控安轩辕实验室：ISO 26262以外的危害分析和风险评估.docx

控安轩辕实验室：ISO 26262以外的危害分析和风险评估:通过重组 风险产生过程的复杂性管理*本文翻译自 Juan R. Pimental 所著 Safety of the Intended Functionality (SOTIF) Book 3 - Automated Vehicle Safety Series，中文版权归轩辕实验室 所有汽车的世界准备好了迎接自动驾驶(AD)，而先进的驾驶员辅助系统(ADAS)增加 了他们对车辆控制的信心因此保证AD/ADAS应用程序的系统安全，包括符合 ISO 26262的经典功能安全，以及预期功能安全(SOTIF)等尤为关键然而，风 险是始终存在的项目中的所有安全活动都需要有一个危害分析和风险评估 (HARA)，包括所有相关方面，如操作情况、功能描述和其他参数从AD/ADAS的描述来看，HARA将是一个复杂的任务我们演示了一种 ADAS系统中HARA的复杂性管理方法得到了由故障和外部原因造成的潜在 危险的可管理的概述，并定义了 SOTIF验证目标1.简介根据ISO 26262-3, HARA由态势分析和危害识别、危险事件分类和安全等级 确定组成。

安全级别在很大程度上决定了安全生命周期的进一步阶段，直到安 全验证预期功能安全(SOTIF)是安全生命周期的扩展而功能安全则涵盖了 故障行为所造成的危害(即与设计意图相关的项目的非预期行为)，DPAS 21448 “意图功能的安全性”描述了一个特殊的安全生命周期，解决了预期行 为的性能限制或用户合理预见的滥用这个生命周期包括SOTIF HARA根据 ISO 26262，我们认为SOTIF HARA是HARA的延伸以下特征将与SOTIF相关的HARA 与 ISO 26262-3 中描述的HARA区分开来•危害分析：尽管严重性和可控性评估使用相同的量表，但它们对SOTIF危害的判断是特定的•安全级别没有特别规定可接受的风险”一词在文 件中经常使用，指严重性和可控性的可接受性（分别为 S0和C0评价）•SOTIF HARA包括验证目标的指定显然，验证目标 的指定也需要指定验证方法后一点可以用不同的方法解决DPAS 21448建议在公共道路上进行真实世界 的驾驶考试一旦在验证中安装了该系统的车辆行驶了规定的公里数，考虑到 给定的区域和危险事件的类型，它们的统计数据可以与现有的人类驾驶统计数 据进行比较。

这里可以应用GAMAB原则:如果自动化功能的性能至少与人类驱 动程序一样安全，则可以认为它是安全的根据ISO 26262，危险识别是基于 情况分析，而情况分析又包括操作情况和系统的操作模式意思是，一个 HARA有多个不同的情况，往往只是细微细节上的区别将驾驶统计数据拟合到如此详细的状态描述中并不一定可能的，或者可能过于武断除此之外，由 于其复杂性，许多情况的管理都是有问题的本文使用的参考原包含了一个 AD系统需要考虑的20种运行状态，分析了 28种情况在560个可能的组合 中，选择了 166个作进一步考虑这些条件与23种可能的环境条件相反选 择1080种结果情况进行最终分析在对情况进行聚集并添加可能的故障之 后，最终的分析电子表格包含1867行，每一行包含一对情况和一个危险事 件在下一章中，我们将描述一种通过重新设计风险产生过程来降低HARA 复杂度的方法最后给出了该方法的一个应用实例讨论了其可行性、优缺 点最后，对今后的工作进行了总结和展望2. SOTIF HARA和状态空间爆炸状态空间爆炸问题是一个来自计算机科学的术语，特别是来自算法的形式模型 检验领域从本质上说，状态空间爆炸是一种情况，在这种情况下，随着要考 虑的参数数量的增加，系统可能出现的状态数（模型检查器应该考虑的状态数） 呈指数增长。

通过类比，我们可以讨论HARA的状态空间，即所有需要分析的 潜在危险情况HARA £成HARA的目标是针对系统的不同用例分析系统中存在的危害因此，HARA潜 在的危险状况是建立在这两者的叠加之上的下面，我们分析生成危害和用例 的过程，即风险生成过程危害根据ISO 26262, HARA是在一个项目上执行的，即在车辆水平上实现的功能被分析危害表示为项目的功能失效模式通过分析技术系统的组成和工作原 理，可以对技术系统的失效模式进行评价对于SOTIF，有问题的功能通常是 由AD/ADAS接管的驱动程序职责的一部分这一功能的调整应该包括驾驶员 的任务分解（因为人类驾驶员并没有有意识地区分纵向和横向动力学中的控制任 务）和子任务，这些子任务过去由驾驶员解决，现在将被自动化这里要考虑的 故障模式是驱动程序的故障模式，即在完成与驱动相关的任务时可能出现的故 障，因为驱动程序现在已经脱离了循环HAZOP使用由引导词和信号名组成 的矩阵来生成一组可能的危险然后对生成的集合进行可信性分析然后排除 信号和引导词的不合理组合然而，根据我们的经验，我们几乎不可能排除 HAZOP预先指出的与驾驶员相关的危险，因为驾驶员在控制车辆时容易犯非 常不同的错误。

用例HARA的用例包括操作状态、驾驶情况和环境条件并非所有的环境条件都适 用于所有的州，例如，对于被动安全系统（即在车辆碰撞后将对车内人员的伤害 减至最低的系统），路面是否在碰撞前很滑并不重要但是，对于AD/ADAS函 数，分析的对象是驱动程序的行为很难预测哪些参数对驱动起作用，哪些不 起作用，因此需要考虑大部分参数除此之外，一个AD/ADAS功能应该在所 有的驾驶情况下进行分析，无论是在它打算使用的情况下，还是在它不打算使 用的情况下3.HARA和隐马尔可夫驱动（实际上是任何过程）可以以转换图的形式表示（参见图1）该过程将描述危 险事件（如事故）的发展，即正是HARA研究的那些事件在〃危害”（更准确 地说，“危害”考虑的是驱动程序或ADAS/AD系统做出错误决策时的情况）下 考虑与驱动程序相关的过渡部分，而在〃用例”下考虑与驱动程序无关的过渡 部分用例的概率构成ISO 26262兼容的HARA的〃暴露”（E）参数，而危害 和〃无事故”状态之间的转换概率防御了 〃可控性”（C）它不能直接从图1所 示的半马尔可夫链推导出来本节标题中的〃隐藏”一词指的是这样一个事 实，即不可能直接测量许多概率和链式反应的速率。

交通统计数据的主要来源 是事故统计数据，也就是说，我们在这里处理的是一个统计数据被扭曲的样 本，因为我们永远不会知道有多少人经历了危险并设法避免了事故如果过渡 的概率分布形式及其参数已知，则可以计算系统处于半马尔可夫链各状态的概 率分布对于图1所示的转换图，转换次数是以下集合的幕： 每个转移都由一个特定的概率分布控制，它不仅在参数上不同于其他分布，而 且在形式上也不同本文的方法曾经是通过改变原模型下的半马尔可夫过程的 转移图，使概率分布的集合更小同时仍然能够提取HARA-relevant信息以及 验证结果与交通事故统计，并生成一个关于SOTIF验证的建议图1半马尔可夫链表示通过HARA研究的过程图2道路交通风险模型。