控安軒轅實驗室：ISO 26262以外的危害分析和風險評估

1、控安軒轅實驗室：ISO 26262以外的危害分析和風險評估:通過重組 風險產生過程的復雜性管理*本文翻譯自 Juan R. Pimental 所著 Safety of the Intended Functionality (SOTIF) Book 3 - Automated Vehicle Safety Series，中文版權歸軒轅實驗室 所有汽車的世界準備好了迎接自動駕駛(AD)，而先進的駕駛員輔助系統(tǒng)(ADAS)增加 了他們對車輛控制的信心。因此保證AD/ADAS應用程序的系統(tǒng)安全，包括符合 ISO 26262的經典功能安全，以及預期功能安全(SOTIF)等尤為關鍵。然而，風 險是始終存在

2、的。項目中的所有安全活動都需要有一個危害分析和風險評估 (HARA)，包括所有相關方面，如操作情況、功能描述和其他參數。從AD/ADAS的描述來看，HARA將是一個復雜的任務。我們演示了一種 ADAS系統(tǒng)中HARA的復雜性管理方法。得到了由故障和外部原因造成的潛在 危險的可管理的概述，并定義了 SOTIF驗證目標。1.簡介根據ISO 26262-3, HARA由態(tài)勢分析和危害識別、危險事件分類和安全等級 確定組成。安全級別在很大程度上決定了安全生命周期的進一步階段，直到安 全驗證。預期功能安全(SOTIF)是安全生命周期的擴展。而功能安全則涵蓋了 故障行為所造成的危害(即與設計意圖相關的項目的

3、非預期行為)，DPAS 21448 “意圖功能的安全性”描述了一個特殊的安全生命周期，解決了預期行 為的性能限制或用戶合理預見的濫用。這個生命周期包括SOTIF HARA。根據 ISO 26262，我們認為SOTIF HARA是HARA的延伸。以下特征將與SOTIF相關的HARA 與 ISO 26262-3 中描述的HARA區(qū)分開來危害分析：盡管嚴重性和可控性評估使用相同的量表，但它們對SOTIF危害的判斷是特定的。安全級別沒有特別規(guī)定?！翱山邮艿娘L險”一詞在文 件中經常使用，指嚴重性和可控性的可接受性（分別為 S0和C0評價）。SOTIF HARA包括驗證目標的指定。顯然，驗證目標 的指定也

4、需要指定驗證方法。后一點可以用不同的方法解決。DPAS 21448建議在公共道路上進行真實世界 的駕駛考試。一旦在驗證中安裝了該系統(tǒng)的車輛行駛了規(guī)定的公里數，考慮到 給定的區(qū)域和危險事件的類型，它們的統(tǒng)計數據可以與現有的人類駕駛統(tǒng)計數 據進行比較。這里可以應用GAMAB原則:如果自動化功能的性能至少與人類驅 動程序一樣安全，則可以認為它是安全的。根據ISO 26262，危險識別是基于 情況分析，而情況分析又包括操作情況和系統(tǒng)的操作模式。意思是，一個 HARA有多個不同的情況，往往只是細微細節(jié)上的區(qū)別。將駕駛統(tǒng)計數據擬合到如此詳細的狀態(tài)描述中并不一定可能的，或者可能過于武斷。除此之外，由 于其復

5、雜性，許多情況的管理都是有問題的。本文使用的參考原包含了一個 AD系統(tǒng)需要考慮的20種運行狀態(tài)，分析了 28種情況。在560個可能的組合 中，選擇了 166個作進一步考慮。這些條件與23種可能的環(huán)境條件相反。選 擇1080種結果情況進行最終分析。在對情況進行聚集并添加可能的故障之 后，最終的分析電子表格包含1867行，每一行包含一對情況和一個危險事 件。在下一章中，我們將描述一種通過重新設計風險產生過程來降低HARA 復雜度的方法。最后給出了該方法的一個應用實例。討論了其可行性、優(yōu)缺 點。最后，對今后的工作進行了總結和展望。2. SOTIF HARA和狀態(tài)空間爆炸狀態(tài)空間爆炸問題是一個來自計算

