现在,我们将总结一下如何对危害进行分析并对风险进行评估。在我们开始之前,我们需要定义一下将汽车的哪一部分应划分在考虑范围之内。我们现在以一种先进的驾驶员协助系统(简称ADAS)为例,一旦我们选择使用了一种系统,我们需要进行集思广益并想出不同的驾驶情形,比如在积雪的高速公路上驾驶或者在停车场,我们将这一过程叫作情景分析。我们将全面考虑导致汽车失灵的各种情况,我们会煞费苦心的找出驾驶员协助系统出现的问题,然后在不同的驾驶情形下对失灵的情况进行评估,并计算风险因素,这个风险因素叫做ASIL,即汽车安全完整性等级(Automotive, Safety, Integrity, Level)。危害分析和风险评估的终极目标在于定义驾驶员协助系统的需求,从而避免危害的发生。
以下是本课主要内容的描述:
您将确定正在考虑的车辆系统。项目定义描述了正在考虑的车辆系统。定义的一部分包括系统边界,明确系统内部和外部的内容。
在情景分析中,您可以选择不同的驾驶场景,比如在颠簸的道路上驾驶、被拖走和在高速公路上驾驶。
这是您确定系统可能出现什么问题的地方:换句话说,系统可能出现什么故障。请记住,ISO 26262只关注电气和电子故障。例如,一个电子停车刹车失灵可能是一个潜在的故障。
Hazardous Event Classification According to Exposure, Severity and Controllability 根据暴露程度、严重性和可控性对危险事件进行分类
然后将情况和危险结合起来。本质上,你考虑一个故障,然后考虑不同驾驶场景下的故障。比如当汽车停在陡峭的山上时,电子刹车失灵。然后,您可以计算三个指标,称为暴露度、严重性和可控性。这三个指标的值将取决于危险、驾驶场景以及在该场景下发生危险时可能发生的情况。
在您计算了暴露、严重程度和可控性之后,您现在可以确定ASIL。有一个表格可以方便计算。
最后,根据危害分析和风险评估得出安全目标。安全目标是一种专门针对车辆功能安全的工程要求;例如,“当车辆在坡度大于10度的停车场时,应始终使用电子停车制动系统”。
请注意,HARA是主观的,不同的群体可能根据他们对严重程度、发生情况和暴露程度的看法来定义不同的值。这可能是由于地理或文化因素。例如,在那些绝大多数汽车使用在照明良好、城市、低速度限制地区的国家,车头灯可能并不被认为是安全的关键。
在功能安全模块的其余部分,我们将使用一个先进的驾驶员辅助系统作为一个具体的例子。高级驾驶员辅助系统,通常称为ADAS系统,有两个功能:
- 提醒司机注意潜在的危险情况
- 控制车辆,防止事故的发生
您已经熟悉了ADAS系统中使用的一些技术,如激光雷达、雷达和具有计算机视觉和深度学习算法的摄像机。
因为ADAS系统实际上可以从驾驶员手中接管控制权,这些系统代表了开发全自动汽车的中间步骤。下面是一些ADAS系统的例子,你可以在今天的乘用车中找到:
- Adaptive Cruise Control 自适应巡航控制系统
- Automatic Parking 自动停车
- Blind Spot Monitoring 盲点监控
- Lane Departure Warning 车道偏离警告
- Lane Keeping Assistance 车道保持辅助
- Tire Pressure Monitoring 轮胎压力监测
- Pedestrian Protection 行人保护装置
对于功能安全模块,我们将看到一个简化版本的车道辅助系统。我们想要确保您了解技术是如何工作的,以及系统架构是什么样子的。
车道辅助系统将有两项功能:
- Lane departure warning 车道偏离警告
- Lane keeping assistance 车道保持辅助
当司机驶入车道边缘时,会发生两件事:
- 车道偏离警告功能将震动方向盘
- 车道保持辅助功能将移动方向盘,使车轮转向车道中心
