汽车电子功能安全标准 ISO26262-3-2018 Concept phase 概念阶段 中文内容翻译与标准解析 道路车辆-功能安全-第 3 部分:概念阶段 前言 ISO(国际标准化组织)是一个世界性的国家标准机构联合会(ISO成员机构)。编制国际标准的工作通常通过ISO技术委员会进行。每个成员机构都有权代表该委员会的成员。与ISO联络的国际组织,政府和非政府组织也参加了这相关项工作。ISO 与国际电工委员会 (IEC) 就电工标准化的所有事相关项密切合作。用于开发此文档的程序及其进一步维护的程序在 ISO/IEC 指令第 1 部分中已说明。特别应注意不同类型的 ISO 文档所需的不同批准标准。本文件是根据ISO/IEC指令第2部分的编辑规则起草的(见 http://www.iso.org/directives)。 请注意,本文件的某些内容可能是专利权的主体。ISO 不负责确定任何或所有此类专利权。在文件开发过程中确定的任何专利权的详细信息将出现在收到的专利申报的介绍和/或ISO列表中(见 www .http://iso.org/patents)。 本文档中使用的任何商号都是为方便用户而提供的信息,并不构成背书。 有关标准自愿性质的解释、ISO 与合规评估相关的特定条款和表达方式的含义,以及有关 ISO 在技术性贸易壁垒 (TBT) 中遵守世界贸易组织 (WTO) 原则的信息,请参阅以下 URL: www .http://iso.org/iso/forword.html。 这份文件由技术委员会ISO/TC 22、道路车辆、SC 32小组委员会、电气及电子素及一般系统方面编写。 本版 ISO 26262 系列标准取消并替换 ISO 26262:2011 系列标准,该系列标准经过技术修订,包括以下主要更改: 对卡车、公共汽车、拖车和半挂车的需求;词汇的扩展:更详细的目标:面向目标的确认措施:管理安全异常:提到网络安全;硬件架构指标的更新目标值;基于模型的开发和软件安全分析指南;硬件素的评估:关于相关失效分析的额外指导;故障容差、安全相关特征和软件工具指南:半导体指南;摩托车的需求:和对所有部件进行总体重组,以提高清晰度。 有关本文件的任何反馈或问题应直接提交给用户的国家标准机构。这些实体的完整名单可在 http://www.iso.org/members.html找到。 ISO 26262 系列中所有部件的列表可在 ISO 网站上找到。 介绍 ISO 26262 系列标准是 IEC 61508 系列标准的修改,以满足道路车辆内电气和/或电子 (E/E) 系统的具体需求。 这种修改适用于由电气、电子和软件组件组成的安全相关系统安全生命周期内的所有活动。 安全是公路车辆发展的重点之一。汽车功能的开发和集成加强了对功能安全的需求,并需要提供功能安全目标得到满足的证据。 随着技术复杂性、软件含量和机电一体化实施趋势的加剧,系统故障和随机硬件故障的风险越来越大,这些风险都在功能安全讨论范围内。ISO 26262 系列标准包括通过提供适当的需求和流程来降低这些风险的指南。为了实现功能安全,ISO 26262 系列标准: a) 为汽车安全生命周期提供参考,并支持在生命周期阶段(即开发、生产、运营、服务和退役)对活动进行定制: b) 提供基于汽车特定风险的方法,以确定完整性级别[汽车安全完整性水平(ASIL)]; c) 使用 ASIL 指定 ISO 26262 的哪些需求适用于避免不合理的剩余风险: d) 对功能安全管理、设计、实施、验证、确认和确认措施提出了需求:和 e) 为客户和供应商之间的关系提供需求。 ISO 26262 系列标准涉及通过安全措施(包括安全机制)实现的 E/E 系统的功能安全。它还提供了一个框架,其中可以考虑基于其他技术(如机械、液压和气动)的安全相关系统。 功能安全的实现受开发过程(包括需求规范、设计、实施、集成、验证、确认和配置)、生产和服务流程以及管理流程等活动的影响。安全与共同的功能导向和以质量为导向的活动和工作产品交织在一起。ISO 26262 系列标准涉及这些活动和工作产品的安全相关方面。 图1 显示了ISO 26262系列标准的总体结构。ISO 26262 系列标准基于 V 型,作为产品开发不同阶段的参考流程模型。在图中: -阴影”V”代表ISO 26262-3、ISO 26262-4、ISO 26262-5之间的互连, ISO 26262-6 和 ISO 26262-7; -摩托车: - ISO 26262-12:2018,第8条支持ISO 26262-3: - ISO 26262-12:2018,第9条和第10条支持ISO 26262-4: - 具体条款以以下方式表示:”m-n”,其中”m”表示特定部分的编号,”n”表示该部分内的条款数量。 
图1-ISO 26262系列标准概述 道路车辆-功能安全-第 3 部分:概念阶段 范围 本文件拟应用于安全相关系统,包括一个或多个电气和/或电子(E/E)系统,这些系统安装在系列生产道路车辆中,但轻便摩托车除外。本文件没有涉及特殊车辆中独特的 E/E 系统,例如专为残疾司机设计的 E/E 系统。 注意存在其他专门的安全标准的特定应用,可作ISO 26262 系列标准补充,反之亦然。本文件发布日期之前已开发的系统及其组件或系统及其组件不受本版范围限制。本文件通过支持根据更改定制的安全生命周期,解决本文件发布前为生产而发布的现有系统及其组件的更改。 本文件通过定制安全生命周期,解决未根据本文档开发的现有系统和根据本文档开发的系统集成的问题。 本文件涉及安全相关 E/E 系统故障行为可能造成的危害,包括这些系统的交互。它不涉及与电击、火灾、烟雾、热、辐射、毒性、易燃性、反应性、腐蚀、能量释放和类似危害相关的危害,除非直接由安全相关 E/E 系统故障行为引起。 本文件描述了一个功能安全框架,以帮助开发相关的安全 E/E 系统。该框架旨在将职能安全活动整合到公司特定的发展框架中。有些需求有明确的技术重点,将功能安全落实到产品中:另一些则涉及开发过程,因此可被视为流程需求,以证明组织在职能安全方面的能力。 本文件没有涉及 E/E 系统的名义性能。 本文件规定了汽车应用概念阶段的需求,包括:相关项定义:危害分析和风险评估;和功能安全概念。 附件 A 概述了本文件的目标、先决条件和工作产品。 规范参考 案文中提到下列文件,其部分或全部内容构成本文件的需求。对于日期引用,仅适用于引用的版本。对于未注明日期的参考,适用最新版本的参考文件(包括任何修正案)。 