GB/Z英文版翻译/English/道路车辆电子电气系统ASIL等级确定方法指南

ChinaAutoRegs|GB/Z英文版翻译/English/道路车辆 电子电气系统 ASIL 等级确定方法指南
Road vehicles-ASIL determination guidelines for electrical and electronic system

1 范围

本指导性技术文件提出了确定道路车辆电子电气系统ASIL(汽车安全完整性等级)的方法。确定电 子电气系统的汽车安全完整性等级(ASIL)是GB/T 34590.3-XXXX中所要求的。
本指导性技术文件适用于安装在除轻便摩托车外的量产道路车辆上的包含一个或多个电气/电子系统的与安全相关的系统。

2 规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。
GB/T 34590-XXXX(所有部分) 道路车辆 功能安全

3 术语和定义

GB/T 34590.1-XXXX界定的术语和定义适用于本文件。

4 危害分析和风险评估

4.1 危害的识别
危害分析和风险评估(HARA)是一个分析过程,即识别潜在的危害,并与运行场景进行组合,形成 一组特定的危害事件,评估每个危害事件的风险以确定其ASIL等级和安全目标。
相关项定义是进行HARA的前提条件。危害识别可通过不同的危害分析技术实现。本文件给出了使用 危害与可操作性分析(HAZOP)技术进行危害识别的示例。HAZOP是一种探索型的分析方法,可用于识别 和评估相关项的功能异常表现,有助于结构化和系统地检查相关项在整车层面的运行情况,该分析方法 通过给相关项的每个功能添加适当的引导词来假定其不同的功能异常表现,该功能异常表现可导致危害, 而该危害可能对目标车辆的驾乘人员,其他车辆及其乘客,或其他处于风险中的人员,如目标车辆附近 的行人、骑自行车的人员或维修人员造成潜在伤害。
其他有效的方法也可用于识别相关危害,本文件不推荐也不支持某种特定的危害识别方法,危害的 识别是危害分析和风险评估的一部分。
下面是一个简单的HAZOP方法的应用示例,用于识别相关项潜在的功能异常表现所导致的危害。例 如,基于在相关项定义中所描述的功能,考虑相关项执行器的作用和能力,进而假设如下的相关项功能 异常表现:
a) 功能丧失——在有需求时,不提供功能; b) 在有需求时,提供错误的功能:
1) 错误的功能——多于预期;
2) 错误的功能——少于预期;
3) 错误的功能——方向相反。
c) 非预期的功能——在无需求时,提供功能;
d) 输出卡滞在固定值上——功能不能按照预期更新。
注1:相关项处于功能异常时,可考虑在进行与相关项的维修不相关的任务时对维护人员的伤害。然而,对已有故 障、已损坏或已拆解的相关项进行维修时,危害分析和风险评估不考虑相关项的已有故障对维护人员的伤害。 例如,电动助力转向系统有在转向助力振荡这个故障情况下关闭助力功能的安全机制。当进行此故障的维修

时,维修人员可强制开启助力功能以识别故障的原因。这种情况不能使用危害分析和风险评估方法进行分析, 因为这是维修人员为了进行维修而故意操作的。
注2:根据GB/T 34590-XXXX,危害分析和风险评估基于相关项的功能异常表现。
注3:并非所有的HAZOP引导词[1]都适用于所有的分析,可根据分析的范围和内容对引导词进行剪裁。使用者可选 取一组特殊的HAZOP引导词用于分析。
针对车辆的两种功能,即转向助力和制动控制,表1提供了使用HAZOP方法识别功能异常表现的示例。
表 1 HAZOP 方法应用示例

