王劍峰　李小俠　何南　王遠波　王愛紅

【摘? 要】本文主要闡述道路車輛功能安全場景元素的創(chuàng)建思路和風險等級的評估方法，并從嚴重度、暴露率、可控度風險評估幾方面入手，結合實際案例，進一步說明功能安全風險評估的風險等級。希望能挖掘出某個功能在失效時所處的駕駛環(huán)境是否會造成人員的嚴重傷害，進而為后續(xù)的設計工作提供依據(jù)。

【關鍵詞】場景元素；嚴重度；暴露率；可控度；風險評估

中圖分類號：U463.6? ? 文獻標志碼：A? ? 文章編號：1003-8639（ 2023 ）09-0046-03

Research on Risk Assessment Method of Functional Safety

WANG Jianfeng，LI Xiaoxia，HE Nan，WANG Yuanbo，WANG Aihong

（Automotive Engineering Research Institute of Shaanxi Heavy Duty Truck Co.，Ltd.，Xi'an 710200，China）

【Abstract】This paper mainly elaborates the creation idea of road vehicle Functional safety scenario elements and the assessment method of risk level，and further explains the risk level of Functional safety risk assessment from several aspects of risk assessment of severity，exposure rate and controllability，combined with actual cases. I hope to explore whether the driving environment in which a certain function fails will cause serious injury to personnel，and provide a basis for subsequent design work.

【Key words】scene elements；severity；exposure rate；controllability；risk assessment

作者簡介

王劍峰（1985—），男，工程師，從事汽車電子電器系統(tǒng)方案設計、整車電器原理設計、功能安全研究等工作。

1? 引言

在使用ISO 26262道路車輛功能安全標準進行功能安全開發(fā)時，一個重要的環(huán)節(jié)是進行危害分析和風險評估。當對危害事件進行評估并設置功能安全目標ASIL等級時，不可避免地要使用嚴重度S、暴露率E和可控度C進行指標評價，然而量化這些指標卻需要大量的實車測試數(shù)據(jù)庫和軟件模擬仿真數(shù)據(jù)庫。在車輛功能安全正向開發(fā)初期，主機廠也很難獲取這些數(shù)據(jù)庫作為設計支撐，故需要一種具有實際指導性、避免人為主觀因素影響、評估結果置信度高的評估標準和方法。

本文的研究重點是如何通過場景元素的特征來定義相應的風險等級，為嚴重度（S）、暴露率（E）、可控度（C）進行科學合理的賦值，以便于在風險評估時有可參照的評價標準，避免主觀人為因素對評估結果造成較大的偏差，得到相對準確率高的功能安全目標ASIL。

2? 功能安全概念階段開發(fā)流程簡介

功能安全概念階段旨在根據(jù)系統(tǒng)功能識別出導致發(fā)生人身傷害的危害事件，并對危害事件的嚴重度、暴露率和可控度進行評估，得出功能安全目標和功能安全需求。其開發(fā)流程如圖1所示。

1）相關項定義：定義一個系統(tǒng)或多個系統(tǒng)協(xié)同實現(xiàn)某個功能。

2）失效模式分析：基于功能偏離度的失效種類分析。

3）場景選擇：選擇此功能可能被激活的各種情境及情境的組合。

4）危害分析和風險評估：基于功能實現(xiàn)方式評估在不同情境下系統(tǒng)可能造成的嚴重度、暴露率和可控度等因數(shù)的等級。

5）功能安全目標：根據(jù)危害分析和風險評估的結果，得出系統(tǒng)的功能安全目標，即ASIL等級。

6）功能安全需求：根據(jù)功能安全目標，提出系統(tǒng)的開發(fā)需求、安全狀態(tài)、故障容錯時間間隔要求等。

功能安全概念階段的一個主要工作是建立功能安全場景庫，進行危害分析和風險評估。

3? 場景元素

功能安全場景元素是具有反映車輛運行情境的駕駛和操作特征的典型描述，是構成場景的基礎要素和關鍵因子。場景包含場景分類、場景元素和場景特征，一般涉及駕駛員、車輛、道路、季候、環(huán)境等。場景元素是根據(jù)場景分類逐級分解，進一步擴展其屬性，提取出場景的特征。場景特征是場景元素的具體描述，屬于不可再分解的層級。場景元素具體分類可參見圖2，其中駕駛員、環(huán)境、道路的屬性可進一步分解。