ISO 26262-1, 道路车辆-功能安全-第1部分:词汇 ISO 26262-2:2018, 道路车辆-功能安全-第2部分:功能安全管理 ISO 26262-4:2018, 道路车辆-功能安全-第4部分:系统层面的产品开发 ISO 26262-8:2018, 道路车辆-功能安全-第8部分:支持流程 ISO 26262-9:2018, 道路车辆-功能安全-第9部分:汽车安全诚信水平(ASIL)面向安全的分析 条款和定义 就本文件而言,本文档中的术语、定义和缩写术语 ISO 26262-1 适用。 ISO 和 IEC 维护术语数据库,用于以下地址的标准化: — IEC Electropedia: 可用 at http: //www .electropedia .org/ — ISO 在线浏览平台:可用 at https: //www .iso .org/obp 合规需求 目的 本条款描述了如何: a) 达到符合ISO 26262系列标准; b) 解释ISO 26262系列标准中使用的表格:和 c) 根据相关的 ASIL 来解释每个条款的适用性。 一般需求 在声称符合 ISO 26262 系列标准时,除非适用以下条件之一,否则应满足每个需求: a) 已按照ISO 26262-2对安全活动进行定制,表明该需求不适用:或 b) 有一个理由,即不遵守是可以接受的,并且根据ISO 26262-2对理由进行了评估。信息内容,包括说明和示例,仅用于理解或澄清相关需求的指导,不应解释为需求本身或完整或详尽无遗。 安全活动的结果作为工作产品给出。”先决条件”是应作为前一阶段的工作产品提供的信息。鉴于某一条款的某些需求与 ASIL 相关,或者可能进行量身定做,因此可能不需要某些工作产品作为先决条件。 ”进一步支持信息”是可以考虑的信息,但在某些情况下,ISO 26262 系列标准不需要这些信息作为前一阶段的工作产品,并且可以通过与负责职能安全活动的负责人或组织不同的外部来源提供。 表的解释 表根据其上下文具有规范性或信息性。表中列出的不同方法有助于增强实现遵守相应需求的信心水平。表中的每个方法是: a) 连续条目(最左边列中以序列号标记,例如 1、2、3):或 b) 替代条目(以数字标记,最后在最左边的列中标注字母,例如 2a、2b、2c)。 对于连续条目,所有列出的根据 ASIL 高度推荐和推荐的方法均适用。允许替代未列入表中的其他人强烈推荐或推荐的方法,在这种情况下,应给出一个理由,说明这些方法为何符合相应的需求。如果可以给出一个理由来遵守相应的需求而不选择所有条目,则不需要为省略方法提供进一步的理由。 对于替代条目,应按照 ASIL 指示的方法进行适当的组合,而与是否在表中列出这些方法无关。如果列出了不同程度的ASIL推荐方法,则应优先采用具有较高推荐度的方法。应给出一个理由,即所选方法组合,甚至选定的单种方法符合相应的需求。 注:基于表中列出的方法的理由是足够的。但是,这并不意味着对表中未列出的方法存在偏差或偏差。 对于每种方法,使用相应方法的建议程度取决于 ASIL,并分类如下: -“+”表示强烈推荐该方法为已确定的ASIL: -“+”表示建议为已确定的ASIL使用该方法:和 -“o”表示该方法没有建议或反对其用于已确定的ASIL。 依赖 ASIL 的需求和建议 如果未另有说明,则应满足 ASIL A、B、C 和 D 每个子条款的需求或建议。这些需求和建议涉及安全目标的 ASIL。 如果 ASIL 分解是在较早的发展阶段进行的,则根据 ISO 26262-9:2018 第 5 条,应满足分解产生的 ASIL。 如果ISO 26262系列标准括号内有ASIL,则应将相应的子条款视为建议,而不是本ASIL的需求。这与ASIL分解相关的括号符号没有联系。 摩托车的适用性 对于适用 ISO 26262-12 需求的摩托车相关项或素,ISO 26262-12 的需求取代了本文档中的相应需求。 ISO 26262-2 被 ISO 26262-12 取代的需求在第 12 部分中定义。 卡车、公共汽车、拖车和半挂车的适用性 建议为卡车、公共汽车、拖车和半挂车 (T&B) 提供独特的内容。 相关项定义 目标 本条款的目标是: a) 定义和描述相关项、其功能、依赖和与车辆级别的驾驶员、环境和其他相关项的交互:和 b) 支持对该相关项有充分的了解,以便能够执行后续阶段的活动。 概述 本条款列出了确定相关项定义的需求和建议,包括其功能、界面、环境条件、法律需求和危害。 该定义为进行后续子阶段的人员提供有关该相关项的充分信息:”危害分析和风险评估”(见 第 6 条)和”功能安全概念”(见 第 7 条)。 注 表 A.1 概述了概念阶段的目标、先决条件和工作产品。 对本条款的输入 先决条件 没有。 进一步支持信息 以下信息可视为: - 关于该相关项已经存在的任何信息,例如产品构想、相关项草图、相关专利、预审结果、前一相关项文档、其他相关项的相关信息。 需求和建议 应提供相关项需求,包括: 注1 在确定安全目标并定义了各自的 ASIL 后,需求可归类为与安全相关的需求。 注2 如果功能和非功能性需求尚未提供,则其生成可由本条款的需求触发。 a) 法律需求、国家和国际标准: b) 车辆一级的功能行为,包括操作模式或状态: c) 如果适用,所需的功能质量、性能和可用性: d) 有关相关项的限制,如功能依赖、对其他相关项的依赖以及操作环境: e) 行为缺陷的潜在后果,包括已知的失效模式和危害(如果有的话):和 注3 这可以包括已知的安全相关事件,包括类似相关项。 f) 执行器的功能或其假设能力。 注4 这些值(如扭矩输出、施加力、运行速度、亮度、响度)或估计值,对于在进行危害分析和风险评估时确定效果的程度是必要的。在决定严重度和可控性时,会考虑效果的大小。 相关项边界、接口及其与其他相关项和素相互作用的假设应考虑: a) 相关项的内容: 注1 这些素也可以基于其他技术。 b) 关于物品行为对车辆影响的假设; c) 其他相关项和素所需求的所考虑相关项的功能: d) 所考虑相关项所需的其他相关项和素的功能: e) 在所涉系统和要素之间分配和分配职能:和 f) 影响相关项功能的操作场景。 注2 随着车辆功能的日益复杂,相关项之间存在依赖关系。一个相关项可以通过一系列系统实现,这些系统本身可以实现其他车辆级别的功能,即可以被视为本身的相关项。 例如,在制动系统、转向系统和推进系统中实现自适应巡航控制和车道保持辅助功能。在此示例中,制动系统实现了服务制动功能,这可以自行视为相关项。 