HARA（Hazard Analysis and Risk Assessment）分析，即危害分析和風險評估，是ISO 26262標準中定義的一種方法，用于識別和分類由項目（Item）故障行為引起的危險事件，并確定與預防或減輕這些危險事件相關的安全目標和相應的汽車安全完整性等級（ASIL）。HARA分析是功能安全開發流程中的關鍵步驟，它的結果直接影響到后續功能安全概念（FSC）的制定和整個安全生命周期的管理。

一、HARA分析的目的

1、識別危害事件

識別危害事件的目標是分析由于E/E系統故障可能導致的危險事件。

比如高級駕駛輔助系統（ADAS）中的自適應巡航控制（ACC）功能，根據ISO 26262標準，以下是一些可能與ACC系統相關的危害事件：

1.1 系統故障導致的錯誤行為

傳感器故障：雷達或攝像頭等傳感器失效可能導致ACC系統無法正確監測前車距離或速度2。

軟件錯誤：系統軟件缺陷可能引起ACC控制邏輯錯誤，造成車速控制不當。

1.2 駕駛員依賴過度

過度信任：駕駛員可能過分依賴ACC系統，導致在緊急情況下反應不及時。

1.3 環境因素影響

惡劣天氣：大雨、大雪或濃霧可能影響傳感器的性能，降低ACC系統的可靠性。

1.4 系統局限性

靜止目標識別：ACC系統可能無法識別靜止或緩慢移動的目標，如停在路上的車輛或行人。

彎道性能：在急彎或彎道中，ACC系統可能無法維持與前車的安全距離

2、分類危害

對識別的危害事件進行分類是風險管理過程中的一個關鍵步驟，它有助于確定哪些危害需要優先處理以及如何有效地分配資源以降低風險。在汽車高級駕駛輔助系統（ADAS）的自適應巡航控制（ACC）功能中，危害事件可以根據幾個不同的維度進行分類：

2.1 按嚴重性分類：

高：可能導致嚴重傷害或死亡，如高速追尾事故。

中等：可能導致輕傷或中度財產損失，如低速碰撞。

低：可能導致輕微的不便或非常小的財產損失，如不必要的急剎。

2.2 按發生概率分類：

高概率：經常發生的事件，如傳感器在惡劣天氣下的性能下降。

中等概率：偶爾發生的事件，如系統軟件錯誤。

低概率：很少發生的事件，如硬件故障。

2.3 按可檢測性分類：

明顯：危害事件容易通過系統監測或駕駛員觀察發現。

隱匿：危害事件難以通過常規監測發現，可能需要復雜的診斷程序。

2.4 按可控性分類：

可控：駕駛員或系統能夠采取措施來避免或減輕危害。

部分可控：在某些情況下，駕駛員或系統可以采取措施，但不是所有情況下都能做到。

不可控：危害事件一旦發生，無法通過駕駛員或系統干預來控制。

2.5 按危害來源分類：

技術故障：由系統硬件或軟件故障引起。

人為因素：由駕駛員錯誤或不當行為引起。

環境因素：由外部環境條件，如惡劣天氣或道路狀況引起。

2.6 按影響范圍分類：

單一車輛：影響僅限于裝備ACC的車輛。

多車輛：可能影響其他道路使用者，如附近車輛或行人。

2.7 按法律和規范要求分類：

合規性：與現有法律和安全規范相違背的事件。

建議性：雖然不違反規范，但可能引起公眾關注或客戶滿意度下降的事件。

2.8 按系統組件分類：

傳感器：與雷達、攝像頭等傳感器相關的故障。

執行器：與制動、加速等執行器相關的故障。

控制單元：與系統控制邏輯和決策算法相關的故障。

通過這樣的分類，可以更系統地評估每個危害事件的風險等級，并制定相應的風險緩解措施。風險評估通常結合了嚴重性、發生概率和可控性等多個因素，以確定風險的優先級。高嚴重性和高發生概率的危害事件通常會被賦予更高的優先級進行處理。

3、 制定安全目標：

基于危害事件制定預防或減輕措施的安全目標，對于ACC系統中的每個危害事件。

3.1安全目標制定的范圍

傳感器故障：確保系統在傳感器故障時能夠安全地降級或警告駕駛員。

軟件錯誤：實現軟件故障檢測和糾正機制，以防止非預期行為。

過度依賴：通過駕駛員培訓和系統設計減少對ACC系統的不當依賴。

惡劣天氣：提高傳感器和系統的魯棒性，以適應惡劣天氣條件。

靜止目標識別：改進系統以可靠地檢測和響應靜止或緩慢移動的目標。

彎道性能：優化系統以保持彎道中的安全車距。

安全目標應該是SMART的，即具體（Specific）、可測量（Measurable）、可實現（Achievable）、相關（Relevant）和時限（Time-bound）。