更正式地表述车道偏离警告工程要求:“车道偏离警告功能应应用一个振动转向扭矩,为驾驶员提供触觉反馈”。换句话说,汽车快速前后移动方向盘来制造震动。您可以假设工程需求来自产品工程团队,您的工作是添加额外的需求以确保功能安全。
车道保持辅助功能将自动辅助驾驶员;方向盘转向车道的中央。我们将正式将这一要求列示为“车道保持辅助功能应在激活时应用转向力矩以保持在ego车道上”。Ego lane指车辆当前行驶的车道。
当摄像头感知到车辆离开车道时,它会向电子动力转向系统发送一个信号,要求转向并振动方向盘。摄像头传感器还将要求打开汽车显示仪表板上的警示灯。这样驾驶员就知道车道辅助系统是活动的。
如果司机想离开车道怎么办?如果司机使用转弯信号,那么车道辅助系统就会停止工作,这样车辆就可以离开车道。司机还可以通过仪表板上的一个按钮完全关闭系统。
司机仍然需要一直双手握住方向盘。电子动力转向子系统有一个传感器来检测司机已经转弯了多少。车道保持辅助功能只会增加额外的扭矩,使汽车回到中心。额外的扭矩通过电机直接施加到方向盘上。
现在我们从鸟瞰的角度来看看这个系统是什么样子的。看一下这个系统架构图。体系结构是系统主要部分的框图。这种高层次的概述允许我们了解系统是如何工作的,而不需要知道硬件和软件实现的细节。
ECU代表电子控制单元。ECU是一种小型计算机,它包含用于特定车辆功能的硬件和软件。例如,camera ECU可能具备深度学习或计算机视觉技术(如Hough变换)所需的硬件和软件。
总结一下功能,相机系统检测车道偏离并告诉方向盘转弯有多难。驾驶员在车辆显示屏上收到警告,同时通过方向盘振动也收到警告。同时,车轮增加额外的转向扭矩,帮助司机回到车道的中心。
注意,系统图有三种不同的颜色。ISO 26262有一个特定的词汇表,用于引用系统的不同部分。在图中,您可以看到ISO 26262如何定义术语“item”、“system”和“subsystem”。
一个item只是车辆里一个高层次的系统; 在本例中,item是车道辅助系统。为清楚起见,在整个课程中,您将看到对“车道辅助item”的引用,而不是“车道辅助system”。
根据ISO 26262,System是一组至少具有传感器、控制器和执行器的元件。在红色的系统轮廓中,我们有两个传感器:摄像机传感器和驾驶员转向扭矩传感器。ECU是控制器,执行器是驱动方向盘的马达。传感器、ECUs和电机都将被视为Element。Element是系统任何部分的通用术语。一个System通常有多个Element。
Subsystem是一个系统中较小的部分。因此,一个Item可以被认为是一个由多个系统组成的系统……
层次结构是:
正如你所看到的,这些标签是流动的,取决于上下文。如果您从鸟瞰的角度查看整个车道辅助Item,您可以将相机传感器称为一个Element。如果您查看相机传感器内部,您会发现相机传感器有自己的内部传感器、控制器和执行器。所以你也可以把相机传感器看作一个System这取决于你把焦点放在什么水平。
请注意,在为ISO层次结构分配Element时,还有解释的余地。例如,从开发图形卡上组件的人员的角度来看,图形卡不是硬件组件。
如果我们深入研究动力转向ECU子系统,我们将ECU分为硬件和软件两部分。我们可以将软件和硬件进一步细分为components, parts, and units,如下图所示。当我们遍历V模型时,架构图变得更加集中和详细。
以下是ISO 26262如何为系统层次结构加上每个部分的典型例子的摘要:
在分析车辆系统的功能安全性时,首先需要了解项目的功能并定义项目的边界。在我们的示例中,项目是车道辅助系统。看看车道辅助系统架构,
可以看到,项目边界被绘制为包含三个子系统:
- Camera system 摄像系统
- Electronic Power Steering system 电子动力操舵系统
- Car Display system 汽车显示系统
您在功能安全方面的工作是进一步细化系统,以考虑潜在的故障。为了确保功能安全,您可能最终会向提供给您的原始系统体系结构添加额外的子系统或元素。一般来说,项目定义会说明哪些系统是项目的一部分,以及关于项目的任何其他已知信息,例如:
- 产品的功能概念,描述产品应该做什么;回想一下,功能安全工程包括分析当系统发生故障时所发生的情况,而项目没有完成它应该做的工作。所以了解产品的用途是很重要的。
- 营运及环境限制
- 法律要求
- 与本项目有关的国家和国际标准
- 以前已知的与安全有关的事件或行为缺陷的记录
在绪论课程中,你已经学习了危害识别和风险评估的基本概念。ISO 26262标准使得这一包含危害识别和风险评估的流程更加标准化。记住功能安全的终极目标是将风险在社会层面上降低至可以接收的水平。在危害分析和风险评估中,你需要去寻找你的系统的错误出在哪里,随后你需要通过联系其无意识行为对其所造成的风险进行衡量。然后你要估计出为了保持安全状态,系统需要作出什么样的反应,我们称其为无意识行为,即失灵状态(malfunction)
比如,如果车道偏离预警系统,对于方向盘的扭曲控制的太重的话,驾驶员很可能会失去对车辆的控制,并有可能导致车祸的发生。因此,过大的钮转力是导致危害性情景产生的一个失灵状态。
危害分析和风险评估包含五个部分:
- 情景分析,用来识别驾驶环境,比如在下雨的城市中行驶
- 危害识别,用来分析当前的系统出现了什么样的问题
- 情景分类和危害分类,这两部分分别根据严重程度和发生概率来进行
- 最后就是计算ASIL
- 驾驶的安全目标是识别出系统将会做出什么样的反应来降低风险
以下是操作模式、操作场景、环境细节、情景细节和项目使用的可能值:
Operational Mode
让我们对车道保持辅助功能进行情景分析。我们将重点放在司机滥用item上。因为车道保持辅助功能控制着车辆,我们可以想象一个司机把双手从方向盘上拿开,把车辆当作自动驾驶一样对待(事实上,你可以在youtube上找到人们就像这样滥用车道保持辅助的视频);然而,车道保持辅助功能并不是设计用来驾驶完全自主的车辆。用guide的话来说,情景将是“在正常情况下高速行驶在乡村公路上(驾驶员滥用车道保持辅助功能作为一种自主功能)”。我们将在整个课程中使用这种驾驶情况来介绍车道保持辅助功能。
在进行情景分析之后,下一步是进行危害的识别。
你应该还记得在ISO 26262标准中对人身健康以及生命安全造成损失的电子系统失灵现象导致了具有危害的情景,失灵是一种无意识行为。如果说车道偏离预警系统的目的是对方向盘施加振动的话,失灵则意味着这种振动过于强烈,危害便是驾驶员会失去对方向盘的控制并可能由此导致和其它车辆相撞的事故的发生。
和情景分析类似,我们有一些列的引导字来对失灵情况进行识别,我们还有一些列潜在事故或者危害性事件清单。
值得注意的是,我们并没有关注技术在此方面的应用情况.比如,我们没有去思考究竟是车道偏离预警系统的哪一部分造成了过于剧烈的摆动,或许可能是软件中存在的错误,也可能是振动电机中的问题,但我们并不需要去关注这些细枝末节的层次。
我们依然假设汽车的其余部件均运转正常,我们只关注车道偏离预警系统,一整套的危害识别过程包括
- 功能的定义
- 从引导字中选取可供考虑的失灵情况
- 失灵情况的细节
- 危害性事件
- 危害性事件的细节
- 对于该危害性事件的描述。
所以,一套完整的车道偏离预警系统的危害识别,需要包含以上一整套东西.
在下面的步骤中我们将会把情景和危害融合在一起来衡量风险。
在车道保持辅助功能方面,我们之前开发了一个例子,在这个例子中,驾驶员将双手从方向盘上拿开,错误地将汽车视为完全自主的车辆,从而滥用了该功能。在本例中,malfuntion是车道保持辅助功能始终是激活的。这里也有可能发生车辆碰撞。使用潜在事故列表,我们将选择“collision with other vehicle”。车道保持辅助功能应该在有限的时间内增加额外的转向扭矩,然后停止提供额外的扭矩。这样,驾驶员就不能把这个功能当作是完全自主驾驶。
现在我们是时候将不同的情景和危害结合在一起进行风险评估了,一旦我们知道我们所面临的风险程度如何,我们就可以想出怎样将风险降低到一个可控的范围之内。