注3 如果开发范围是一个素而不是相关项,则参照 ISO 26262-2:2018,6.4.5.7。 工作产品 相关项定义,由5.4中的需求产生。 危害分析和风险评估 目标 本条款的目标是: a) 识别和分类相关项故障行为造成的危害事件:和 b) 制定与预防或减轻危害事件有关的相应 ASIL 的安全目标,以避免不合理的风险。 一般需求 危害分析、风险评估和 ASIL 决策用于确定相关项的安全目标。为此,对该相关项的潜在危害事件进行评估。安全目标及其分配的 ASIL 由对危害事件的系统评估确定。ASIL 通过考虑严重度、暴露率和可控性来确定。它基于相关项的功能行为:因此,不需要了解该相关项的详细设计。 对本条款的输入 先决条件 提供下列信息: -相关项定义按照5.5.1。 进一步支持信息 以下信息可视为: —关于其他相关项(来自外部来源)的相关信息。 需求和建议 启动危害分析和风险评估 危害分析和风险评估应基于相关项定义。 在危害分析和风险评估期间,应当对没有内部安全机制的相关项进行评估,即拟实施的安全机制或已在前相关项中实施的安全机制,在危害分析和风险评估中不得考虑。 注1 在评估相关项时,可用和充分独立的外部措施可能是有益的。 示例 电子稳定性控制可以通过增强驾驶员的可控性来减轻底盘系统故障的影响,如果显示驾驶员可用且独立于所评估的相关项。 注2 拟实施或已实施的相关项的安全机制作为功能安全概念的一部分纳入其中。 情况分析和危害识别 应描述物品发生故障行为导致危害事件的操作情况和操作模式;无论是车辆正确使用时还是以合理可预见的方式不正确使用时。 注1 操作情况描述假设相关项以安全方式运行的条件。 注2 仅因相关项行为而造成的危害,在没有任何相关项故障的情况下,不在本文档的范围之内。 危害应根据相关项可能出现的故障行为系统地确定。 注1 FMEA 方法和 HAZOP 适合支持相关项级别的危害识别。这些可以通过头脑风暴、清单、质量历史和实地研究来支持。 注2 制定外部措施以减轻运输货物的额外风险的责任不在ISO 26262的范围之内。因此,与货物运输有关的额外风险不属于危害分析和风险评估的一部分。 相关项故障行为造成的危害应在车辆级别上定义。 注1 一般来说,每个危害都有与相关项实施相关的各种潜在原因,但这些原因不需要在危害分析和风险评估中考虑,以便分析故障行为。 注2 只考虑与相关项故障行为相关的危害:所有其他系统(外部测量)都被认为运行正常,前提是它足够独立。 如果本条款中发现的危害超出ISO 26262的范围(见第1条),则应按照组织特定程序处理这些危害。 注意 由于这些危害不在ISO 26262的范围之外,本文件没有为ASIL遵守这些危害提供指导。此类危害根据适用的安全纪律程序进行分类。 应确定相关危害事件。 危害事件的后果应予以查明。 注意 如果故障行为导致相关项若干功能的丧失,则情况分析和危害识别考虑合并效应。 示例 1 制动系统 (ESC) 功能的丢失可能导致驾驶员辅助功能同时不可用。 示例 2 车辆电源系统的故障可能导致多个功能同时丢失,包括”发动机扭矩”、”动力辅助转向”和”前向照明”。 应确保行动情况清单中选定的详细程度不会导致不恰当地降低ASIL。 注意关于一个危害,操作情况的非常详细的列表(见6.4.2.1) 车辆状态、路况和环境条件,可导致危害事件分类情况的细粒度。这可以更容易地评价可控性和严重度。然而,更多的不同业务情况可导致相应减少各自的暴露类别,从而不适当地降低ASIL。通过聚合类似情况可以避免这种情况。 危害事件分类 6.4.2 中发现的所有危害事件应分类,但超出 ISO 26262 范围的除外。 注意:如果对特定危害进行严重度(S)、暴露率(E)或 可控性 (C) 的分类很难进行,它是保守分类的,即只要有合理的疑问,就会选择较高的 S、E 或 C。 潜在伤害的严重度应根据每个危害事件的明确理由进行估计。严重度应根据表 1 分配到 S0、S1、S2 或 S3 等严重级别之一。 注1 危害事件的风险评估侧重于对每一个潜在风险的人的伤害,包括造成危害事件的车辆的司机或乘客,以及其他可能处于危害之中的人,如骑自行车的人、行人或其他车辆的乘员。伤害量表(InjuryScale,AIS)可用于描述严重度,可在附件 B中找到,以及不同类型严重度和事故的示例信息。 注2 严重度等级可以基于伤害的组合,这可能导致对严重度的分类比仅仅查看单个伤害所导致的严重度更高。 注3 严重度估计考虑在评估的操作情景的合理事件序列。 注4 严重度分类基于有代表性的风险人员样本。 
有导致伤害的操作情况(例如事故)。在这种操作情况下,相关项随后的故障行为可能会增加或未能减少由此产生的伤害。在这种情况下,严重度的分类可能仅限于初始操作情况(如事故)造成的严重度与相关项故障行为之间的差异。 例如,如果发生事故,而不是由相关项的故障行为引起的,则不考虑事故造成的伤害的严重度分类。 示例 2 正在考虑的相关项包括安全气囊功能,以减少碰撞造成的伤害。对于安全气囊未部署的事故,可以确定碰撞造成的伤害。如果一个正确操作的安全气囊能够将同一事故的危害降低到更低的等级,那么只有这时才会考虑严重度分类差异。 如果危害分析和风险评估确定相关项故障行为的后果显然仅限于物品损害,则可分配严重等级 S0。如果分配了危害事件的严重度 S0 类,则不需要 ASIL 分配。 根据每个危害事件的明确理由估计每个操作情况的暴露率。根据表2,暴露率应分配至概率类别之一,E0、E1、E2、E3或E4。 注1 对于 E1 类到 E4 类,从一个 E 类到另一个 E 类的概率差异是一个数量级。 注2 暴露率确定基于目标市场运营情况的代表性样本。 注3 有关暴露率的进一步资料和示例,请参 阅附件 B。 表2-操作情况暴露率类别 