3.2 確定ASIL等級：

為每個安全目標分配相應的ASIL等級，確保風險降至可接受的程度。確定汽車安全完整性等級（ASIL）是ISO 26262標準中一個關鍵步驟，它涉及到對汽車電子電氣系統潛在故障的風險評估。ASIL等級的確定基于三個主要因素：

嚴重性（Severity, S）：評估故障可能造成的傷害程度，通常分為四個等級：S0（無傷害）、S1（輕微或中等傷害）、S2（嚴重或危及生命）、S3（危及生命到致命傷害）。

暴露性（Exposure, E）：評估駕駛者或乘客暴露于潛在危險情況的頻率，也分為四個等級：E0（幾乎不可能發生）、E1（低概率）、E2（中等概率）、E3（高概率）、E4（非常高概率）。

可控性（Controllability, C）：評估駕駛者在危險情況下避免傷害的能力，同樣分為四個等級：C0（一般可控）、C1（容易可控）、C2（通常可控）、C3（難以控制或不可控）。

結合這三個因素，ASIL等級分為以下五個等級：

QM（質量要求）：與安全無關的功能。

ASIL A：較低的風險。

ASIL B：中等的風險。

ASIL C：較高風險。

ASIL D：最高風險。

ISO 26262標準提供了一個框架，確保汽車電子系統的設計和開發能夠滿足相應的安全要求。ASIL等級越高，對系統的安全性要求也越高，意味著需要更多的安全措施和更嚴格的開發流程。

二、HARA分析的步驟：

1、 定義項目（Item）：

在ACC項目中，HARA分析可以幫助項目團隊詳細描述項目的功能、接口和安全需求：

1.1功能需求：

確定項目需要實現哪些功能，以及這些功能的具體要求。

描述用戶如何與項目交互，以及項目如何響應用戶的操作。

1.2 接口需求：

確定項目需要與哪些外部系統或設備進行交互。

定義這些交互的規范，包括數據格式、通信協議和接口標準等。

1.3 安全需求：

確定項目需要滿足哪些安全標準和法規要求。

描述項目如何保護數據和隱私，以及如何防止未授權訪問和攻擊。

2、危害識別：

汽車自適應巡航控制系統（ACC）作為一種高級輔助駕駛系統，雖然提升了駕駛的舒適性和安全性，但也存在可能的失效模式和由此引發的危害。

2.1 傳感器故障

失效：ACC系統依賴于雷達或攝像頭來監測前車的速度和距離。如果傳感器受到污垢、雨水、結冰或其他物質的干擾，可能會導致功能失效。

危害：可能導致系統無法正確檢測前車，增加碰撞風險。

2.2 電子故障

失效：ACC系統需要多個電子組件協同工作，任何電子組件的故障都可能導致ACC功能失效。

危害：可能導致ACC系統無法正常控制車速，影響行車安全。

2.3 軟件問題

失效：系統軟件的故障或更新不當可能導致ACC功能出現問題。

危害：可能導致ACC系統控制邏輯錯誤，增加事故發生的概率。

2.4 極端天氣條件

失效：在下雨或大霧等極端天氣下，ACC系統的傳感器可能無法準確監測前車，導致系統性能下降。

危害：可能無法維持安全車距，增加追尾風險。

2.5 系統誤識別

失效：ACC系統可能對靜止或緩慢移動的目標、行人、動物等小反射面積障礙物無法有效識別。

危害：可能導致車輛無法及時做出反應，造成碰撞。

2.6 系統反應延遲

失效：在復雜的交通環境中，如車輛頻繁變道或緊急制動，ACC系統可能無法及時響應。

危害：可能導致車輛無法及時減速或避讓，增加事故風險。

2.7 駕駛員依賴過度

失效：駕駛員可能過度依賴ACC系統，導致在緊急情況下反應不及時。

危害：可能在系統失效或無法應對的情況下，駕駛員無法及時接管車輛控制，造成危險。

2.8 系統限制和設計局限

失效：ACC系統在設計上可能無法應對所有交通情況，如急轉彎、陡坡等。

危害：可能在特定路況下無法提供足夠的輔助，需要駕駛員介入。

2.9 硬件故障

失效：ACC系統的硬件組件，如雷達傳感器、控制單元等可能發生故障。

危害：可能導致ACC系統完全失效，失去車速控制能力。

2.10 靜態物體識別問題

失效：ACC系統通常不識別靜止物體，如果前方有靜止車輛或障礙物，系統可能不會做出反應。

危害：可能導致車輛與靜止物體發生碰撞。

2.11 系統降級或故障

失效：在系統感知到故障時，ACC系統可能進入降級模式或完全關閉。

危害：可能使駕駛員突然失去輔助駕駛功能，需要立即接管車輛。

2.12 技術限制

失效：ACC系統可能在某些情況下，如隧道內或靠近反射性強的物體時，受到雷達波束干擾。

危害：可能導致系統無法準確判斷前車位置，影響車距控制。

3、場景識別

汽車自適應巡航控制系統（ACC）在特定操作模式和環境條件下可能存在失效的風險，這些風險可能導致危害發生。以下是一些具體的操作模式和環境條件，以及它們可能導致的危害：