4? 場景選擇

場景是對場景元素的具體描述，是對相關項的故障行為導致一個危害事件發(fā)生時所處的運行場景及運行模式進行描述，既要考慮正確使用車輛的情況，也要考慮可預見的不正確使用車輛的情況。運行場景描述車輛在一定的天氣、環(huán)境、道路等因素下駕駛的邊界范圍，運行模式是對車輛自身操作狀態(tài)的描述。場景選擇是進行風險評估的前提，功能關聯(lián)的場景的選擇需根據(jù)駕駛場景和操作場景確定。場景選擇的步驟：①確定功能激活的邏輯；②確定功能的使用場景；③在場景庫中選擇與該功能使用有關的場景；④將該場景摘取到HARA分析表格。

5? 風險評估

風險評估關注的是潛在的處于風險中的每個人受到的傷害情況，包括引起危害事件的車輛的駕駛員或乘客，以及其他潛在的處于風險中的人員，如騎自行車的人員、行人或其他車輛上的人員。

風險等級（R）可在危險事件被描述為一個函數(shù)（F），與危險事件的發(fā)生頻率（f），即通過人的及時反應避免特定的傷害或損害能力，損害或損傷的可控性（C）以及潛在的嚴重程度（S），相互之間的關系見公式（1）。

R=F （ f，C，S）（1）

風險評估主要通過嚴重度Severity、暴露率Exposure和可控性Controllability這3個因子來評估。嚴重度是指對駕駛員、乘員或者行人等涉險人員的傷害程度，是基于確定的理由來預估潛在傷害的嚴重度，分為S0、S1、S2、S3這4個等級。暴露率是指人員暴露在系統(tǒng)的失效能夠造成危害的場景中的概率，是基于確定的理由預估每個運行場景的暴露概率，分為E1、E2、E3、E4這4個等級。可控性是指駕駛員或者其他涉險人員能夠避免事故或傷害的可能性，是基于一個確定的理由預估駕駛員或其他潛在處于風險的人員對該危害事件的可控性，分為C0、C1、C2、C3這4個等級。風險評估分類標準見表1。

6? 基于場景元素的風險評估

6.1? 嚴重度評估

6.1.1? 碰撞類故障

對于碰撞類故障，嚴重度與車速相關，任何碰撞形式造成的嚴重程度最終只反映到車速上。車速越高，任何碰撞（如側碰、正碰）都可能造成嚴重后果；車速越低，任何碰撞造成的后果都是輕微的。因此，車速是主要的量化指標，其它元素也可能影響嚴重度，如撞擊位置、撞擊環(huán)境等，但對最終嚴重度的評價結果影響較小。具體評價等級見表2，特殊情況可單獨考慮。

6.1.2? 非碰撞類故障

對于非碰撞類故障，如車輛起火、冒煙、電池短路、電機燒蝕等，則需設定工況和場景參數(shù)，根據(jù)人員在危險中停留的時間確定嚴重度。

實例1：車輛行駛過程中，突發(fā)明火。此時應參數(shù)化明火燃燒的速度、駕乘人員反應和執(zhí)行時間、在火種停留時間等。若火勢很大，燃燒速度很快，人員根本來不及反應，嚴重度為S3，反之，嚴重度等級可相應降低。

實例2：車輛行駛過程中，電池或其它設備泄漏有害氣體。此時應重點評估人員反應和執(zhí)行時間、毒氣導致身體或生命傷害的劑量。一般若為無色無味有毒氣體，嚴重度為S3，若有刺鼻氣味，嚴重度等級可相應降低。

6.2? 暴露率評估

暴露率依據(jù)運行時間的占比或場景出現(xiàn)的頻率來評價。涉及到眾多場景元素的組合，場景需盡可能的全面，但無需對每一個場景組合進行風險分析，而是挖掘可能導致最嚴重的危害事件的組合。通常情況下，危害發(fā)生時所處的場景是由多個獨立的場景元素組合出來的。因此，暴露度E就是這些場景元素組合發(fā)生的概率。由于場景元素彼此間是相互獨立的，那么組合場景的概率就等于各個基礎場景的概率之積。暴露率計算實例如下所述。

實例1：車輛正常駕駛，通過隧道，前方2m內突然竄出行人。車輛正常駕駛的概率為95%；車輛通過隧道的暴露率為5%；車輛前方2m內竄出行人的概率為3%。因3個場景元素均為獨立事件，所以組合概率P為：P=P_車輛×P_隧道×P_行人=95%×5%×3%=0.14%<1%。根據(jù)暴露率邊界條件，該場景的暴露率為E1。

實例2：車輛在高速公路行駛，開啟自適應巡航，前方車輛突然減速。車輛在高速公路行駛的概率為65%；開啟自適應巡航的概率為50%；前方車輛突然減速的概率為85%。因3個場景元素均為獨立事件，所以組合概率P為：P=P_車輛×P_巡航×P_前車=65%×50%×85%=28%＞10%。根據(jù)暴露率邊界條件，該場景的暴露率為E4。

