MUNIK解读ISO26262:Item定义及HARA活动
功能安全中我们经常会听到相关项、要素这两个名词,接下来就简单说明一下它们的定义与区分方式
相关项:实现整车功能或部分功能的系统或系统组合。
从图中我们可以看出,单一的系统是相关项的最低限度也是要素的最高限度;区分它们的根本因素还是看能否在整车层面实现功能或部分功能。
例如:车辆的高速领航功能,由智驾域控(SoC),感知系统(雷达、摄像头等)以及动力系统可以组成一个完整的车辆功能,这个系统组合就是一个相关项
相关项的定义
a) 相关项功能描述;
例如:准确识别道路轨迹信息,确保车辆的安全跟车距离
b) 运行模式及转换条件;
例如:
跟车模式:主动设置跟车距离与行驶速度,维持车辆安全状态
紧急运行模式:车辆高速运行状态时无动力支持,应当触发紧急运行状态,当车速降至60Km/h时备
用输出通道使车辆保持此速度运行直至脱离危险
c)相关项的约束;
功能的依赖性,包括对其他相关项的依赖性以及运行环境的依赖性等信息
d) 行为不足的潜在后果,包括已知的失效模式和危害;
例如:辅助驾驶自动泊车功能运行时,对行人的特征点捕捉识别能力不足导致没有及时避让发生危害
e) 执行器的能力,或其假定的能力;
功能的依赖性,包括对其他相关项的依赖性以及运行环境的依赖性等信息
为了定义相关项的边界、接口及各个相关项间的关系,应当考虑以下内容:
a)相关项的要素;
相关项的要素中所涉及的领域,例如自动驾驶控制领域的接口应当包含动力域、感知系统等
b)相关项的行为对整车影响的假设;
LKA(车道保持系统)的行为,会改变整车的侧向运动状态。
c)其他相关项和要素要求本相关项提供的功能;
与本相关项有关的其他相关项与要素对本相关项提出的要求可以有效地帮助我们识别本相关项接口信息
d) 本相关项要求其他相关项和要素提供的功能;
同样的,本相关项对其他相关项或要素提出的要求也可作为相关项接口识别的关键因素
e) 功能在所涉及的系统和要素间分配;
相关项完成的功能由组成相关项的系统及要素以何种形式共同实现。例如,HWP(高速路自动驾驶)相关项完成功能时,感知系统(雷达、摄像头)提供道路信息,控制器(SoC、MCU)处理接收到的信息并运算最佳行驶轨迹,执行器实现控制器下达指令完成纵向、横向的整车运行调整。
f) 影响相关项功能的运行场景。
不同的运行场景可能会对相关项功能的实现有影响。例如,乡村道路(车道线不完整)运行场景对于车道保持系统的功能实现有较大影响
危害分析与风险评估(Hazard Analysis and Risk Assessment)
识别因E/E系统中产生故障而引起的可能危害车辆驾驶人员安全的事件
HARA分析步骤:
a)相关项可能的危害识别;
ESP(Electronic Stability Program)系统
通讯故障:执行器无法收到控制器给出的力矩补偿信号,可能会导致车辆直接失控
b)风险评估;
从以下三个维度去评估风险等级:
严重性(Severity, S):评估故障可能造成的伤害程度,通常分为四个等级:S0(无伤害)、
S1(轻微或中等伤害)、S2(严重或危及生命)、S3(危及生命到致命伤害)。
暴露性(Exposure, E):评估驾驶者或乘客暴露于潜在危险情况的频率,也分为四个等级:
E0(几乎不可能发生)、E1(低概率)、E2(中等概率)、E3(高概率)、E4(非常高概率)。
可控性(Controllability, C):评估驾驶者在危险情况下避免伤害的能力,同样分为四个等级:
C0(一般可控)、C1(容易可控)、C2(通常可控)、C3(难以控制或不可控)。
危害事件A2:执行器无法收到控制器给出的力矩补偿信号,可能会导致车辆直接失控
危害来源 |
故障表现 |
严重度(S) |
暴露概率(E) |
可控性(C) |
ASIL 等级 |
|
控制器算法偏差 |
接收到轮速信息后转换力矩信号有误差,导致车身修正不足或过量 |
S2 |
E3 |
C3 |
B |
|
A2 |
通讯故障 |
力矩信号无法传递到执行单元,车辆完全失控 |
S3 |
E3 |
C3 |
C |
c)导出安全目标;
安全目标SG-01:探测出执行器无法收到控制器给出的力矩补偿信号时,应进入紧急运行状态并告警
FTTI:300ms
安全目标SG-02:力矩补偿偏差时,应当有措施消除或减轻此误差并上报
ASIL等级:ASIL B(对应危害事件评估结果)
FTTI:300ms
总结
本文简单介绍了ISO26262概念阶段中相关项的定义以及危害分析与风险评估活动的执行,希望能够给在功能安全领域中探索的各位一点帮助。最后,感谢大家的支持,秒尼科会持续为大家输出更有价值的内容,敬请关注!