在汽車功能安全領(lǐng)域，遵循ISO 26262標(biāo)準(zhǔn)進(jìn)行開發(fā)已成為行業(yè)共識。我們此前探討了功能安全的基石——“相關(guān)項”的定義。一旦明確了安全分析對象，下一步便是系統(tǒng)性地識別與評估其潛在風(fēng)險。這正是危害分析與風(fēng)險評估（HARA）的核心使命，而其關(guān)鍵產(chǎn)出——汽車安全完整性等級（ASIL） ，則成為了衡量風(fēng)險高低、指導(dǎo)安全開發(fā)的“標(biāo)尺”。

HARA與ASIL：風(fēng)險量化管理的核心工具

在ISO 26262的實施流程中，危害分析和風(fēng)險評估（HARA）HARA（Hazard Analysis and Risk Assessment）是一個至關(guān)重要的基礎(chǔ)性步驟。它旨在系統(tǒng)地定義、識別由電子電氣系統(tǒng)功能異?？赡芤l(fā)的危害，并評估這些危害導(dǎo)致的風(fēng)險等級。

評估結(jié)果即ASIL等級(Automotive Safety Integrity Levels，汽車安全完整性等級)，它分為五級：QM（質(zhì)量管理）、A、B、C、D。其中，QM等級對功能安全流程無特殊要求，而D級則代表最高風(fēng)險等級，需要最嚴(yán)格的安全措施。ASIL等級直接決定了系統(tǒng)開發(fā)的安全要求：等級越高，對系統(tǒng)軟硬件的安全要求、開發(fā)流程的嚴(yán)謹(jǐn)性以及所采用技術(shù)的可靠性的要求也越高。

HARA危害分析和風(fēng)險評估流程

HARA應(yīng)基于相關(guān)項定義來進(jìn)行，并且不考慮相關(guān)項中計劃實施或已經(jīng)實施的安全機(jī)制。整個過程可概括為三個步驟:

危害識別→危害分級→ASIL 判定

Hazard Identification危害識別

核心是識別相關(guān)項在特定條件下可能出現(xiàn)的功能異常，及其可能導(dǎo)致的危險事件，包括：定義相關(guān)項可能的功能異常與條件分析

分析功能異常：系統(tǒng)梳理功能所有可能的失效模式，例如功能喪失、錯誤激活、性能偏差等。

界定運行條件：分析上述異常在何種駕駛情境（如高速、泊車）、環(huán)境因素（如雨雪路況）或人員操作下，會真正導(dǎo)致人身傷害。

Hazard Classification 危害分級

判定與相關(guān)項危害關(guān)聯(lián)的嚴(yán)重度（S）、暴露度（E）和可控性（C）

嚴(yán)重度（S）：傷害的嚴(yán)重程度，從S0（無傷害）到S3（致命傷害）。

暴露度（E）：危害場景發(fā)生的概率，從E0（不可能）到E4（高概率）。

可控性（C）：駕駛員或其他交通參與者避免傷害的難易程度，從C0（可控）到C3（難以控制）。

（引自ISO26262-3表1/2/3）

ASIL Determination ASIL判定

基于嚴(yán)重度（Severity）、暴露率（Exposure）和可控性（Controllability）進(jìn)行風(fēng)險等級的判定。

（引自ISO26262-3 表4）

核心交付與風(fēng)險閉環(huán)：從危害識別到安全等級落地

完成系統(tǒng)的危害分析與風(fēng)險評估后，關(guān)鍵的輸出成果是一份明確的《危害分析與風(fēng)險評估報告》及其衍生的ASIL等級定義。

這份輸出不僅是制定具體安全目標(biāo)和安全需求的直接依據(jù)，也為后續(xù)功能安全開發(fā)提供了清晰的風(fēng)險管控基線。

正確執(zhí)行 HARA 并合理確定 ASIL，是確保智能網(wǎng)聯(lián)汽車電子電氣系統(tǒng)安全設(shè)計與合規(guī)開發(fā)的重要基礎(chǔ)，更是實現(xiàn)“安全可控”從理論走向?qū)嵺`的關(guān)鍵一步。

本文轉(zhuǎn)自：Intertek天祥集團(tuán)