1、设计研究/Designresearch46-AutoelectricpartsNo.09,2023功能安全风险评估方法探究王剑峰,李小侠,何南,王远波,王爱红(陕西重型汽车有限公司汽车工程研究院,陕西西安7 10 2 0 0)【摘要】本文主要阐述道路车辆功能安全场景元素的创建思路和风险等级的评估方法,并从严重度、暴露率、可控度风险评估几方面入手,结合实际案例,进一步说明功能安全风险评估的风险等级。希望能挖掘出某个功能在失效时所处的驾驶环境是否会造成人员的严重伤害,进而为后续的设计工作提供依据。【关键词】场景元素;严重度;暴露率;可控度;风险评估中图分类号:U463.6WANG Jianfeng
2、,LI Xiaoxia,HE Nan,WANG Yuanbo,WANG Aihong(Automotive Engineering Research Institute of Shaanxi Heavy Duty Truck Co.,Ltd.,Xian 710200,China)Abstract This paper mainly elaborates the creation idea of road vehicle Functional safety scenario elementsand the assessment method of risk level,and further e
3、xplains the risk level of Functional safety risk assessment fromseveral aspects of risk assessment of severity,exposure rate and controllability,combined with actual cases.I hopeto explore whether the driving environment in which a certain function fails will cause serious injury to personnel,and pr
4、ovide a basis for subsequent design work.Key words scene elements;severity;exposure rate;controllability;risk assessment作者简介王剑峰(198 5一),男,工程师,从事汽车电子电器系统方案设计、整车电器原理设计、功能安全研究等工作。1引言在使用ISO26262道路车辆功能安全标准进行功能安全开发时,一个重要的环节是进行危害分析和风险评估。当对危害事件进行评估并设置功能安全目标ASIL等级时,不可避免地要使用严重度S、暴露率E和可控度C进行指标评价,然而量化这些指标却需要大量的
5、实车测试数据库和软件模拟仿真数据库。在车辆功能安全正向开发初期,主机厂也很难获取这些数据库作为设计支撑,故需要一种具有实际指导性、避免人为主观因素影响、评估结果置信度高的评估标准和方法。本文的研究重点是如何通过场景元素的特征来定义相应的风险等级,为严重度(S)、暴露率(E)、可控度(C)进行科学合理的赋值,以便于在风险评估时有可参照的评价标准,避免主观人为因素对评估结果造成较大的偏差,得到相对准确率高的功能安全目标ASIL。2功能安全概念阶段开发流程简介功能安全概念阶段旨在根据系统功能识别出导致发生人身伤害的危害事件,并对危害事件的严重度、暴露率和可控度进行评估,得出功能安全目标和功能安全需求
6、。其开发流程如图1所示。收稿日期:2 0 2 3-0 2-2 0文献标志码:A文章编号:10 0 3-8 6 39(2 0 2 3)0 9-0 0 46-0 3Research on Risk Assessment Method of Functional Safety景库,进行危害分析和风险评估。3场景元素功能安全场景元素是具有反映车辆运行情境的驾驶和操作特征的典型描述,是构成场景的基础要素和关键因子。场景包含场景分类、场景元素和场景特征,一般涉及驾驶员、车辆、道路、季候、环境等。场景元素是根据场景分类逐级分解,进一步扩展其属性,提取出场景的特征。场景场景选择相关项失效模定义式分析图1功能安
7、全概念阶段的开发流程1)相关项定义:定义一个系统或多个系统协同实现某个功能。2)失效模式分析:基于功能偏离度的失效种类分析。3)场景选择:选择此功能可能被激活的各种情境及情境的组合。4)危害分析和风险评估:基于功能实现方式评估在不同情境下系统可能造成的严重度、暴露率和可控度等因数的等级。5)功能安全目标:根据危害分析和风险评估的结果,得出系统的功能安全目标,即ASIL等级。6)功能安全需求:根据功能安全目标,提出系统的开发需求、安全状态、故障容错时间间隔要求等。功能安全概念阶段的一个主要工作是建立功能安全场危害分析与风险评估功能安功能安全目标全需求47Designresearch/设计研究汽车
