術語
注: 下面的術語的定義是作者基於ISO 26262的定義,再加上自己的理解給出的,和ISO 26262會有些差別。正式、准確、完整的定義請參考ISO 26262。
危險
Harzard
危險 是可能會造成人身傷害的失效。
注意:不會造成人身傷害的失效不是危險。比如汽車的收音機壞了,這個失效會導致乘員不能收聽廣播,但不會造成乘員人身傷害,所以它不是危險。
什么是失效可以參見文章潛在失效模式和后果分析 FMEA 10分鍾教程中失效模式的解釋。
暴露率
Exposure
暴露率,描述危險出現時,人員暴露在失效能造成危害的場景中的概率。
注意:
- 暴露率和失效的發生概率無關,和失效能造成危害的場景的概率有關。
- 危險一般只在特定的場景下才能會對人產生傷害。比如安全氣囊不能彈出只在汽車發生碰撞時才會對乘員造成傷害
暴露率分為五個等級,分別為E0/E1/E2/E3/E4。E0是幾乎不可能暴露於危險中,E4是可能性極高。
| 暴露率等級 | E0 | E1 | E2 | E3 | E4 |
|---|---|---|---|---|---|
| 場景發生的可能性 | 不可能發生 | 可能性非常低 | 可能性低 | 有一半的可能性 | 可能性非常高 |
例子1:
安全氣囊的功能是在汽車發生碰撞時彈出氣囊保護乘員。
失效1.1: 安全氣囊不能彈出。
失效1.1在汽車正常駕駛狀態(這里指沒有發生碰撞)不會對乘員造成傷害,在汽車碰撞時會因為氣囊不能彈出而對乘員造成傷害。所以失效1.1的暴露率就是是汽車碰撞事件的發生概率。平均每個司機發生碰撞事故的頻率小於一年一次,根據ISO26262:2011-3 table B.3,暴露率可評為E0。
例子2:
電動輔助轉向的功能是在駕駛員轉向時提供輔助動力,輔助駕駛員轉向。
失效2.1: 輔助轉向提供的輔助力方向和實際轉向方向不同。
失效2.1在汽車靜止時不會對乘員造成傷害,在運動運行狀態可能導致車輛失控,對乘員造成傷害,所以失效2.1的暴露率可以用汽車運動狀態時長占整車運行時長比例表示,幾乎100%的暴露率,暴露率可評為E3。
嚴重度
Severity
嚴重度 描述危險可能對駕駛員、乘員、或者行人等涉險人員的傷害程度。比如助理轉向失靈比輪胎漏氣的嚴重度高。
嚴重分為4個等級,分別為S0/S1/S2/S3,級別越高,傷害越嚴重。
| 嚴重度等級 | S0 | S2 | S3 | S4 |
|---|---|---|---|---|
| 傷害等級 | 沒有傷害 | 輕度或中度傷害 | 重度或危及生命(還有生還的可能性) | 威脅生命安全(幾乎沒有生還的可能性) |
可控度
Controllability
可控度 描述危險出現時,駕駛員或其他涉險人員通過及時反應能夠避免事故或傷害的可能性。比如輪胎漏氣比助理轉向失靈的可控度高。
可控度總共4個等級,分別為C0/C1/C2/C3,等級越高,可控性越差。
| 可控度 | C0 | C1 | C2 | C3 |
|---|---|---|---|---|
| 可控的能力 | 可控 | 簡單可控 | 一般可控 | 幾乎不可控 |
危險事件
Hazardous event
危險事件 是一個危險和一個運行場景的組合。
把危險和運行場景拆開,是因為危險一般只在特定的運行場景下才能會對人產生傷害。詳細解釋參見暴露率的定義。
汽車安全完整性等級
Automotive Safety Integrity Level (ASIL)
ASIL等級基於S、E、C這三個影響因子,按照下表確定。
ASIL描述危險的風險等級,其中D代表最高等級,A代表最低等級,QM表示質量管理(Quality Management),表示按照質量管理體系開發系統或功能就足夠了,不用考慮ISO26262中的要求。
功能安全等級要求越高,對系統、軟件、硬件的開發流程要求越嚴格,對硬件隨機失效的要求越高。
危險分析和風險評估
Hazard analysis and risk assessment
一種為了避免不可接受的風險的方法,用於識別和歸類危險事件,並制定可以預防或減輕相應危險的安全目標及其ASIL等級。
危險分析和風險評估步驟
一般有以下4個步驟:
步驟1: 熟悉產品功能和失效
步驟2: 識別危險
步驟3: 識別危險事件
步驟4: 為識別的危險分類
步驟1 熟悉產品功能和失效
熟悉產品的功能和失效就是了解分析的對象,是進一步分析的基礎。
步驟2 識別危險
識別可能會造成乘員人身傷害的失效。
步驟3 識別危險事件
一個危險可能只在特定的運行環境下會對人產生傷害。實例可以參見暴露定義中的例子。
識別危險事件就是找出會使危害對人產生傷害的運行環境。
步驟4 為識別的危險分類
定義危險的嚴重度、暴露、可控度,得出ASIL等級。同時也會得到功能安全目標(功能安全目標就是避免危險)。
危險分析和風險評估例子
這個例子來自ISO 2626-10:2011。
此例中的分析對象是一個裝在車上的控制儲能設備的產品。只有車速大於或等於 15km/h 時,儲存的能量才應該被釋放。在車速低於15 km/h 時釋放能量會使設備過熱,進而導致設備爆炸。
分析1:
a) 危險識別
-- 導致能量非期望地釋放的失效會導致爆炸
b) 危險事件
在此例中,考慮以下駕駛環境:
-- 車速低於15 km/h 的交通堵塞環境
產品失效導致能量非預期地釋放。儲能裝置爆炸,導致了車上乘員嚴重傷害。
c)為識別的危險分類
爆炸導致乘員受到威脅生命的傷害,不一定生還,所以嚴重度定義為S3。
車輛在交通堵塞下緩行,車速低於15 km/h。基於目標市場交通統計數據,這個環境的暴露可以估計為E3(發生占駕駛時間的1%到10%)。
車內駕駛員或乘客控制產品失效和設備爆炸的能力被認為是不可能,所以可控度可以被估計為C3(很難控制或不可控)
根據 ISO 26262-3:2011 表 4,ASIL等級為ASIL C。
分析2:
a) 危險識別
-- 失效導致能量不能被釋放
b) 危險事件
-- 任何駕駛工況
產品有失效但是不會導致儲能設備釋放能量,所以不會導致乘員傷害
c)為識別的危險分類
因為產品的失效並不會導致傷害,所以嚴重度定義為S0,並且不需要確定可控度。因此不需要確定安全目標。
版權聲明: 本文為博主原創,未經許可禁止轉載。原文地址: https://www.cnblogs.com/byronsh/p/hazard-analysis-and-risk-assessment.html
本文的數字簽名如下:
MGUCMCZ04yLcQ79NlLG5Np7fHwip886tPHvKzh0fK4+oTAxekWEb5edGo5+7JbXIAJDHuwIxAMAfnL6vUdVmD2p9kNmRRSIguOkcVbtkr23jkWVcvU3rRLL9tIzPWtGTZuxhCuczVw==
--- 2019-7-20 9:31:11