6.3? 可控度評估

可控度為駕駛員通過觀察系統(tǒng)警示信息或快速反應，以避免危害事件發(fā)生的難易程度?？煽囟热Q于處于風險中的交通參與者，主要是駕駛員對危害場景中的車輛的控制能力。無論車輛處于何種工況，車輛的危害行為理論上都能被交通參與者所感知。但特殊工況下，失效危害處于潛伏狀態(tài)，處于風險中的交通參與者無法感知失效的存在，直到特定的場景發(fā)生，該失效才會導致整車的危害行為，可感知的失效E=P（d）和潛伏的失效E=P（f）對應關系見圖3?？煽囟仍u估可能受駕駛員的情緒、性格、年齡等影響?？煽囟仍u估的依據(jù)是功能失效后駕駛員是否依然能夠操控車輛，根據(jù)難易程度分為C0～C3等級，C0為簡單可控，C3為不可控?？煽囟仍u估的實例如下所述。

實例1：車輛高速行駛，電控助力提供了反向助力。車輛高速行駛過程中，駕駛員變道或者打方向時轉向機若提供了一個大于30N的反向助力，則駕駛員很難控制方向盤，此時可控度為C3，若提供的反向助力小于10N，則可控度為C1。

實例2：車輛高速ACC巡航，前方突然出現(xiàn)障礙物，車輛緊急制動功能失效。此時前向雷達可能探測到了障礙物，也發(fā)出了報警提示，主要考驗駕駛員的反應時間，以及是否能做出變道或踩制動踏板等正確的執(zhí)行動作。若車速很高，駕駛員根本來不及反應，可控度為C3，若車速較低，可適當降低可控度的等級。

6.4? 場景元素風險評估實例

嚴重度與車速關聯(lián)、暴露率與場景關聯(lián)、可控度與駕駛員操控能力相關聯(lián)。暴露率的評估需要提高場景的覆蓋率，而可控度則需要評估功能失效時駕駛員對車輛的控制能力。

實例1：車輛怠速，停在斜坡上，坡度﹥10°，駕駛員不在車上（此場景與季候、環(huán)境無關）。車輛怠速，嚴重度S0；車輛停在斜坡上，坡度>10°，暴露率E3；駕駛員不在車上，可控度C3。在怠速模式下，對于大多數(shù)功能失效，均不會造成傷害事故，ASIL等級為QM。但若駐車功能失效，則可能造成車輛溜坡導致碰撞事故，此時嚴重度為S3，ASIL等級為C。

實例2：正常駕駛，高速直行，岔路口，交通標線清晰，夏季雨夜，車流量低。車速＞60km/h，嚴重度為S3；高速行駛，夏季雨夜，視線模糊，暴露率E4；轉向助力反向，可控度為C3，此時轉向助力的ASIL等級為D；若無法識別車道線，可控度為C2，此時車道線識別的ASIL等級為C。

實例3：城市道路，車速＞40km/h，夜間行駛，車輛前方突然出現(xiàn)行人過馬路。城市道路，車速＞40km/h，嚴重度S3；車輛前方突然竄出行人，暴露率E3，此場景下若AEB探測障礙物的功能失效，可控度為C3，故障礙物探測的ASIL等級為D；若制動不足，可控度為C3，故車輛制動的ASIL等級為D。

7? 結語

綜上所述，基于場景元素的功能安全風險評估，本質上就是挖掘出某個功能在失效時所處的駕駛環(huán)境是否會造成人員的嚴重傷害，進而為后續(xù)的設計工作提供依據(jù)。若能建立定量和定性的場景元素評估準則，則有助于提高評估結果的準確性和一致性，對于功能安全風險評估有著事半功倍的作用。若能再結合事故場景數(shù)據(jù)庫和實車測試數(shù)據(jù)，不斷優(yōu)化場景元素的評級準則，最終一定可得到置信度高的功能安全目標等級。

參考文獻：

[1] 陳韜，蔡博，回春，等. 基于場景元素的智能網(wǎng)聯(lián)汽車場景構建研究[J]. 公路與汽運，2019（6）：9-12.

[2] 樓志江. 功能安全的危害分析和風險評估方法[J]. 汽車實用技術，2019（15）：90-91.

[3] 趙征瀾. 純電動汽車轉矩控制安全概念與轉矩監(jiān)控模型[J]. 汽車工程學報，2018，8（3）：229-234.

（編輯? 凌? 波）