功能安全风险评估方法探究

2023-09-19 11:26王剑峰李小侠何南王远波王爱红
汽车电器 2023年9期
关键词:风险评估

王剑峰 李小侠 何南 王远波 王爱红

【摘  要】本文主要阐述道路车辆功能安全场景元素的创建思路和风险等级的评估方法,并从严重度、暴露率、可控度风险评估几方面入手,结合实际案例,进一步说明功能安全风险评估的风险等级。希望能挖掘出某个功能在失效时所处的驾驶环境是否会造成人员的严重伤害,进而为后续的设计工作提供依据。

【关键词】场景元素;严重度;暴露率;可控度;风险评估

中图分类号:U463.6    文献标志码:A    文章编号:1003-8639( 2023 )09-0046-03

Research on Risk Assessment Method of Functional Safety

WANG Jianfeng,LI Xiaoxia,HE Nan,WANG Yuanbo,WANG Aihong

(Automotive Engineering Research Institute of Shaanxi Heavy Duty Truck Co.,Ltd.,Xi'an 710200,China)

【Abstract】This paper mainly elaborates the creation idea of road vehicle Functional safety scenario elements and the assessment method of risk level,and further explains the risk level of Functional safety risk assessment from several aspects of risk assessment of severity,exposure rate and controllability,combined with actual cases. I hope to explore whether the driving environment in which a certain function fails will cause serious injury to personnel,and provide a basis for subsequent design work.

【Key words】scene elements;severity;exposure rate;controllability;risk assessment

作者简介

王剑峰(1985—),男,工程师,从事汽车电子电器系统方案设计、整车电器原理设计、功能安全研究等工作。

1  引言

在使用ISO 26262道路车辆功能安全标准进行功能安全开发时,一个重要的环节是进行危害分析和风险评估。当对危害事件进行评估并设置功能安全目标ASIL等级时,不可避免地要使用严重度S、暴露率E和可控度C进行指标评价,然而量化这些指标却需要大量的实车测试数据库和软件模拟仿真数据库。在车辆功能安全正向开发初期,主机厂也很难获取这些数据库作为设计支撑,故需要一种具有实际指导性、避免人为主观因素影响、评估结果置信度高的评估标准和方法。

本文的研究重点是如何通过场景元素的特征来定义相应的风险等级,为严重度(S)、暴露率(E)、可控度(C)进行科学合理的赋值,以便于在风险评估时有可参照的评价标准,避免主观人为因素对评估结果造成较大的偏差,得到相对准确率高的功能安全目标ASIL。

2  功能安全概念阶段开发流程简介

功能安全概念阶段旨在根据系统功能识别出导致发生人身伤害的危害事件,并对危害事件的严重度、暴露率和可控度进行评估,得出功能安全目标和功能安全需求。其开发流程如图1所示。

1)相关项定义:定义一个系统或多个系统协同实现某个功能。

2)失效模式分析:基于功能偏离度的失效种类分析。

3)场景选择:选择此功能可能被激活的各种情境及情境的组合。

4)危害分析和风险评估:基于功能实现方式评估在不同情境下系统可能造成的严重度、暴露率和可控度等因数的等级。

5)功能安全目标:根据危害分析和风险评估的结果,得出系统的功能安全目标,即ASIL等级。

6)功能安全需求:根据功能安全目标,提出系统的开发需求、安全状态、故障容错时间间隔要求等。

功能安全概念阶段的一个主要工作是建立功能安全场景库,进行危害分析和风险评估。

3  场景元素

功能安全场景元素是具有反映车辆运行情境的驾驶和操作特征的典型描述,是构成场景的基础要素和关键因子。场景包含场景分类、场景元素和场景特征,一般涉及驾驶员、车辆、道路、季候、环境等。场景元素是根据场景分类逐级分解,进一步扩展其属性,提取出场景的特征。场景特征是场景元素的具体描述,属于不可再分解的层级。场景元素具体分类可参见图2,其中驾驶员、环境、道路的属性可进一步分解。

4  场景选择

场景是对场景元素的具体描述,是对相关项的故障行为导致一個危害事件发生时所处的运行场景及运行模式进行描述,既要考虑正确使用车辆的情况,也要考虑可预见的不正确使用车辆的情况。运行场景描述车辆在一定的天气、环境、道路等因素下驾驶的边界范围,运行模式是对车辆自身操作状态的描述。场景选择是进行风险评估的前提,功能关联的场景的选择需根据驾驶场景和操作场景确定。场景选择的步骤:①确定功能激活的逻辑;②确定功能的使用场景;③在场景库中选择与该功能使用有关的场景;④将该场景摘取到HARA分析表格。

