汽车功能安全 - 危险分析和风险评估
术语
注: 下面的术语的定义是作者基于ISO 26262的定义,再加上自己的理解给出的,和ISO 26262会有些差别。正式、准确、完整的定义请参考ISO 26262。
危险
Harzard
危险 是可能会造成人身伤害的失效。
注意:不会造成人身伤害的失效不是危险。比如汽车的收音机坏了,这个失效会导致乘员不能收听广播,但不会造成乘员人身伤害,所以它不是危险。
什么是失效可以参见文章潜在失效模式和后果分析 FMEA 10分钟教程中失效模式的解释。
暴露率
Exposure
暴露率,描述危险出现时,人员暴露在失效能造成危害的场景中的概率。
注意:
- 暴露率和失效的发生概率无关,和失效能造成危害的场景的概率有关。
- 危险一般只在特定的场景下才能会对人产生伤害。比如安全气囊不能弹出只在汽车发生碰撞时才会对乘员造成伤害
暴露率分为五个等级,分别为E0/E1/E2/E3/E4。E0是几乎不可能暴露于危险中,E4是可能性极高。
暴露率等级 | E0 | E1 | E2 | E3 | E4 |
---|---|---|---|---|---|
场景发生的可能性 | 不可能发生 | 可能性非常低 | 可能性低 | 有一半的可能性 | 可能性非常高 |
例子1:
安全气囊的功能是在汽车发生碰撞时弹出气囊保护乘员。
失效1.1: 安全气囊不能弹出。
失效1.1在汽车正常驾驶状态(这里指没有发生碰撞)不会对乘员造成伤害,在汽车碰撞时会因为气囊不能弹出而对乘员造成伤害。所以失效1.1的暴露率就是是汽车碰撞事件的发生概率。平均每个司机发生碰撞事故的频率小于一年一次,根据ISO26262:2011-3 table B.3,暴露率可评为E0。
例子2:
电动辅助转向的功能是在驾驶员转向时提供辅助动力,辅助驾驶员转向。
失效2.1: 辅助转向提供的辅助力方向和实际转向方向不同。
失效2.1在汽车静止时不会对乘员造成伤害,在运动运行状态可能导致车辆失控,对乘员造成伤害,所以失效2.1的暴露率可以用汽车运动状态时长占整车运行时长比例表示,几乎100%的暴露率,暴露率可评为E3。
严重度
Severity
严重度 描述危险可能对驾驶员、乘员、或者行人等涉险人员的伤害程度。比如助理转向失灵比轮胎漏气的严重度高。
严重分为4个等级,分别为S0/S1/S2/S3,级别越高,伤害越严重。
严重度等级 | S0 | S2 | S3 | S4 |
---|---|---|---|---|
伤害等级 | 没有伤害 | 轻度或中度伤害 | 重度或危及生命(还有生还的可能性) | 威胁生命安全(几乎没有生还的可能性) |
可控度
Controllability
可控度 描述危险出现时,驾驶员或其他涉险人员通过及时反应能够避免事故或伤害的可能性。比如轮胎漏气比助理转向失灵的可控度高。
可控度总共4个等级,分别为C0/C1/C2/C3,等级越高,可控性越差。
可控度 | C0 | C1 | C2 | C3 |
---|---|---|---|---|
可控的能力 | 可控 | 简单可控 | 一般可控 | 几乎不可控 |
危险事件
Hazardous event
危险事件 是一个危险和一个运行场景的组合。
把危险和运行场景拆开,是因为危险一般只在特定的运行场景下才能会对人产生伤害。详细解释参见暴露率的定义。
汽车安全完整性等级
Automotive Safety Integrity Level (ASIL)
ASIL等级基于S、E、C这三个影响因子,按照下表确定。
ASIL描述危险的风险等级,其中D代表最高等级,A代表最低等级,QM表示质量管理(Quality Management),表示按照质量管理体系开发系统或功能就足够了,不用考虑ISO26262中的要求。
功能安全等级要求越高,对系统、软件、硬件的开发流程要求越严格,对硬件随机失效的要求越高。
危险分析和风险评估
Hazard analysis and risk assessment
一种为了避免不可接受的风险的方法,用于识别和归类危险事件,并制定可以预防或减轻相应危险的安全目标及其ASIL等级。
危险分析和风险评估步骤
一般有以下4个步骤:
步骤1: 熟悉产品功能和失效
步骤2: 识别危险
步骤3: 识别危险事件
步骤4: 为识别的危险分类
步骤1 熟悉产品功能和失效
熟悉产品的功能和失效就是了解分析的对象,是进一步分析的基础。
步骤2 识别危险
识别可能会造成乘员人身伤害的失效。
步骤3 识别危险事件
一个危险可能只在特定的运行环境下会对人产生伤害。实例可以参见暴露定义中的例子。
识别危险事件就是找出会使危害对人产生伤害的运行环境。
步骤4 为识别的危险分类
定义危险的严重度、暴露、可控度,得出ASIL等级。同时也会得到功能安全目标(功能安全目标就是避免危险)。
危险分析和风险评估例子
这个例子来自ISO 2626-10:2011。
此例中的分析对象是一个装在车上的控制储能设备的产品。只有车速大于或等于 15km/h 时,储存的能量才应该被释放。在车速低于15 km/h 时释放能量会使设备过热,进而导致设备爆炸。
分析1:
a) 危险识别
-- 导致能量非期望地释放的失效会导致爆炸
b) 危险事件
在此例中,考虑以下驾驶环境:
-- 车速低于15 km/h 的交通堵塞环境
产品失效导致能量非预期地释放。储能装置爆炸,导致了车上乘员严重伤害。
c)为识别的危险分类
爆炸导致乘员受到威胁生命的伤害,不一定生还,所以严重度定义为S3。
车辆在交通堵塞下缓行,车速低于15 km/h。基于目标市场交通统计数据,这个环境的暴露可以估计为E3(发生占驾驶时间的1%到10%)。
车内驾驶员或乘客控制产品失效和设备爆炸的能力被认为是不可能,所以可控度可以被估计为C3(很难控制或不可控)
根据 ISO 26262-3:2011 表 4,ASIL等级为ASIL C。
分析2:
a) 危险识别
-- 失效导致能量不能被释放
b) 危险事件
-- 任何驾驶工况
产品有失效但是不会导致储能设备释放能量,所以不会导致乘员伤害
c)为识别的危险分类
因为产品的失效并不会导致伤害,所以严重度定义为S0,并且不需要确定可控度。因此不需要确定安全目标。
版权声明: 本文为博主原创,未经许可禁止转载。原文地址: https://www.cnblogs.com/byronsh/p/hazard-analysis-and-risk-assessment.html
本文的数字签名如下:
MGUCMCZ04yLcQ79NlLG5Np7fHwip886tPHvKzh0fK4+oTAxekWEb5edGo5+7JbXIAJDHuwIxAMAfnL6vUdVmD2p9kNmRRSIguOkcVbtkr23jkWVcvU3rRLL9tIzPWtGTZuxhCuczVw==
--- 2019-7-20 9:31:11