控安轩辕实验室：ISO 26262以外的危害分析和风险评估

1、控安轩辕实验室：ISO 26262以外的危害分析和风险评估:通过重组 风险产生过程的复杂性管理*本文翻译自 Juan R. Pimental 所著 Safety of the Intended Functionality (SOTIF) Book 3 - Automated Vehicle Safety Series，中文版权归轩辕实验室 所有汽车的世界准备好了迎接自动驾驶(AD)，而先进的驾驶员辅助系统(ADAS)增加 了他们对车辆控制的信心。因此保证AD/ADAS应用程序的系统安全，包括符合 ISO 26262的经典功能安全，以及预期功能安全(SOTIF)等尤为关键。然而，风 险是始终存在

2、的。项目中的所有安全活动都需要有一个危害分析和风险评估 (HARA)，包括所有相关方面，如操作情况、功能描述和其他参数。从AD/ADAS的描述来看，HARA将是一个复杂的任务。我们演示了一种 ADAS系统中HARA的复杂性管理方法。得到了由故障和外部原因造成的潜在 危险的可管理的概述，并定义了 SOTIF验证目标。1.简介根据ISO 26262-3, HARA由态势分析和危害识别、危险事件分类和安全等级 确定组成。安全级别在很大程度上决定了安全生命周期的进一步阶段，直到安 全验证。预期功能安全(SOTIF)是安全生命周期的扩展。而功能安全则涵盖了 故障行为所造成的危害(即与设计意图相关的项目的

3、非预期行为)，DPAS 21448 “意图功能的安全性”描述了一个特殊的安全生命周期，解决了预期行 为的性能限制或用户合理预见的滥用。这个生命周期包括SOTIF HARA。根据 ISO 26262，我们认为SOTIF HARA是HARA的延伸。以下特征将与SOTIF相关的HARA 与 ISO 26262-3 中描述的HARA区分开来危害分析：尽管严重性和可控性评估使用相同的量表，但它们对SOTIF危害的判断是特定的。安全级别没有特别规定。“可接受的风险”一词在文 件中经常使用，指严重性和可控性的可接受性（分别为 S0和C0评价）。SOTIF HARA包括验证目标的指定。显然，验证目标 的指定也

4、需要指定验证方法。后一点可以用不同的方法解决。DPAS 21448建议在公共道路上进行真实世界 的驾驶考试。一旦在验证中安装了该系统的车辆行驶了规定的公里数，考虑到 给定的区域和危险事件的类型，它们的统计数据可以与现有的人类驾驶统计数 据进行比较。这里可以应用GAMAB原则:如果自动化功能的性能至少与人类驱 动程序一样安全，则可以认为它是安全的。根据ISO 26262，危险识别是基于 情况分析，而情况分析又包括操作情况和系统的操作模式。意思是，一个 HARA有多个不同的情况，往往只是细微细节上的区别。将驾驶统计数据拟合到如此详细的状态描述中并不一定可能的，或者可能过于武断。除此之外，由 于其复

5、杂性，许多情况的管理都是有问题的。本文使用的参考原包含了一个 AD系统需要考虑的20种运行状态，分析了 28种情况。在560个可能的组合 中，选择了 166个作进一步考虑。这些条件与23种可能的环境条件相反。选 择1080种结果情况进行最终分析。在对情况进行聚集并添加可能的故障之 后，最终的分析电子表格包含1867行，每一行包含一对情况和一个危险事 件。在下一章中，我们将描述一种通过重新设计风险产生过程来降低HARA 复杂度的方法。最后给出了该方法的一个应用实例。讨论了其可行性、优缺 点。最后，对今后的工作进行了总结和展望。2. SOTIF HARA和状态空间爆炸状态空间爆炸问题是一个来自计算

6、机科学的术语，特别是来自算法的形式模型 检验领域。从本质上说，状态空间爆炸是一种情况，在这种情况下，随着要考 虑的参数数量的增加，系统可能出现的状态数（模型检查器应该考虑的状态数） 呈指数增长。通过类比，我们可以讨论HARA的状态空间，即所有需要分析的 潜在危险情况。HARA 成HARA的目标是针对系统的不同用例分析系统中存在的危害。因此，HARA潜 在的危险状况是建立在这两者的叠加之上的。下面，我们分析生成危害和用例 的过程，即风险生成过程。危害根据ISO 26262, HARA是在一个项目上执行的，即在车辆水平上实现的功能被分析。危害表示为项目的功能失效模式。通过分析技术系统的组成和工作原

7、 理，可以对技术系统的失效模式进行评价。对于SOTIF，有问题的功能通常是 由AD/ADAS接管的驱动程序职责的一部分。这一功能的调整应该包括驾驶员 的任务分解（因为人类驾驶员并没有有意识地区分纵向和横向动力学中的控制任 务）和子任务，这些子任务过去由驾驶员解决，现在将被自动化。这里要考虑的 故障模式是驱动程序的故障模式，即在完成与驱动相关的任务时可能出现的故 障，因为驱动程序现在已经脱离了循环。HAZOP使用由引导词和信号名组成 的矩阵来生成一组可能的危险。然后对生成的集合进行可信性分析。然后排除 信号和引导词的不合理组合。然而，根据我们的经验，我们几乎不可能排除 HAZOP预先指出的与驾驶

8、员相关的危险，因为驾驶员在控制车辆时容易犯非 常不同的错误。用例HARA的用例包括操作状态、驾驶情况和环境条件。并非所有的环境条件都适 用于所有的州，例如，对于被动安全系统（即在车辆碰撞后将对车内人员的伤害 减至最低的系统），路面是否在碰撞前很滑并不重要。但是，对于AD/ADAS函 数，分析的对象是驱动程序的行为。很难预测哪些参数对驱动起作用，哪些不 起作用，因此需要考虑大部分参数。除此之外，一个AD/ADAS功能应该在所 有的驾驶情况下进行分析，无论是在它打算使用的情况下，还是在它不打算使 用的情况下。3.HARA和隐马尔可夫驱动（实际上是任何过程）可以以转换图的形式表示（参见图1）。该过程

9、将描述危 险事件（如事故）的发展，即正是HARA研究的那些事件。在危害”（更准确 地说，“危害”考虑的是驱动程序或ADAS/AD系统做出错误决策时的情况）下 考虑与驱动程序相关的过渡部分，而在用例”下考虑与驱动程序无关的过渡 部分。用例的概率构成ISO 26262兼容的HARA的暴露”（E）参数，而危害 和无事故”状态之间的转换概率防御了 可控性”（C）。它不能直接从图1所 示的半马尔可夫链推导出来。本节标题中的隐藏”一词指的是这样一个事 实，即不可能直接测量许多概率和链式反应的速率。交通统计数据的主要来源 是事故统计数据，也就是说，我们在这里处理的是一个统计数据被扭曲的样 本，因为我们永远不会知道有多少人经历了危险并设法避免了事故。如果过渡 的概率分布形式及其参数已知，则可以计算系统处于半马尔可夫链各状态的概 率分布。对于图1所示的转换图，转换次数是以下集合的幕： 每个转移都由一个特定的概率分布控制，它不仅在参