假设每辆车都配备了该相关项, 才有暴露率评估。这意味着”暴露的可能性可以降低,因为相关项不是存在于每辆车(因为只有一些车辆配备了该相关项)”的论点是无效的。 E0 类可用于危害分析和风险评估期间建议的操作情况,但认为此情况发生是难以置信的,因此无需进一步探讨。应记录排除这些情况的理由。如果危害事件暴露分配为 E0 类,则无需 ASIL 分配。 例如E0可用于”不可抗力”风险(见B.3)。 驾驶员或其他参与操作情况的人员对每一危害事件的可控性应根据每个危害事件的明确理由进行估计。可控性应按照表 3 分配至可控性类别 C0、C1、C2 或 C3 之一。 注1 对于 C1 类到 C3 类,从一个 C 类到另一个 C 类的概率差异是一个数量级。 注2 对可控性的评估是估计某人能够充分控制危害事件的可能性,以便他们能够避免特定的伤害。为此,使用参数 C 与 C0、C1、C2 和 C3 类一起对避免伤害的可能性进行分类。假定驾驶员处于适当的驾驶条件(例如,他们不累)、接受适当的驾驶员培训(他们有驾驶执照),并遵守适用的法律法规,包括适当护理需求,以避免给其他交通参与者带来风险。一些例子,作为这些类的解释,列在表B.6。 注3 合理预见误用,例如”不与前方车辆保持必要距离为常见行为”。 注4 如果危害事件与控制车辆方向和速度无关,例如移动部件中潜在的肢体陷附,则可控制性可估计处于危害中的人能够自行离开或被他人从危害情况中移除的可能性。在考虑可控性时,请注意,处于危害中的人可能不熟悉物品的操作,或者可能不知道潜在危害情况如何演变。 注5 当可控性涉及多个交通参与者的行为时,可控制性评估可基于车辆与故障相关项的可控性以及其他参与者的假设操作。 表3-可控性等级 
C0 类可用于表示相关项不可用的危害,如果它们不影响车辆的安全运行(例如某些驾驶员辅助系统),或者如果可以通过驾驶员例行操作就能避免事故。如果分配危害事件为可控性 C0 类,则无需作 ASIL 分配。 示例 1 如果在试图开车离开房屋时在车库中发生推进力损失,则可以选择 C0,因为任何驾驶员都可以将汽车放回停车场。 注意 指定有关适用危害事件的功能性能的专用法规,可在选择合适的可控性类别(如果适用)时用作理由的一部分,并辅之以证据,例如实际使用体验。 示例 2 涉及车辆系统认证考虑专门法规需求,在发生故障时,车辆系统应具有精确的力定义或加速值。 根据严重度, 暴露和可控性分类确定每个危害事件的 ASIL,参看表4。 注1 四个 ASIL 定义为:ASIL A、ASIL B、ASIL C 和 ASIL D,其中 ASIL A 的安全完整性级别最低,ASIL D 级别最高。 注2 除了这四个 ASIL 之外,QM 类(质量管理)表示无需遵守 ISO 26262 的需求。不过,有关危害事件可对安全及安全需求造成影响。QM 分类表明,质量流程足以管理已确定的风险。 
如果合并了几个不太可能的情况,导致暴露率低于 E1,,则基于此情况与S3、C3的组合,ASIL 等级可视为 QM。 示例 1 对于高压系统故障错误地供电。组合操作情况为:部署安全气囊的碰撞:车辆部分躺在水中;和高压系统部分暴露,而不会造成内部短路。 示例 2 对于错误地供应汽油导致燃油泵发生故障。合并的操作情况是:部署安全气囊的碰撞:泵后面的罐系统保持全功能:泵的燃油管断裂,使汽油可以滴在热部位:和泵的能量供应功能正常。 确定安全目标 在危害分析和风险评估中评估 ASIL 的情况下,应确定每个危害事件的安全目标。如果确定了类似的安全目标,可考虑合并这些目标为一个安全目标。 注意安全目标是该相关项的顶级安全需求。它们导致所需的功能安全需求,以避免每个危害事件的不合理风险。安全目标不是以技术解决方案来表达的,而是用功能目标来表达的。 为危害事件确定的 ASIL 应分配至相应的安全目标。如果将类似的安全目标合并为一个,按照 6.4.4.1,最高 ASIL 应分配至合并安全目标。 安全目标及其 ASIL 应按照 ISO 26262-8:2018 第 6 条指定。 注意 安全目标可以指定故障耐受时间间隔,或物理特性(例如,如果与 ASIL 的确定相关,则可指定非预期方向盘扭矩,非预期加速最大值。 应识别用于ASIL判定或与 ASIL 判定相关的危害分析和风险评估(如适用,包括分类 QM 或未分配 ASIL 的危害事件)产生的假设。这些假设应按照 ISO 26262-4:2018(综合相关项的第 8 条)进行验证。 注意 在 HARA 期间考虑的假设(如果有的话)包括驾驶员或风险人员的假设行为和有关外部措施的假设。 风险分析和风险评估中 T&B 差异的管理 6.4.5 中的需求仅适用于 T&B。 T&B 车辆进行危害分析和风险评估时应考虑以下差异: a) 基本车辆类型: b) T&B 车辆配置;和 c) T&B 车辆运行状况。 注意在选择用于分析的变种类型时恰当进行工程评判。 示例1 车轮打滑可能仅与空载卡车相关,而空载卡车不像负载卡车那样常见,从而影响暴露率。 示例2 与没有针对特定危害而连接的挂车相比,附加的拖车可能会降低驾驶员对车辆的控制能力,从而影响可控性。 示例3 不同的T&B机构可能具有不同的安全性能,从而影响严重度。 在进行危害分析和风险评估时,应考虑每种相关类型的基本车辆。 在估计暴露率时,不应考虑特定类型基础车辆的车辆数量。 在估计暴露率时,不得考虑配备特定配置的车辆数量。 在进行危害分析和风险评估时,应考虑对技术参数有影响的操作情况的变化。 注1 车辆的使用是考虑的操作情况的一部分,在估计暴露率时应考虑。 示例 1 在没有附加半挂车的情况下驾驶拖拉机会导致驱动车轴(技术参数)负载低,从而降低车辆动力学稳定性。在估计暴露的可能性时,操作情况例如:”在没有半挂车的公共道路上驾驶拖拉机”。有关表 B.4,此方案可归类为 E2。 注2 在进行危害分析和风险评估时,使用的车体可视为货物并考虑货物的变化。 示例 2 装载条件(满、部分、空)和重心位置的变化。 标准。这些功能的危害分析和风险评估按照具体适用的安全标准进行。 注4 对于旨在支持专用车身应用的车辆的功能,可在危害分析和风险评估期间考虑车身的运行情况。 在对参数严重度、暴露性和可控性进行分类时,应考虑对相关项变体类型进行适当组合。 注意 可根据工程判断确定适当的组合。 验证 危害分析和风险评估,包括安全目标,应按照 ISO 26262-8:2018 第 9 条进行验证,以便提供下一相关项证据: a) 在操作情况和危害识别(以及 T&B 车辆配置方面进行适当选择); b) 符合相关项定义: c) 与其他相关项的相关危害分析和风险评估保持一致: d) 危害事件的覆盖范围的完整性;和 e) 安全目标与分配的 ASIL 和相应的危害事件的一致性。 工作产品 危害分析和风险评估报告,其需求为 6.4.1 至 6.4.5。 因需求 6.4.6而产生的危害分析和风险评估的验证报告。 功能安全概念 目标 本条款的目标是: a) 根据相关项的安全目标指定其功能或降级的功能行为: b) 根据其安全目标,具体说明对相关故障进行适当和及时的检测和控制的限制: c) 指定相关项级别策略或措施,以实现所需的故障容差,或充分减轻相关项本身、驾驶员或外部措施对相关故障的影响: d) 将功能安全需求分配至系统架构设计或外部措施:和 e) 验证功能安全概念并指定安全验证标准。 通用需求 为了遵守安全目标,功能安全概念包含安全措施,包括安全机制,将在相关项的架构素中实施,并在功能安全需求中具体规定。 图2 说明了通过危害分析和风险评估确定安全目标的分层方法。然后,功能安全需求从安全目标中得出,并分配至系统架构设计。使用初步的架构假设为处理早期开发阶段不成熟的架构信息提供了一种手段。 有关 ISO 26262 相应部分内的安全需求的结构和分布,请参阅 ISO 26262-8:2018,图 2。 
