Здравствуйте! В этой средней статье мы собираемся уточнить, как мы анализируем опасности и оцениваем риски. Прежде чем мы начнем, нам нужно определить, какая часть автомобиля будет рассматриваться. В качестве примера мы собираемся использовать расширенную систему помощи водителю, сокращенно ADAS.
После того, как мы выбрали систему для исследования, нам нужно провести мозговой штурм и придумать различные сценарии вождения, такие как вождение по снегу по шоссе или парковка на стоянке. Мы называем это ситуационным анализом. Отдельно мы подумаем о различных способах выхода автомобиля из строя. Мы снова проведем мозговой штурм, чтобы определить, что может пойти не так с ADAS. Затем мы оценим неисправности в различных сценариях вождения и рассчитаем фактор риска, называемый УПБА, уровень полноты безопасности автомобиля. Конечная цель анализа опасностей и оценки рисков - определить требования, определяющие, что нужно делать ADAS, чтобы избежать опасных ситуаций.
Помните, что конечная цель функциональной безопасности - снизить риски до приемлемого для общества уровня. При анализе опасностей и оценке рисков мы выясним, что может пойти не так с вашим товаром. Затем мы измерим риск, связанный с непреднамеренным поведением. Затем мы определим, что нужно сделать, чтобы этот предмет оставался в безопасности. Мы будем называть это непреднамеренное поведение неисправностью. Например, если система поддерживает полосу движения, не поворачивайте рулевое колесо слишком сильно, водитель может потерять контроль над автомобилем. Существует вероятность автомобильной аварии, поэтому чрезмерный крутящий момент будет неисправностью, которая приведет к опасной ситуации. Анализ опасностей и оценка рисков состоит из пяти частей:
Ситуационный анализ, в котором вы определяете условия движения, например, городское вождение под дождем.
Идентификация опасностей, где мы анализируем, что не так с рассматриваемым предметом.
Классификация ситуации и опасности по серьезности и вероятности возникновения.
Расчет УПБА.
Разработка целей безопасности, которые определяют, что система будет делать для снижения риска.
Следующим шагом после анализа ситуации является определение опасностей. Помните, что для ISO 26262 опасные ситуации возникают из-за неисправностей электроники, которые могут вызвать травмы или нанести вред здоровью людей. Неисправности - это непреднамеренное поведение. Если целью функции предупреждения о выезде с полосы движения является вибрация рулевого колеса, неисправность может заключаться в слишком сильной вибрации. Опасность заключается в том, что водитель может потерять контроль над рулевым колесом, что может привести к риску столкновения с другим транспортным средством. Как и в случае ситуационного анализа, у нас есть список контрольных слов для выявления неисправностей. У нас также есть список потенциальных несчастных случаев или опасных событий, которые могут произойти. Обратите внимание, что мы пока не занимаемся технической реализацией этого элемента.
Например, мы еще не думаем о том, какая часть предупреждения о выезде с полосы движения вызывает чрезмерные вибрации. Может быть, это ошибка программного обеспечения или проблема с вибромотором. Но нас пока не интересует такой уровень детализации. Мы также предполагаем, что все остальные элементы автомобиля работают правильно. Нас интересует только элемент помощи при движении по полосе. Полная идентификация опасности будет включать определение функции, рассматриваемую неисправность, выбранную из управляющих слов, подробности неисправности, аварию, называемую опасным событием, подробности о событии и краткое описание опасного события.
Пришло время объединить ситуации и опасности, а затем оценить риски. Как только мы узнаем, насколько высоки наши риски, мы сможем понять, как снизить риски до приемлемого уровня. Еще в предыдущих статьях, упомянутых выше, мы говорили об оценке риска с помощью уравнения, равного риску, умноженному на вероятность возникновения. В этой статье мы немного упростили ситуацию. В стандарте ISO 26262 риск определяется несколько иначе, в уравнении: риск равен серьезности неисправности, умноженной на вероятность потери из-за неисправности. Вероятность потери из-за неисправности учитывает два условия: подверженность риску и управляемость. В таком случае риск равен значимости, умноженной на воздействие, умноженной на управляемость. Давайте обсудим каждый из этих факторов по очереди. Мы вводим серьезность ранее. Степень серьезности определяет, насколько серьезно человек может получить травму в результате несчастного случая. В стандарте ISO 26262 серьезность имеет четыре уровня, обозначенных S0, S1, S2 и S3. S0 означает отсутствие травм, тогда как S3 означает опасные для жизни или смертельные травмы.