3.1 傳感器遮擋或污損：

操作模式：ACC系統依賴于傳感器如雷達或攝像頭來監測前車。

環境條件：傳感器被異物遮擋或污損，如污垢、雨水、結冰。

可能導致的危害：系統可能無法正確探測前車，導致無法及時減速或保持安全距離。

3.2 極端天氣條件：

操作模式：ACC系統在各種天氣條件下運行。

環境條件：大雨、大雪、濃霧等極端天氣。

可能導致的危害：毫米波雷達可能受天氣影響失效，導致ACC系統無法正常工作。

3.3 系統軟件或算法錯誤：

操作模式：ACC系統通過內部軟件和算法控制車輛速度。

環境條件：軟件更新不當或存在編程錯誤。

可能導致的危害：可能導致ACC系統邏輯錯誤，產生不期望的加速或制動。

3.4 復雜交通環境：

操作模式：ACC系統在城市擁堵或復雜路況下使用。

環境條件：交通擁堵、頻繁變道、急剎車。

可能導致的危害：ACC系統可能難以適應復雜交通，導致碰撞風險增加。

3.5 靜態物體識別問題：

操作模式：ACC系統通常不識別靜止物體。

環境條件：前方有靜止車輛或障礙物。

可能導致的危害：ACC系統可能無法及時響應靜止障礙物，增加碰撞風險。

3.6 駕駛員依賴過度：

操作模式：駕駛員可能過度依賴ACC系統。

環境條件：駕駛員注意力不集中，對突發情況反應不及時。

可能導致的危害：駕駛員未能及時接管控制，導致事故。

3.7 技術限制和系統降級：

操作模式：ACC系統在性能極限或降級模式下運行。

環境條件：系統故障或性能下降。

可能導致的危害：ACC系統可能無法提供足夠的輔助，需要駕駛員立即接管控制。

3.8 硬件故障：

操作模式：ACC系統的硬件組件如雷達傳感器發生故障。

環境條件：硬件損壞或性能退化。

可能導致的危害：系統完全失效，失去車速控制能力。

3.8 與車道保持系統（LKA）的交互：

操作模式：ACC與LKA系統協同工作。

環境條件：車道線模糊或不連續，導致LKA系統失效。

可能導致的危害：車輛可能偏離車道，增加碰撞風險。

3.9 駕駛員操作不當：

操作模式：駕駛員在ACC激活狀態下進行不當操作，如急加速或急剎車。

環境條件：駕駛員對ACC系統的工作狀態理解不足。

可能導致的危害：可能導致車輛失控或與前車發生碰撞

4、風險評估：

風險評估即對每個危害事件進行嚴重性（S）、暴露性（E）、可控性（C）的評估，并確定ASIL等級。

汽車自適應巡航控制系統（ACC）的功能安全風險評估是一個復雜的過程，它涉及到對系統潛在故障模式的識別、風險的量化以及風險控制措施的制定。以下是一個簡化的ACC功能安全風險評估表的示例，它基于ISO 26262標準的安全分析方法：

說明：

嚴重度 (S)：描述故障可能造成的危害嚴重程度。

暴露度 (E)：描述故障發生頻率或條件的頻繁程度。

可控度 (C)：描述駕駛員或系統對危害情況的控制能力。

ASIL等級：根據S、E、C的評級確定，指導系統設計的安全要求。

風險控制措施：列出減輕風險的措施。

5、制定安全目標：

基于風險評估結果，制定相應的安全目標。

在汽車自適應巡航控制系統（ACC）的功能安全開發過程中，制定清晰的安全目標是至關重要的。安全目標通常基于對潛在危害的識別和風險評估來設定，并確保系統在設計和運行過程中能夠達到或維持這些安全標準。以下是ACC系統功能安全的制定安全目標的示例：