注:在图中,ISO 26262 每个部分的具体条款如下 方式:”m-n”,其中”m”表示部分数,”n”表示该条款的编号,例如”3-6″代表 ISO 26262-3:2018,第 6 条。 图2——安全目标和功能安全需求的层次 对本条款的输入 先决条件 提供下列信息: - 相关项定义按照5.5.1: - 危害分析和风险评估报告,按照6.5.1: - 系统架构设计(从外部来源)。 进一步支持信息 以下信息可视为: 没有。 需求和建议 一般需求 功能安全需求应按照ISO 26262-8:2018第6条具体规定。 功能安全需求的派生 考虑到系统架构设计,功能安全需求应从安全目标中得出。 每个安全目标至少应得出一相关项功能安全需求。 注意 相同的功能安全需求可以从几个安全目标中得出(见 图 2)。 功能安全需求应指定(如适用)下达的策略: a) 避免故障: b) 故障检测和控制故障或由此产生的故障行为: c) 从安全状态过渡到安全状态(如果适用); d) 故障容差: e) 在存在故障时功能的降级及其与 f) 或 g 的交互; 示例 将车辆保持在跛行家庭模式,直到点火装置从”打开”切换到”关闭”。 f) 驾驶员警告需要将风险暴露时间缩短到可接受的持续时间; g) 驾驶员警告需要提高驾驶员的可控性(例如发动机故障指示灯、ABS 故障警告灯): h) 如何满足车辆级别的计时需求,即如何通过定义故障处理时间间隔来满足故障时间容差:和 i) 由于对不同职能同时产生的多个控制请求的不当仲裁而避免或减轻危害事件。 注释列表相关项 c)、e)、f) 和 g) 可以成为警告和降级策略的一部分。 每个功能安全需求应视情况考虑以下情况而定: a) 操作模式; b) 故障时间容差: c) 安全状态; d) 紧急操作时间间隔:和 e) 功能冗余(例如故障容差)。 注意 此活动可以通过安全分析(如 FMEA、FTA、HAZOP)进行支持,以便制定一整套有效的功能安全需求。 如果可以通过过渡到或维持一个或多个安全状态来防止安全目标违规,则应指定相应的安全状态。 例如,在规定时间内发生故障时,安全状态可以”关闭”、”锁定”、”车辆静止和维护”或”功能降低”。 如果在可接受的时间间隔内无法通过过渡到达安全状态,则紧急情况 应指定操作。 如果假设驾驶员或其他人为防止违反安全目标而采取的必要行动,则适用下列措施: 注1 这些行动包括那些在可控性估计期间采取可信的行动,以及在实施安全需求后为遵守安全目标而采取的任何进一步必要行动。 自适应巡航控制:当驾驶员踩下油门踏板时,ACC 产生的制动激活被覆盖。 a) 这些行动应在功能安全概念中具体说明:和 b) 驾驶员或其他人可获得的适当手段和控制应在功能安全概念中指定。 注2 驾驶员任务分析有助于考虑防止驾驶员超载、防止驾驶员意外或惊慌(失去控制车辆的能力)和模式混乱(对操作模式的错误假设)。 注3 警告和降级策略的规范以及驾驶员和其他可能处于危害之中的人的必要行动是用户手册的潜在输入(参见 ISO 26262-7:2018,第 5 条)。 功能安全需求应分配至系统架构设计的素: a) 在需求分配过程中,应从相关安全目标继承 ASIL 和7.4.2.4中提供的信息。如果应用 ASIL 分解,则适用 ISO 26262-9:2018 的需求,第 5 条也适用。 b) 如果根据 ISO 26262-9:2018 不受干扰,则系统架构设计中无法论证实施安全需求的要素之间的第 6 条,则架构要素应按照最高 ASIL 制定,以满足这些安全需求。 c) 如果相关项包含多个 E/E 系统,则应考虑到系统架构,指定单个 E/E 系统及其接口的功能安全需求设计。这些功能安全需求应分配至 E/E 系统。 d) 如果相关项包含多个 E/E 系统,则可根据 ISO 26262-4:2018、第 8 条和第 9 条)的随机硬件故障指标的相应目标值(参见 ISO 26262-4:2018、6.4.5.2)指定并分配至每个单独的 E/E 系统。 注1 E/E系统目标值的规范是根据系统架构设计完成的,并在开发阶段进一步细化。 e) 如果在分配功能安全需求时应用 ASIL 分解,则应按照 ISO 26262-9:2018 第 5 条适用。 注2 独立性可以通过对依赖故障的分析来验证(参见 ISO 26262-9:2018,第 7 条)。 如果功能安全概念依赖于其他技术的素,则适用下列技术: a) 其他技术要素实施的功能安全需求应提取并分配至架构的相应素: b) 应指定与其他技术要素接口有关的功能安全需求: c) 其他技术要素执行功能安全需求应通过ISO 26262范围之外的具体措施确保执行:和 d) 不应将 ASIL 分配至分配至这些素的安全需求。 注1 可将适当的安全属性分配至分配至其他技术要素的安全需求:ISO 26262-9:2018 第 5 条中描述的 ASIL 分解概念可以推断为将功能安全需求分配至这些素。在这种情况下,除ISO 26262外,还定义了适当的实施和验证规则。 注2 在安全验证活动期间提供其他技术要素充分性的证据(见ISO 26262-4:2018,第8条)。 如果功能安全概念依赖于外部措施,则适用下列措施: a) 外部措施实施的功能安全需求应得到派生和传达: b) 应指定与外部措施接口的功能安全需求:和 c) 如果外部措施由一个或多个 E/E 系统实施,则应使用 ISO 26262 解决功能安全需求。 注意在安全验证活动期间提供外部措施充分性的证据(参见ISO 26262-4:2018,第8条)。 安全验证标准 相关项安全验证验收标准应当根据功能安全需求和安全目标进行具体规定。 注1 有关详细说明标准和要验证的特征列表的进一步需求(见ISO 26262-4:2018,第8条)。 注2 安全目标的安全验证在 V 周期的右上角处理,但包含在开发过程中的活动中,不仅在开发结束时进行。 验证功能安全概念 功能安全概念应按照 ISO 26262-8:2018 第 9 条进行验证,以提供证据: a) 其一致性和遵守安全目标;和 b) 减轻或避免危害的能力。 