
FS-04 功能安全ISO26262之危害分析与风险评估HARA工程实践深度解析FS-04 功能安全ISO26262之危害分析与风险评估HARA工程实践深度解析系列导航表系列文章数状态专栏FS功能安全FS-01~FS-20进行中汽车功能安全: ISO26262深入理解IF芯片IF-01~IF-14已完结英飞凌AURIX实战系列AP系统AP-01~AP-15已完结AUTOSAR AP实战指南一、引言为什么HARA是功能安全的起点1.1 HARA在安全生命周期中的核心地位危害分析与风险评估Hazard Analysis and Risk AssessmentHARA是ISO 26262功能安全生命周期的起点和基石。根据ISO 26262-3:2018 Clause 7的定义HARA是识别和分类相关项危害事件并制定安全目标的系统性方法。来源依据ISO 26262-3:2018 Clause 7.1 The hazard analysis and risk assessment shall be performed to identify and categorize the hazards of the item.HARA的输出直接决定了整个产品开发的安全严格程度。从HARA分析中得出的安全目标Safety Goals是最高层级的安全要求所有后续的系统设计、硬件开发、软件实现都必须追溯到这些安全目标。如上图所示HARA位于概念阶段的起始位置其输出驱动整个V模型开发流程左支开发HARA → 安全目标 → 技术安全需求 → 系统/硬件/软件设计右支验证每个开发阶段都有对应的验证活动确保满足安全目标1.2 HARA与其他安全活动的关系HARA不是孤立的活动它与多个安全活动紧密关联Item定义HARA的输入定义相关项的边界、功能和接口功能安全概念FSCHARA的输出之一描述如何实现安全目标技术安全需求TSR从安全目标导出是HARA到系统设计的桥梁安全确认验证最终产品是否满足HARA阶段制定的安全目标来源依据ISO 26262-3:2018 Clause 7.2 The hazard analysis and risk assessment shall be based on the item definition.1.3 HARA的核心输出HARA分析的完整输出包括输出工作产品描述用途HARA报告完整的分析过程和结果文档安全档案的核心组成部分危害事件清单所有识别的危害事件及其属性后续分析的输入ASIL分配表每个危害事件对应的ASIL等级确定开发严格程度安全目标最高层级安全要求驱动整个产品开发二、HARA完整流程五步法详解2.1 Step 1Item Definition相关项定义来源依据ISO 26262-3:2018 Clause 5Item定义是HARA的输入必须明确定义相关项的边界定义相关项与外部环境的接口边界功能定义相关项应提供的功能接口定义与其他相关项的交互接口法规要求必须满足的法规标准2.1.1 Item定义的关键要素功能描述相关项应实现的核心功能功能的运行条件和约束功能与用户期望的对应关系边界定义整车层面的边界与其他ECU的交互边界与传感器/执行器的接口边界假设条件对驾驶场景的假设对驾驶员行为的假设对环境的假设来源依据ISO 26262-3:2018 Clause 5.2 The item definition shall include a description of the boundaries of the item.2.2 Step 2场景分析来源依据ISO 26262-3:2018 Clause 7.3场景分析是HARA中最耗时的步骤需要系统性地枚举所有可能的运行场景。2.2.1 运行场景ODD枚举运行设计域Operational Design DomainODD定义了系统工作的条件范围场景维度示例分析要点道路类型高速/城市/乡村/停车场不同道路的操控特性环境条件晴/雨/雪/夜间/白天对传感器和执行器的影响交通状况拥堵/畅通/低速跟随事故场景的概率分布驾驶模式起步/加速/匀速/转向/泊车不同操作的失效后果2.2.2 场景分析的完备性保证为保证场景识别的完备性建议采用以下方法顶部向下法从整车功能出发逐步细化到具体场景底部向上法从已知的事故数据库和失效模式出发逆向构建场景边界分析法重点关注极端情况和边界条件来源依据ISO 26262-3:2018 Clause 7.3.2 The operational situations shall be identified.2.3 Step 3危害识别来源依据ISO 26262-3:2018 Clause 7.4危害识别是将每个运行场景与潜在危害关联的过程。2.3.1 危害事件的构成要素一个完整的危害事件描述需要包含要素描述示例功能丧失预期的功能无法实现转向助力完全丧失功能过度功能超过设计范围转向助力过大功能误导提供的功能与预期不符转向方向与指令相反功能延迟功能响应时间超出要求转向助力响应延迟2.3.2 失控模式分析对于每个功能异常需要分析其对应的失控模式Loss of Control Mode失控模式描述EPS示例完全丧失功能完全停止工作电机完全不输出扭矩部分丧失功能部分降低助力扭矩降低50%错误激活不期望的功能被激活无指令时产生助力错误输出输出与预期不符助力方向相反2.4 Step 4风险评估S/E/C三因子来源依据ISO 26262-3:2018 Clause 7.5风险评估是HARA的核心步骤通过三个独立因子量化每个危害事件的风险。