ISO26262汽车功能安全HARA案例分析

最新推荐文章于 2026-04-27 21:31:37 发布
原创 最新推荐文章于 2026-04-27 21:31:37 发布 · 5.8k 阅读 · 47
标签
#汽车 #安全 #汽车控制器可靠性设计 #软件可靠性 #安全架构
本文介绍了HARA分析,即危害分析和风险评估,是ISO 26262标准中的方法。以汽车自适应巡航控制系统(ACC)和车道偏离警告系统(LDW)为例,阐述了HARA分析的目的、步骤,包括识别危害事件、分类危害、制定安全目标等,以确保系统安全性和可靠性。

HARA(Hazard Analysis and Risk Assessment)分析,即危害分析和风险评估,是ISO 26262标准中定义的一种方法,用于识别和分类由项目(Item)故障行为引起的危险事件,并确定与预防或减轻这些危险事件相关的安全目标和相应的汽车安全完整性等级(ASIL)。HARA分析是功能安全开发流程中的关键步骤,它的结果直接影响到后续功能安全概念(FSC)的制定和整个安全生命周期的管理。

一、HARA分析的目的

1、识别危害事件

识别危害事件的目标是分析由于E/E系统故障可能导致的危险事件。

比如高级驾驶辅助系统(ADAS)中的自适应巡航控制(ACC)功能,根据ISO 26262标准,以下是一些可能与ACC系统相关的危害事件:

1.1 系统故障导致的错误行为

传感器故障:雷达或摄像头等传感器失效可能导致ACC系统无法正确监测前车距离或速度2。

软件错误:系统软件缺陷可能引起ACC控制逻辑错误,造成车速控制不当。

1.2 驾驶员依赖过度

过度信任:驾驶员可能过分依赖ACC系统,导致在紧急情况下反应不及时。

1.3 环境因素影响

恶劣天气:大雨、大雪或浓雾可能影响传感器的性能,降低ACC系统的可靠性。

1.4 系统局限性

静止目标识别:ACC系统可能无法识别静止或缓慢移动的目标,如停在路上的车辆或行人。

弯道性能:在急弯或弯道中,ACC系统可能无法维持与前车的安全距离

2、分类危害

对识别的危害事件进行分类是风险管理过程中的一个关键步骤,它有助于确定哪些危害需要优先处理以及如何有效地分配资源以降低风险。在汽车高级驾驶辅助系统(ADAS)的自适应巡航控制(ACC)功能中,危害事件可以根据几个不同的维度进行分类:

2.1 按严重性分类:

高:可能导致严重伤害或死亡,如高速追尾事故。

中等:可能导致轻伤或中度财产损失,如低速碰撞。

低:可能导致轻微的不便或非常小的财产损失,如不必要的急刹。

2.2 按发生概率分类:

高概率:经常发生的事件,如传感器在恶劣天气下的性能下降。

中等概率:偶尔发生的事件,如系统软件错误。

低概率:很少发生的事件,如硬件故障。

2.3 按可检测性分类:

明显:危害事件容易通过系统监测或驾驶员观察发现。

隐匿:危害事件难以通过常规监测发现,可能需要复杂的诊断程序。

2.4 按可控性分类:

可控:驾驶员或系统能够采取措施来避免或减轻危害。

部分可控:在某些情况下,驾驶员或系统可以采取措施,但不是所有情况下都能做到。

不可控:危害事件一旦发生,无法通过驾驶员或系统干预来控制

2.5 按危害来源分类:

技术故障:由系统硬件或软件故障引起。

人为因素:由驾驶员错误或不当行为引起。

环境因素:由外部环境条件,如恶劣天气或道路状况引起。

2.6 按影响范围分类:

单一车辆:影响仅限于装备ACC的车辆。

多车辆:可能影响其他道路使用者,如附近车辆或行人。

2.7 按法律和规范要求分类:

合规性:与现有法律和安全规范相违背的事件。

建议性:虽然不违反规范,但可能引起公众关注或客户满意度下降的事件。

2.8 按系统组件分类:

传感器:与雷达、摄像头等传感器相关的故障。

执行器:与制动、加速等执行器相关的故障。

控制单元:与系统控制逻辑和决策算法相关的故障。

通过这样的分类,可以更系统地评估每个危害事件的风险等级,并制定相应的风险缓解措施。风险评估通常结合了严重性、发生概率和可控性等多个因素,以确定风险的优先级。高严重性和高发生概率的危害事件通常会被赋予更高的优先级进行处理。

3、 制定安全目标

基于危害事件制定预防或减轻措施的安全目标,对于ACC系统中的每个危害事件。

3.1安全目标制定的范围

传感器故障:确保系统在传感器故障时能够安全地降级或警告驾驶员。

软件错误:实现软件故障检测和纠正机制,以防止非预期行为。

过度依赖:通过驾驶员培训和系统设计减少对ACC系统的不当依赖。

恶劣天气:提高传感器和系统的鲁棒性,以适应恶劣天气条件。

静止目标识别:改进系统以可靠地检测和响应静止或缓慢移动的目标。

弯道性能:优化系统以保持弯道中的安全车距。

安全目标应该是SMART的,即具体(Specific)、可测量(Measurable)、可实现(Achievable)、相关(Relevant)和时限(Time-bound)。

3.2 确定ASIL等级:

为每个安全目标分配相应的ASIL等级,确保风险降至可接受的程度。确定汽车安全完整性等级(ASIL)是ISO 26262标准中一个关键步骤,它涉及到对汽车电子电气系统潜在故障的风险评估。ASIL等级的确定基于三个主要因素:

严重性(Severity, S):评估故障可能造成的伤害程度,通常分为四个等级:S0(无伤害)、S1(轻微或中等伤害)、S2(严重或危及生命)、S3(危及生命到致命伤害)。

暴露性(Exposure, E):评估驾驶者或乘客暴露于潜在危险情况的频率,也分为四个等级:E0(几乎不可能发生)、E1(低概率)、E2(中等概率)、E3(高概率)、E4(非常高概率)。

