汽车功能安全—HARA

汽车功能安全—HARA

ISO 26262 是全球公认得 汽车E/E（电子电器）系统设计开发标准。该标准提供了整个汽车产品开发周期中的 功能安全框架。 ISO 26262涉及汽车功能安全的各个部分，它用于消除由电子电器系统引起的对人身的任何不可接受的风险。整个流程是从识别分析危害事件和评估与危害事件相关的风险开始的，这个识别和分析过程被称之为 HARA(Hazard Analysis and Risk Assessment)

什么是HARA? HARA为什么这么重要？怎样从价值链的角度（OEM，供应商）来理解这个过程？

---

HARA是什么？为什么需要它？

HARA在ISO 26262的Part 3被提到。HARA的目的是识别可能导致E/E系统危害的故障和评估与其相关的危险程度，然后其结果被用来制定需要达到安全目标（Safety Goal），从而使汽车达到安全状态（Safe State)。
我们用一个例子来更加清晰的描述HARA，LDW（Lane Departure Warning Assistant）用来在没有打开转向灯车辆偏离车道的情况下警示提醒驾驶人员。为了在该功能在失效的情况下保证驾驶员和相关人员的安全，就需要功能安全顾问来进行HARA分析识别与LDW相关的危险。

下面举几个可能的危害事件来帮助我们理解HARA的重要性：

• 在车辆没有偏离车道时，LDW自动打开。—可能会导致驾驶员失去对车辆的控制。
• LDW 发出提醒时仪表没有显示提醒。—可能导致驾驶人员误为 LDW 正常工作，车辆没有偏离道路，以至于不对方向盘进行修正，从而导致事故发生。

---

谁来负责执行HARA：OEM或供应商？

简单来说，任何汽车软件和硬件相关的制造商想要自己的产品符合ISO 26262功能安全要求，都需要执行HARA。
OEM想要自己的EPS(Electronic Power Steering)符合ASIL—A功能安全等级，他就需要让EPS供应商去进行HARA或使用其他方法(FMEA、FMEDA等)进行危害分析，并确保相关产品符合对应ASIL等级。有些时候，OEM可能需要建立自己的符合ASIL-X的EPS，在这种情况下可能就需要OEM自己去执行HARA。

HARA在开发流程中的位置：

上图可以清晰的看出HARA为Item Definition之后，Functional Safety Concept之前。为了更好的了解HARA，我们需要对Item Definition和安全生命周期的启动有一定的了解。在整个过程我们还将回对HARA必须的输入物进行归纳介绍。

1.Item Definition

HARA基本上处理整车层级的故障。因此，对整车和相关子系统有一个清晰的了解于功能安全相关执行人员来说非常重要。Item Definition就是用来描述某功能在整车和子系统的原理和交互情况，从而一个可靠的Item Definition对有效的执行HARA来说非常重要。

什么是Item？定义：一个或多个用来实现整车层级某个功能的系统。如，ABS就是一个Item

Item Definition包括一下部分：

1. 名称和描述；
2. 功能运行相关的技术（电子/电气/机械等）；
3. 与其他功能的接口（包括内部和外部）；
4. 安全需求和已知的失效模式；
5. 对其他功能的依赖；
6. 其他（有助于HARA分析的其他内容）；

一旦Item Definition完成，安全生命周期也就开始了。

2.安全生命周期开始

这更多是过渡步骤，起到一个承上启下的作用。在此阶段，可以明确是否开发新项目还是对现有项目进行修改。另一个目标是定义下一步需要执行与安全生命周期相关的活动。

3.使用HAZOP进行故障识别

在此阶段，功能安全工程师对Item及其功能有了一定的认识。下一步是确定所考虑的相关故障并指出相关因素，例如运行场景，操作模式等。这些因素均被视为HARA的输入。
HAZOP（Hazard and Operability Analysis）能很好帮助功能安全工程师的进行故障识别。HAZOP是一项探索性分析，需要考虑到与系统设计或操作意图的偏差。简而言之，HAZOP理论假设只要与系统的预期操作相偏离，任何潜在的危害都会发生。
HAZOP使用关键字来标识实际功能与预期功能的偏离。例如：汽车中的加速系统可能会导致反向加速，即踩下油门踏板时，汽车反向加速。在这里表示该情况的关键字就是 “反向” 。
一旦故障被识别就需要用危害描述来详细阐述该故障。运行场景描述发生此类故障的场景，场景可以是怠速场景，加速场景，制动场景等。也需要故障指定相应操作模式，操作模式可以是车辆停放，车辆怠速，低速/高速行驶的车辆等。

识别分析这些HARA输入物的能力主要来自功能安全工程师和汽车工程师的专业经验，同时基于已知故障和以及相关子系统或组件也能够帮助识别得出HARA的输入物

在相关危险全部识别后，将其进行分类并导出安全目标和与之相对应的ASIL等级。安全目标和对应的ASIL等级就是HARA的输出物。

---

为了保证整个过程的连续性和可理解性，下面我们将会对ASIL的分配方法进行简单介绍：
暴露度（E）：可能发生失效的场景在整个车辆运行场景的比重。
可控度（C）：由于汽车某个组件的故障和失效导致违背安全目标时，驾驶人员对车辆的可控程度。
严重度（S）：在危险发生时，驾驶人员和相关道路交通车参与者所受伤害的严重程度。
安全目标（Safety Goals）：HARA分析的输出物，根据ISO 26262所描述：安全目标作为Item最高等级的安全要求，用于制定功能安全要求，同时安全目标的定制需要满足避免任何由危险事件导致的不合理风险的原则。

---

安全目标（Safety Goals）由所有的系统或相关组件失效引起的潜在危险事件所推到出来，每个安全目标都有一个ASIL属性以及指定的使车辆进入安全状态的要求

安全目标的推导可以分为一下几个步骤：
1.识别所有相关的危害事件；
2.识别运行场景、操作模式和环境条件等；
3.合并危险场景和危害事件；
4.对危害事件进行分类；
5.定义覆盖所有危害事件的安全目标；
6.系统工程师在分析危害事件时同时分析得出严重度、暴露度和可控度。
7.得出安全目标和相应的ASIL-X

在HARA分析过程中，一个Item会产生多个危害事件，不同的危害事件的ASIL等级由相关的严重度、暴露度和可控度决定。
一个安全目标可以覆盖多个危害事件，其中所覆盖的危害事件的最高的ASIL等级将会分配给该安全目标

下面用一个LDW的例子来更好的理解安全目标：

Hazard Description	ASIL	Safety Goal
The LDW function activates in a condition which is in valid. It suppresses intentional steering manoeuvres.	ASIL-D	Driver should be able to cancel the LDW by moving steering in counteractive way.

---

用什么工具去执行 HARA？

HARA是ISO 26262流程框架和团队理解汽车功能和功能安全的起点。HARA可以用EXCEL或其他工具来执行。在使用EXCEL来执行HARA分析和安全目标推导时，需要专家根据ISO 26262定制相关模板来使相关活动正常执行。

---

结束语

HARA作为ISO26262功能安全流程的基石，也是一个重要的开始。它能够帮助推导出整个系统的ASIL等级和SG，在后续流程中的功能安全概念和软硬件开发测试过程中，都是基于ASIL-X和SG来实现。所以一个合适和正确的HARA才能帮助后续流程正确无误的进行下去。