制動激活。

注意在這種情況下，“非預(yù)期激活”一詞是指沒有駕駛員請求的功能驅(qū)動。

這種故障模式可能會導(dǎo)致不同的車輛效應(yīng)，這取決于故障發(fā)生時的具體情況，如表1所示。

表1-不同情況下相同危險造成的安全目標(biāo)

6.5.4.2安全目標(biāo)闡述

如上所述，相同的安全目標(biāo)和安全狀態(tài)適用于這兩種情況。因此，可以定義以下安全目標(biāo)：

?安全目標(biāo)：避免車輛移動時駐車功能非預(yù)期激活；

?安全狀態(tài)：禁止EPB；及

?ASIL：表1中確定的更高ASIL被分配給這個安全目標(biāo)。

責(zé)任編輯：lq