3.1風險評估

在風險評估過程中，假設物品的故障行為導致危險。根據(jù)定義，危險是潛在的危害源，其嚴重依賴于故障發(fā)生時的駕駛情況。因此，第一步可以是假定車輛駕駛或操作場景以指定傷害。根據(jù)操作方案，根據(jù)提供的指南確定暴露于該方案的可能性

3.1.1這份文件。對于危險事件，嚴重性和可控性分別按照4.2.2和4.2.3中提供的指南進行分配。對于給定的危險事件，對于包含該物品的車輛的合理且可預見的操作情況，重復該過程。

風險評估的結果取決于項目，車輛和數(shù)據(jù)的可用性。物品的功能設計和車輛特性將影響由此產生的危害情景的規(guī)格，以及E，S和C參數(shù)的類別和基本原理。分析師將這些因素考慮在內，并將分析的基本原理建立在待開發(fā)系統(tǒng)的特定特征上。

對于每個分析的危險事件，應記錄最高ASIL以及指定暴露，嚴重性和可控性的基本原理（例如，在HARA模板中）。

注1：確定暴露率，嚴重性和可控性的順序可以置換（即重新排序）。本文件假定暴露率，嚴重性和可控性按照圖1中給出的順序確定。

圖1 -風險評估過程示例

4.2.1第1步- 暴露率測定

4.2.1.1一般信息

根據(jù)ISO 26262-3：2011 [1]，將車輛運行情況的暴露分配到表4中所示的五個等級之一。表4總結了表2，B.2和B.3中的示例。ISO 26262-3：2011 [1]針對各種暴露等級，包括暴露頻率和暴露于車輛運行狀況的持續(xù)時間。根據(jù)圖1，風險評估的第一步是評估暴露于特定車輛運行情況的概率。這可能涉及同時需要的幾個條件。暴露測定的目的是理解現(xiàn)實情況，包括正常駕駛條件和不利駕駛條件。但是，應該注意的是，不同的交通規(guī)則，環(huán)境條件等會影響所考慮的情況，并可能導致不同的暴露。

表4 -根據(jù)ISO 26262：2011 [1]的暴露等級描述

類	描述	基于頻率的暴露信息標準（見[1]，第3部分表B.3）	基于持續(xù)時間的暴露信息標準（見[1]第3部分表B.2）
E0*	難以置信	未標明	未標明
E1	概率很低	絕大多數(shù)司機每年發(fā)生的次數(shù)少于一次	未標明
E2	概率低	絕大多數(shù)司機每年都會發(fā)生幾次	平均運行時間的1％
E3	概率中等	對于普通駕駛員而言，每月或更多次發(fā)生一次	平均運行時間的1％至10％
E4	概率很高	幾乎在每個驅動器中平均發(fā)生	>平均運行時間的10％
*沒有為E0分配ASIL。

4.2.1.2基于持續(xù)時間的暴露率

如果故障行為直接導致危險事件，則根據(jù)車輛運行情況的持續(xù)時間選擇暴露等級。

示例：考慮電動助力轉向輔助系統(tǒng)錯誤施加的轉向扭矩。當車輛處于靜止狀態(tài)時，這對駕駛員來說可能是輕微的后果，但是如果車輛沿著高速公路行駛，則駕駛員可能會離開預定的路徑。為了沿著高速公路行駛，基于該車輛運行狀況的持續(xù)時間來指定E4，因為它發(fā)生在整個運行時間的10％以上。

注意：隨后可能會出現(xiàn)與危險相關的傷害的可能性，具體取決于處于風險中的人員或環(huán)境中的事件。

4.2.1.3基于頻率的暴露率

暴露等級不僅適用于車輛操作情況，其中考慮的故障行為可直接導致危險事件（情況的持續(xù)時間相關），而且還適用于情況或狀況可能引發(fā)危險事件的情況，如系統(tǒng)中的故障的結果已經在較早的時間點發(fā)生并且保持潛伏狀態(tài)。因此，這種情況的發(fā)生將直接引發(fā)危險事件，因為它與預先存在的故障相結合而不管其持續(xù)時間

