由上一篇文章知道,安全生命周期包含概念阶段、产品开发阶段、生产发布后续阶段。本文详细解读概念阶段要进行的安全活动。
本部分规定了车辆在概念阶段的要求: 相关项定义, 安全生命周期启动, 危害分析和风险评估, 功能安全概念。
相关项的定义包括其功能、接口、环境条件、法规要求和危害等,该定义为概念阶段的后续工作人员提供了充足的信息。可以包括功能概念、运行条件和环境约束、法规要求、预期行为的假设、以及已知的失效模式和危害等。
本阶段产出物是相关项定义文档,换种说法就是,产品的概要设计说明书。
安全生命周期启动阶段有两个目的:一个是对新的相关项开发和对现有相关项的修改进行区分;第二个是在对现有相关项的修改的情况下,定义将要实施的安全生命周期活动,也就是进行安全相关活动的裁剪。
对于新开发的情况,紧接着要进行危害分析和风险评估。对于现有相关项或其环境进行修改的情况,应确定适用的生命周期子阶段和活动。
对相关项的修改包括设计修改和实现方式的修改,设计修改可来自需求的修改(如功能或性能提高或成本优化),实现方式的修改不影响相关项的定义或性能,但仅影响实现方式的特性。实现方式的修改可来自软件的修正,或使用新的开发工具或生产工具,比如配置数据或标定数据的修改。
为了识别和描述对相关项或其环境的预期修改,及评估这些修改带来的影响,应进行影响分析。影响分析应识别和指出因相关项的修改、相关项先前和未来的使用条件之间的修改所带来的影响,包括:
a) 运行场景和运行模式;
b) 与环境的接口;
c) 安装特性,如在车上的位置、车辆配置和变型;以及
d) 一系列环境条件,如温度、海拔、湿度、振动、电磁干扰和燃油类型。
本阶段产出物是影响分析和细化的安全计划。
危害分析、风险评估和ASIL等级的确定,用于确定相关项的安全目标以避免不合理的风险。为此,根据相关项中潜在的危害事件,对相关项进行评估。安全目标以及分配给它们的ASIL等级是通过对危害事件进行系统性的评估所确定的。ASIL等级是通过对影响因子:严重度、暴露概率和可控性的预估所确定的,影响因子的确定基于相关项的功能行为,因而相关项的设计细节不是必要的。
在危害分析和风险评估过程中,应对不含内部安全机制的相关项进行评估,也就是说不需要考虑将要实施或已经在前代相关项中实施的安全机制,这些内容是功能安全概念的一部分。
危害分析与风险评估阶段要做些什么?
危害分析与风险评估阶段包括下述三个步骤:场景分析和危害识别、危害事件的分类、ASIL等级确定。
a) 场景分析和危害识别:目的是针对相关项识别出可能会导致危害事件的潜在非预期行为。因此,需要一个关于相关项的功能和边界的清晰的定义。HaRa是基于相关项的行为,因此并不需要知道相关项的详细设计。
HaRa考虑的要素可以包括但不限于:
车辆的使用场景,如高速行驶、城市驾驶、停车、越野;
环境条件,如路面摩擦、侧风;
合理可预见的驾驶员使用和误用;
操作系统之间的相互作用。
b) 危害事件的分类:在该阶段要确定出与相关项危害事件相关的严重度、暴露概率、以及可控性。
严重度代表对一个特定驾驶场景中的潜在伤害的预估,而暴露概率是由相应的场景来确定的。
可控性衡量了驾驶员或其他道路交通参与者在所考虑到的运行场景中避免所考虑到的意外类型的难易程度。
对于每一个危害,基于相关危害事件的数量,该分类将导出严重度、暴露概率和可控性的一个或多个组合。
c) ASIL等级确定:确定所需的汽车安全完整性等级。
应为具有ASIL等级的每个危害事件确定一个安全目标,该ASIL等级从危害分析中得出。如果所确定的安全目标是类似的,可将其合并为一个安全目标。
应将为危害事件所确定的ASIL等级分配给对应的安全目标。如果将类似的安全目标合并为一个安全目标,应将最高的ASIL等级分配给合并后的安全目标。
如果一个安全目标可以通过转移到或保持一个或多个安全状态来实现,那么应明确说明对应的安全状态。
本阶段产出物包括危害分析和风险评估文档、安全目标文档,以及相应的验证评审报告。
功能安全概念的目的是从安全目标中得出功能安全要求,并将其分配给相关项的初步架构要素或外部措施。
通过分层的方法,从危害分析和风险评估得出安全目标,再由安全目标得出功能安全要求。
本阶段产出物包含功能安全概念文档和相应的验证报告。