5.1避免非預期的加速或制動：

安全目標：確保ACC系統不會因軟件或硬件故障而產生非預期的加速或制動行為。

目標量化：系統應能夠在99%的故障情況下防止非預期加速或制動。

5.2 保持與前車的安全距離：

安全目標：ACC系統必須能夠在所有運行條件下維持與前車的安全距離，即使在緊急情況下也能避免碰撞。

目標量化：設定安全距離閾值，并確保系統在95%的時間內能夠保持該距離。

5.3 系統降級和駕駛員接管：

安全目標：在ACC系統性能受限或檢測到關鍵故障時，系統應能夠安全地降級其功能，并提示駕駛員接管控制。

目標量化：系統降級策略應在5秒內完成，并向駕駛員提供清晰的接管請求。

5.4 傳感器和執行器的冗余：

安全目標：ACC系統應具備冗余設計，以確保在主要傳感器或執行器發生故障時，系統仍能安全運行。

目標量化：冗余系統應在主要系統失效后的2秒內啟動，并維持基本的ACC功能。

5.5 防止系統誤用：

安全目標：ACC系統設計應防止由于駕駛員誤用或誤解系統功能而導致的潛在安全風險。

目標量化：系統應提供明確的操作指導和限制條件，減少誤用的可能性。

5.6 環境適應性：

安全目標：ACC系統應能夠適應不同的環境條件，如雨、雪、霧等，保證系統性能不受嚴重影響。

目標量化：系統應在至少90%的典型環境條件下保持正常運行。

5.7數據安全和隱私保護：

安全目標：ACC系統在處理和存儲數據時，應保護數據不被未授權訪問或篡改。

目標量化：系統應實現數據加密，并在數據傳輸過程中采用安全的通信協議。

5.8 持續監控和診斷：

安全目標：ACC系統應具備實時監控自身狀態和性能的能力，并在檢測到異常時提供診斷信息。

目標量化：系統應每10秒進行一次自我檢查，并在檢測到性能下降時向駕駛員發出警告。

三、案例分析

本節以車道偏離警告系統（Lane Departure Warning, LDW）為例進行HARA分析的詳細說明：

1、危害識別（Hazard Identification）：

確定LDW系統可能引發的所有潛在危害。例如：

系統未能檢測到車道標記，導致錯誤警告。

系統錯誤地將路面標線識別為車道標記，發出誤報。

系統響應延遲，未能及時警告駕駛員。

2、危害嚴重度評估（Hazard Severity Assessment, S）：

對每個已識別的危害進行嚴重度評估，通常分為四個等級：

S0：無傷害

S1：輕微傷害

S2：嚴重傷害

S3：致命傷害

例如，LDW系統未能警告駕駛員可能導致嚴重傷害或致命傷害（S2或S3）。

3、暴露度評估（Exposure Assessment, E）：

評估駕駛員暴露于每個危害的頻率。通常分為四個等級：

E0：非常不可能

E1：不太可能

E2：可能

E3：非常可能

例如，誤報可能經常發生，暴露度為E3。

4、可控度評估（Controllability Assessment, C）：

評估駕駛員對潛在危害的控制能力。通常分為四個等級：

C0：完全可控

C1：較難控制

C2：不可控

C3：完全不可控

例如，駕駛員可能能夠通過立即接管控制來避免由于LDW系統誤報引起的事故（C0或C1）。

5、風險評估（Risk Assessment）：

結合S、E、C的評估結果，使用ASIL（Automotive Safety Integrity Level）框架來確定每個危害的風險等級：

QM：質量要求

ASIL A：低風險

ASIL B：中等風險

ASIL C：高風險

ASIL D：最高風險

計算公式：ASIL等級 = S + E + C

6、風險緩解措施（Risk Mitigation Measures）：

根據風險評估結果，制定相應的風險緩解措施。例如：

對于高嚴重度的危害，增強系統的準確性和可靠性。

對于高暴露度的問題，設計更有效的駕駛員警告策略。

對于可控度低的情況，提供額外的培訓或指導，以提高駕駛員對系統限制的認識。

7、安全目標（Safety Goals）：

基于HARA分析的結果，定義系統安全目標。例如：

LDW系統應減少誤報率，以降低駕駛員的干擾。

系統應能夠在特定條件下（如車速、天氣等）可靠地檢測車道標記。

8、安全需求（Safety Requirements）：

從安全目標中派生出具體的安全需求，這些需求將指導系統的設計和開發。例如：

系統應具備自檢功能，以確保傳感器和算法正常工作。

系統應能夠在各種道路和環境條件下穩定運行。

9、驗證和確認（Verification and Validation, V&V）：

通過測試和模擬來驗證和確認所制定的安全需求是否得到滿足。例如：

在各種道路條件下測試LDW系統的性能。

通過駕駛員模擬測試來評估警告系統的及時性和有效性。

HARA分析是一個迭代過程，需要不斷地評估、更新和改進，以確保LDW系統的安全性和可靠性。

轉載自CSDN-MUKAMO