8、电器2 0 2 3年第9期特征是场景元素的具坑洼路体描述,属于不可再水泥路路面状况分解的层级。场景元前方车辆交通素具体分类可参见图前方行人参与者2,其中驾驶员、环境、道路的属性可进一步分解。4场景选择场景是对场景元车下位置素的具体描述,是对驾驶员相关项的故障行为导换挡致一个危害事件发生踩油门行为转向时所处的运行场景及运行模式进行描述,既要考虑正确使用车辆的情况,也要考虑可预见的不正确使用车辆的情况。运行场景描述车辆在一定的天气、环境、道路等因素下驾驶的边界范围,运行模式是对车辆自身操作状态的描述。场景选择是进行风险评估的前提,功能关联的场景的选择需根据驾驶场景和操作场景确定。场景选择的步骤:确
9、定功能激活的逻辑;确定功能的使用场景;在场景库中选择与该功能使用有关的场景;将该场景摘取到HARA分析表格。5风险评估风险评估关注的是潜在的处于风险中的每个人受到的伤害情况,包括引起危害事件的车辆的驾驶员或乘客,以及其他潜在的处于风险中的人员,如骑自行车的人员、行人或其他车辆上的人员。风险等级(R)可在危险事件被描述为一个函数(F),与危险事件的发生频率(f),即通过人的及时反应避免特定的伤害或损害能力,损害或损伤的可控性(C)以及潜在的严重程度(S),相互之间的关系见公式(1)。R=F(f,C,S)风险评估主要通过严重度Severity、暴露率Exposure和可控性Controllabil
10、ity这3个因子来评估。严重度是指对驾驶员、乘员或者行人等涉险人员的伤害程度,是基于确定的理由来预估潜在伤害的严重度,分为SO、S1、S2、S3这4个等级。暴露率是指人员暴露在系统的失效能够造成危害的场景中的概率,是基于确定的理由预估每个运行场景的暴露概率,分为E1、E2、E3、E4这4个等级。可控性是指驾驶员或者其他涉险人员能够避免事故或伤害的可能性,是基于一个确定的理由预估驾驶员或其他潜在处于风险的人员对该危害事件的可控性,分为CO、C1、C2、C3这4个等级。风险评估分类标准见表1。6基于场景元素的风险评估6.1严重度评估6.1.1碰撞类故障对于碰撞类故障,严重度与车速相关,任何碰撞形式
11、表1风险评估分类标准加速严重度减速车驻车辆碰撞交通标识高速路城市路场景元素路乡村路状态车上图2 场景元素分类指对驾驶员、乘员或者行人等涉险人员SO无伤害S1轻度或中度伤害严重伤害(有生还指对驾驶员、乘员或者行人等涉险人员S2可能)匝道S3致命伤害夏季雨夜冬季雪夜大雾大风候阳光明媚(1)不会造成任何伤害指对驾驶员、乘员或者行人等涉险人员会造成轻度或中度伤害小于1%会造成严重伤害(有生还可能)1%10%指对驾驶员、乘员或者行人等涉险人员会造成致命伤害 10%暴露率指人员暴露在该系统失效的模式下造E1很低的概率成危害的概率很低,对于绝大多数驾驶员小于1年发生1次指人员暴露在该系统失效的模式下造E2低
12、概率(小于1%)E3中度概率(1%10%)E4高概率(10%)CO完全可控简单可控(99%的C1驾驶员)一般可控(90%的C2驾驶员)很难控制(90%的C3驾驶员)造成的严重程度最终只反映到车速上。车速越高,任何碰撞(如侧碰、正碰)都可能造成严重后果;车速越低,任何碰撞造成的后果都是轻微的。因表2 严重度评价等级此,车速是主要的量化指标,其车速严重度等级它元素也可能影响严重度,如撞 40km/h单独考虑。6.1.2非碰撞类故障对于非碰撞类故障,如车辆起火、冒烟、电池短路、电机烧蚀等,则需设定工况和场景参数,根据人员在危险中停留的时间确定严重度。实例1:车辆行驶过程中,突发明火。此时应参数化明成
13、危害的概率很低,对于绝大多数驾驶员1年发生1次x10次或 10%运行时间可控性指驾驶员或者其他涉险人员能够完全控制车辆,避免发生可能的事故或伤害指99%以上的驾驶员或者其他涉险人员能够通过简单的操作控制车辆,避免发生可能的事故或伤害指90%以上的驾驶员或者其他涉险人员能够通过特定的操作控制车辆,避免发生可能的事故或伤害指90%以下的驾驶员或者其他涉险人员很难通过操作控制车辆,避免发生可能的事故或伤害SOS1S2S3设计研究/Designresearch48AutoelectricpartsNo.09,2023火燃烧的速度、驾乘人员反应和执行时间、在火种停留时间等。若火势很大,燃烧速度很快,人员