注1 在概念阶段,可以验证减轻或避免危害的能力,以评估安全概念并指明需要改进概念的地方。此验证可以基于用于安全验证的相同方法。但是,进行的安全验证(为完成 ISO 26262-4:2018,第 8 条)不能仅基于概念研究(例如原型)。 减轻或避免危害的能力可以通过测试、试验或专家判断进行评估:如原型、研究、主题测试或模拟。 注2 对减轻或避免危害能力的验证可解决故障的特征(例如瞬态或永久性)。 注3 对于验证,可以使用基于可追溯性的参数,即如果相关项符合功能安全需求,则相关项符合安全目标。 工作产品 功能安全概念,从 7.4.1 到 7.4.3的需求产生。 7.4.4中需求产生的功能安全概念的验证报告。 附件 A (信息) 概念阶段的概念和流程 表 A.1 概述了概念阶段的目标、先决条件和工作产品。 表A.1-概念阶段概述条款目标先决条件工作产品5相关项定义本条款的目标是:a) 定义和描述车辆级别的相关项、其功能、依赖和与驾驶员、环境和其他相关项的互动:b) 支持对相关项有充分的了解,以便能够执行后续阶段的活动.5.5.1相关项定义,由 5.4中的需求产生。6危害分析和风险评估本条款的目标是:a) 识别和分类相关项故障行为造成的危害事件:b) 制定与预防或减轻危害事件有关的相应 ASILs 的安全目标,以避免不合理的风险。相关项定义(看5.5.1)6.5.1危害分析和风险评估报告,其结果是需求 6.4.1 至 6.4.5。6.5.2因需求6.4.6而产生的危害分析和风险评估的验证报告。7功能安全概念本条款的目标是:a) 根据相关项的安全目标指定相关项的功能或降级的功能行为:b) 根据其安全目标,具体说明对相关故障进行适当和及时的检测和控制的限制:c) 指定相关项级别策略或措施,以实现所需的故障容差,或充分减轻相关项本身、驾驶员或外部措施对相关故障的影响:d) 将功能安全需求分配至系统架构设计或外部措施:(e) 验证功能安全概念并指定安全验证标准。相关项定义(见5.5.1)危害分析和风险评估报告(见6.5.1)系统架构设计(从外部来源)7.5.1功能安全概念,从需求7.4.1 到 7.4.3产生。7.5.2 7.4.4中需求产生的功能安全概念的验证报告。 附件 B (信息) 危害分析和风险评估 B.1 一般条款 本附件对危害分析和风险评估作了一般性解释。 B.2(严重度 )、B.3( 暴露率)和 B.4( 可控性)中的例子仅用于信息,并非详尽无遗。 对于此分析方法,风险(R)可描述为函数(F),具有三个参数: 危害事件的发生频率、可控性 (C) 即通过相关人员的及时反应避免特定伤害或损害的能力,以及由此产生的伤害或损害的潜在严重度(S): R = F(f , C, S) (B.1) f的发生频率反过来又受两个因素的影响。需要考虑的一个因素是,个人发现自己处于上述危害事件可能发生的境地的频率和持续时间。在 ISO 26262 中,这简化为衡量可能发生危害事件的操作情况(曝光,E )的概率。另一个因素是相关项故障的发生率。在危害分析和风险评估中不考虑这一点。相反,在危害分析和风险评估期间,E、S、C 分类产生的 ASIL 会确定相关项的最低需求集,以便控制或降低随机硬件故障的概率,并避免系统故障。相关项的失败率不被视为优先(在风险评估中),因为通过实施由此产生的安全需求避免了不合理的剩余风险。 危害分析和风险评估分阶段包括三个步骤,如下所述。 a) 情况分析和危害识别(见 6.4.2):情况分析和危害识别的目标是确定可能导致危害事件的相关项的潜在意外行为。情况分析和危害识别活动需要对相关项、其功能和边界有明确的定义。它基于相关项的行为:因此,相关项的具体设计不一定需要知道。 用于情况分析和危害识别需要考虑的示例因素可包括: - 车辆使用情况,例如高速驾驶、城市驾驶、停车、越野: - 环境条件,例如路面摩擦,侧风: -合理预见司机的使用和滥用: —操作系统之间的交互:和 -T&B基础车辆、车辆配置和车辆操作。 b) 危害事件分类(见 6.4.3):危害分类方案包括确定危害事件的严重度、暴露率和与危害事件相关的可控性。严重度表示对特定驾驶情况中潜在伤害的估计,而暴露的可能性则由相应的情况决定。可控性表示使驾驶员或其他道路交通参与者在所考虑的操作情况中避免考虑的事故类型的难易。根据相关危害事件的数量,对每个危害事件的分类将导致一个或多个严重度、暴露率和可控性组合。 c) ASIL 确定(参见 6.4.3): 确定所需的汽车安全完整性级别。 B.2 严重度示例 B.2.1 一般条款 对驾驶员、乘客和车辆周围的人或周围车辆进行危害造成的潜在伤害评估,以确定特定危害的严重度等级。从此评估中,然后确定相应的严重度等级,例如,如表 B.1中所示。 表 B.1 介绍了特定危害可能发生的后果示例,以及每个后果的相应严重度类别。 鉴于事故的复杂性和事故情况的许多可能变化,表 B.1中提供的例子仅代表对事故影响的大致估计。它们代表基于先前事故分析的预期值。因此,不能从这些单独的描述中得出一般有效的结论。 事故统计数据可用于确定不同类型事故中可能发生的伤害的分布。 在 表 B.1中,Abbreviated Injury Scale (AIS) 表示受伤类别的分类,但仅代表单个伤害。可以使用其他分类(如最大 AIS )和伤害严重度评分 (ISS),而不是 AIS。 特定伤害量表的使用取决于分析时医学研究的状态。因此,不同伤害等级(如 AIS、ISS 和 NISS)的适当性可能会随时间而变化(参见引用 [3]、[5]、]6])。 B.2.2 AIS 阶段的描述 为了描述严重度,使用 AIS 分类。AIS 代表伤害严重度的分类,由汽车医学促进协会 (AAAM) 发布。制定这些准则是为了使国际上能够比较严重度。比例分为七类: —AIS 0:无损伤: -AIS 1:轻伤,如皮肤深的伤口,肌肉疼痛,鞭打等: -AIS 2:中度损伤,如深肉伤、无意识15分钟脑震荡、简单长骨折、简单肋骨骨折等: -AIS 3:严重但无生命危害的损伤,如头骨骨折,无脑损伤,脊柱以下第四颈椎位脱位,脊髓无损伤,多根肋骨骨折,无反常呼吸等: -AIS 4:严重受伤(危及生命,可能存活),如脑震荡有或没有头骨骨折,无意识长达12小时,反常呼吸: - AIS 5:严重损伤(危及生命,生存不确定),如脊柱以下第四颈椎骨折,脊髓受损,肠道撕裂,心脏撕裂,超过12小时的昏迷,包括颅内出血: -AIS 6:极其严重或致命的伤害,如第三颈椎上方颈椎骨折,脊髓受损,体腔(胸腔和腹腔)的极其严重的开放性伤口等。 