道路车辆功能安全-ISO26262标准(3)

无内部安全机制的项目应在危险分析和风险评估过程中进行评估，拟实施或在以前的项目中已经实施的安全机制不在危险分析和风险评估考虑。在一个项目中，提供充分独立的外部评估措施是非常有效的。例如，如果有足够独立的证据证明，电子稳定控制系统可以通过增加控制来减少在底盘系统的故障影响。此举的目的是证明要实施或已经实施的项目的安全机制成立为功能安全概念的一部分

危险分析和风险评估的第一步是情形分析和危险识别，即通过相关的情况分析将产品存在的风险识别出来。这就要考虑可能引发危险的操作环境和操作模式，并且要考虑在正确使用时和可预见的误使用时的情况。基于这样的考虑，我们应该通过大量的技术来系统分析，注意以下一些方面：

1. 准备一个用来进行评估的操作情况清单

2. 系统的确定清单上的危险。主要可以通过诸如：头脑风暴，检查列表，历史记录，FMEA，产品矩阵，以及相关的领域研究等技术手段进行。

3. 风险应该用在车辆上可以被观察到的条件或影响来进行定义或描述

4. 在相关操作条件和操作模式下危险事件的影响应该被明确说明。如：车辆电源系统故障可能导致丧失引擎动力，丧失转向的电动助力以及前大灯照明。

5. 如果在风险识别中识别出的风险超出了ISO26262的要求范围，则需给出合适的相应措施。当然，超出ISO26262的风险可以不必分类分级。

完成风险的识别之后，就要对这些风险进行适当的分级，以便设定相应的安全目标，并按照不同的风险等级来采取合理的措施加以避免。

风险的分类主要是通过3个指标来考量，即：危险发生时导致的伤害的严重性、在操作条件下暴露于危险当中的可能性（危险所在工况的发生概率）、危险的可控性。

首先，来看伤害的严重性。这里的伤害是指危险事件发生时，对所有被卷入事件中的人的伤害，包括车上的司机和乘客，骑自行车的人，行人，其他车辆上的人员。伤害的严重性可以分为4个等级，即：S0，S1，S2，S3（对于伤害严重性的详细描述可以参考ISO26262-3中附录B的内容，这里只做分级说明）。如下表：

级别 S0 S1 S2

严重或危及生命的伤害

（可以幸存） S3 危及生命的伤害（可能不能幸存）或致命伤害 描述 无伤害 轻微或有限的伤害

其次，来看在操作条件下暴露于危险中的可能性。可能性被分为5个等级，即：E0，E1，E2，E3，E4，具体分级见下表。至于暴露值是选E1还是选E2，主要看车辆在目标市场正常、合理的使用情况。这里要注意的是，评估暴露于危险中的可能性并不考虑在车上安装了多少个要评估的产品，且假设了所有的车上都安装了这个产品。对于那种认为不是每辆车都安装的产品，其相应的暴露在危险中的可能性会减小的说法也是错误的。 级别

描述 E0 几乎不可能 E1 E2 E3 中等可能性 E4 可能性高 可能性非常低 可能性低

这里，E0只用于在风险分析中一些建议性的情况，通常如果一个危险，人员暴露其中的可能性是E0级，则无需考虑ASIL等级。

再次，来看可控性。即危险事件能被司机或者其他交通参与人员进行控制并减小或者避免伤害的可能性。在ISO26262中，可控性被分为4个等级，即：C0，C1，C2，C3。但要注意，使用这个分级的条件是司机处于正常状态，即：不疲劳，有驾照，按照交通规则行驶，当然，其中要考虑可预见的误操作和误使用。四个级别为： 级别

描述 C0 通常可控 C1 简单可控 C2

正常可控 C3 很难控制或不可控

其中，C0通常用于不影响车辆安全操作的情况。如果一个危险的可控性被评为C0，则对其没有ASIL要求。

由此，根据以上的三个参数，即可确定风险分析中每个风险相应的ASIL等级（汽车安全完整性等级），具体确定方法如下表：

ASIL等级分为A、B、C、D四个等级，ASIL A是最低的安全等级，ASIL D是最高的安全等级。除了这四个等级QM表示与安全无关。

在风险分析过程中，要确保对每个危险事件，根据S、E、C和具体的操作条件和模式确定的ASIL等级不低于其安全目标的要求。同时，相似的安全目标也可以合并为一个安全目标，但要达到的ASIL等级应该是合并项目中最高的。如果安全目标可以被分解到具体的状态中，那么每个安全目标也要转换成达到安全目标的具体安全状态下的具体要求。

安全目标及其属性（ASIL）应按照ISO26262-8:2011，第6条款规定。

要注意的是，危险分析、风险评估和安全目标都要进行审核，以保证对条件和危险分析完整，符合项目定义，并与相关的危险分析和风险评估一致。

由此，完成概念阶段的危险分析和风险评估，形成减少和防止危险发生的安全目标，并通过验证审核。