ISO26262国际标准系列(五)HARA分析及ASIL等级判定
什么是HARA与ASIL等级
ISO26262实施过程中,一个重要的基础性步骤是对系统进行危害分析和风险评估HARA(HazardAnalysisandRiskAssessment),我们在HARA过程定义和识别出系统的危害并以此确定危害的风险等级——ASIL等级(AutomotiveSafetyIntegrityLevels,汽车安全完整性等级)。
ASIL有五个等级,分别为QM,A,B,C,D,其中QM是最低的等级,D是最高的等级。ASIL等级决定了对系统安全性的要求,ASIL等级越高,也意味着对系统的安全性要求越高,系统开发过程对软硬件的安全要求也越高,开发流程和技术也会要求的越严格。
功能安全(Fusa)活动是基于ASIL等级的。从第四部分到第六部分,许多要求和方法均与要素的ASIL等级关联。
图1:功能安全要求与ASIL等级关联性示例
++对于指定的ASIL等级,高度推荐该方法
+对于指定的ASIL等级,推荐该方法
o对于指定的ASIL等级,不推荐也不反对
图2:更高的ASIL要求更多的工作示例
HARA危害分析和风险评估流程
判定要求的ASIL等级。
图三:HARA危害分析和风险评估流程
危害分析包括功能异常及运行条件分析。
典型的功能异常包括:
图四:功能异常分析(安全气囊系统)示例
故障只有在特定的驾驶场景下(运行条件),才会造成真正的危害,即人身伤害。以雨刮为例,如果在恶劣的天气环境影响下,如暴雪,大雨等天气,雨刮器不工作,随着前挡风玻璃逐渐被雨雪附着,驾驶员看不清道路状况,可能会造成严重的交通事故;而此功能故障如果发生在晴朗的天气就不会产生任何安全上的影响,只是会一定程度影响用户体验。所以在进行危害分析时,需进行运行条件分析。
图五:条件分析示例
图六:危害分析示例
危害分级
危害分级涉及到三个方面:
–Severity严重度(S)
–Controllability可控性(C)
图七:S/E/C评级表
ASIL等级判定
ASIL根据三个因子——严重度(Severity)、暴露率(Exposure)和可控性(Controllability)进行风险等级的判定。
图八:ASIL等级评定表
ASIL有五个等级,分别为QM,A,B,C,D,其中QM是最低的等级,D是最高的等级。QM表上不需要满足ISO26262的要求,只需要满足常规的质量管理体系的要求即可(如ISO9001、IATF16949)。
为了后续的功能安全工作的实施,我们还需要制定安全目标并适当地对ASIL等级进行适当分解。