在汽車功能安全領域，遵循ISO 26262標準進行開發已成為行業共識。我們此前探討了功能安全的基石——“相關項”的定義。一旦明確了安全分析對象，下一步便是系統性地識別與評估其潛在風險。這正是危害分析與風險評估（HARA）的核心使命，而其關鍵產出——汽車安全完整性等級（ASIL） ，則成為了衡量風險高低、指導安全開發的“標尺”。

HARA與ASIL：風險量化管理的核心工具

在ISO 26262的實施流程中，危害分析和風險評估（HARA）HARA（Hazard Analysis and Risk Assessment）是一個至關重要的基礎性步驟。它旨在系統地定義、識別由電子電氣系統功能異常可能引發的危害，并評估這些危害導致的風險等級。

評估結果即ASIL等級(Automotive Safety Integrity Levels，汽車安全完整性等級)，它分為五級：QM（質量管理）、A、B、C、D。其中，QM等級對功能安全流程無特殊要求，而D級則代表最高風險等級，需要最嚴格的安全措施。ASIL等級直接決定了系統開發的安全要求：等級越高，對系統軟硬件的安全要求、開發流程的嚴謹性以及所采用技術的可靠性的要求也越高。

HARA危害分析和風險評估流程

HARA應基于相關項定義來進行，并且不考慮相關項中計劃實施或已經實施的安全機制。整個過程可概括為三個步驟:

危害識別→危害分級→ASIL 判定

Hazard Identification危害識別

核心是識別相關項在特定條件下可能出現的功能異常，及其可能導致的危險事件，包括：定義相關項可能的功能異常與條件分析

分析功能異常：系統梳理功能所有可能的失效模式，例如功能喪失、錯誤激活、性能偏差等。

界定運行條件：分析上述異常在何種駕駛情境（如高速、泊車）、環境因素（如雨雪路況）或人員操作下，會真正導致人身傷害。

Hazard Classification 危害分級

判定與相關項危害關聯的嚴重度（S）、暴露度（E）和可控性（C）

嚴重度（S）：傷害的嚴重程度，從S0（無傷害）到S3（致命傷害）。

暴露度（E）：危害場景發生的概率，從E0（不可能）到E4（高概率）。

可控性（C）：駕駛員或其他交通參與者避免傷害的難易程度，從C0（可控）到C3（難以控制）。

（引自ISO26262-3表1/2/3）

ASIL Determination ASIL判定

基于嚴重度（Severity）、暴露率（Exposure）和可控性（Controllability）進行風險等級的判定。

（引自ISO26262-3 表4）

核心交付與風險閉環：從危害識別到安全等級落地

完成系統的危害分析與風險評估后，關鍵的輸出成果是一份明確的《危害分析與風險評估報告》及其衍生的ASIL等級定義。

這份輸出不僅是制定具體安全目標和安全需求的直接依據，也為后續功能安全開發提供了清晰的風險管控基線。

正確執行 HARA 并合理確定 ASIL，是確保智能網聯汽車電子電氣系統安全設計與合規開發的重要基礎，更是實現“安全可控”從理論走向實踐的關鍵一步。

本文轉自：Intertek天祥集團