让我们回到绪论课程上,在那堂课上我们学习了利用严重程度和发生概率的乘积来计算风险,在那堂课中,我们将一些问题稍稍做了简化。
在 ISO 26262标准中,风险的定义方式和之前的方法——即风险等于失灵造成损失的严重程度和造成损失出现概率的乘积——有些许的区别。在绪论课程中你应该学习到了严重程度,由功能失灵造成损失的出现概率包括两方面的内容,分别为发生危险场合可能性和可控性。所以风险程度等于严重程度乘以发生危险场合可能性再乘以可控性。
让我们逐个讨论一下这几个因素,我们之前介绍过严重程度,其指的是一个人在一场事故中可能受到伤害的严重程度。
在ISO 26262标准中,严重程度有四种等级,分别为S0 S1 S2 S3。S0代表没有伤害程度而S3则代表致命的伤害。
例如,当车以40公里每小时的速度行进时,其严重程度为S3,在对车道偏离警示系统的情景分析中,我们假设驾驶员是在高速公路上行驶,所以严重程度为S3。
你可以利用下面的表格来指导不同情形下严重程度的评估
在最后一列中,您将看到受伤的可能性以及涉及到AIS度量。AIS代表事故伤害度量。事故伤害量表由美国汽车医学促进协会(AAAM)发布,包含7个等级:AIS 0到AIS 6。下面是与每个级别相关的伤害的例子。
- AIS 0:无人员伤亡
- AIS 1:轻度损伤,如皮肤深层损伤、肌肉疼痛、鞭伤
- AIS 2:中度损伤,如深肉伤
- AIS 3:严重但无生命危险的损伤,如无脑损伤的颅骨骨折
- AIS 4:危及生命但有可能存活的重伤,如伴有或不伴有颅骨骨折的脑震荡,昏迷长达12小时
- AIS 5:严重损伤(危及生命,生存不确定),如第四颈椎以下脊柱骨折伴脊髓损伤
- AIS 6:极其严重或致命的损伤,如第三颈椎以上颈椎骨折,脊髓受损
请注意,作为一个例子,标准中提供了AIS。没有使用AIS的要求,“受伤概率”域是一个建议的准则,不是一个严格的要求。
现在,我们来学习一下发生危险场合可能性。你是否还记得在绪论课程中学习的发生概率的定义?发生概率精确的衡量了驾驶员在某些特定的驾驶情况下驾驶的次数和时长,比如,在高速公路上驾驶,在停车场中逗留或在湿润的路面上行驶。
发生危险场合可能性的定义方式和我们在绪论课程中定义发生概率的方式相同,危害时间的范围从E0到E4。在我们车道偏移预警的例子中,包含了在VicRoads网站上的高速公路上驾驶的情况,根据功能安全标准,在高速公路上驾驶发生危险场合的可能性为E3。
下面的表格给出了怎样确定危险场合可能性等级的方法
最后一个进行风险评估的因素为可控性,可控性描述了在一场事故中驾驶员可以控制车辆的可能性。可控性的范围从C0到C3,其中C3为一个平均水平的驾驶员无法取得车辆控制的情形。如果车道偏离预警系统使得方向盘的震动程度较大并使其猛烈的摆动,那么大多数驾驶员都很难对汽车进行控制。我们将这种情况的可控性设置为C3级别。
我们也提供了一个表格来帮助区分不用的可控性级别。
现在我们可以估计我们车道偏离系统的风险了。举个例子。我们将严重程度发生危险场合的可能性和可控性组合为一个衡量风险的因素:汽车安全完整性等级(ASIL)。下节课,我们将更深入的学习汽车安全完整性等级
下面是我们分析的车道保持辅助的情况:“在正常情况下高速行驶在乡村公路上(驾驶员滥用车道保持辅助功能作为一种完全自主的功能)”。
- 因为驾驶员以高速运行,所以严重性为S3。
- 司机在乡村公路上,滥用了系统。这种组合可能不会经常发生,所以我们将标记为E2。
- malfunction是车道保持辅助装置一直开着,没有时间限制,所以司机可以把双手从方向盘上拿开。因为手不在方向盘上高速行驶,交通事故是无法控制的。我们将这个危险的情况标记为C3。
严重程度、发生危险场合可能性和可控性提供了风险评估的系统化方法。我们将这三种因素混合成为一个度量单位叫作汽车安全完整性等级(ASIL)。汽车安全完整性等级用来衡量在每一种危害情形下风险的大小,低风险等级为ASIL A级,而最高的风险的等级为ASIL D级.
