ISO 26262 之 HARA 分析

2020-03-25 13:34

“如果有一天道琼斯指数单日下跌超过1000点，那么时任M国总统应该被装进加农炮，以极快的速度射向太阳，不能有任何借口。”不知道唐纳德是喜欢太阳，还是喜欢坐加农炮？哈哈～我们还是进入本期的正题吧，本次给大家分享一下关于危害分析和风险评估的相关知识。

首先，我们先来熟悉下标准中对HARA以及几个涉及到的概念的定义：

Hazard Analysis and Risk Assessment （HARA）： Moethod to identify and categorize hazardous events of items and to specify safety goals and ASILs related to the prevention or mitigation of the associated hazards in order to avoid unreasonable risk．

危害分析和风险评估：为了避免不合理的风险，对相关项的危害事件进行识别和归类的方法以及定义防止和减轻相关危害的安全目标和ASIL等级的方法。

Controllability： Ability to avoid a specified harm or damage through the timely reactions of the persons involved， possibly with support from external measures．

可控性：通过所涉及人员（驾驶员，乘客或者车辆外部的邻近人员）的及时反应，也可能通过外部措施的支持，避免避免特定的伤害或者损伤的能力。一般分为3个等级：C0——可控；C1——简单可控；C2——一般可控；C3——难以控制或者不可控。

Exposure： State of being in an operational situation that can be hazardous if coincident with the failure mode under analysis．

暴露概率：处于某种运行场景的状态，在该运行场景下，如果发生所分析的失效模式，可能导致危害。

一般分为4个等级：E0——不可能；E1——非常低的概率；E2——低概率；E3——中等概率；E4——高概率。

Severity： Estimate of the extent of harm to one or more individuals that can occur in a potentially hazardous event．

严重度：对可能发生在潜在危害场景中的一个或者多个人员的伤害程度的预估。

一般分为3个等级：S0——无伤害；S1——轻度和中度伤害；S2——严重的和危及生命的伤害（有可能存活）；S3——危及生命的伤害（存活不确定），致命的伤害。

Automotive Safety Integrity Level （ASIL）： One of four levels to specify the item＇s or element＇s necessary ISO 26262 requirements and safety measures to apply for avoiding an unreasonable risk， with D representing the most stringent and A the least stringent level．

汽车安全完整性等级（ASIL）：四个等级中的每一个等级定义了 ISO 26262 中的相关项或者要素的必要的要求和安全措施，以避免不合理的风险，D代表最高等级，A代表最低等级。

注：QM等级不是ASIL等级

其次，我们说一下HARA分析的主要目的：

明确相关项由于失效行为而引起的危害事件，并对他们进行分类；

为避免不合理的风险，制定防止危害发生或者减轻危害程度的安全目标。

最后，简单介绍下HARA的分析方法和步骤：

明确相关项的定义（我们要熟悉产品的功能和失效）：

一是给出相关项的功能和非功能性的要求，以及相关项和环境之间的依赖性；二是定义好相关项的边界、接口以及提出相关项与其他要素或者其他相关项之间的交互。这样我们才能对产品进行进一步的分析。

驾驶场景的定义以及危害分析：

危害事件只会在具体的驾驶环境下产生。定义驾驶环境就是识别危害事件，比如结冰的公路，有很多光滑树叶的路面等等。这里定义相应的危险要考虑到相应的驾驶场景，定义整车级别的危险。

给定义好的危险定义其可控性（C）、暴露概率（E）和严重度（S）：

根据可控性、暴露概率和严重度等级标准，定义每一个危害相对应的指标等级。