功能 引导词
在有需求时,提供错误的功能 非预期的功能 输出卡滞在固定
功能丧失 错误的功能(多 错误的功能(少 错误的功能(方 (在无需求时, 值上(功能不能
于预期) 于预期) 向相反) 提供功能) 按照需求更新)
转向锁死(转向
转向助力功能 助力丧失 助力过大 助力不足 助力反向 非预期助力 输出卡滞在固定
值或固定位置)
制动控制功能 制动锁死(制动
(传统制动功 制动丧失 制动过大 制动不足 – 非预期制动 输出卡滞在固定
能) 值或固定位置)
注4:在相关项的安全概念设计或后续的确认过程中,宜考虑车辆不同功能之间的相互作用。例如:单独来看,相关
项的功能丧失可作为一种降级模式,但考虑到相关项间的相互作用和依赖关系,在整车层面上可能不是安全 状态。
一旦某项功能潜在的功能异常表现被识别出来,将继续开展危害分析活动,分析每个功能异常表现 在整车层面上产生的危害。在此分析过程中,应考虑车辆的运行场景,包括相关项生命周期的各个阶段
(如:运行、服务和报废阶段)。 同一个功能异常表现可能造成多个整车层面的危害,这取决于车辆在不同运行场景中的行为表现。
例如,非预期或过大的制动可能引起车辆非预期的减速和非预期的侧向移动,这取决于驾驶场景。
另外,相关项的多个功能异常表现可能造成相同的整车层面危害。危害分析和风险评估是一个迭代 过程。考虑到不同的车辆运行场景和相关项生命周期阶段,相关项的功能异常表现和相应的整车层面危 害也会在危害分析和风险评估的过程中不断更新。
表2和表3给出了将表1中基于整车功能所识别出的功能异常表现映射到整车层面危害的示例。该映 射随功能异常表现所考虑的驾驶场景不同而不同(例如:制动丧失会导致减速能力丧失,车辆溜坡等)。
表 2 将转向助力功能的功能异常表现映射到整车层面危害的示例

功能异常表现 整车层面的危害
非预期助力
非预期的车辆侧向运动/非预期横摆
助力过大
助力反向
转向锁死(转向输出卡滞在固定值或固定位置) 车辆侧向运动控制丧失
助力不足 转向沉重(手力矩增大)
助力丧失
表 3 将制动控制功能的功能异常表现映射到整车层面危害的示例

功能异常表现 整车层面的危害
非预期制动
非预期的车辆减速
制动力过大
制动锁死(制动输出卡滞在固定值或固定位置)
制动丧失 非预期的车辆减速度降低
制动不足
非预期制动
非预期的车辆侧向运动
制动力过大
制动锁死(制动输出卡滞在固定值或固定位置)
4.2 风险评估

在风险评估过程中,假设相关项的功能异常表现会引起某个危害。根据危害的定义,其作为伤害的 潜在来源,极大依赖于功能异常发生时所处的驾驶场景。因此,第一步需要假设一种车辆驾驶或运行场 景以用于定义伤害。基于该运行场景,根据本文件4.2.1中的指导确定该运行场景的暴露概率(E)。对 于该危害事件,严重度(S)和可控性(C)分别由4.2.2和4.2.3的指导确定。对于一个给定的危害事件, 基于合理可预见的包含相关项的车辆的运行场景,重复该过程。
风险评估的结果依赖于相关项、车辆和数据的可用性。相关项的功能的设计和车辆特征将影响导致 伤害的场景的定义,以及E、S、C参数的等级和理由。分析人员应考虑这些因素,并以此为基础对所开 发系统的特性进行分析。
对于每个已分析过的危害事件,应将最高ASIL等级及其分配暴露概率(E)、严重度(S)和可控性
(C)的理由记录在案(例如,记录在危害分析和风险评估模板中)。
注1:确定暴露概率(E)、严重度(S)和可控性(C)的顺序可以调整(也就是重新排列)。本文件假定暴露概率
(E)、严重度(S)和可控性(C)以图1的顺序确定。

4.2.1 步骤 1:确定暴露概率
4.2.1.1 一般信息

图 1 风险评估过程的示例

根据GB/T 34590.3-XXXX,车辆运行场景的暴露概率可以被指定为表4中的五个等级之一。表4总结了 GB/T 34590.3-XXXX中表2、附录B.2和附录B.3中的示例,得到基于运行场景频率和运行场景持续时间的 各种暴露概率等级。按照图1,风险评估的第一步是针对特定的车辆运行场景评估暴露概率。特定的车 辆运行场景可以是几个工况同时出现。确定暴露概率的目的是去理解真实场景,包括正常驾驶和危险驾 驶工况。然而,需要注意的是不同的交通规则、环境条件等都会影响所考虑的场景,并可能由此导致不 同的暴露概率。
表 4 GB/T 34590 中的暴露概率等级描述

