ISO26262汽车功能安全HARA案例分析_hazard和hara

HARA（Hazard Analysis and Risk Assessment）分析，即危害分析和风险评估，是ISO 26262标准中定义的一种方法，用于识别和分类由项目（Item）故障行为引起的危险事件，并确定与预防或减轻这些危险事件相关的安全目标和相应的汽车安全完整性等级（ASIL）。HARA分析是功能安全开发流程中的关键步骤，它的结果直接影响到后续功能安全概念（FSC）的制定和整个安全生命周期的管理。

一、HARA分析的目的

1、识别危害事件

识别危害事件的目标是分析由于E/E系统故障可能导致的危险事件。

比如高级驾驶辅助系统（ADAS）中的自适应巡航控制（ACC）功能，根据ISO 26262标准，以下是一些可能与ACC系统相关的危害事件：

1.1 系统故障导致的错误行为

传感器故障：雷达或摄像头等传感器失效可能导致ACC系统无法正确监测前车距离或速度2。

软件错误：系统软件缺陷可能引起ACC控制逻辑错误，造成车速控制不当。

1.2 驾驶员依赖过度

过度信任：驾驶员可能过分依赖ACC系统，导致在紧急情况下反应不及时。

1.3 环境因素影响

恶劣天气：大雨、大雪或浓雾可能影响传感器的性能，降低ACC系统的可靠性。

1.4 系统局限性

静止目标识别：ACC系统可能无法识别静止或缓慢移动的目标，如停在路上的车辆或行人。

弯道性能：在急弯或弯道中，ACC系统可能无法维持与前车的安全距离

2、分类危害

对识别的危害事件进行分类是风险管理过程中的一个关键步骤，它有助于确定哪些危害需要优先处理以及如何有效地分配资源以降低风险。在汽车高级驾驶辅助系统（ADAS）的自适应巡航控制（ACC）功能中，危害事件可以根据几个不同的维度进行分类：

2.1 按严重性分类：

高：可能导致严重伤害或死亡，如高速追尾事故。

中等：可能导致轻伤或中度财产损失，如低速碰撞。

低：可能导致轻微的不便或非常小的财产损失，如不必要的急刹。

2.2 按发生概率分类：

高概率：经常发生的事件，如传感器在恶劣天气下的性能下降。

中等概率：偶尔发生的事件，如系统软件错误。

低概率：很少发生的事件，如硬件故障。

2.3 按可检测性分类：

明显：危害事件容易通过系统监测或驾驶员观察发现。

隐匿：危害事件难以通过常规监测发现，可能需要复杂的诊断程序。

2.4 按可控性分类：

可控：驾驶员或系统能够采取措施来避免或减轻危害。

部分可控：在某些情况下，驾驶员或系统可以采取措施，但不是所有情况下都能做到。

不可控：危害事件一旦发生，无法通过驾驶员或系统干预来控制。

2.5 按危害来源分类：

技术故障：由系统硬件或软件故障引起。

人为因素：由驾驶员错误或不当行为引起。

环境因素：由外部环境条件，如恶劣天气或道路状况引起。

2.6 按影响范围分类：

单一车辆：影响仅限于装备ACC的车辆。

多车辆：可能影响其他道路使用者，如附近车辆或行人。

2.7 按法律和规范要求分类：

合规性：与现有法律和安全规范相违背的事件。

建议性：虽然不违反规范，但可能引起公众关注或客户满意度下降的事件。

2.8 按系统组件分类：

传感器：与雷达、摄像头等传感器相关的故障。

执行器：与制动、加速等执行器相关的故障。

控制单元：与系统控制逻辑和决策算法相关的故障。

通过这样的分类，可以更系统地评估每个危害事件的风险等级，并制定相应的风险缓解措施。风险评估通常结合了严重性、发生概率和可控性等多个因素，以确定风险的优先级。高严重性和高发生概率的危害事件通常会被赋予更高的优先级进行处理。

3、 制定安全目标：

基于危害事件制定预防或减轻措施的安全目标，对于ACC系统中的每个危害事件。

3.1安全目标制定的范围

传感器故障：确保系统在传感器故障时能够安全地降级或警告驾驶员。

软件错误：实现软件故障检测和纠正机制，以防止非预期行为。

过度依赖：通过驾驶员培训和系统设计减少对ACC系统的不当依赖。

恶劣天气：提高传感器和系统的鲁棒性，以适应恶劣天气条件。

静止目标识别：改进系统以可靠地检测和响应静止或缓慢移动的目标。

弯道性能：优化系统以保持弯道中的安全车距。

安全目标应该是SMART的，即具体（Specific）、可测量（Measurable）、可实现（Achievable）、相关（Relevant）和时限（Time-bound）。