2.4.1 Severity严重度S严重度评估危害事件可能导致的伤害程度等级名称描述示例S0无伤害无任何伤害仪表显示错误S1轻伤轻微伤害如擦伤轻微碰撞S2严重伤害需要医疗干预的伤害骨折S3致命伤害危及生命或永久性伤害致命伤害2.4.2 Exposure暴露度E暴露度评估运行场景发生的概率等级名称发生频率EPS示例E0不可信几乎不发生极端环境E1极低概率每年少于1次深夜山路E2低概率每年1-10次城市道路E3中概率每月1次或更频繁高速行驶E4高概率每次行程都可能泊车操作2.4.3 Controllability可控性C可控性评估驾驶员避免伤害的能力等级名称描述要求C0容易可控任何驾驶员都能轻易控制无特殊要求C1一般可控大多数驾驶员能够控制基础安全机制C2难以可控需要特殊技能或注意力增强安全机制C3不可控驾驶员无法有效控制最严格安全机制重要原则S/E/C三因子必须独立评估不能相互影响。来源依据ISO 26262-3:2018 Clause 7.5.1 The assessment shall consider the three parameters of severity, exposure and controllability independently.2.5 Step 5ASIL确定来源依据ISO 26262-3:2018 Clause 7.5 and ISO 26262-9:2018 Clause 4根据S/E/C三因子的评估结果通过查表法确定每个危害事件的ASIL等级。2.5.1 ASIL查表矩阵使用规则首先根据S值确定表格的起始行然后根据E值确定列最终ASIL由S、E、C三者共同决定2.5.2 ASIL等级含义ASIL等级安全要求开发成本倍数典型应用ASIL A最低1x车内娱乐系统ASIL B中等1.5-2x仪表显示ASIL C高2-3x发动机控制ASIL D最高3-5x制动系统、转向系统来源依据ISO 26262-9:2018 Clause 4.2 The ASIL shall be determined by the combination of severity, exposure and controllability.三、工程实践EPS电动助力转向HARA分析3.1 案例背景以电动助力转向系统EPS为例演示完整的HARA分析过程。来源依据ISO 26262-3:2018 Clause 7.4.2 The hazard analysis shall be performed with a systematic approach.3.2 Item定义相关项名称电动助力转向系统EPS功能描述通过电机提供转向助力辅助驾驶员完成转向操作根据车速和转向扭矩动态调整助力大小提供主动回正功能边界定义输入驾驶员转向指令扭矩传感器、车速信号输出电机助力扭矩接口CAN总线与BCM、ECU通信3.3 场景与危害分析3.4 典型危害事件分析危害事件H1转向助力突然丢失属性分析运行场景车辆行驶中E4失控模式助力电机完全不工作严重度S3高速时失去助力可能导致严重事故可控性C3高速时驾驶员难以仅靠机械转向控制车辆ASILASIL D安全目标当车速10km/h时检测到助力丢失后200ms内进入安全状态跛行模式FTTI确定200ms来源依据ISO 26262-3:2018 Clause 9.2 The safety goals shall define the top-level safety requirements.3.5 HARA分析的工作产品完整的EPS HARA分析应输出Item定义文档明确系统的边界、功能和接口场景枚举清单覆盖所有ODD的运行场景危害事件列表包含所有识别的危害事件ASIL分配表每个危害事件对应的ASIL等级安全目标清单最高层级的安全要求FTTI确定记录故障容错时间间隔四、HARA常见陷阱与避坑指南4.1 场景分析不完备问题表现只考虑正常驾驶场景忽略边界条件遗漏极端环境条件暴雨、冰雪未考虑驾驶员误操作解决策略参考事故数据库NHTSA、ETSC采用检查清单确保覆盖引入多方评审来源依据ISO 26262-3:2018 Clause 7.3.1 The operational situations shall consider the reasonably foreseeable misuse.4.2 ASIL主观降级问题表现工程师为了降低开发成本人为降低S/E/C评级缺乏数据支撑的乐观假设忽视边界情况的严重性解决策略建立明确的评级标准要求所有评级都有数据支撑引入独立的安全评审来源依据ISO 26262-3:2018 Clause 7.5.2 The parameters shall be estimated under worst-case conditions.4.3 安全目标过于笼统问题表现安全目标描述模糊无法指导后续开发缺少具体的触发条件和响应时间要求未定义明确的安全状态解决策略采用SMART原则Specific/Measurable/Achievable/Relevant/Time-bound包含具体的性能指标明确定义安全状态的退出条件来源依据ISO 26262-3:2018 Clause 9.2 The safety goals shall be clearly stated and unambiguous.4.4 缺乏追溯性问题表现无法追溯危害事件到安全目标安全目标与后续设计脱节分析过程文档不完整解决策略建立完整的追溯矩阵使用需求管理工具如DOORS、Jira保持文档版本控制五、HARA评审检查清单5.1 Item定义完整性检查[ ] Item边界是否明确定义[ ] 功能描述是否覆盖所有预期功能[ ] 接口定义是否完整[ ] 