4.2.1.2 基于持续时间的暴露概率
对于功能异常表现直接导致危害事件的情况,可以选用基于车辆运行场景持续时间的暴露概率等级。
示例:考虑电助力转向系统使用了一个错误的转向扭矩。当车辆静止时,这对于驾驶员的影响可能很小,但如果车 辆在高速路上行驶,则驾驶员很有可能偏离既定的行驶路线。由于车辆在该运行场景下的持续时间大于整体运行时间的 10%,高速路行驶可以被定义为 E4。
注:由危害导致潜在伤害的可能性会增加,这取决于涉险人员的行为或危害事件所处的环境。

4.2.1.3 基于频率的暴露概率
暴露概率等级不仅可以由功能异常表现直接引起危害事件(与场景的持续时间相关)的车辆运行场 景确定,也可以由那些在某种场景或情况下,在更早的时间点出现并潜伏在系统中的故障所引起危害事 件的场景确定。因此,这种场景的出现结合之前存在的故障会直接触发危害事件,而不需考虑其持续时 间。
示例:对于车尾倒车灯激活的场景,可选择基于频率的方法来确定暴露概率。对于这个示例,可以认为“车辆倒车” 的运行场景是经常发生的,所以选为 E4。选用频率是因为无论何时倒车灯出现故障,危害只可能在车辆挡位切换至倒车 时才被触发。
4.2.1.4 车辆运行场景
图2给出了一系列车辆运行的场景作为参考。本示例清单不能认为是穷尽的,而且在很多情况下, 这 些 场 景 可 合 并 以 减 少 或 者 简 化 在 危 害 分 析 和 风 险 评 估 中 所 考 虑 的 场 景 ( 参 考 GB/T 34590.3-XXXX,6.4.2)。

图 2 可能的车辆运行场景示例
4.2.1.5 暴露概率等级分配指南
a) 风险评估中的暴露概率分配,是根据对不同地理位置或目标市场的交通情况、文化、路况和 驾驶方式的适用的且可用的数据和信息进行专家评估而得出的。当有疑问时,可以使用估计 值。
b) 分配暴露概率时,可考虑暴露于车辆运行场景的频率,或暴露于该车辆运行场景的整体持续时 间的概率。在某些情况下, 两种暴露概率准则都可适用,此时,必须分别评估每个准则并指定 各自的 ASIL。
示例:对于“洗车”场景的暴露概率,基于暴露的频率可以导出为 E3,而基于暴露的持续时间可以导出为 E2。
c) 通过考虑某一车辆在实际使用中发生的场景,可以对暴露概率进行评估。如果适用,可以考 虑特定目标市场的暴露概率。然而这不应该被用于人为增加或减少暴露概率的因素。
d) GB/T 34590.3-XXXX 中提供的车辆运行场景的示例,可作为暴露概率分配的参考。
e) 在评估某些车辆的运行场景时, 可能需要多种因素组合才能使危害导致特定伤害。某一车辆 运行场景可能由几个因素构成,此外, 这些因素中的某些因素可能会有密切的关联。针对形 成危害事件的先决条件的因素组合,其暴露概率的正确值,需在识别各个因子的相互关系后 才能计算出。
示例:对于有雪且有冰的场景,那么它们与路面摩擦力的降低有很高的相关性。如果有雪或有冰的场景的暴露概率 对于道路摩擦力的降低被分别认为是彼此独立的 E2 等级,那么不应该用这两个定级为 E2 的暴露概率因子等效出一个低 于 E2 的暴露概率(来针对有雪且有冰的场景)。错误地把这些因素视为独立的,的确会导致暴露概率的降级。
f) 在危害分析和风险评估时,不应该针对维修人员评估已经被工作场所的安全规章制度所覆盖的危害,以及正在被维修的相关项所引起的所有危害(参见 4.1,注 1)。
g) 已定义的危害事件必须足够具体,以保证准确地定义伤害程度和确定可控性。
——某个场景可划分为几个新增的特定场景(可能导致不同的 S、C 参数);
——如果与相同危害相关的多个场景的分析结果相似或者相同,应将这些场景组合起来分析;