3.2 确定ASIL等级：

为每个安全目标分配相应的ASIL等级，确保风险降至可接受的程度。确定汽车安全完整性等级（ASIL）是ISO 26262标准中一个关键步骤，它涉及到对汽车电子电气系统潜在故障的风险评估。ASIL等级的确定基于三个主要因素：

严重性（Severity, S）：评估故障可能造成的伤害程度，通常分为四个等级：S0（无伤害）、S1（轻微或中等伤害）、S2（严重或危及生命）、S3（危及生命到致命伤害）。

暴露性（Exposure, E）：评估驾驶者或乘客暴露于潜在危险情况的频率，也分为四个等级：E0（几乎不可能发生）、E1（低概率）、E2（中等概率）、E3（高概率）、E4（非常高概率）。

可控性（Controllability, C）：评估驾驶者在危险情况下避免伤害的能力，同样分为四个等级：C0（一般可控）、C1（容易可控）、C2（通常可控）、C3（难以控制或不可控）。

结合这三个因素，ASIL等级分为以下五个等级：

QM（质量要求）：与安全无关的功能。

ASIL A：较低的风险。

ASIL B：中等的风险。

ASIL C：较高风险。

ASIL D：最高风险。

ISO 26262标准提供了一个框架，确保汽车电子系统的设计和开发能够满足相应的安全要求。ASIL等级越高，对系统的安全性要求也越高，意味着需要更多的安全措施和更严格的开发流程。

二、HARA分析的步骤：

1、 定义项目（Item）：

在ACC项目中，HARA分析可以帮助项目团队详细描述项目的功能、接口和安全需求：

1.1功能需求：

确定项目需要实现哪些功能，以及这些功能的具体要求。

描述用户如何与项目交互，以及项目如何响应用户的操作。

1.2 接口需求：

确定项目需要与哪些外部系统或设备进行交互。

定义这些交互的规范，包括数据格式、通信协议和接口标准等。

1.3 安全需求：

确定项目需要满足哪些安全标准和法规要求。

描述项目如何保护数据和隐私，以及如何防止未授权访问和攻击。

2、危害识别：

汽车自适应巡航控制系统（ACC）作为一种高级辅助驾驶系统，虽然提升了驾驶的舒适性和安全性，但也存在可能的失效模式和由此引发的危害。

2.1 传感器故障

失效：ACC系统依赖于雷达或摄像头来监测前车的速度和距离。如果传感器受到污垢、雨水、结冰或其他物质的干扰，可能会导致功能失效。

危害：可能导致系统无法正确检测前车，增加碰撞风险。

2.2 电子故障

失效：ACC系统需要多个电子组件协同工作，任何电子组件的故障都可能导致ACC功能失效。

危害：可能导致ACC系统无法正常控制车速，影响行车安全。

2.3软件问题

失效：系统软件的故障或更新不当可能导致ACC功能出现问题。

危害：可能导致ACC系统控制逻辑错误，增加事故发生的概率。

2.4 极端天气条件

失效：在下雨或大雾等极端天气下，ACC系统的传感器可能无法准确监测前车，导致系统性能下降。

危害：可能无法维持安全车距，增加追尾风险。

2.5 系统误识别

失效：ACC系统可能对静止或缓慢移动的目标、行人、动物等小反射面积障碍物无法有效识别。

危害：可能导致车辆无法及时做出反应，造成碰撞。

2.6 系统反应延迟

失效：在复杂的交通环境中，如车辆频繁变道或紧急制动，ACC系统可能无法及时响应。

危害：可能导致车辆无法及时减速或避让，增加事故风险。

2.7 驾驶员依赖过度：

失效：驾驶员可能过度依赖ACC系统，导致在紧急情况下反应不及时。

危害：可能在系统失效或无法应对的情况下，驾驶员无法及时接管车辆控制，造成危险。

2.8 系统限制和设计局限

失效：ACC系统在设计上可能无法应对所有交通情况，如急转弯、陡坡等。

危害：可能在特定路况下无法提供足够的辅助，需要驾驶员介入。

2.9硬件故障

失效：ACC系统的硬件组件，如雷达传感器、控制单元等可能发生故障。

危害：可能导致ACC系统完全失效，失去车速控制能力。

2.10静态物体识别问题

失效：ACC系统通常不识别静止物体，如果前方有静止车辆或障碍物，系统可能不会做出反应。

危害：可能导致车辆与静止物体发生碰撞。

2.11系统降级或故障

失效：在系统感知到故障时，ACC系统可能进入降级模式或完全关闭。

危害：可能使驾驶员突然失去辅助驾驶功能，需要立即接管车辆。

2.12 技术限制

失效：ACC系统可能在某些情况下，如隧道内或靠近反射性强的物体时，受到雷达波束干扰。

危害：可能导致系统无法准确判断前车位置，影响车距控制。

3、场景识别

汽车自适应巡航控制系统（ACC）在特定操作模式和环境条件下可能存在失效的风险，这些风险可能导致危害发生。以下是一些具体的操作模式和环境条件，以及它们可能导致的危害：