示例：可以選擇暴露率頻率來激活車輛后部的倒車燈。對于該示例，可以預期車輛操作情況“反向車輛”經常發(fā)生，因此選擇E4。選擇頻率是因為無論何時發(fā)生燈故障，一旦齒輪轉換到倒檔就可能觸發(fā)危險。

4.2.1.4車輛運行情況

圖2提供了可用作起始參考的車輛操作情況列表。此示例列表不應被視為詳盡無遺，并且在許多情況下可以并且應該組合這些情況以減少和簡化HARA中考慮的情況列表（參見ISO 26262-3：2011,7.4.4.2）。

圖2 -潛在的車輛運行情況（示例）

4.2.1.5暴露等級分配指南

1.風險評估中的風險評估基于對適用和可用數(shù)據(jù)的專家評估以及考慮不同地理位置或目標市場的交通概況，文化，道路狀況和駕駛風格的信息。如有疑問，可以使用估算。

2.暴露的分配可以考慮暴露于車輛運行狀況的頻率或暴露于車輛運行狀況的總體持續(xù)時間的概率。在某些情況下，兩種暴露標準都可能適用，在這種情況下，必須單獨評估每個標準，從而導致單獨的ASIL指定。

示例：根據(jù)暴露持續(xù)時間，暴露于“洗車”情景可以根據(jù)暴露頻率和E2產生E3。

3.可以通過考慮在某種車輛的實際使用中發(fā)生的情況來完成對暴露率的評估。如果合適，可以考慮目標市場特定的風險。但是，這不應該用于人為地增加或減少暴露因子。

4.ISO 26262-3：2011 [1]中提供的用于暴露率的車輛操作情況的示例可以用作暴露率分配的參考。

5.在評估某些車輛運行情況時，可能需要多個因素來使危險進展到導致特定危害的點。除了可能導致車輛運行情況的若干因素之外，一些因素可能是密切相關的。對于危險事件先決條件的任何組合因素的正確暴露因子通過識別因子之間的相關性來計算。

示例：如果存在冰雪，則與道路上的摩擦減少高度相關。如果雪/冰的存在和減少的道路摩擦分別被認為是E2級暴露，那么要求兩個E2額定暴露因子不應該導致相當于小于E2的暴露。實際上，錯誤地將這些因素視為獨立因素將會導致低估的暴露率類別。

6.在HARA中，維護人員不應評估由常見工作場所安全義務所涵蓋的危險以及由維修項目引起的所有危險（見4.1，注1）。

7.定義的危險事件必須足夠具體，以便規(guī)定危害并始終如一地確定可控性。

·情況可以分為其他特定情況（可能導致不同的S和/或C類）。

·如果結果相似或相同，則應結合與相同危險相關的多種情況。

·上述指南不得用于人為增加或減少暴露因子。

·這并不是要求對所有可能的組合進行詳盡的檢查;足以考慮具有代表性的車輛運行情況，包括那些導致最高ASIL的情況。

4.2.2第2步- 嚴重性確定

4.2.2.1一般信息

根據(jù)ISO 26262：2011 [1]，特定危險事件造成的潛在危害的嚴重等級被分配到表5中所示的四個等級之一。這些嚴重等級是為分配ASIL提供指導的一般類別。對于特定的危險事件。

