码迷,mamicode.com
首页 > 其他好文 > 详细

汽车功能安全 - 危险分析和风险评估

时间:2019-07-05 00:24:47      阅读:207      评论:0      收藏:0      [点我收藏+]

标签:安全   时间   com   了解   注意   个人   不用   举例   窗口   

英文标题: Functional Safety - Hazard Analysis and Risk Assessment (HARA, HRA)

术语

注: 下面的术语的定义是作者基于ISO 26262的定义,再加上自己的理解给出的,和ISO 26262会有些差别。正式、准确、完整的定义请参考ISO 26262。

危险
Harzard
可能会造成人身伤害失效

注意:不会造成人身伤害的失效不是危险。比如汽车的收音机坏了,这个失效会导致乘员不能收听广播,但不会造成乘员人身伤害,所以它不是危险。

什么是失效可以参见文章潜在失效模式和后果分析 FMEA 10分钟教程中失效模式的解释。

暴露
Exposure
暴露是一个会因为失效而可能变得危险的运行状态

暴露代表失效可以被暴露出来的时间窗口。这里的“被暴露”指失效对人造成伤害。
注意:暴露和失效发生概率的大小没有关系。当然,如果失效发生的概率为0,绝对不可能发生,那我们分析时就不用考虑这个失效和失效的暴露了。

举例:
安全气囊的功能是在碰撞过程中弹出气囊保护乘员。
失效1: 安全气囊不能弹出。
失效1在汽车非碰撞运行状态不会对乘员造成伤害,在碰撞运行状态会对乘员造成伤害,所以非碰撞运行状态不是失效1的暴露,碰撞运行状态是失效1的暴露。

电动辅助转向的功能是在驾驶员转向时提供辅助动力,辅助驾驶员转向。
失效1: 辅助转向提供的辅助力方向和实际转向方向不同。
失效1在汽车静止运行状态不会对乘员造成伤害,在运动运行状态可能导致车辆失控,对乘员造成伤害,所以静止运行状态不是失效1的暴露,运动运行状态是失效1的暴露。

严重度
Severity
一个潜在危险环境可能对一个或多个人造成的伤害的程度的评估。

可控度
Controllability
通过人的及时反应来避免伤害的能力。

危险事件
Hazardous event
一个危险和一个运行环境的组合。

把危险和运行环境拆开分析,是因为一个危险可能只在特定的运行环境下会对人产生伤害。实例可以参见暴露定义中的例子。

危险分析和风险评估
Hazard analysis and risk assessment
一种为了避免不可接受的风险的方法,用于识别和归类危险事件,并制定可以预防或减轻相应危险的安全目标及其ASIL等级

危险分析和风险评估步骤

一般有以下4个步骤:

步骤1: 熟悉产品功能和失效
步骤2: 识别危险
步骤3: 识别危险事件
步骤4: 为识别的危险分类

步骤1 熟悉产品功能和失效

熟悉产品的功能和失效就是了解分析的对象,是进一步分析的基础。

关于功能和失效的简单解释可以参见潜在失效模式和后果分析 FMEA 10分钟教程中失效模式的解释。

步骤2 识别危险

识别可能会造成乘员人身伤害失效

步骤3 识别危险事件

一个危险可能只在特定的运行环境下会对人产生伤害。实例可以参见暴露定义中的例子。

识别危险事件就是找出会使危害对人产生伤害的运行环境。

步骤4 为识别的危险分类

定义危险的严重度、暴露、可控度,得出ASIL等级。同时也会得到功能安全目标(功能安全目标就是避免危险)。

危险分析和风险评估例子

这个例子来自ISO 2626-10:2011。

此例中的分析对象是一个装在车上的控制储能设备的产品。只有车速大于或等于 15km/h 时,储存的能量才应该被释放。在车速低于15 km/h 时释放能量会使设备过热,进而导致设备爆炸。

分析1:
a) 危险识别
-- 导致能量非期望地释放的失效会导致爆炸

b) 危险事件
在此例中,考虑以下驾驶环境:
-- 车速低于15 km/h 的交通堵塞环境

产品失效导致能量非预期地释放。储能装置爆炸,导致了车上乘员严重伤害。

c)为识别的危险分类
爆炸导致乘员受到威胁生命的伤害,不一定生还,所以严重度定义为S3。
车辆在交通堵塞下缓行,车速低于15 km/h。基于目标市场交通统计数据,这个环境的暴露可以估计为E3(发生占驾驶时间的1%到10%)。
车内驾驶员或乘客控制产品失效和设备爆炸的能力被认为是不可能,所以可控度可以被估计为C3(很难控制或不可控)

根据 ISO 26262-3:2011 表 4,ASIL等级为ASIL C。

分析2:
a) 危险识别
-- 失效导致能量不能被释放

b) 危险事件

-- 任何驾驶工况

产品有失效但是不会导致储能设备释放能量,所以不会导致乘员伤害

c)为识别的危险分类
因为产品的失效并不会导致伤害,所以严重度定义为S0,并且不需要确定可控度。因此不需要确定安全目标。

版权声明: 本文为博主原创,未经许可禁止转载。原文地址: https://www.cnblogs.com/byronxie/p/hazard-analysis-and-risk-assessment.html

汽车功能安全 - 危险分析和风险评估

标签:安全   时间   com   了解   注意   个人   不用   举例   窗口   

原文地址:https://www.cnblogs.com/byronxie/p/hazard-analysis-and-risk-assessment.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!