GB/T34590.3危害分析和风险评估( HARA ）：示例之AEB相关项的功能异常行为及AEB 的风险识别和评估

GB / T34590 (所有部分)关注电气/电子功能, 在危害分析和风险评估( HARA )中, 分析功能异常行为在整车层面产生的危害。

在整车层面, 不论是电气/电子失效, 还是不安全的预期功能(甚至是信息安全问题), 导致危害的行为是相同 的。然而, 考虑到 预期功能的权限限制(例如 AEB 的最大减速度限制), 产生的危害幅度可能是不同的。在 HARA 中识别出 的危害和功能异常行为, 可能与 SOTIF 所考虑的相同或相似。

注：图来源《速度与激情8》

HARA 识别相关项的功能异常行为, 并评估由 此产生的风险。

示例 1 : AEB 相关项的功能异常行为如下。

———非期望的自 动制动:

●在规定的速度降限制范围内 : ASIL X 为对危害事件进行 E 、 C 和 S 评估的结果;

●超出 规定的速度降限制范围: ASIL Y 是对危害事件进行 E 、 C 和 S 评估的结果( Y ≥ X );

———自 动制动过晚或丢失:

●由 于高 可 控 性 (制 动 是 驾 驶 员 的 常 规 行 为) 和 低 暴 露 度 (紧 急 制 动 是 小 概 率事 件), 可 将 危 害 事 件 评 定为 QM 。

注: (关于上述示例 1 )在其他具有更高驾驶自 动化等级的系统中, 系统可能承担了 总体的制 动任务, 而不仅仅是紧急制动。在这种情况下, 上述阐述可能不再有效。

SOTIF 引 发的功能修改可能对 HARA 中的参数产生影响。

示例 2 : AEB 功能在自 动制动时限制了最大速度降, 这增加了后方车辆的可控性, 避免追尾, 降低碰撞的严重程度。

识别和评估由 预期功能引 起的危害

示例: AEB 的风险识别和评估:

a )在定义的用例中, 整车层面的规定行为是否安全?

如果规定行为可能是事故的原因, 评估给定环境中是否有更合适的行为。

根据 AEB 系统的规范, 只有当碰撞不可避免时, 才会进行干预。在这种情况下, 驾驶员 可以 以 最大能力 进行制动。如果驾驶员 不这样 做, AEB 系 统 将 代 替 驾 驶 员 进 行 制 动。除 非 驾 驶 员 想 通 过 横 向 躲 避 来 防 止 事 故 发生, 这是最好的可能行为。在后一种情况下, 制动甚至可能会适得其反, 降低可用的横向 加速力。因 此, 修改了整车层面的规定行为: 当转向 扭矩为 y N · m 时, AEB 干预被抑制 或中 止。通过这一修改, 整车层面的规定行为被认为是安全的。

b )车辆功能的非期望行为有哪些? 这些行为是否是可信伤害的来源?

———误触发: 在规定的速度降限制范围内非预期制动。

●后方车辆没能及时作出 反应, 导致追尾。在这里, 该系统引 入了 新的风险。这种非预期行为是可信伤害的来源, 且与预期功能安全( SOTIF )相关。

———漏触发: 在即将发生碰撞时不制动。

●该系统仅起辅助作用, 也就是系统既没有把驾 驶员 从指定任务中 解放出 来, 也不会给驾 驶员 一种从制动任务中解 放 出 来 的 印 象, 因 为 除 非 事 故 已 经 不 可 避 免, 否 则 系 统 不 会 制 动。从 预 期 功 能 安 全( SOTIF )的角 度来看, 这种非预期行为不会给系统引 入新的风险, 也不会被视为可信伤害的来源。因此, 这种非预期行为与预期功能安全无关。

●在其他系统中, 该系统可能会接管制动驾驶任务。在这种情况下, 上述说法不再有效, 这种非期望行为则与预期功能安全有关。

———在规定的速度降限制范围之外制动。

●在规定的速度降限制范围内 进行制动的能力, 取决于车速测量的准确性和制动器的执行情况。

●导致超出 速度降限制范围的制动的与环境有关的潜在触发条件(如, 来自 前方的阵风、上坡梯度增 加)是可能存在的, 但这也基于相关项的控制回路可以快速的适应它们, 并将过制动控制在较小的范围内 。

●如果已经建立的系统很好地解决了车速测量、制动控制回路和制动执行的性能局限。则不需要本文件中描述的预期功能安全( SOTIF ) 流程。这种非期望行为与本文件无关。

c )可合理预见的误用会带来什么风险?

———误用场景: 驾驶员 将“避免与目 标物碰撞的制动”任务转移至 AEB 系统。

●在产品使用说明书中明确提到, 该系统仅辅助驾驶员 , 并不能防止碰撞, 只是削弱了影响。

●该系统以令人极不舒适的方式进行制动。

因此, 驾驶员 将制动驾驶任务全权转移给该系统的风险不是不合理的。

一般来说, 可通过告知驾驶员 该系统的局限性(例如通过产品使用说明书)来降低误用的可能性。

包括广告和产品命名 在内 的销售材料不应导致用户 的错误期望。