——不应使用以上指南人为地增加或减少暴露概率因素;
——这并非要求穷尽地检查每种可能的组合,考虑典型的车辆运行场景并包含了那些可以导出最 高 ASIL 等级的场景就足够了。
4.2.2 步骤 2:确定严重度
4.2.2.1 4.2.2.1 一般信息
按照GB/T 34590,由于某个特定危害事件引起的潜在伤害的“严重度”等级,可被定义为表5所示 四个级别中的一个。这些“严重度”等级是为某个给定危害事件分配ASIL等级提供指导的通用分类。
通常,“严重度”等级很难确切地被定义。因为,任何一次实际碰撞的“严重度”结果与许多因素 相关,而这其中很多因素无法被提前确定。影响严重度的因素包括:
a) 碰撞的类型,比如平面碰撞(例如正面、尾部、侧面碰撞);
b) 碰撞参与车辆间或单个车辆碰撞事故发生时(与被撞物体)的相对速度; c) 碰撞相关车辆的相对大小、高度、以及结构完整度(即碰撞兼容性); d) 车内乘员以及车外有碰撞风险人员的健康和年龄情况;
e) 车内乘员对于安全保护装置的使用情况(例如:安全带、儿童安全座椅); f) 有资质的且迅速的紧急救援(紧急救援队)的可用性及响应。
这些因素中,可能可以预测一些碰撞特性以及在某些情况下估计碰撞的相对速度。大多数会影响某 一假定危害事件所引起的伤害“严重度”的其他因素,无法被很合理地提前预测。上述因素可作为用于 风险评估中确定暴露度和可控性的因素的一部分。
除了可被忽略的碰撞,几乎所有碰撞产生伤害包括致命伤害的可能性永远不会为零。对于所有道路 使用人员(例如,行人和骑自行车人员)来说,影响伤害可能性的特性是极为不同的。涉及交通事故的
人员可能是年轻健壮的人,他们可以承受较大的碰撞力而不会产生持续严重的伤害。也可能是年老体弱
的人,他们即使发生较轻微、低速的碰撞也会产生较大的伤害。因此,几乎针对任何碰撞类型所引起的 “严重度”结果,可能是从“几乎无伤害”到“致命”的分布组合。
表5提供了GB/T 34590.3-XXXX中对于S0-S3严重度等级的描述。
表 5 GB/T 34590-XXXX 对于 S0-S3 严重度等级的描述

严重度等级 描述
S0a 无伤害
S1 轻度和中度伤害
S2 严重的和危及生命的伤害(有存活的可能)
S3 危及生命的伤害(存活不确定),致命的伤害
注:可参考GB/T 34590.3-XXXX,表B1针对“严重度”等级分类的示例。
a S0 无需分配 ASIL 等级。
基于有代表性的危害场景,将“严重度”等级分配到给定的危害事件。对这个假定场景的开发要包
含多个信息来源,包括但不局限于专家分析和判断,以及技术报告分析特别是相关事故或测试、仿真试 验和历史事故数据的分析。附录B提供了一些可以用于对某个给定整车层面的运动控制危害分配恰当“严 重度”等级的一般信息。
4.2.2.2 碰撞相关危害“严重度”分配指南
在危害分析和风险评估过程中,分配“严重度”等级需要专家评估并考虑有代表性的各种交通状况、 车速和路况的样本。由于车道和车辆技术(碰撞防护和避免)的持续进步和对道路使用人员安全行为的 教育和法律实施力度的加强,分析历史事故数据倾向于过高估计未来针对伤害风险的措施,也可能不包 含为某个新的不同场景的合适的数据。在这些情况下,为更好地预测结果,可以利用模型在历史数据环 境中加入新的场景。
一般来说,道路使用者的伤害风险会随着碰撞速度的增大而增加。对于平面碰撞,在某些历史事故 数据库中可得到的碰撞前后速度差值(Δv)的估算可以辅助事故“严重度”的评估。可以考虑用其他 碰撞前后的估算量替代Δv(例如,能量等效速度、车辆/物体间相对速度),并考虑其他碰撞特性,如 车辆重叠和挤压/侵入。附录B提供了一些可以辅助于“严重度”评级的一般指导。对于非平面碰撞,例