最低0.47元/天 解锁文章
功能安全HARA分析笔记
weixin_36460584的博客
09-25 746
最近在做ADS 功能HARA分析,在这里做一些笔记分享给大家。术语定义:大家都知道OEM主机厂从整车层面进行HARA分析,零部件在签署接口协议DIA,得到safety goal的时候,已经有安全目标和ASIL等级的要求了。但是有一些OEM需求给的很简单,就一句话,比如你拿到这句话,说实话压根不知道咋弄。我看过很多tier1,他们也会进行HARA分析,在OEM安全目标的基础上尽量贴近,会导出新的安全目标,并且产生安全状态和FTTI。
八、功能安全分析HARA、FEAM、FMEDA、DFA、FTA分析的关系
weixin_44163227的博客
09-30 1614
功能安全分析方法体系解析:HARA、FMEA、FMEDA、FTA和DFA构成了完整的功能安全分析网络。HARA定义安全目标,FMEA和FTA分别从自下而上和自上而下进行风险分析,FMEDA提供硬件定量评估,DFA验证冗余独立性。以电动汽车扭矩控制系统为例,这些方法协同工作:HARA识别"非预期加速"危害,FMEA发现传感器卡滞风险,FTA溯源故障组合,FMEDA计算失效率,DFA确保冗余电源隔离。整套方法形成从目标定义到技术落地的闭环体系,确保安全要求有效落实。
ISO26262功能安全——安全案例与ASIL分解
最新发布
qq_45583706的博客
04-27 371
从第1篇的失控刹车故事,到第10篇的安全案例与ASIL分解,我们走完了汽车电子功能安全的完整旅程。功能安全不是一系列酷炫的技术堆砌,而是一套严谨的、有时甚至令人厌倦的工程纪律。它不创造新功能,不提升性能,不改善续航——它只是确保,当一切正常时你享受科技的红利;当一切异常时,你不会为此付出生命代价。回看整个专栏,我们讲过V模型的左侧(HARA、系统架构、硬件FMEDA、软件设计),也讲过右侧(故障注入、覆盖率、安全案例)。
功能安全--安全分析
AgingMoon的博客
11-18 1万+
ISO26262功能安全中,有多个地方需要进行安全分析安全分析的质量很重要的决定了功能安全项目的成败,本文针对ISO26262中提到的各种安全分析进行汇总说明(HARA、FMEA、FTA、FMEDA、SWFMEA、DFA)。 1. HARA 在概念阶段,功能安全要求进行HARA分析HARA(危害分析与风险评估)目的是识别项目的功能故障引起的危害,对危害事件进行分类,然后定义与之对应...
综合FuSa和SOTIF的无人驾驶扩展HARA分析方法
NewCarRen的博客
02-03 1833
基于场景的危害分析和风险评估(HARA)是一种有效且现实的自动驾驶能力识别方法(例如SAE/NHTSA自动驾驶分级)。本文通过应用案例(横向导航辅助系统)来演示基于场景的扩展HARA方法。
[转载]危害分析和风险评估(HARA
wsrfljygracie的博客
07-11 4571
HARA
汽车功能安全HARA
Liu_Zongyuan的博客
11-23 6929
汽车功能安全HARA 文章目录汽车功能安全HARAHARA是什么?为什么需要它?谁来负责执行HARA:OEM或供应商?1.Item Definition2.安全生命周期开始3.使用HAZOP进行故障识别用什么工具去执行 HARA?结束语 ISO 26262 是全球公认得汽车E/E(电子电器)系统设计开发标准。该标准提供了整个汽车产品开发周期中的功能安全框架。ISO 26262涉及汽车功能安全的各个部分,它用于消除由电子电器系统引起的对人身的任何不可接受的风险。整个流程是从识别分析危害事件和评估与危害事件
汽车电子功能安全标准ISO26262解析(十二)——HARA分析
热门推荐
pianpian_zct的博客
01-19 1万+
ISO 26262-3: Clause 7 (HARA) Hazard analysis and risk assessment 危害分析和风险评估 1. Objectives 目的 The objective of the hazard analysis and risk assessment is to identify and categorise the hazards of the ...
汽车功能安全---ISO26262
weixin_39512905的博客
06-13 9318
根据汽车电子行业功能安全标准ISO26262的定义,功能安全是为了避免因电气/电子系统故障而导致的不合理风险。根据故障的严重程度不同,功能安全可划分为不同的等级。QM、A、B、C、D五个等级。其中,ASIL D为安全等级最高。比如,线控油门系统,当驾驶员踩下油门踏板,踏板上的传感器向控制器发送信号时,控制器会综合分析如发动机转速、车辆速度、踏板位置等信号,然后将控制指令发送给油门本体。测试和验证线控油门系统等是汽车行业面临的一个挑战。ISO 26262的目标就是为所有汽车E/E系统提供一个统一的安全标准。
解读ISO26262汽车功能安全:概念阶段-FSC&FSR
m0_61714886的博客
04-19 5990
本篇属于汽车功能安全专题系列第十三篇内容,我们接着聊功能安全概念开发阶段剩余内容。在上一篇文章''MUNIK谈汽车功能安全系列专题分享(十一)功能安全之概念阶段-Item定义及HARA''(我是链接)中,我们聊到了前两部分内容。相关项定义(Item Definition) 是功能安全研究的起点,它确保了我们对研究对象有一个清晰、准确的认知。通过定义相关项的边界和交互关系,我们能够确立一个明确的研究范围和目标,为后续的安全分析和方案开发奠定基础。