嚴重級別通常不能確定性地分配，因為任何實際碰撞的結果嚴重性取決于許多因素，其中許多因素無法提前確定。影響嚴重程度的因素包括：

1.碰撞類型- 例如平面（例如頭部，后端，側面碰撞）

2.碰撞參與者之間或單個車輛事件發(fā)生時的相對速度

3.相關車輛的相對尺寸，高度和結構完整性（即碰撞兼容性）

4.車輛乘員和非乘員受到碰撞力的健康和年齡

5.安全防護設備（例如安全帶，兒童安全帶）的車輛使用者是否使用

6.合格，快速緊急援助的可用性和響應（急救隊）

在這些因素中，可以投射一些碰撞特性，并且在某些情況下，可以投射估計的相對碰撞速度。對于假定的危險事件，無法事先合理預測可能影響損傷結果嚴重程度的大多數(shù)其他因素。上述因素在實際可行的范圍內被視為確定風險評估期間使用的暴露和可控性因素的一部分。

在除了最微不足道的碰撞之外的所有碰撞中，包括死亡在內的傷害的可能性永遠不會等于零。對于所有道路使用者而言，可能影響傷害潛力的特征是極其多樣的，包括駕駛者（機動車輛駕駛員和乘客）和非駕車者（例如，行人和腳踏車）。參與交通碰撞的人員包括年輕，健康的人，這些人可能能夠容忍相當大的碰撞力，而不會對老年人，體弱的個體造成重大傷害，即使在輕微的低速碰撞中也可能容易受到重大傷害。因此，幾乎任何碰撞類型的結果都包括結果可能性的分布，范圍從財產損失到無傷害到死亡。

表5提供了ISO 26262：2011 [1] S0-S3嚴重性類的描述。

表5 - ISO 26262：2011 [1]的嚴重等級描述

嚴重等級	描述
S0*	沒有傷害
S1	輕微和中度傷害
S2	嚴重和危及生命的傷害，生存可能
S3	生命威脅傷害（生存不確定），致命傷害

*沒有為S0分配ASIL。

注意：有關嚴重性分類的示例，請參閱ISO 26262-3：2011，表B1。

嚴重性類將根據(jù)代表性危險事件方案分配給給定的危險事件。開發(fā)此假設方案將涉及從多個信息源中提取，包括但不要求或限于專家分析和判斷，分析特定相關崩潰或測試的技術報告，模擬實驗和歷史崩潰數(shù)據(jù)。附錄B提供了一些一般信息，可用于為給定的車輛級運動控制危險分配適當?shù)膰乐丶墑e。

4.2.2.2碰撞相關危險的嚴重等級分配指南

1.HARA中的嚴重等級分配需要專家評估和考慮相關交通概況，車輛速度和道路狀況的代表性樣本。對歷史事故數(shù)據(jù)的分析傾向于高估未來道路和車輛技術隨著時間的推移而不斷改善的傷害風險度量（防撞性和防撞性），以及改善道路使用者行為的教育和執(zhí)法工作，但也可能不會包括適用于與新功能相關的不同場景的數(shù)據(jù)。在這種情況下，可以使用模型將新場景插入歷史數(shù)據(jù)的上下文中，以便更好地預測結果。

2.通常，道路使用者受傷風險隨著碰撞速度的增加而增加。對于平面碰撞，某些歷史事故數(shù)據(jù)庫中可用的delta速度（delta v）的碰撞后估計可能有助于事故嚴重性評估。可以考慮其他碰撞后估計來代替Δv（例如，能量等效速度，車輛/物體之間的相對速度），并且可以考慮諸如車輛重疊和擠壓/侵入的其他碰撞特性。附錄B提供了一些可能有助于嚴重性分類的一般指導。對于非平面碰撞，例如車輛側翻，可以考慮根據(jù)危險情況的其他可用標準用于嚴重性估計。ISO 26262-3：2011 [1]中提供的嚴重性示例也可以視為嚴重性分配的參考。

3.在根據(jù)歷史數(shù)據(jù)確定可能的嚴重性碰撞結果分類時，應考慮可用數(shù)據(jù)與正在開發(fā)的系統(tǒng)的相關性。例如，隨著新的主動安全功能被引入，其在某些即將發(fā)生的碰撞情況下自動干預以控制車輛動態(tài)，駕駛員和車輛控制之間的平衡正在改變。因此，當前數(shù)據(jù)可能并不總是反映新功能的應用可能的結果。在確定該產品的嚴重性和ASIL時，車輛或系統(tǒng)制造商應考慮應用于其特定車輛的所有技術。