ISO 26262为将这三个量融合成为汽车安全完整性等级参考表。我们来计算一下车道偏离预警系统的汽车安全完整性等级,你可以从表中看到S3,E3和C3三者混合会得到ASIL C级,方向盘过于猛烈的摆动所带来的危害有着较高的风险。
这张表格上有着许多我们之前没有提到的内容。什么是QM?如果一个危害的严重程度、可控性和发生危险场合的可能性分别为S0 E0或者 C0时 会发生什么?如果再风险评估中包含了S0、EO 或者 C0那么这个风险就会自动标记为QM。QM 表示质量管理,意味着风险已经在可以接受的范围之内,将ISO 26262运用在一个质量管理中的危害情形下是没有必要的,因为其风险已经很低。但是针对这种情形仍然有很多种标准可以应用在其中,比如自动质量管理标准 IATF 16949。既然我们已经知道如何评估风险,我们将学习系统怎样进行反应才能够降低风险。
现在,我们可以评估车道保持辅助功能的危险情况的风险。结合车道保持辅助例子中的S3、E2和C3给出了ASIL B。ASIL显示风险d高于可接受水平的程度,以便您知道需要做多少工作才能降低风险。接下来,我们将更详细地研究ASIL,并讨论ASIL A、B、C和D之间的区别。
为了加强关于ASIL的严重性、暴露程度和可控性的理解,让我们再看一遍车道偏离警告的例子。在最初的情景分析中,我们说车辆行驶在高速公路上,在雨中高速行驶,导致ASIL C。
在城市街道的湿路上低速行驶怎么样?低速碰撞意味着S1的严重程度。由于路面潮湿,曝露仍为E3。可控性可能仍然是C3,因为即使在较低的速度下,方向盘剧烈地前后摆动也很难控制。S1 E3和C3导致ASIL A, ASIL下降到A,而最初我们有ASIL C,直观地说,这是有道理的;在其他条件不变的情况下,驾驶员驾驶速度变慢了,所以风险降低了。
在城市街道上低速行驶在干燥的路上怎么样?严重程度将维持在S1。暴露现在增加到E4和可控性保持在C3。ASIL现在增加到B。也许与直觉相反,如果我们考虑在干燥的道路而不是潮湿的道路上开车,风险减少才对。增加的风险来自于暴露。驾驶员更有可能在干燥的道路上行驶,而不是在潮湿的道路上,因此在干燥的道路上发生随机malfunction的可能性更高;因此,干燥道路的风险增加。
如果我们考虑在干燥的道路上行驶高速公路呢?暴露增加到E4,严重程度为S3,可控性为C3。ASIL会增加到ASIL D。
当多个情况映射到相同的危险时,您将采取保守的策略,并为该危险选择最高的ASIL级别。如果我们考虑到车道偏离警告系统在湿路和干路上震动过大的可能性,我们将指定ASIL D。
更高的ASIL水平需要更多的分析、需求和测试来将风险降低到可接受的水平。所以在车道辅助的例子中,第一个有ASIL C的危险情况比第二个有ASIL B的危险情况需要更多的工作。
以下是一些额外措施的例子,可能需要采取更高的ASILs:
- 以故障树分析为例,对ASIL C和ASIL D进行了推理分析
- ASIL D建议PMHF指标的故障率目标为每十亿小时不超过10个危险的、未检测到的故障,而ASIL B只建议每十亿小时的故障率不超过100个
- 对于ASIL D进行更严格测试的软件单元,如强烈推荐使用MC/DC覆盖率,而ASIL B只要求DC覆盖率。
补偿措施,如故障树分析和MC/DC覆盖超出了本模块的范围,但您可以在链接中了解更多。
最后一步是获得安全目标,这又使我们回到了需求工程学的范畴之内。
一个安全目标定义了其对象为了避免有危害的情形应作出什么样的反应。因此,安全目标是一种需求。
对于车道保持预警系统而言,其风险在于其预警系统可能将过高的振动矩作用于方向盘之上,这可能会导致其损毁。为了避免这种情况的发生,车道偏离预警系统应该做出哪些反应?限制方向盘摆动的幅度。
所以我们的安全目标是对车道偏离预警系统中的振动矩进行限制,因此,该安全目标的级别是ASIL C级,将振动矩的大小加以限制有助于将风险控制在可以接受的范围之内
现在,你已经有了进行危害分析和风险评估的工具,我们总结一下所学过的东西。
- 首先我们决定将汽车的哪一部分划入研究范围之内,我们选择了车道偏离预警系统
- 然后我们识别了多种驾驶情形
- 接下来想象可能造成危害情景的车道偏离系统故障。
- 我们通过严重程度,发生危险场合可能性和可控性来评估风险。我们根据相应的危害情景来进行风险评估。
- 在最后,我们定义出所研究的对象需要作出哪些反应来确保安全,这些反应叫做安全目标。
在下堂课中,我们将精炼这些安全目标,我们将确定哪一个子系统负责达到安全目标,这一过程将包含在功能安全的概念之中。
To summarize, there are five steps to the hazard analysis and risk assessment:
- Conduct a situational analysis
- Identify malfunctions
- Combine situations and malfunctions and assess risk
- Determine ASILs
- Derive safety goals