3.1 传感器遮挡或污损：

操作模式：ACC系统依赖于传感器如雷达或摄像头来监测前车。

环境条件：传感器被异物遮挡或污损，如污垢、雨水、结冰。

可能导致的危害：系统可能无法正确探测前车，导致无法及时减速或保持安全距离。

3.2 极端天气条件：

操作模式：ACC系统在各种天气条件下运行。

环境条件：大雨、大雪、浓雾等极端天气。

可能导致的危害：毫米波雷达可能受天气影响失效，导致ACC系统无法正常工作。

3.3 系统软件或算法错误：

操作模式：ACC系统通过内部软件和算法控制车辆速度。

环境条件：软件更新不当或存在编程错误。

可能导致的危害：可能导致ACC系统逻辑错误，产生不期望的加速或制动。

3.4 复杂交通环境：

操作模式：ACC系统在城市拥堵或复杂路况下使用。

环境条件：交通拥堵、频繁变道、急刹车。

可能导致的危害：ACC系统可能难以适应复杂交通，导致碰撞风险增加。

3.5 静态物体识别问题：

操作模式：ACC系统通常不识别静止物体。

环境条件：前方有静止车辆或障碍物。

可能导致的危害：ACC系统可能无法及时响应静止障碍物，增加碰撞风险。

3.6 驾驶员依赖过度：

操作模式：驾驶员可能过度依赖ACC系统。

环境条件：驾驶员注意力不集中，对突发情况反应不及时。

可能导致的危害：驾驶员未能及时接管控制，导致事故。

3.7 技术限制和系统降级：

操作模式：ACC系统在性能极限或降级模式下运行。

环境条件：系统故障或性能下降。

可能导致的危害：ACC系统可能无法提供足够的辅助，需要驾驶员立即接管控制。

3.8 硬件故障：

操作模式：ACC系统的硬件组件如雷达传感器发生故障。

环境条件：硬件损坏或性能退化。

可能导致的危害：系统完全失效，失去车速控制能力。

3.8 与车道保持系统（LKA）的交互：

操作模式：ACC与LKA系统协同工作。

环境条件：车道线模糊或不连续，导致LKA系统失效。

可能导致的危害：车辆可能偏离车道，增加碰撞风险。

3.9驾驶员操作不当：

操作模式：驾驶员在ACC激活状态下进行不当操作，如急加速或急刹车。

环境条件：驾驶员对ACC系统的工作状态理解不足。

可能导致的危害：可能导致车辆失控或与前车发生碰撞

4、风险评估：

风险评估即对每个危害事件进行严重性（S）、暴露性（E）、可控性（C）的评估，并确定ASIL等级。

汽车自适应巡航控制系统（ACC）的功能安全风险评估是一个复杂的过程，它涉及到对系统潜在故障模式的识别、风险的量化以及风险控制措施的制定。以下是一个简化的ACC功能安全风险评估表的示例，它基于ISO 26262标准的安全分析方法：

说明：

严重度 (S)：描述故障可能造成的危害严重程度。

暴露度 (E)：描述故障发生频率或条件的频繁程度。

可控度 (C)：描述驾驶员或系统对危害情况的控制能力。

ASIL等级：根据S、E、C的评级确定，指导系统设计的安全要求。

风险控制措施：列出减轻风险的措施。

5、制定安全目标：

基于风险评估结果，制定相应的安全目标。

在汽车自适应巡航控制系统（ACC）的功能安全开发过程中，制定清晰的安全目标是至关重要的。安全目标通常基于对潜在危害的识别和风险评估来设定，并确保系统在设计和运行过程中能够达到或维持这些安全标准。以下是ACC系统功能安全的制定安全目标的示例：