5  风险评估

风险评估关注的是潜在的处于风险中的每个人受到的伤害情况,包括引起危害事件的车辆的驾驶员或乘客,以及其他潜在的处于风险中的人员,如骑自行车的人员、行人或其他车辆上的人员。

风险等级(R)可在危险事件被描述为一个函数(F),与危险事件的发生频率(f),即通过人的及时反应避免特定的伤害或损害能力,损害或损伤的可控性(C)以及潜在的严重程度(S),相互之间的关系见公式(1)。

R=F ( f,C,S)(1)

风险评估主要通过严重度Severity、暴露率Exposure和可控性Controllability这3个因子来评估。严重度是指对驾驶员、乘员或者行人等涉险人员的伤害程度,是基于确定的理由来预估潜在伤害的严重度,分为S0、S1、S2、S3这4个等级。暴露率是指人员暴露在系统的失效能够造成危害的场景中的概率,是基于确定的理由预估每个运行场景的暴露概率,分为E1、E2、E3、E4这4个等级。可控性是指驾驶员或者其他涉险人员能够避免事故或伤害的可能性,是基于一个确定的理由预估驾驶员或其他潜在处于风险的人员对该危害事件的可控性,分为C0、C1、C2、C3这4个等级。风险评估分类标准见表1。

6  基于场景元素的风险评估

6.1  严重度评估

6.1.1  碰撞类故障

对于碰撞类故障,严重度与车速相关,任何碰撞形式造成的严重程度最终只反映到车速上。车速越高,任何碰撞(如侧碰、正碰)都可能造成严重后果;车速越低,任何碰撞造成的后果都是轻微的。因此,车速是主要的量化指标,其它元素也可能影响严重度,如撞击位置、撞击环境等,但对最终严重度的评价结果影响较小。具体评价等级见表2,特殊情况可单独考虑。

6.1.2  非碰撞类故障

对于非碰撞类故障,如车辆起火、冒烟、电池短路、电机烧蚀等,则需设定工况和场景参数,根据人员在危险中停留的时间确定严重度。

实例1:车辆行驶过程中,突发明火。此时应参数化明火燃烧的速度、驾乘人员反应和执行时间、在火种停留时间等。若火势很大,燃烧速度很快,人员根本来不及反应,严重度为S3,反之,严重度等级可相应降低。

实例2:车辆行驶过程中,电池或其它设备泄漏有害气体。此时应重点评估人员反应和执行时间、毒气导致身体或生命伤害的剂量。一般若为无色无味有毒气体,严重度为S3,若有刺鼻气味,严重度等级可相应降低。

6.2  暴露率评估

暴露率依据运行时间的占比或场景出现的频率来评价。涉及到众多场景元素的组合,场景需尽可能的全面,但无需对每一个场景组合进行风险分析,而是挖掘可能导致最严重的危害事件的组合。通常情况下,危害发生时所处的场景是由多个独立的场景元素组合出来的。因此,暴露度E就是这些场景元素组合发生的概率。由于场景元素彼此间是相互独立的,那么组合场景的概率就等于各个基础场景的概率之积。暴露率计算实例如下所述。

实例1:车辆正常驾驶,通过隧道,前方2m内突然窜出行人。车辆正常驾驶的概率为95%;车辆通过隧道的暴露率为5%;车辆前方2m内窜出行人的概率为3%。因3个场景元素均为独立事件,所以组合概率P为:P=P车辆×P隧道×P行人=95%×5%×3%=0.14%<1%。根据暴露率边界条件,该场景的暴露率为E1。

实例2:车辆在高速公路行驶,开启自适应巡航,前方车辆突然减速。车辆在高速公路行驶的概率为65%;开启自适应巡航的概率为50%;前方车辆突然减速的概率为85%。因3个场景元素均为独立事件,所以组合概率P为:P=P车辆×P巡航×P前车=65%×50%×85%=28%>10%。根据暴露率边界条件,该场景的暴露率为E4。

