车辆（四十）——ISO26262（2）

mizhongquan

一、ISO26262概念阶段

具体看一下在概念阶段，ISO26262-3 对于项目定义、安全生命周期初始化和危险分析和风险评估的定义和要求。

1.项目定义

首先是项目定义阶段。项目定义，也就是对要进行研发的产品进行一个定义，进行一个描述。主要有两个目的：一个是定义和描述项目；一个是对项目有一个足够的理解，以便能够很好的完成安全生命周期中定义的每一个活动。

基于以上目的，要对项目进行明确、准确、正确的定义，就需要获得一些基本信息，ISO26262 中给出了一些建议如下：

项目信息：

a） 项目的目的和功能

b） 项目的非功能性要求，如操作要求、环境限制等

c） 法规要求（特别是法律和法规），已知的国家和国际标准等

d） 类似功能、系统或元素达到的行为

e） 对项目预期行为的构想

f） 已知的失效模式和风险在内的项目缺陷造成的潜在影响

2、项目的边界条件以及相关项目之间的接口条件：

a） 项目的所有元素

b） 项目对其他项目或项目环境元素的相关影响

c） 其他项目，元素和环境对本项目的要求

d） 在系统或者包含的元素中，对功能的定位和分配

e） 影响项目功能时，项目的运行情况

有了以上这些基本的信息，就可以对要进行的项目给出一个比较明确和具体的项目定义，明确项目的要求，从而使得对项目有一个足够的理解，能够指导后续工作，来很好的完成安全生命周期中定义的每一个活动。

2.项目的安全生命周期

那么，有了项目定义之后，就要确定项目的安全生命周期，对项目的安全生命周期进行初始化，也就是开始对项目的安全生命周期进行细化。而要进行细化，就要区分是项目是新产品研发还是既有产品的改造。

如果是全新的设备研发，则相关工作就得从安全生命周期的开始做起，项目定义之后就是项目危险分析和风险评估。

如果是既有产品的改造，那么从项目定义开始的这些流程都可以使用一些既有的文件对整个过程进行定制。

现有产品升级改造，就要注意以下一些问题：

1．要做一个产品和使用环境的分析，以制定出预期更改，并评估这些更改产生的影响。

a) 对项目的更改包括设计更改和执行更改。设计更改应该是由需求规范、功 能和性能的增加或者成本的优化所致，执行更改不能影响项目的规格和性能，但可以影响执行特征。执行更改可以由软故障更改，使用新的研发成果或生产工具所致。

b) 如果配置数据和校准数据的更改会影响到产品的行为，则更改须考虑这些 数据。

c) 对产品环境的更改应该是由产品要使用的新的目标环境或由于其他相关产 品或元素升级而引发。

2．要表述清楚产品使用的前后条件的差别，包括：

a) 操作条件和操作模式

b) 环境接口

c) 安装特征，如：在车辆内部的位置，车辆的配置和变化等

d) 环境条件的范围，如：温度，海拔，湿度，震动，EMC 和汽油标号等。

3．要明确给出产品变更的描述以及影响的范围。如果不能明确产品的变更和对环境 数据影响的改变，则相关影响的分析数据都要进行记录。

4．影响到的服役产品，需要进行升级的，要进行逐一列出。

5．定制的相关安全活动应符合各个应用生命周期阶段的要求，包括：

a) 定制应基于影响分析的结果。

b) 定制的结果应包括在符合 ISO26262-2 的安全计划中。

c) 影响到的产品须返工，包括确认计划和验证计划。

确定了以上这些基本信息之后，对所要进行的产品研发或者设备更改工作就有了一个清晰明确的定义，对产品的预期使用功能、环境，以及与相关设备的接口也有了一个明确的定义，接下来就可以进行危险分析和风险评估了。

3. 项目的危险分析和风险评估

在概念阶段，ISO26262-3 给出了对危险分析和风险评估的要求。危险分析和风险评估的目的和之前的 ISO13849,IEC62061 等的标准一样，都是为了将设备存在的危险识别出来，并根据危险的程度按照一定的原则对其进行分类，从而针对不同的风险设定具体的安全目标，并最终减小或消除风险，避免未知风险的发生。

也正是因为这样，危险分析、风险评估和 ASIL 等级的确定只是和避免风险有关的安全目标相关。通过对危险情况的系统评估，考虑引发危险的影响因素——伤害的严重性，暴露于危险中的可能性和危险的可控性，来确定安全目标和 ASIL 等级。而这三个指标都是针对产品的功能行为的，所以做危险分析和风险评估时，并不一定先要知道设计细节。