如翻车,其他可用的取决于危害场景的准则可以用于“严重度”评估。GB/T 34590.3-XXXX中给出的示 例也可以用作“严重度”分配的参考。
当通过历史数据确定碰撞产生的可能的“严重度”等级时,应该考虑与正在开发的系统相关的可用
数据。例如,由于新的主动安全特性的引入,在某些特定碰撞迫近环境中,这些主动安全特性会自动干 预车辆的动态控制,驾驶员与车辆控制间的平衡正在发生变化。因此,随着新功能的应用,目前的数据 可能无法反映合适的结果。在确定“严重度”和ASIL等级时,车辆或系统制造商应该考虑所有被应用于 特定车辆的技术。
被考虑的有代表性的各类场景下形成的危害事件的“严重度”等级要记录在危害分析与风险评估文 档中。
注1:宜考虑“暴露概率”来设定与之相关的“严重度”等级。对某驾驶工况,如果选择了比该驾驶工况对应的交 通数据显示的“严重度”等级更高的值,则在评估暴露概率时,宜选择与此高“严重度”相对应的工况以进 行“暴露概率”评估。
注2:历史事故数据不一定能够预测未来事故类型的伤害结果。由于车辆、道路和道路使用者行为一直在朝着增强
交通安全的方向变化,历史数据倾向于过高估计未来事故的风险和伤害严重性。因此,不推荐简单的应用历 史事故数据来预测某一特定整车层面危害的伤害后果和“严重度”等级分配。
4.2.3 步骤 3:可控性的确定
4.2.3.1 一般信息
根据GB/T 34590.3-XXXX,危害事件的可控性为表6所示的四个等级之一。
表 6 按照 GB/T 34590-XXXX 可控性等级描述
4.2.3.2 可控性等级分配的指南
可控性等级可以通过使用现有的数据、通过在模拟器或车辆进行测试、或通过咨询跨学科专家团队
(例如,人为因素)来确定,可控性等级的确定应基于目标市场情况(例如,交通参与者的控制能力, 场景因素等)。
GB/T 34590.3-XXXX附录B提供了“可控性”的示例,可作为“可控性”等级分配的参考。 在确定可控性时,只要电气/电子系统故障可能引起驾驶员的反应,则应考虑危害对涉险人员的不
利影响(参考GB/T 34590.3-XXXX,7.4.2.7)。为评估这种潜在的不利影响,可参考参考文献[2][3] 的方法。
由于驾驶员自身损伤(即,使用药物、酒精或睡眠不足)或驾驶员注意力不集中或分散引起的延长 响应时间不在可控性的考虑范围,见GB/T 34590.3-XXXX,6.4.3.8,注2。
合理可预见的误用如果适用于特定的分析,应予考虑。 相关的环境特征(例如道路护栏)和驾驶员经验/行为/培训可以考虑在内。相关的车载系统如果能
够减轻危害事件中的危害,且相关项和车载系统之间存在足够的独立性,则可以在危害分析和风险评估
中将其考虑在内。 如果安全系统或驾驶员辅助系统是选配(例如,车道保持辅助系统),则在为特定车辆平台设定可
控性级别时,不应被视为降低风险的措施。

