一文解读ISO26262安全标准:如何通过计算ASIL安全等级?
- [1 HaRa](#1 HaRa)
- [2 ASIL等级和安全目标的确定](#2 ASIL等级和安全目标的确定)
危害分析和风险评估,简称HaRa,该工作通常由整车厂商进行。 本文介绍如何进行HaRa分析,并给出ASIL的过程。
1 HaRa
那么如何进行危害分析和风险评估?
(1)风险R的相关因素
先了解这几个概念:严重度(S)、暴露概率(E)、可控性(C)。如果将风险(R)描述为一个函数(F):
F = f(f,C,S)
其中,
- 包含危害事件发生频率(f),
- 驾驶员及时反应以避免伤害或损坏的能力(可控性C),
- 以及所产生的伤害或损坏的严重度(S)。
另外还有,危害事件发生的频率 f 会受到几个因素的影响:一个是驾驶员发现自己处于可能发生的危害事件场景的时间和频次,简化成危害事件可能发生的驾驶场景的概率的度量(暴露概率 E);另一个是相关项可能导致危害事件的失效率(失效率 λ)。失效率是通过存留在系统中导致危害的硬件随机失效和系统故障来表征:
f = E × λ
所以,
F = f(f,C,S) = f(E,λ,C,S)
HaRa与相关项的定义相关,以避免不合理的风险。 由HaRa得出的ASIL等级,确定了相关项最低限度的要求,以控制或减少随机硬件失效的概率,并且避免系统性故障。在风险评估中,可以不用关注相关项的失效率,因为不合理的残余风险是可以通过安全机制来避免的。
所以进行HaRa分析的时候,要给出如下信息:
(1)对于每一个危害事件,应基于一个已确定的理由来预估潜在伤害的严重度。根据下表,应为严重度指定一个S0、S1、S2或S3的严重度等级。
| S0 | S1 | S2 | S3 | |
|---|---|---|---|---|
| 描述 | 无伤害 | 轻度和中度伤害 | 严重的和危及生命的伤害(有存活的可能) | 危及生命的伤害(存活不确定),致命的伤害 |
(2)对于每一个危害事件,应基于确定的理由预估每个运行场景的暴露概率。按照下表,应为暴露概率指定一个E0、E1、E2、E3或E4的概率等级。
| E0 | E1 | E2 | E3 | E4 | |
|---|---|---|---|---|---|
| 描述 | 不可能 | 非常低的概率 | 低概率 | 中等概率 | 高概率 |
暴露概率等级E0可用于在危害分析和风险评估过程中所建议的那些认为是几乎不可能发生或难以置信的场景,无需跟进。应记录排除这些场景的理由。如果一个危害的暴露概率等级被指定为E0,则无需分配ASIL等级。E0可用于"不可抗力"风险的情况".
(3)对于每一个危害事件,应基于一个确定的理由预估驾驶员或其他潜在处于风险的人员对该危害事件的可控性。按照表3,应为可控性指定一个C0、C1、C2或C3的可控性等级。
| C0 | C1 | C2 | C3 | |
|---|---|---|---|---|
| 描述 | 原则上可控(一般,易控),可控 | 简单可控 | 正常可控(一般) | 难以控制或不可控 |
如果相关项失效的危害不影响车辆的安全运行(例如一些驾驶员辅助系统),可控性等级可为C0。如果已经有专门法规规定了针对一个既定危害的功能表现,则该危害的可控性等级可为C0,但是,通过应用现有的经验认为达到了充分的可控性,通过讨论而定义为C0等级。如果一个危害的可控性等级为C0,则无需分配ASIL等级。
2 ASIL等级和安全目标的确定
每一个危害事件的ASIL等级应使用"严重度"、"暴露概率"和"可控性"这三个参数,,然后通过查找下表来确定。
| 严重度等级 | 暴露概率等级 | 可控性等级C1 | 可控性等级C2 | 可控性等级C3 |
|---|---|---|---|---|
| S1 | E1 | QM | QM | QM |
| S1 | E2 | QM | QM | QM |
| S1 | E3 | QM | QM | A |
| S1 | E4 | QM | A | B |
| S2 | E1 | QM | QM | QM |
| S2 | E2 | QM | QM | A |
| S2 | E3 | QM | A | B |
| S2 | E4 | A | B | C |
| S3 | E1 | QM | QM | A |
| S3 | E2 | QM | A | B |
| S3 | E3 | A | B | C |
| S3 | E4 | B | C | D |