法规要求是否识别[ ] 假设条件是否记录5.2 场景分析系统性检查[ ] 运行场景是否覆盖完整ODD[ ] 驾驶模式是否全部识别[ ] 环境条件是否考虑极端情况[ ] 场景枚举是否有遗漏[ ] 场景组合是否合理5.3 危害识别完备性检查[ ] 危害事件清单是否完整[ ] 失控模式是否全面[ ] 潜在伤害是否充分评估[ ] 危害分类是否正确[ ] 与其他系统的相互作用是否考虑5.4 ASIL评估合理性检查[ ] S/E/C三因子是否独立评估[ ] 评级依据是否有数据支撑[ ] 是否存在主观降级[ ] ASIL等级是否符合标准矩阵[ ] 决策依据是否充分记录5.5 安全目标正确性检查[ ] 安全目标是否覆盖所有高ASIL危害[ ] 触发条件是否明确[ ] 响应时间要求是否合理[ ] 安全状态定义是否清晰[ ] 是否与FTTI关联六、HARA与其他ISO 26262活动的关系6.1 HARA → 功能安全概念FSC功能安全概念是将安全目标转化为功能性安全需求的过程输入活动输出安全目标功能安全策略设计功能安全需求FSR安全目标安全机制选型安全机制策略安全目标安全状态定义安全状态定义来源依据ISO 26262-3:2018 Clause 9 The functional safety concept shall specify the functional safety requirements.6.2 HARA → 技术安全需求TSR技术安全需求是功能安全需求在技术层面的具体化安全目标SG → 功能安全需求FSR → 技术安全需求TSR ↑ ↓ └──────────── 安全验证 ←─────────────────┘来源依据ISO 26262-4:2018 Clause 6 Technical safety requirements shall be derived from the functional safety requirements.6.3 HARA → 安全确认安全确认验证最终产品是否满足HARA阶段制定的安全目标确认方法目的证据类型整车级测试验证安全目标在整车环境中实现测试报告极端工况测试验证边界条件下的安全行为测试报告残余风险评估验证残余风险可接受评估报告来源依据ISO 26262-4:2018 Clause 10 The safety validation shall demonstrate that the safety goals are met.七、第三版HARA发展趋势ISO 26262第三版预计2027年发布正在讨论HARA的以下改进方向7.1 自动驾驶场景下的HARA挑战驾驶员角色从操作者变为监督者可控性C如何评估ODD边界的明确定义可能的解决方案引入新的C评级系统可控性扩展ODD分析方法纳入SOTIF协同分析7.2 机器学习在HARA中的应用自动化场景生成基于数据的S/E/C评估危害事件的模式识别7.3 敏捷开发环境下的HARAHARA的增量更新机制Sprint中的HARA维护安全基线的版本管理八、总结与展望8.1 核心要点回顾HARA是功能安全的起点所有安全工作的基础五步法流程Item定义 → 场景分析 → 危害识别 → 风险评估 → ASIL确定S/E/C三因子独立评估确保评估的客观性安全目标是HARA的核心输出驱动整个产品开发完备性是关键挑战需要系统化的方法和多轮评审8.2 工程实践建议阶段建议项目启动尽早启动HARA避免后期发现重大安全问题分析过程保持透明记录所有假设和决策依据评审引入多方评审确保分析完备性维护当Item变更时及时更新HARA8.3 下一步从HARA到安全目标HARA完成后下一步是FS-05安全目标与功能安全概念将HARA输出的安全目标转化为可实现的技术方案。参考文献ISO 26262:2018, Road vehicles — Functional safety, Part 1-12GB/T 34590-2017, 道路车辆功能安全国标等同采用IEC 61508:2010, Functional safety of electrical/electronic/programmable electronic safety-related systemsNHTSA, Federal Motor Vehicle Safety Standards附录术语表英文术语中文术语定义HARA危害分析与风险评估Hazard Analysis and Risk AssessmentASIL汽车安全完整性等级Automotive Safety Integrity LevelItem相关项The system that is subject to hazard analysisSafety Goal安全目标Top-level safety requirement derived from HARAFTTI故障容错时间间隔Fault Tolerant Time IntervalODD运行设计域Operational Design DomainSeverity严重度Potential harm severityExposure暴露度Operational situation probabilityControllability可控性Ability to avoid harm本文标签#功能安全 #ISO26262 #汽车电子 #HARA #危害分析 #风险评估 #AUTOSAR #汽车安全 #功能安全工程 #汽车电子安全本文来源原创内容基于ISO 26262:2018标准原文发表日期2026-06-30系列FS-04 功能安全ISO26262系列共20篇