4.2.4 步骤 4:ASIL 的确定
4.2.4.1 结合 S、E、C 确定 ASIL
按照GB/T 34590.3-XXXX,6.4.3.10 ,使用与GB/T 34590.3-XXXX表4所一致的参数“严重度”、“暴 露概率”和“可控性”确定每一危害事件的ASIL等级。ASIL等级的确定基于相关的场景,且在该场景下 S、E和C是一致的。
注:如果一个新系统的ASIL结果与相似的已经存在的且有很长的市场历史的系统的危害经验不一致,那它可能表明 用于为新系统导出S、E和C的市场和交通数据需要重新审视。这也与“危害分析和风险评估”过程在本质上是 可以迭代的事实是一致的。
表 7 按照 GB/T 34590.3-XXXX 确定 ASIL 的准则

ASIL确定 C1 C2 C3
S1 E1 QM QM QM
E2 QM QM QM
E3 QM QM A
E4 QM A B
S2 E1 QM QM QM
E2 QM QM A
E3 QM A B
E4 A B C
S3 E1 QM QM A
E2 QM A B
E3 A B C
E4 B C D
当为一个新系统确定ASIL等级时,如果适用,则由于该新系统的功能异常表现而导致事故的发生及其严重度,可以与现有的相关事故数据做对比。然后可评估测试对象对危害的反应行为,以导出初步的 可控性等级。
应避免高估严重度、暴露概率和可控性参数以及导出的ASIL等级,否则可能导致对于提升车辆整体 安全性有益的功能或特性的减少,甚至取消。同样的,评价者也应该避免低估严重度、暴露概率、可控性参数以及导出的ASIL等级,否则可能导致安全要求的不足。
4.3 安全目标与安全状态的关系
在执行“危害分析和风险评估”时,输出的是一组安全目标以确保安全运行。这些安全目标的定义 考虑避免或者减轻相关项的故障行为可导致的潜在危害,可控性度量可以用于安全目标的定义。在功能 或技术安全概念中,适当地定义了安全状态和相关的安全措施,以在相关项故障时实现安全目标。并不 总是要求对安全状态进行“危害分析和风险评估”,尽管当安全状态和相关项层面的特定失效一致时, 安全状态的危害可以由“危害分析和风险评估”导出。因此,由于安全目标和安全状态均源于对安全生 命周期中不同点的故障行为的考虑,可能会导致不一致。为了安全档案的一致性,建议让安全状态不违 反安全目标。此建议可通过对安全目标和各安全状态的不同阐述来实现。例如,安全目标可为“避免在 没有报警的情况下丢失紧急制动功能”而安全状态可为“禁用功能并通知驾驶员该功能是不可用”。在 这种安全状态下,报警会减轻功能丧失的后果,因为驾驶员会意识到自己不能依靠它。 安全概念和HARA 必须保持一致,否则会对安全档案产生不利影响。 如果此安全目标的安全状态导致违反了另一个不太 重要的安全目标,则必须注意使其各自的安全要求保持一致。并建议提供支持该策略的理由。
示例:假设存在这样一个系统:该系统的安全目标是避免某个系统失效,且该安全目标的 ASIL 很高。然而,由于 在以前的项目开发中,该系统失效被分配一个较低的 ASIL,因此,功能安全工程师在概念阶段开发过程中错误地将该系 统失效定义成了一种“安全状态”。之后,在根据单点故障度量评估部件失效风险的硬件设计阶段,发现概念阶段定义 的安全机制非但不能降低系统风险,反而会引起系统失效,该技术安全概念存在自相矛盾的地方。为了解决这个问题, 需要重新定义“安全状态”,或者重新定义失效模式,同时重新进行危害分析和风险评估。

 

***********************************************
现成译文,到款即发。
任取样页验证译文质量。
免费提供正规增值税发票。
提供WORD/PDF版本,可自行编辑!
请联系 手机/微信: 133-0649-6964/Email: standardtrans@foxmail.com/QQ: 564965870 购买完整译文。
专业源于专注|舍吾予言标准翻译[ChinaAutoRegs]深耕于机动车标准翻译!迄今为止已翻译上千个国内外汽车法规标准!独家打造千万级汽车专业术语库和记忆库。

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注