ISO26262笔记1危害分析与风险评估的要点和误区.docVIP

ISO26262笔记（1）危害分析与风险评估的要点和误区 根据定义，功能安全的目标为： ISO 26262：absence of unreasonable risk due to hazards caused by malfunctioning behavior of E/E systems. GB/T 34590：不存在由电子电气系统的功能异常表现引起的危害而导致不合理的风险。 既然是“避免风险”，那么首先要做的就是“识别风险”，专业术语为“危害分析与风险评估”。在ISO 26262的第3部分对识别风险的方法论做了细致的阐述，同时也定义了很多贯穿ISO 26262始终的关键概念。但是，当密密麻麻的定义和概念同时摆在眼前时，很难做到全部吸收，要么是理解时出现一些偏差，要么是忽略了一些细节。本文试图根据经验总结和梳理危害分析与风险评估的要点和常见误区，为后续文章的展开铺路。 相关项定义（Item Definition） 在对某个产品展开功能安全分析与开发之前，需要先明确产品的功能以及产品的边界。这一活动被称为“相关项定义”。 为了方便后续说明，选取一个电子电器系统作为相关项。德国汽车工业协会（German Association of the Automotive Industry ，VDA）发布的《VDA Recommendation 360 Interface ESC eBooster V1.0》中对ESC和eBooster的功能有系统的介绍。相比较ESC来说，eBooster的功能更加简单易懂，且VDA360对eBooster的对外接口有详细的定义，更重要的是，里面还包含功能安全的指导性章节，个人认为这是一个很好的素材。所以，这个系列的文章将会以eBooster为研究对象来展开。 eBooster作为取代传统真空助力器的电控系统，其工作原理可简要概括为：当驾驶员踩下制动踏板时，推动输入推杆产生位移，踏板行程传感器记录输入推杆位移，将其发送至eBooster ECU，ECU根据位移计算并控制助力电机产生力矩推动制动主缸推杆，使得主缸释放液压到轮缸以实现液压制动。工作过程可以缩略为：踩制动踏板→产生位移信号→电机转动提供助力→实现制动。 目前市场上主流的eBooster产品是博世的i-Booster，如下图所示。 博世i-Booster，图片来自网络 eBooster的功能简单概括为： 驾驶员制动时提供制动助力 制动过程中点制动灯 反馈eBooster状态信息给HMI系统 危害分析与风险识别（Hazard analysis and risk assessment） 总的来说，危害分析、风险识别和ASIL等级评定都是为了定义研究对象（item）的安全目标（Safety Goal），而所有活动都是基于相关项定义的功能和接口来展开，识别并评估相关项的可能失效导致的危害和风险。针对这一活动，有3点需要强调。 要点1（摘自GB T-34590 part3, 7.4.2.2.2）： 应以能在整车层面观察到的条件或行为来定义危害。 要点2（摘自GB T-34590 part3, 7.4.1.2）： 在危害分析和风险评估过程中，应对不含内部安全机制的相关项进行评估，即在危害分析和风险评估过程中不应考虑将要实施或已经在前代相关项中实施的安全机制。 要点3（摘自GB T-34590 part3, 7.4.2.2.2注1）： 通常,每一个危害有多种与相关项的功能实现相关的潜在原因，但在危害分析和风险评估中，对于危害的条件或行为进行定义时，不需要考虑这些原因,这些原因是从相关项的功能行为得出的。 既然是以整车层面观察到的行为来定义危害，那么，从整车动力学的角度，汽车的运动轨迹可以被下图中的运动坐标系完全包含。 汽车运动坐标系 而在每一个坐标系上，因为控制不当而可能产生的所有的整车表现也能被界定。思路如下图所示。 汽车各个运动坐标系上可能存在的风险（部分） 因此，在进行危害分析和风险评估时，不需要明确研究对象的具体设计，只要明确研究对象的功能和接口会影响整车哪个坐标系上的控制，就可以将研究对象的功能失效可能导致的危害与该坐标系上对应的整车危害链接起来。 当然这里要补充一点，所有运动坐标系上可能的危害并不能包括整车能产生的所有的危害。比如，人机交互界面的设计越来越受重视，当系统失效后，如果HMI系统能够及时把故障报告给驾驶员请求驾驶员接管甚至指导驾驶员接下来如何操作，可以避免危害。所以对于HMI系统也有相应的功能安全需求，相应的，也需要对其进行危害分析与风险识别。 以eBooster为例，其功能之一为：在驾驶员制动时提供制动助力。所以该功能有车辆纵向控制的接口，那么，如果eBooster功能失效，可能在驾驶员没踩制动时产生非预期的过大制动力。到这里，已经