表B.1-严重度分类示例 严重度等级(见表1) S0S1S2S3描述无伤害轻伤和中度伤害严重和危及生命的伤害(可能存活)危及生命的伤害(生存不确定),致命伤害单次伤害参考(AIS 比例)AIS 0 和低于 10% 的 AIS 1-6 概率:或不与安全相关的损坏AIS 1-6的概率超过10%(而不是S2或S3)AIS 3-6(而不是S3)概率超过10%AIS 5-6 的概率超过 10%例子-路旁基础设施颠簸-推倒路边的柱子、栅栏等。-轻度擦伤-进出停车位损坏-驶离道路时没有碰撞或翻车-与狭窄静止物体发生侧面碰撞,例如,乘用车以极低的速度撞到树上(对乘客单的碰撞)-与另一辆低速客车发生后/前碰撞-无乘客席变形的正面碰撞(如追尾另一辆车、半挂车等)-与狭窄静止物体发生侧面碰撞,例如,乘用车以低速撞到树上(对乘客单的碰撞)-低速与另一辆客车发生后/前碰撞-低速行人/自行车事故-与狭窄静止物体发生侧面碰撞,例如客车以中速撞到树上(对乘客单的碰撞)-与另一辆中速车辆发生后/前碰撞-乘客席变形的正面碰撞(例如,另一辆车、半挂车等的尾部)注意 表 B.1 中的信息示例可应用于乘用车和 T&B,但要逐案考虑 B.3 暴露率示例和解释 估计暴露的可能性需要评估造成危害发生的原因。要评估的方案包括广泛的驾驶或操作情况。 鉴于名称 E0(最低暴露级别)、E1、E2、E3 和 E4(最高暴露级别),这些评估将危害情景指定为五种暴露率分类之一。 其中,尽管经由危害分析和风险评估判定得出,E0被分配到的情况认为是不寻常的或令人难以置信的。随后对与这些 E0 方案完全相关的危害进行评估,可能会被排除在进一步分析之外。 示例 1 E0 的典型示例包括: a) 非常不寻常的或偶然的情况发生,例如涉及事故的车辆,包括飞机在高速公路上降落:和 b) 自然灾害,如地震、飓风、森林火灾。 其余的 E1、E2、E3 和 E4 级别根据情况的持续时间(时间重叠)或情况的发生频率分配至可能变得危害的情况。 注1 分类可以取决于地理位置或使用类型(见6.4.3.5)。 危害暴露 (E) 可以通过两种方式进行估计。第一种情况基于情况的持续时间,第二种情况基于遇到情况的频率。例如,危害可能与特定操作情况的持续时间有关,例如谈判交通交叉口的平均时间,而另一个危害可能与同一操作情况的频率有关,例如车辆与交通交叉口通信的重复率。 在第一种情况下,如果根据情况的持续时间对风险进行排名,则暴露率通常按所考虑情况中花费的时间比例与点火等总操作时间相比进行估计。请注意,在某些情况下,总运行时间可能是车辆的使用寿命(包括点火)。在第二种情况下,更恰当的情况是,使用相关驾驶情况的发生频率确定暴露估计数。在适当的情况下,一个适当的示例是预先存在的 E/E 系统故障在情况发生后的短时间内导致危害事件。 按持续时间分类的驾驶情况和典型暴露排名示例在表 B.2和 B.4中给出,按频率分类的驾驶情况示例在表 B.3 和表 B.5中给出。 除了这些驾驶情况外,还考虑了该操作情况的具体背景。 这是必要的,以便确定实际暴露的确切时间和确切的位置,导致危害事件。 示例 2 儿童锁故障本身并不一定导致危害事件,除非孩子足够大,可以解开安全带,让汽车进入交通运行状态,而那一刻另一辆车正在接近。 驾驶情况可能同时具有持续时间和频率,例如在停车场驾驶。在这种情况下,表 B.2/B.4 和表 B.3/B.5中的示例可能不会导致相同的暴露类别,因此选择最合适的曝光排名来分析所考虑的操作情况。 如果故障仍然潜伏的时间段与危害事件发生前的时间段相媲美,则风险估计考虑该时间段。通常,这将涉及预计会按需起作用的设备,例如安全气囊。 在这种情况下,暴露率估计为σ × T,其中σ是操作情况的发生率,T 是未感知故障的持续时间(可能长达车辆的使用寿命)。当由此产生的乘积值很小时,此σ × T 估值是有效的。 注2 关于所考虑的失效持续时间,危害分析和风险评估不考虑相关项的安全机制部分(见6.4.1.2)。 表B.2-操作情况与持续时间相关的暴露率类别 操作情况下的暴露率等级(见表2)E1E2E3E4描述非常低的概率低概率中等概率大概率持续时间(平均运行时间的%)未指定<平均运行时间的1 %平均运行时间的1 %至10 %>平均运行时间的10 %道路布局示例——乡村公路交叉口高速公路出口匝道路面示例——道路上的雪和冰—道路上的湿滑的叶子—湿路—车辆静止状态示例—跳跃启动期间的车辆—在维修车库中-附有拖车-附有行李架-车辆正在加油—车辆在山上(坡地)—操纵示例-发动机熄火下坡行驶(山口)-倒车-超车-停车(带拖车)-交通拥挤(走走停停)-加速-减速-红绿灯停车(城市街道)-变道(高速公路) 表b . 3 不同操作情况下与频率相关的暴露率类别 操作情况下的暴露率等级(见表2)E1E2E3E4描述非常低的概率低概率中等概率大概率情况发生的频率对于大多数驾驶员来说,每年发生的次数不到一次对大多数司机来说,一年发生几次一般司机每月一次或更频繁平均发生在几乎每个驾驶期间道路布局示例—陡坡不稳固的山口—路面示例—路上的冰雪潮湿的道路车辆静止状态示例停止,需求发动机重启(在铁路道口)被牵引车辆已连接车顶行李架正在加油的车辆山上的车辆(山地驻车)操纵示例—回避策略,偏离期望路径超车-换档-执行转向(转向)-使用指示灯-倒车 表B.4和B.5提供了T&B的示例。表中考虑了不同类型的基本车辆: -长途(LH),用于长途运输货物; -分销(DI),用于分销货物; -职业(VO),用于执行特定工作功能,例如自卸车、混凝土搅拌机、垃圾车; -城市和郊区用城市公共汽车(CB); -城际巴士(IB),用于城际交通;和 -长途汽车(CO),用于长途旅行。 表 B.4 – T&B 不同操作情况下与持续时间相关的暴露率类别 操作情况下的暴露率等级(见表2)E1E2E3E4描述非常低的概率低概率中等概率大概率持续时间(%平均运行时间)未指定<平均运行时间的1 %平均运行时间的1 %至10 %>平均运行时间的10 %例子对于倒车LH, CB, CO,IBDI, VO一以较小的速度差超越另一辆卡车或公共汽车(换到对面车道)LH, DI, VO,CO, IB一一一带拖车驾驶一DI, CO,IBLH, VO不带拖车的半挂车牵引车(在公共道路上)一LH, DI, VO一一在施工现场驾驶(车辆直接在施工现场驾驶,不仅仅是为了将货物运送到施工现场)LHDI一VO陡坡LH, CBDI, CO,IBVO一站在公共汽车站一一COCB, IB从公共汽车站进入离开一COCB, IB一注:表B.2中信息丰富的例子可适用于T&B,但需根据具体情况进行考虑。