6.3  可控度评估

可控度为驾驶员通过观察系统警示信息或快速反应,以避免危害事件发生的难易程度。可控度取决于处于风险中的交通参与者,主要是驾驶员对危害场景中的车辆的控制能力。无论车辆处于何种工况,车辆的危害行为理论上都能被交通参与者所感知。但特殊工况下,失效危害处于潜伏状态,处于风险中的交通参与者无法感知失效的存在,直到特定的场景发生,该失效才会导致整车的危害行为,可感知的失效E=P(d)和潜伏的失效E=P(f)对应关系见图3。可控度评估可能受驾驶员的情绪、性格、年龄等影响。可控度评估的依据是功能失效后驾驶员是否依然能够操控车辆,根据难易程度分为C0~C3等级,C0为简单可控,C3为不可控。可控度评估的实例如下所述。

实例1:车辆高速行驶,电控助力提供了反向助力。车辆高速行驶过程中,驾驶员变道或者打方向时转向机若提供了一个大于30N的反向助力,则驾驶员很难控制方向盘,此时可控度为C3,若提供的反向助力小于10N,则可控度为C1。

实例2:车辆高速ACC巡航,前方突然出现障碍物,车辆紧急制动功能失效。此时前向雷达可能探测到了障碍物,也发出了报警提示,主要考验驾驶员的反应时间,以及是否能做出变道或踩制动踏板等正确的执行动作。若车速很高,驾驶员根本来不及反应,可控度为C3,若车速较低,可适当降低可控度的等级。

6.4  场景元素风险评估实例

严重度与车速关联、暴露率与场景关联、可控度与驾驶员操控能力相关联。暴露率的评估需要提高场景的覆盖率,而可控度则需要评估功能失效时驾驶员对车辆的控制能力。

实例1:车辆怠速,停在斜坡上,坡度﹥10°,驾驶员不在车上(此场景与季候、环境无关)。车辆怠速,严重度S0;车辆停在斜坡上,坡度>10°,暴露率E3;駕驶员不在车上,可控度C3。在怠速模式下,对于大多数功能失效,均不会造成伤害事故,ASIL等级为QM。但若驻车功能失效,则可能造成车辆溜坡导致碰撞事故,此时严重度为S3,ASIL等级为C。

实例2:正常驾驶,高速直行,岔路口,交通标线清晰,夏季雨夜,车流量低。车速>60km/h,严重度为S3;高速行驶,夏季雨夜,视线模糊,暴露率E4;转向助力反向,可控度为C3,此时转向助力的ASIL等级为D;若无法识别车道线,可控度为C2,此时车道线识别的ASIL等级为C。

实例3:城市道路,车速>40km/h,夜间行驶,车辆前方突然出现行人过马路。城市道路,车速>40km/h,严重度S3;车辆前方突然窜出行人,暴露率E3,此场景下若AEB探测障碍物的功能失效,可控度为C3,故障碍物探测的ASIL等级为D;若制动不足,可控度为C3,故车辆制动的ASIL等级为D。

7  结语

综上所述,基于场景元素的功能安全风险评估,本质上就是挖掘出某个功能在失效时所处的驾驶环境是否会造成人员的严重伤害,进而为后续的设计工作提供依据。若能建立定量和定性的场景元素评估准则,则有助于提高评估结果的准确性和一致性,对于功能安全风险评估有着事半功倍的作用。若能再结合事故场景数据库和实车测试数据,不断优化场景元素的评级准则,最终一定可得到置信度高的功能安全目标等级。

参考文献:

[1] 陈韬,蔡博,回春,等. 基于场景元素的智能网联汽车场景构建研究[J]. 公路与汽运,2019(6):9-12.

[2] 楼志江. 功能安全的危害分析和风险评估方法[J]. 汽车实用技术,2019(15):90-91.

[3] 赵征澜. 纯电动汽车转矩控制安全概念与转矩监控模型[J]. 汽车工程学报,2018,8(3):229-234.

(编辑  凌  波)

猜你喜欢
风险评估
创业公司及项目风险投资的风险评估方法研究
供电企业内部控制风险评估
基于模糊层次分析的四川小额信贷公司风险评估
H银行企业信贷项目风险评估分析
铅锑冶炼污染场地周边土壤铅污染特征及潜在生态危害评价
城市燃气管网的安全隐患及应对措施
我国养老保险基金投资运营的风险评估
现代风险导向审计局限性及其对策研究
中小企业财务管理问题研究