ISO 26262危害分析怎么做,ISO 26262风险等级怎么确定,关键是把危害事件写成可验证的场景组合,再用严重度S、暴露度E、可控性C把ASIL或QM判定落成可复核记录,后续安全目标与安全需求才不会断链。
一、ISO 26262危害分析怎么做
危害分析以HARA为主线,先定系统边界与使用场景,再把故障行为翻译成车辆层面的可见危害,最后形成可追溯的危害事件清单,给风险等级确定提供稳定输入。
1、先把Item Definition写清楚再谈危害
(1)明确功能范围与系统边界,写清哪些属于Item内部控制,哪些属于外部接口与依赖
(2)列出关键工作模式,例如正常、降级、上电自检、维修诊断,避免后续场景遗漏
(3)把前提假设写成可检查条目,例如驾驶员在环程度、功能启用条件、提示方式与约束条件
2、把危害写成车辆可观察行为加伤害后果
(1)故障不要直接等同危害,传感器异常或控制器重启属于故障源,危害应描述车辆行为变化
(2)用车辆可见表述统一口径,例如非预期加速、制动不足、转向助力消失等
(3)补齐伤害后果与受影响对象,区分乘员与弱势交通参与者,以便后续严重度S判定
3、把运行场景拆成维度,再组合成危害事件
(1)先列场景维度,车速区间、道路类型、交通密度、附着与天气、弯道坡道等
(2)再把场景维度与故障触发行为组合成Hazardous Event,避免只写泛泛的高速或城市
(3)对每条危害事件补齐触发条件与边界,例如发生时间窗、是否有预警、是否可降级
4、用可追溯格式固化条目,减少评审扯皮
(1)每条危害事件保持同一字段顺序,场景、触发、车辆行为、伤害后果、假设、备注
(2)给条目编号并记录来源,例如功能分解、接口分析、FMEA或历史问题库,便于复核
(3)准备标杆样例,示范一条ASIL较高与一条QM事件,统一团队写法与打分口径
二、ISO 26262风险等级怎么确定
风险等级确定的重点,是把每条危害事件的S、E、C判断理由写清楚,并保证同类事件同题同分,这样ASIL或QM才能经得起复审。
1、严重度S怎么定才不靠感觉
(1)先明确受影响对象与碰撞形态,再判断潜在伤害等级,避免只写严重或轻微
(2)结合速度区间与能量水平解释为什么不是更高或更低的S,写出可对照边界
(3)把伤害口径固定为团队共识,例如轻伤、重伤、致命风险的区分依据
2、暴露度E怎么做才能可追溯
(1)E看的是危险运行场景出现频率,不是功能开启时长,也不是可能发生
(2)用启用条件、道路占比与典型使用方式推导场景出现概率,并把依据写进条目
(3)对同一功能的多个场景维度分开打E,避免混成平均值导致失真
3、可控性C怎么写才能经得起追问
(1)写清驾驶员能否理解风险信号,是否有清晰提示或反馈
(2)写清反应时间窗口与操作复杂度,例如需要紧急制动或接管的难度
(3)把驾驶任务负荷与环境差异写进理由,避免用单一场景替代全部情况
4、ASIL或QM判定要做一致性校验
(1)记录S、E、C的理由摘要与采用的准则版本号,保证复审可回放
(2)检查相近危害事件的ASIL不应无理由跳变,避免过度乐观假设把等级做低
(3)对ASIL较高条目补充关键证据点,直接支撑后续安全目标确定
三、ISO 26262安全目标怎么落到安全需求
HARA与风险等级确定只是起点,交付关键在于把安全目标拆成可实现、可验证的安全需求,并把假设落成约束或监控机制,证据链才能连贯。
1、安全目标先写成可触发可响应可验收
(1)把目标拆成检测、诊断、降级、容错、报警等类型,避免只写口号
(2)写清触发条件与时间要求,例如最大检测时间、允许反应时间、降级后功能边界
(3)给出验收口径,例如分析、仿真、台架、道路或故障注入,并定义通过准则
2、把需求分配到架构元素,追溯链一次建好
(1)把需求分配到ECU、传感器、执行器与网络等对象,明确接口信号与责任边界
(2)把每条需求回链到具体危害事件与ASIL等级,确保变更时可做影响分析
(3)对关键监控与降级路径补齐依赖条件,避免监控链路与主功能同时失效
3、把关键假设落成启用条件或降级规则
(1)影响S、E、C的驾驶员与环境假设,要么写成启用限制,要么写成检测与降级触发
(2)不满足条件时的系统行为要明确,例如禁止启用、提示接管、进入可控降级或安全停止
(3)把规则与日志留痕写进需求,后续验证与审核才能证明假设被落实
总结
ISO 26262危害分析怎么做,ISO 26262风险等级怎么确定,按证据链推进更稳:先用HARA把边界、场景与危害事件写成可追溯条目,再用S、E、C给出可复核的ASIL或QM判定,最后把安全目标拆成可验证的安全需求并分配到架构元素,口径统一、理由留痕,结论才稳定可用。
