6.概念階段和系統開發.

6.1.概述

這一條款概述了危險分析和風險評估背后的原則，使用簡化的示例來描述這些概念。

6.2.危害分析和風險評估實例.

6.2.1概述

考慮一個相關項控制嵌入在車輛中的儲能裝置的示例。例如，只有當車輛運行大于或等于15公里/小時，存儲的能量才會釋放。儲存的能量在小于15公里/小時時釋放會導致設備過熱和隨后的爆炸。

6.2.2HARA示例1

a.危險識別

危險，“設備不必要的的能量釋放，可能導致爆炸”，被確定。

b.危險事件

識別的危險可能導致危險事件的駕駛情況被認為是駕駛小于15公里/小時。如果在這種駕駛狀態下，由于相關項故障而產生的不必要的能量釋放，儲能裝置可能會爆炸，對車輛的使用者造成嚴重傷害。

c.識別的危險事件的分類

爆炸導致車輛乘客受到危及生命的傷害，生存不確定：嚴重程度可估計為S3。

車輛行駛速度不到15公里/小時。根據車輛目標市場的交通統計，這種情況發生在駕駛時間的1%至10%之間：這種情況的暴露可估計為E3。

駕駛員或車輛乘客控制相關項故障和裝置爆炸的能力被認為是不可信的：這種可控性可以估計為C3（難以控制或無法控制）。

應用ISO26262-3：2018的表4：ASIL測定導致ASILC。

6.2.3HARA示例2

本條款考慮的情況是，不必要的釋放能量的影響本質上受到設計改進的限制。這將導致對HARA的評價如下：

A.危險識別

作為一種危險，“可能導致爆炸的裝置不必要的能量釋放”被識別出來。

B.危險事件

對于所有駕駛情況，不必要的能量釋放不會導致危險事件。故相關項故障不能造成危害。

C.識別的危險事件的分類

由于相關項失效不會導致危害，嚴重程度分類為S0，可控性不需要確定。因此，不需要定義安全目標。

6.3.關于可控性分類的觀察

正如【危害分析和風險評估】(ISO26262-3：2018第6條)所解釋的，可控性代表了駕駛員或其他交通參與者能夠避免特定傷害的概率的估計。

在最簡單的情況下，對于給定的危險事件只考慮一個結果，可控性表示對避免此結果的概率的估計。然而，可能還有其他情況。例如，嚴重的結果(例如：嚴重程度等級S2)可以是可能的，但相對容易避免(例如：可控性C1)而不那么嚴重的結果(例如：更難避免(例如，S1)。c3)。假設暴露類為E4，以下一組值可以是結果，這說明導致最高ASIL的不一定是最高的嚴重程度：

?E4、S2、C1→ASILA；及

?E4，S1，C3→ASILb。

在本例中，ASILB是危險事件的適當分類。

6.4.外部措施

6.4.1概述

外部措施是一種獨立于相關項的措施，它減少或減輕了相關項失效造成的風險。

注1：外部措施可在《HARA》中考慮，如果它們與該相關項所要執行的功能無關。

注2：外部措施作為減少ASIL的技術假設，根據ISO26262-3：2018的6.4.4.4進行了驗證。

6.4.2車輛相關外部措施的示例1

車輛A配備了一個手動操作的傳動檔位箱，可以留在任何檔位，包括空檔，一旦鑰匙關閉。車輛B配備了一個自動變速箱，在關鍵關閉時，保持一個檔位嚙合和一個正常關閉的離合器。這兩輛車都有一個額外的相關項，電動駐車制動器(EPB)。

對這兩種車輛的情況進行了分析，其中包括：

?車輛停放（鑰匙脫落，駕駛員不在場）；

?車輛是斜坡上的路邊，位于人口稠密的城市地區；及

?發生了涉及EPB突然釋放的故障。

在這種情況下，車輛A，當非預期中留在中立的鑰匙關閉，將可能滾動，如果無人看管。這可能導致評估的可控性等級為C3，嚴重程度等級為S2或更高，取決于附近弱勢人員的存在，暴露等級大于E0。根據所分配的曝光評級，建議的評級導致ASILA和ASILC或QM之間分配的ASIL。

然而，B車總是嚙合一個檔位，所以它不移動。因此，沒有由此產生的危險。本設計中包含的與車輛有關的外部措施有助于消除這種情況下的風險，但只有在自動變速箱和EPB能夠被證明是足夠獨立的情況下。

6.4.3.車輛相關外部措施的示例2

車輛A除具有停止啟動功能外，還配有動態穩定性控制。車輛B只配備停止啟動功能。

對這兩種車輛的情況進行了分析，其中包括：

?該車輛正以中高速行駛（50公里/小時

?路面鋪設干燥，在郊區；

?該車輛正在接近道路中的中等彎曲；

?車輛速度和道路曲率有助于中高側向加速度；及

?停止啟動功能的故障觸發了不想要的發動機關閉，導致在場景中突然失去牽引力。

由于牽引力突然喪失，車輛上產生偏航力矩，要求駕駛員調整轉向輸入，重新建立車輛的控制。在B車中執行此操作可以被證明具有較低的可控性，這可能導致高風險。風險分類將取決于所分配的風險等級。相反，A車的動態穩定性控制特性限制了橫向不穩定性的影響。因此，A型車輛的可控性等級會更好因此，車輛相關的外部措施提供的

動態穩定性控制有助于降低這種情況下的風險。然而，只有當可以證明正在考慮的啟動-停止功能中的故障不能傳播到動態穩定控制功能時，情況才會如此。

注：對示例中使用的危險進行深入分析可在參考[6]中找到。

6.5.組合安全目標的示例

6.5.1.導言

安全目標是相關項的頂層安全要求。它們導致了必要的功能安全要求，以避免危險事件的不合理風險。它們是根據ISO26262-3：2018的6.4.4（【功能安全的確定】在概念階段確定的。當安全目標相似或在不同的情況下引用相同的危險時，它們可以組合成一個單一的安全目標，具有原始安全目標的最高ASIL。這可以簡化進一步的開發，因為將管理更少的安全目標，同時仍然涵蓋所有已確定的危險。

6.5.2.概述

在下面的示例中，所示的相關項、安全目標和ASIL分類僅用于說明安全目標組合過程。此示例不反映ISO26262系列標準在類似實際相關項上的應用。特別是，它在故障模式識別、情況分析和車輛水平影響評估方面還不完整。

為了簡單起見，示例僅限于兩個安全目標的組成，但相同的方法可以擴展到更多的初始安全目標。

6.5.3.功能定義

考慮配備電氣駐車制動(EPB)系統的車輛。當由特定駕駛員的要求激活時，EPB系統對車輛的后輪施加制動扭矩，以防止車輛在駐車時非預期移動（駐車功能）。

6.5.4.安全目標適用于不同情況下的相同危險

6.5.4.1災害分析和風險評估

為了簡化示例，只考慮以下駐車功能的故障模式：

非預期駐車制動激活。

注意在這種情況下，“非預期激活”一詞是指沒有駕駛員請求的功能驅動。

這種故障模式可能會導致不同的車輛效應，這取決于故障發生時的具體情況，如表1所示。

表1-不同情況下相同危險造成的安全目標

6.5.4.2安全目標闡述

如上所述，相同的安全目標和安全狀態適用于這兩種情況。因此，可以定義以下安全目標：

?安全目標：避免車輛移動時駐車功能非預期激活；

?安全狀態：禁止EPB；及

?ASIL：表1中確定的更高ASIL被分配給這個安全目標。

責任編輯：lq