正在考慮的代表性方案的嚴重性級別記錄在HARA中。

注1：嚴重性等級的分配也應考慮相對于暴露。如果選擇的嚴重性高于一般駕駛情況的交通數(shù)據(jù)所指示的那么，則應選擇暴露與處于該駕駛狀況的可能性一致并且暴露于故障將導致危險事件的情況導致更嚴重的傷害。

注2：歷史崩潰數(shù)據(jù)不一定能預測未來碰撞類型的傷害結果。由于車輛，道路和道路使用者的行為會隨著時間的推移而不斷變化以改善交通安全，因此歷史崩潰數(shù)據(jù)往往會高估未來的碰撞風險和傷害嚴重程度。因此，不建議將歷史崩潰數(shù)據(jù)簡單應用于項目傷害結果，并將嚴重級別分配給特定的車輛級別危險。

4.2.3步驟3 - 可控性確定

4.2.3.1一般信息

根據(jù)ISO 26262-3：2011 [1]，危險事件的可控性分配到四個級別之一，如表6所示。

表6 - ISO 26262：2011 [1]的可控性等級描述

可控性等級	標題	描述
C0*	一般可控	如果存在針對特定危險的專用法規(guī)，則可控性在與其一致時可以被評定為C0 關于充分可控性的相應現(xiàn)有經驗。對于C0的使用，參見ISO 26262-3：2011,7.4.3.8。
C1	簡單可控	99％或更多的司機或其他交通參與者通常能夠避免指定的傷害。
C2	通常可控制	所有司機或其他交通參與者中的90％或更多通常能夠避免指定的傷害
C3	難以控制或無法控制	所有司機或其他交通參與者中不到90％通常能夠避免指定的傷害

*沒有為C0分配ASIL。

注意：說明使用了基于ISO 26262-3：2011,7.4.3.7，注2的“指定危害”。

4.2.3.2可控性等級分配指南

1.可控性等級可以通過使用可用數(shù)據(jù)，通過在模擬器或車輛中執(zhí)行測試或通過咨詢跨學科專家團隊（例如，人為因素）來確定。

2.ISO 26262-3：2011，附錄B.4中提供的“可控性”示例也可視為“可控性”分配的參考。

3.在可控性確定期間，當E / E系統(tǒng)發(fā)生故障可能導致駕駛員反應時，可能會考慮危險對相關人員的不利影響（參見ISO 26262-3：2011,8.4.2.6）。為了評估這種潛在的不利影響，可以采用“高級駕駛輔助系統(tǒng)設計和評估實踐規(guī)范[3]”的方法。這是由Response 3項目起草的，并得到了歐洲汽車制造商協(xié)會（ACEA）的認可。

4.由駕駛員損傷（即駕駛員使用藥物，酒精或睡眠剝奪）或駕駛員疏忽或分心造成的延長響應時間不包括在可控性考慮因素中（參見ISO 26262-3：2011,7.4.3.7，注2）。

5.在適用于特定分析時，應考慮合理可預見的誤用。

6.可以考慮相關的環(huán)境特征（例如道路上的護欄）和駕駛員體驗/行為/訓練。如果項目與其他車載系統(tǒng)之間存在足夠的獨立性，如果它們能夠在危險事件期間減輕危險，則可以在HARA中考慮相關的車載系統(tǒng)（ISO 26262-3：2011,7.4.1.2，注1）。

7.當需要為特定車輛平臺設置可控性等級時，不應將可選的安全或駕駛員輔助系統(tǒng)（例如，車道保持輔助系統(tǒng)）視為降低風險的措施。

4.2.4第4步- ASIL測定

4.2.4.1結合S，E和C來確定ASIL

根據(jù)ISO 26262-3：2011,7.4.4.1，根據(jù)ISO 26262-3：2011表4，使用參數(shù)“嚴重性”，“暴露概率”和“可控性”確定每個危險事件的ASIL [1]。ASIL確定基于S，E和C一致的相關場景。