无内部安全机制的项目应在危险分析和风险评估过程中进行评估，拟实施或在以前的项目中已经实施的安全机制不在危险分析和风险评估考虑。在一个项目中，提供充分独立的外部评估措施是非常有效的。例如，如果有足够独立的证据证明，电子稳定控制系统可以通过增加控制来减少在底盘系统的故障影响。此举的目的是证明要实施或已经实施的项目的安全机制成立为功能安全概念的一部分危险分析和风险评估的第一步是情形分析和危险识别，即通过相关的情况分析将产品存在的风险识别出来。这就要考虑可能引发危险的操作环境和操作模式，并且要考虑在正确使用时和可预见的误使用时的情况。基于这样的考虑，我们应该通过大量的技术来系统分析，

注意以下一些方面：

1. 准备一个用来进行评估的操作情况清单

2. 系统的确定清单上的危险。主要可以通过诸如：头脑风暴，检查列表，历史记录，FMEA，产品矩阵，以及相关的领域研究等技术手段进行。

3. 风险应该用在车辆上可以被观察到的条件或影响来进行定义或描述

4. 在相关操作条件和操作模式下危险事件的影响应该被明确说明。如：车辆电源系统故障可能导致丧失引擎动力，丧失转向的电动助力以及前大灯照明。

5. 如果在风险识别中识别出的风险超出了 ISO26262 的要求范围，则需给出合适的相应措施。当然，超出 ISO26262 的风险可以不必分类分级。完成风险的识别之后，就要对这些风险进行适当的分级，以便设定相应的安全目标，并按照不同的风险等级来采取合理的措施加以避免。

风险的分类主要是通过 3 个指标来考量，即：危险发生时导致的伤害的严重性、在操作条件下暴露于危险当中的可能性（危险所在工况的发生概率）、危险的可控性。

首先，来看伤害的严重性。这里的伤害是指危险事件发生时，对所有被卷入事件中的人的伤害，包括车上的司机和乘客，骑自行车的人，行人，其他车辆上的人员。伤害的严重性可以分为 4 个等级，即：S0，S1，S2，S3（对于伤害严重性的详细描述可以参考 ISO26262-3附录 B 的内容，这里只做分级说明）。如下表：



其次，来看在操作条件下暴露于危险中的可能性。可能性被分为 5 个等级，即：E0，E1，E2，E3，E4，具体分级见下表。至于暴露值是选 E1 还是选 E2，主要看车辆在目标市场正常、合理的使用情况。这里要注意的是，评估暴露于危险中的可能性并不考虑在车上安装了多少个要评估的产品，且假设了所有的车上都安装了这个产品。对于那种认为不是每辆车都安装的产品，其相应的暴露在危险中的可能性会减小的说法也是错误的。



这里，E0 只用于在风险分析中一些建议性的情况，通常如果一个危险，人员暴露其中的可能性是 E0 级，则无需考虑 ASIL 等级。

再次，来看可控性。即危险事件能被司机或者其他交通参与人员进行控制并减小或者避免伤害的可能性。

在 ISO26262 中，可控性被分为 4 个等级，即：C0，C1，C2，C3。但要注意，使用这个分级的条件是司机处于正常状态，即：不疲劳，有驾照，按照交通规则行驶，当然，其中要考虑可预见的误操作和误使用。四个级别为：



其中，C0 通常用于不影响车辆安全操作的情况。如果一个危险的可控性被评为 C0，则对其没有 ASIL 要求。由此，根据以上的三个参数，即可确定风险分析中每个风险相应的 ASIL 等级（汽车安全完整性等级），具体确定方法如下表：



ASIL 等级分为 A、B、C、D 四个等级，ASIL A 是最低的安全等级，ASIL D 是最高的安全等级。除了这四个等级 QM 表示与安全无关。

在风险分析过程中，要确保对每个危险事件，根据 S、E、C 和具体的操作条件和模式确定的 ASIL 等级不低于其安全目标的要求。同时，相似的安全目标也可以合并为一个安全目标，但要达到的 ASIL 等级应该是合并项目中最高的。如果安全目标可以被分解到具体的状态中，那么每个安全目标也要转换成达到安全目标的具体安全状态下的具体要求。安全目标及其属性（ASIL）应按照 ISO26262-8:2011，第 6 条款规定。要注意的是，危险分析、风险评估和安全目标都要进行审核，以保证对条件和危险分析完整，符合项目定义，并与相关的危险分析和风险评估一致。由此，完成概念阶段的危险分析和风险评估，形成减少和防止危险发生的安全目标，并通过验证审核。