ISO26262系列】:【02】功能安全标准
lvdongxu123456的博客
07-21 1261
本文系统介绍了汽车功能安全标准ISO26262的核心内容。标准适用于量产乘用车的电子电器系统,包含10个部分,覆盖从概念到报废的全生命周期。关键概念包括功能安全安全生命周期、HARA分析等。ASIL等级通过严重度、暴露度和可控度三个参数确定,分为QM至D级,用于量化风险。标准通过流程控制和设计控制相结合的方法,将电子电器系统风险降低至可接受范围。
ISO 26262中的HARA分析(上)
weixin_42979264的博客
03-31 1303
​ 在前面的文章《功能安全管理之需求管理(落地篇)》一文中我们提到过功能安全安全需求的追溯链,对该追溯链中SG(Safety Goal)怎么得到的在文中顺带提了下通过HARA分析来得到SG。 SG作为顶层的安全需求,是主机厂在概念阶段的工作成果之一,其生成的过程是需要站在整车层级的角度来分析相关项需要达到什么样的安全目的,这就需要分析人员具备一定的整车系统架构知识及车辆动力学的一些知识,以“上帝视角”来审视相关项的风险问题。
汽车功能安全ISO 26262)学习笔记
ChrisKKC的博客
12-19 3825
1.1汽车产品开发基于需求,需求是产品开发的基础。好的需求一定程度直接决定产品性能和质量,对汽车功能安全开发也不例外。我们所熟知的功能实现的需求多源于用户需求,而功能安全开发的需求源于功能实现部分。功能层面的需求: 相对抽象的逻辑功能需求(就是大爷大妈们也能看得懂),需细化至技术需求技术层面的需求: 技术可实施的需求,可直接转化为软硬件开发功能安全概念阶段开发本质就是,在相对抽象的逻辑功能层面,通过安全分析提出功能安全开发最初的安全需求。因此,被称为概念阶段。
一文解读ISO26262安全标准:功能安全管理_iso 26262
2401_84970331的博客
05-13 3940
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
ISO 26262《道路车辆功能安全
qq_45191106的博客
06-12 1785
ISO 26262是关于的国际标准,专门针对总重不超过3.5吨的八座乘用车及其安全相关电子电气系统(E/E系统)的功能安全而制定。
ISO26262 中的HARA分析(下)
weixin_42979264的博客
04-02 1447
​ 在上一篇《 ISO 26262中的HARA分析(上)》中我们谈了谈HARA分析的目的及步骤,笔者将其称为“HARA分析四步法”,并介绍了前面两步,讲了讲通过HAZOP进行危害识别,通过“Operating modes”,“Operational Situations”及“Environmental conditions ”来综合进行场景识别。接下来我们继续谈谈后面两步,即结合危害和场景进行风险评估,对分析结果进行整理,梳理出安全目标。
MCU安全启动的HARA/TARA分析
king110108的专栏
01-25 2391
本文讲述在安全启动的时候都TARA和HARA分析具体场景
功能安全----概念阶段详细步骤总结
xinjitmzy的博客
08-14 6677
1. 相关项 相关项:实现车辆层面功能或部分功能的系统或系统组。 相关项定义:定义并描述相关项,以及其与环境、其他相关项之间的依赖关系和交互影响,为充分理解相关项提供支持,以便执行后续阶段的活动。 2. HARA分析 HARA分析:为了避免不合理的风险,对相关项的危害事件进行识别和归类的方法以及定义防止和减轻相关危害的安全目标和ASIL等级的方法。 危害分析和风险评估的目的是识别相...
ISO26262 Part 3 之 HARA分析要点
Aleeex_Zhao的博客
07-31 652
此处一方面基于Item definition来识别相应的功能;另一方面,基于HAZOP的方法来设定关键词,并分别识别危害;从E1到E4等级,两个相邻E等级间的概率差异是一个数量级。从C1~C3等级,两个相邻C等级间的概率差异是一个数量级。从S,E,C三个方面进行打分,并最终确定安全等级;应基于相关项可能的功能异常表现系统性地确定危害;运行场景和运行模式需要明确描述;
ISO 26262 功能安全概述(三)
weixin_42979264的博客
03-17 3152
从整个概述中的描述来看功能安全要做的就是一堆的“paper work”, 文档工作确实是功能安全设计阶段的主要工作,但这只是“理论指导实践”的“理论”部分。标准要求的不仅是产品全生命周期的各个过程的活动都要有明确的规范及定义,还要求根据这些规范及定义来实施对应层级的设计,这是"实践"。除了这些还不够,还需要通过占据V模型“半壁江山”的验证环节来对各层级的开发、设计成果进行验证和确认,每一个过程都要有对应的文档输出,通过过程来把控结果,通过结果来反向验证过程,如此迭代完善。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MUKAMO

你的鼓励是我们创作最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值