对于表B.2和表B.4中出现的情况,表B.4被认为更适合于T&B。 表B.5-操作中频率的暴露率类别操作情况下的暴露率等级(见表2)E1E2E3E4说明极低概率低概率中等概率高概率情况发生频率对绝大多数驾驶员来说,每年发生一次以下的情况对大多数驾驶员来说,每年都会发生几次对于普通驾驶员,每月发生一次或更频繁平均在几乎每个驾驶周期中发生示例倒车一一CBLH, DI, VO,CO,IB以较小的速度差超越另一辆卡车或公共汽车(换到对面车道)一一LH, DI, VO,CO, IB一带拖车驾驶一DI, CO,IBLH, VO不带拖车的半挂车牵引车(在公共道路上)一DI, VOLH一1在施工现场驾驶(车辆直接在施工现场驾驶,不仅仅是为了将货物运送到施工现场)LHDI一VO陡坡LH, CBDI, CO,IBVO站在公共汽车站一一一CB, CO,IB注意 表 B.3 中的信息示例可应用于 T&B,但可逐案考虑。对于表 B.3 和表 B.5 中发生的情况,表 B.5 被认为更适合 T&B。 B.4可控性示例 为确定给定危害的可控性等级,估计有代表性的驾驶员或其他相关人员影响情况以避免伤害的可能性。 这种概率估计涉及考虑以下可能性:如果发生危害,代表性驾驶员将能够保持或重新控制车辆,或者附近的个人将通过他们的行动帮助避免危害。这种考虑是基于对危害情景中所涉及的个人为保持或恢复对情况的控制所需的控制措施,以及所涉及驾驶员的代表性驾驶行为的假设。 注1:可控性估计可能受到许多因素的影响,包括目标市场的驾驶员概况、个人年龄、眼-手协调、驾驶经验、文化背景等)。 注2:可使用实验或分析方法进行估算。 为了帮助进行这些评估,表B.6提供了出现故障的驾驶情况示例,以及为避免伤害进行的有关相应控制行为的假设。 这些情况被映射到可控性排列,明确判断可控性的90%和99%有断点级别。 表B.6-驾驶员或潜在风险人员可控制的危害事件示例可控性等级(参见表 3)C0C1C2C3描述一般可控简单可控正常可控难以控制或无法控制的驾驶因素和情景一般可控制超过99%的普通司机或其他交通参与者能够避免伤害90%到99%的普通司机或其他交通参与者能够避免伤害不到90%的普通司机或其他交通参与者能够避免伤害例如被视为分散注意力的情况,例如意外的无线电音量增加或警告信息-燃油不足保持预定的行驶路线不影响车辆安全运行的驾驶员辅助系统不可用示例保持预定的行驶路线意外关闭的示例从车窗上拆下扶手从静止加速时转向柱堵塞的示例制动减速/停车紧急制动时ABS故障示例保持预定的行驶路线高横向加速度下推进故障示例保持预定的行驶路线驾驶中乘客站在公交门口时无意打开车门的示例乘客抓住扶手以免从车上摔下来制动器故障示例行驶路径中的物体高速行驶时驾驶员安全气囊释放故障示例保持在车道上,或制动以减速/停车制动过程中拖车摆动过大的示例驾驶员反转向和刹车,试图保持预定的行驶路线驾驶员不在环中的高度自动化功能示例不试图保持预定的行驶路线注1: 对于C 2,与响应3一致的可行测试场景(见参考文献[4])被认为是足够的:“实际测试经验表明,每个场景20个有效数据集可以提供有效的基本指标”。如果20个数据集中的每一个都符合测试的通过标准,则可以证明85%的可控性水平(95%的置信水平是人为因素测试普遍接受的)。这是C2估算的适当证据。注2:对于C1,提供99%的驾驶员在特定交通情况下“通过”测试的就说通过测试的理由可能不可行,因为作为此类理由的适当证据需要大量的测试对象。相应决策可以基于专家的判断。注3:由于C3类不具有可控性,因此没有适当的证据证明此类分类的基本原理是不相关的。注4:表B.6中的信息示例可适用于乘用车和T&B车辆,但应根据具体情况进行考虑。 参考文献: [1] ISO 26262-12:2018, Road Vehicles — Functional Safety — Part 12: Adaptation of ISO 26262 for motorcycles [2] IEC 61508 (all parts), Functional safety of electrical/electronic/programmable electronic safetyrelated systems [3] Abbreviated injury scale; Association of the advancement of Automotive medicine; Barrington, IL, USA Information is also available at www .aaam .org [4] Code of Practice for the design and evaluation of ADAS, EU Project RESPONSE 3: Oct. 2006; https: //www .acea .be/publications/article/code -of -practice -for -the -design -and -evaluation -of -adas [5] Baker S.P. O’Neill, B., Haddon, W., Long, W.B., The injury severity score: a method for describing patients with multiple injuries and evaluating emergency care. The Journal of Trauma, Vol. 14, No. 3, 1974 [6] Balogh Z., Offner P.J., Moore E.E., Biffl W.L. NISS predicts post injury multiple oran failure better than ISS, The Journal of Trauma, Vol. 48, No. 4, 2000
2024最新激活全家桶教程,稳定运行到2099年,请移步至置顶文章:https://sigusoft.com/99576.html
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。 文章由激活谷谷主-小谷整理,转载请注明出处:https://sigusoft.com/76152.html
