作者 / HYZY
来源 / 焉知
一、方法概述
危害与可操作性分析HAZOP(Hazard and operability analysis)是从功能层面出发的一种探索型分析方法,通过使用一组适当的引导词对每个功能进行假设,得出不同的功能异常表现,通过分析这些异常表现可导致的危害后果,实现危害的识别。
SAE标准《J2980 Considerations for ISO 26262 ASIL Hazard Classification》 中将HAZOP应用于功能安全概念阶段的危害识别中,其通用的分析流程见下图1。
以下将结合车道保持辅助(LKA)功能示例,具体介绍HAZOP方法的应用方法。
二、HAZOP步骤1:系统描述
本步骤目的为:定义系统分析范围,主要包括系统要素、边界和接口。
该步骤可以包括在功能安全的相关项定义中完成,下图2为LKA系统架构。
三、HAZOP步骤2:功能定义
HAZOP分析需基于确定的功能定义,功能定义层面的选择取决于分析目的。本步骤目的即为:定义系统功能清单。
ISO 26262中对于HARA的要求为:应以能在整车层面观察到的条件或行为来定义危害。因此,当在HARA中的危害识别阶段应用HAZOP方法时,应以整车层面功能为分析对象。
本步骤同样包含在功能安全相关项定义中,LKA的功能定义如下:
车辆行驶时借助一个摄像头识别行驶车道的标识线,在一定车速范围内,当判断车辆将要驶出车道线时,将通过EPS施加附加的转向力矩,使车道保持在车道内。
四、HAZOP步骤3:功能异常表现分析
基于功能定义,使用规定的引导词,分析每个功能的异常表现。HAZOP中规定的引导词有:
- 功能丧失——在有需求时,不提供功能;
- 在有需求时,提供错误的功能:
‒ 错误的功能——多于预期;
‒ 错误的功能——少于预期;
‒ 错误的功能——方向相反;
- 非预期的功能——在无需求时,提供功能;
- 输出卡滞在固定值上——功能不能按照需求更新。
LKA的功能异常表现分析示例见下表1。
HAZOP方法中规定的所有引导词并非适用于所有的分析,可根据分析范围和内容对引导词进行剪裁。
除整车层面功能外,通过选用不同的引导词,HAZOP分析可用于更详细设计的分析,例如对软件的分析:针对软件组件或软件参数,可选用“过早、过晚、过大、过小”等引导词,进行控制流或数据流的HAZOP分析,以识别出关键的软件组件和参数,及需要关注的安全风险。
五、HAZOP步骤4:潜在危害识别
本步骤需考虑车辆不同的运行场景,进一步分析每个功能异常表现在整车层面上可能产生的危害。在此分析过程中,应包括相关项生命周期的各个阶段,如:运行、服务和报废阶段。
不同运行场景中,同一功能异常表现可能导致整车层面的多种危害。例如非预期转向力功能异常,当车辆处于直线行驶时,可能造成的整车危害是非预期的车辆侧向运动;在车辆静止时,可能造成的整车危害是方向盘快速转动导致人员手部伤害。
另外,不同功能异常表现可能导致整车层面的同一危害。危害分析是一个迭代过程,考虑到不同的车辆运行场景和生命周期阶段,相关项的功能异常表现和相应的车辆层面危害也会在分析过程中不断更新。
仅考虑车辆在高速公路行驶过程中LKA功能异常表现,将表1中识别出的功能异常表现映射到表2中的整车危害如下:
*注:表2中保持力卡滞异常所导致的危害可合并到保持力过大、不足或反向中。
本文转自:焉知自动驾驶,转载此文目的在于传递更多信息,版权归原作者所有。