注意：如果新系統(tǒng)的合成ASIL與具有大量現(xiàn)場歷史的類似現(xiàn)有系統(tǒng)的危險經驗不一致，則可能表明用于導出新系統(tǒng)的S，E和C類的現(xiàn)場和交通數(shù)據(jù)需要要重新檢查。這也與HARA過程本質上是迭代的事實一致。

表7 -根據(jù)ISO 26262-3：2011確定ASIL的標準[1]

ASIL測定	C1	C2	C3
S1	E1	質量管理	質量管理	質量管理
E2	質量管理	質量管理	質量管理
E3	質量管理	質量管理	A
E4	質量管理	A	B
S2	E1	質量管理	質量管理	質量管理
E2	質量管理	質量管理	A
E3	質量管理	A	B
E4	A	B	C
S3	E1	質量管理	質量管理	A
E2	質量管理	A	B
E3	A	B	C
E4	B	C	D

在為新系統(tǒng)確定ASIL時，可以在適當時將可能由新系統(tǒng)故障行為導致的嚴重性和事故發(fā)生的嚴重性與現(xiàn)有相關事故數(shù)據(jù)進行比較。然后可以評估測試對象的危險響應行為以得出初始可控性類別。

評估人員應避免高估嚴重性，暴露和可控性等級以及由此導致的ASIL，否則可能導致功能降低，甚至取消可能改善車輛整體安全性的有益特征。同樣，評估人員還應避免低估嚴重性，暴露和可控性等級以及由此導致的ASIL，否則可能導致安全要求不足。

4.3安全目標與安全狀態(tài)之間的關系

在執(zhí)行HARA時，輸出是一組安全目標以確保安全操作。這些是源于物品故障行為可能導致的潛在危險。安全狀態(tài)和相關安全措施在功能或技術安全概念中明確規(guī)定，以便在項目出現(xiàn)故障時實現(xiàn)安全目標。安全狀態(tài)并不總是需要HARA，盡管在安全狀態(tài)與項目級別的特定故障相同的情況下，可能由HARA引起涉及安全狀態(tài)條件的危險。因此，由于安全目標和安全狀態(tài)都是由于考慮到安全生命周期中不同點的故障行為而導致的，因此可能導致不一致。為了保證安全案例的一致性，建議注意安全狀態(tài)不違反安全目標。該建議可以通過安全目標和安全狀態(tài)的不同表述來實現(xiàn)。例如，安全目標可以是“避免在沒有警告的情況下失去即將發(fā)生的碰撞制動功能”，并且安全狀態(tài)可以是“禁用該功能并通知駕駛員該功能不可用”。在這種安全狀態(tài)下，警告減輕了功能喪失的結果，因為駕駛員意識到他不能依賴它。安全概念和HARA必須一致，否則會對安全情況產生不利影響。如果安全目標的安全狀態(tài)導致違反不同的，不太重要的安全目標，則必須注意其各自的安全要求保持一致。建議支持該策略的理由。

示例：考慮一個系統(tǒng)，其中避免故障被指定為具有高，依賴于車輛的ASIL的安全目標。然后，分析人員也錯誤地將此故障指定為開發(fā)概念階段的“安全狀態(tài)”，就像以前的應用程序中所做的那樣，故障被指定為較低的ASIL。然后，在硬件設計階段，當在確定單點故障度量時分析組件故障的影響時，指定諸如安全機制的措施導致故障。然而，這違反了要求安全機制導致安全狀態(tài)的安全目標。技術安全概念現(xiàn)在有一個矛盾。為了解決這個問題，可以指定不同的安全狀態(tài)，或者可以重新設計故障條件，并且可以重復HARA。

審核編輯 ：李倩