14、根本来不及反应,严重度为S3,反之,严重度等级可相应降低。实例2:车辆行驶过程中,电池或其它设备泄漏有害气体。此时应重点评估人员反应和执行时间、毒气导致身体或生命伤害的剂量。一般若为无色无味有毒气体,严重度为S3,若有刺鼻气味,严重度等级可相应降低。6.2暴露率评估暴露率依据运行时间的占比或场景出现的频率来评价。涉及到众多场景元素的组合,场景需尽可能的全面,但无需对每一个场景组合进行风险分析,而是挖掘可能导致最严重的危害事件的组合。通常情况下,危害发生时所处的场景是由多个独立的场景元素组合出来的。因此,暴露度E就是这些场景元素组合发生的概率。由于场景元素彼此间是相互独立的,那么组合场景的概率就
15、等于各个基础场景的概率之积。暴露率计算实例如下所述。实例1:车辆正常驾驶,通过隧道,前方2 m内突然窜出行人。车辆正常驾驶的概率为95%;车辆通过隧道的暴露率为5%;车辆前方2 m内窜出行人的概率为3%。因3个场景元素均为独立事件,所以组合概率P为:P=P车辆XP隧道P行人=95%5%3%=0.14%10%。根据暴露率边界条件,该场景的暴露率为E4。6.3可控度评估可控度为驾驶员通过观察系统警示信息或快速反应,以避免危害事件发生的难易程度。可控度取决于处于风险中的交通参与者,主要是驾驶员对危害场景中的车辆的控制能力。无论车辆处于何种工况,车辆的危害行为理论上都能被交通参与者所感知。但特殊工况下
16、,失效危害处于潜伏状态,处于风险中的交通参与者无法感知失效的存在,直到特定的场景发生,该失效才会导致整车的危害行为,可感知的失效E=P(d)和潜伏的失效E=P(f)对应关系见图3。可控度评估可能受驾驶员的图3感知失效和潜伏失效的对应关系情绪、性格、年龄等影响。可控度评估的依据是功能失效后驾驶员是否依然能够操控车辆,根据难易程度分为COC3等级,CO为简单可控,C3为不可控。可控度评估的实例如下所述。实例1:车辆高速行驶,电控助力提供了反向助力。车辆高速行驶过程中,驾驶员变道或者打方向时转向机若提供了一个大于30 N的反向助力,则驾驶员很难控制方向盘,此时可控度为C3,若提供的反向助力小于10
17、N,则可控度为C1。实例2:车辆高速ACC巡航,前方突然出现障碍物,车辆紧急制动功能失效。此时前向雷达可能探测到了障碍物,也发出了报警提示,主要考验驾驶员的反应时间,以及是否能做出变道或踩制动踏板等正确的执行动作。若车速很高,驾驶员根本来不及反应,可控度为C3,若车速较低,可适当降低可控度的等级。6.4场景元素风险评估实例严重度与车速关联、暴露率与场景关联、可控度与驾驶员操控能力相关联。暴露率的评估需要提高场景的覆盖率,而可控度则需要评估功能失效时驾驶员对车辆的控制能力。实例1:车辆怠速,停在斜坡上,坡度 10,驾驶员不在车上(此场景与季候、环境无关)。车辆急速,严重度SO;车辆停在斜坡上,坡
18、度 10,暴露率E3;驾驶员不在车上,可控度C3。在怠速模式下,对于大多数功能失效,均不会造成伤害事故,ASIL等级为QM。但若驻车功能失效,则可能造成车辆溜坡导致碰撞事故,此时严重度为S3,A SI L等级为C。实例2:正常驾驶,高速直行,岔路口,交通标线清晰,夏季雨夜,车流量低。车速 6 0 km/h,严重度为S3;高速行驶,夏季雨夜,视线模糊,暴露率E4;转向助力反向,可控度为C3,此时转向助力的ASIL等级为D;若无法识别车道线,可控度为C2,此时车道线识别的ASIL等级为C。实例3:城市道路,车速 40 km/h,夜间行驶,车辆前方突然出现行人过马路。城市道路,车速 40 km/h,
19、严重度S3;车辆前方突然窜出行人,暴露率E3,此场景下若AEB探测障碍物的功能失效,可控度为C3,故障碍物探测的ASIL等级为D;若制动不足,可控度为C3,故车辆制动的ASIL等级为D。7结语综上所述,基于场景元素的功能安全风险评估,本质上就是挖掘出某个功能在失效时所处的驾驶环境是否会造4感知程度E=P(d)可E=P()感知不可感知失效1失效2特定场景时间成人员的严重伤害,进而为后续的设计工作提供依据。若能建立定量和定性的场景元素评估准则,则有助于提高评估结果的准确性和一致性,对于功能安全风险评估有着事半功倍的作用。若能再结合事故场景数据库和实车测试数据,不断优化场景元素的评级准则,最终一定可得到置信度高的功能安全目标等级。参考文献:1】陈韬,蔡博,回春,等.基于场景元素的智能网联汽车场景构建研究J.公路与汽运,2 0 19(6):9-12.2楼志江,功能安全的危害分析和风险评估方法.汽车实用技术,2 0 19(15):90-91.3 赵征澜.纯电动汽车转矩控制安全概念与转矩监控模型.汽车工程学报,2 0 18,8(3):2 2 9-2 34.(编辑凌波)
浙ICP备2021020529号-1 | 浙B2-20240490 