Например, ситуация, когда транспортное средство движется со скоростью более 40 километров в час, будет иметь степень серьезности S3. В ситуационном анализе для предупреждения о выезде с полосы движения мы учли, что водитель ехал с высокой скоростью, поэтому степень серьезности будет S3. Мы можем использовать приведенную ниже таблицу в качестве руководства для оценки серьезности рассматриваемой ситуации. Теперь поговорим об экспозиции. Помните ли вы из вводных статей определение вероятности возникновения, вероятность возникновения на самом деле измеряет, как часто и как долго водители оказываются в конкретной ситуации? Например, езда по автостраде, припаркованной на стоянке, или движение по мокрой дороге. Воздействие определяется точно так же, как мы определяем вероятность возникновения во вводном уроке. Экспозиция имеет шкалу от E0 до E4. В нашем примере с предупреждением о выезде с полосы движения ситуация связана с движением по шоссе VicRoads. Согласно стандарту функциональной безопасности движение на VicRoads - E3.
Последний тон оценки риска - управляемость. Управляемость определяет, насколько вероятно, что водитель сможет получить контроль над транспортным средством во время опасного события. Управляемость имеет шкалу от C0 до C3, где C3 - это ситуация, когда средний водитель не может поддерживать контроль над транспортным средством. Если функция предупреждения о выезде с полосы движения вызывает чрезмерную вибрацию рулевого колеса при резких поворотах рулевого колеса, большинству водителей будет сложно управлять автомобилем. Ставим управляемость на С3. Мы также предоставляем таблицу, которая поможет различать разные уровни управляемости.
Теперь мы можем оценить риск выезда с полосы движения. Например, мы объединим серьезность, подверженность и управляемость в фактор риска, называемый УПБА. Далее мы обсудим ASIL более подробно.
Уровни HARA ASIL Серьезность, подверженность и контролируемость обеспечивают систематический способ оценки риска. Мы берем эти три фактора и объединяем их в метрику, которая называется уровнем целостности автомобильной безопасности или ASIL. ASIL измеряет степень риска каждой опасной ситуации. Более низкие риски классифицируются как ASIL A, тогда как самые высокие риски классифицируются как ASIL B. ISO 26262 предоставляет таблицу для объединения трех терминов в ASIL.
Давайте рассчитаем ASIL для нашего примера с предупреждением о выезде с полосы движения. Из таблицы видно, что сочетание S3, E3 и C3 приводит к УПБА C. Таким образом, чрезмерная вибрация рулевого колеса представляет собой опасность с относительно высоким риском. Эта таблица поднимает пару моментов, которые мы еще не рассмотрели. Что такое QM? И что произойдет, если опасность имеет серьезность, управляемость или уровни воздействия S0, E0 или C0? Если оценка риска содержит S0, E0 или C0, тогда риск автоматически помечается как QM. QM означает менеджмент качества и подразумевает, что риск уже ниже приемлемого уровня. Нет необходимости применять ISO 26262 к опасной ситуации QM, потому что риск уже достаточно низок. Однако существуют и другие стандарты, которые применяются, в том числе стандарт управления качеством автомобилей IATF 16949. Теперь, когда мы знаем, как оценивать риски, мы обсудим, что система должна делать, чтобы снизить риск.
Последний шаг - определение целей безопасности, что возвращает нас к проектированию требований. Цель безопасности определяет, что делает элемент, чтобы избежать опасных ситуаций. Итак, цель безопасности - это своего рода требование. Для функции предупреждения о выезде с полосы движения описание опасного события заключалось в том, что функция предупреждения о выезде с полосы движения прикладывает к рулевому колесу слишком высокий колебательный момент, что может привести к аварии. Что должна сделать функция предупреждения о выезде с полосы движения, чтобы избежать ситуации? Ограничьте количество вибрации. Таким образом, целью безопасности было бы ограничение колеблющегося момента рулевого управления от функции предупреждения о выезде с полосы движения. Таким образом, цель безопасности имеет значение УПБА C. Ограничение крутящего момента при колебании рулевого управления поможет снизить риск до приемлемого.
Резюме
Теперь у нас есть инструменты для проведения анализа опасностей и оценки рисков. Подведем итог тому, что мы узнали. Сначала мы определились, какой из транспортных средств рассматривается. В этом случае мы рассматривали элемент помощи при движении по полосе. Затем мы определили различные дорожные ситуации. Следующим шагом было представить себе неисправности системы помощи при движении по полосе, которые могут привести к опасным ситуациям. Мы оценивали риск на основе серьезности, подверженности и управляемости. Оценка рисков произведена [невнятно] для этих опасных ситуаций. На последнем этапе мы определяем, что элемент должен делать, чтобы оставаться в безопасности. Это называется целями безопасности.
