今天很残酷,明天很残酷,好不容易熬到了后天,发现残酷依旧。
01
—
为什么我们需要HARA?
想象一下您在高速公路上开车。您踩了一脚刹车,刹车却不起作用,您的车可能会与另一个物体/车辆相撞,造成事故!我们谁也不希望发生这样的事。因为如果发生的话,会对人和环境造成很大的伤害。但我们如何确保这样的事情不会发生呢?作为安全工程师,我们如何确保车辆的功能安全,如果发生任何此类故障,我们如何预防此类事故?功能安全ISO-26262提出了在汽车ECU中实施安全的技术和方法的指导原则。HARA是一个重要的功能安全工作产品,它加快了我们创建顶层安全需求(安全目标)的步伐。
02
—
什么是HARA?
HARA(Hazard Analysis and Risk Assessment)是指危害分析和风险评估。危害分析:危险分析是整个过程的第一步,用来评估风险的ASIL等级。危险分析的目的是确定ASIL水平和所需的安全状态。风险评估(包含两方面):危害识别:识别可能造成危害的危害和风险因素。风险分析和评估:通过S、E和C分析和评估与该风险相关的风险。HARA是概念阶段的工作产品,即ISO26262V循环的第3部分。本标准的这一部分提供了HARA的详细说明。
03
—
HARA的输入和输出
HARA 的输入:相关项/系统定义;
HARA 的输出:安全目标/顶层安全需求;
相关项/系统定义中的内容是什么?
相关项定义包含系统功能的详细描述,以及系统与驱动程序的初步架构、依赖关系和交互。它还包含系统如何与环境和车辆级别的其他项交互的描述。此外,它还包含所有涉及的功能和子功能的详细信息、系统的范围和边界,以及范围中包含的任何输入或输出组件的描述。
04
—
如何执行HARA?
HARA分析的方法论:
HARA分析包含以下步骤:
Scenarios Analysis(场景分析):操作模式:在这一部分中,我们将根据与我们正在工作的系统的相关性,提供关于我们为每个功能下的所有功能选择的操作模式的信息。此信息完全取决于系统。不同的操作模式可能包括:开/关/故障/待机/活动/非活动/降级,以及一些特定于系统的操作模式。操作情况:在本部分中,我们提供有关车辆所处情况的信息。这些情况可能包括:驾驶位置、道路条件、驾驶条件、车辆状态、使用情况、驾驶员注意水平和任何其他特殊情况。只考虑需要的即可。环境条件:在本部分中,我们提供有关天气条件、能见度和其他行驶道路条件的信息。通过考虑运行模式、运行情况和环境条件,将它们合并成不同的组合来创建场景。Determination of Malfunction(故障判定):对于系统的所有特征,通过考虑危险和可操作性指南中定义的所有可能的危险,创建出可能的故障。HAZOP的指导词有:No, More, Less, As Well As, Part of, Reverse, Other than, Early, Late, Before, After, 等。
通过上述获取的场景和故障,将描述所有可能的危险、影响车辆级别的危险、系统级别的危险以及最坏情况下的事故。
Classification of Hazardous Events(危害事件分类):分类包含三个重要的指标,分别是:严重性(Severity)、暴露率(Exposure)和可控性(Controllability)。1. 根据下表,严重性(Severity)等级范围从S0到S3:
2. 根据下表,暴露率(Exposure)等级范围从E0到E4。
注:需要考虑暴露的频率和持续时间;3. 根据下表,可控性(Controllability)等级范围从C0到C3。
4. ASIL(Automotive Safety Integrity Level)代表汽车安全完整性水平。根据根据下表分类的严重性、暴露和可控性值计算ASIL:
Determination of Safety Goals and Safety State(确定安全目标和安全状态):
通过上述分析确定安全目标。安全目标是排除故障。文中还描述了安全状态。安全状态是指系统在发生任何事故之前达到的状态,以防止发生事故。
05
—
HARA的输出是什么?
HARA的输出是:安全目标或者顶层的安全需求。
有了这些安全目标,我们就可以开始我们的安全活动了。这些安全目标将进一步贯彻到功能安全要求、技术安全要求,并进一步到各自的分解或功能/领域。
以上,就是本期 Elektroauto 分享的全部内容。如果觉得内容不错的话,别忘了点一下“在看”哦,我们下期再见!