6、機科學的術語，特別是來自算法的形式模型 檢驗領域。從本質上說，狀態(tài)空間爆炸是一種情況，在這種情況下，隨著要考 慮的參數數量的增加，系統(tǒng)可能出現的狀態(tài)數（模型檢查器應該考慮的狀態(tài)數） 呈指數增長。通過類比，我們可以討論HARA的狀態(tài)空間，即所有需要分析的 潛在危險情況。HARA 成HARA的目標是針對系統(tǒng)的不同用例分析系統(tǒng)中存在的危害。因此，HARA潛 在的危險狀況是建立在這兩者的疊加之上的。下面，我們分析生成危害和用例 的過程，即風險生成過程。危害根據ISO 26262, HARA是在一個項目上執(zhí)行的，即在車輛水平上實現的功能被分析。危害表示為項目的功能失效模式。通過分析技術系統(tǒng)的組成和工作原

7、 理，可以對技術系統(tǒng)的失效模式進行評價。對于SOTIF，有問題的功能通常是 由AD/ADAS接管的驅動程序職責的一部分。這一功能的調整應該包括駕駛員 的任務分解（因為人類駕駛員并沒有有意識地區(qū)分縱向和橫向動力學中的控制任 務）和子任務，這些子任務過去由駕駛員解決，現在將被自動化。這里要考慮的 故障模式是驅動程序的故障模式，即在完成與驅動相關的任務時可能出現的故 障，因為驅動程序現在已經脫離了循環(huán)。HAZOP使用由引導詞和信號名組成 的矩陣來生成一組可能的危險。然后對生成的集合進行可信性分析。然后排除 信號和引導詞的不合理組合。然而，根據我們的經驗，我們幾乎不可能排除 HAZOP預先指出的與駕駛

8、員相關的危險，因為駕駛員在控制車輛時容易犯非 常不同的錯誤。用例HARA的用例包括操作狀態(tài)、駕駛情況和環(huán)境條件。并非所有的環(huán)境條件都適 用于所有的州，例如，對于被動安全系統(tǒng)（即在車輛碰撞后將對車內人員的傷害 減至最低的系統(tǒng)），路面是否在碰撞前很滑并不重要。但是，對于AD/ADAS函 數，分析的對象是驅動程序的行為。很難預測哪些參數對驅動起作用，哪些不 起作用，因此需要考慮大部分參數。除此之外，一個AD/ADAS功能應該在所 有的駕駛情況下進行分析，無論是在它打算使用的情況下，還是在它不打算使 用的情況下。3.HARA和隱馬爾可夫驅動（實際上是任何過程）可以以轉換圖的形式表示（參見圖1）。該過程

9、將描述危 險事件（如事故）的發(fā)展，即正是HARA研究的那些事件。在危害”（更準確 地說，“危害”考慮的是驅動程序或ADAS/AD系統(tǒng)做出錯誤決策時的情況）下 考慮與驅動程序相關的過渡部分，而在用例”下考慮與驅動程序無關的過渡 部分。用例的概率構成ISO 26262兼容的HARA的暴露”（E）參數，而危害 和無事故”狀態(tài)之間的轉換概率防御了 可控性”（C）。它不能直接從圖1所 示的半馬爾可夫鏈推導出來。本節(jié)標題中的隱藏”一詞指的是這樣一個事 實，即不可能直接測量許多概率和鏈式反應的速率。交通統(tǒng)計數據的主要來源 是事故統(tǒng)計數據，也就是說，我們在這里處理的是一個統(tǒng)計數據被扭曲的樣 本，因為我們永遠不會知道有多少人經歷了危險并設法避免了事故。如果過渡 的概率分布形式及其參數已知，則可以計算系統(tǒng)處于半馬爾可夫鏈各狀態(tài)的概 率分布。對于圖1所示的轉換圖，轉換次數是以下集合的幕： 每個轉移都由一個特定的概率分布控制，它不僅在參