5.1避免非预期的加速或制动：

安全目标：确保ACC系统不会因软件或硬件故障而产生非预期的加速或制动行为。

目标量化：系统应能够在99%的故障情况下防止非预期加速或制动。

5.2 保持与前车的安全距离：

安全目标：ACC系统必须能够在所有运行条件下维持与前车的安全距离，即使在紧急情况下也能避免碰撞。

目标量化：设定安全距离阈值，并确保系统在95%的时间内能够保持该距离。

5.3 系统降级和驾驶员接管：

安全目标：在ACC系统性能受限或检测到关键故障时，系统应能够安全地降级其功能，并提示驾驶员接管控制。

目标量化：系统降级策略应在5秒内完成，并向驾驶员提供清晰的接管请求。

5.4 传感器和执行器的冗余：

安全目标：ACC系统应具备冗余设计，以确保在主要传感器或执行器发生故障时，系统仍能安全运行。

目标量化：冗余系统应在主要系统失效后的2秒内启动，并维持基本的ACC功能。

5.5 防止系统误用：

安全目标：ACC系统设计应防止由于驾驶员误用或误解系统功能而导致的潜在安全风险。

目标量化：系统应提供明确的操作指导和限制条件，减少误用的可能性。

5.6 环境适应性：

安全目标：ACC系统应能够适应不同的环境条件，如雨、雪、雾等，保证系统性能不受严重影响。

目标量化：系统应在至少90%的典型环境条件下保持正常运行。

5.7数据安全和隐私保护：

安全目标：ACC系统在处理和存储数据时，应保护数据不被未授权访问或篡改。

目标量化：系统应实现数据加密，并在数据传输过程中采用安全的通信协议。

5.8 持续监控和诊断：

安全目标：ACC系统应具备实时监控自身状态和性能的能力，并在检测到异常时提供诊断信息。

目标量化：系统应每10秒进行一次自我检查，并在检测到性能下降时向驾驶员发出警告。

三 案例分析

本节以车道偏离警告系统（Lane Departure Warning, LDW）为例进行HARA分析的详细说明：

1、危害识别（Hazard Identification）：

确定LDW系统可能引发的所有潜在危害。例如：

系统未能检测到车道标记，导致错误警告。

系统错误地将路面标线识别为车道标记，发出误报。

系统响应延迟，未能及时警告驾驶员。

2、危害严重度评估（Hazard Severity Assessment, S）：

对每个已识别的危害进行严重度评估，通常分为四个等级：

S0：无伤害

S1：轻微伤害

S2：严重伤害

S3：致命伤害

例如，LDW系统未能警告驾驶员可能导致严重伤害或致命伤害（S2或S3）。

3、暴露度评估（Exposure Assessment, E）：

评估驾驶员暴露于每个危害的频率。通常分为四个等级：

E0：非常不可能

E1：不太可能

E2：可能

E3：非常可能

例如，误报可能经常发生，暴露度为E3。

4、可控度评估（Controllability Assessment, C）：

评估驾驶员对潜在危害的控制能力。通常分为四个等级：

C0：完全可控

C1：较难控制

C2：不可控

C3：完全不可控

例如，驾驶员可能能够通过立即接管控制来避免由于LDW系统误报引起的事故（C0或C1）。

5、风险评估（Risk Assessment）：

结合S、E、C的评估结果，使用ASIL（Automotive Safety Integrity Level）框架来确定每个危害的风险等级：

QM：质量要求

ASIL A：低风险

ASIL B：中等风险

ASIL C：高风险

ASIL D：最高风险

计算公式：ASIL等级 = S + E + C

6、风险缓解措施（Risk Mitigation Measures）：

根据风险评估结果，制定相应的风险缓解措施。例如：

对于高严重度的危害，增强系统的准确性和可靠性。

对于高暴露度的问题，设计更有效的驾驶员警告策略。

对于可控度低的情况，提供额外的培训或指导，以提高驾驶员对系统限制的认识。

7、安全目标（Safety Goals）：

基于HARA分析的结果，定义系统安全目标。例如：

LDW系统应减少误报率，以降低驾驶员的干扰。

系统应能够在特定条件下（如车速、天气等）可靠地检测车道标记。

8、安全需求（Safety Requirements）：

从安全目标中派生出具体的安全需求，这些需求将指导系统的设计和开发。例如：

系统应具备自检功能，以确保传感器和算法正常工作。

系统应能够在各种道路和环境条件下稳定运行。

9、验证和确认（Verification and Validation, V&V）：

通过测试和模拟来验证和确认所制定的安全需求是否得到满足。例如：

在各种道路条件下测试LDW系统的性能。

通过驾驶员模拟测试来评估警告系统的及时性和有效性。

HARA分析是一个迭代过程，需要不断地评估、更新和改进，以确保LDW系统的安全性和可靠性。