C 评级 rationale + ASIL→SG 链 + I3 评审

功能安全L6别名 HARA 报告写作 · HARA 写作工程化 · HARA work product 模板 · hazard analysis report writing · HARA 文档怎么写

本质与导读

本质 HARA 坐在 ISO 26262 概念阶段最上游:输入只来自 Item Definition,输出是 Safety Goal。报告写作的全部规矩,本质就是守两条可追溯边界——每条 hazard 必须追回 Item Definition 的某个功能/工况,每条 ASIL≥A 的 hazard 必须产出至少一条 SG。

主线坐标:横轨 · 功能安全(跨站) · ↑ 全景主线

1. HARA 报告在 V-cycle 的位置 + 写作 SOP

HARA 是 ISO 26262-3 §6 的工作产物,坐在 V-cycle 概念阶段最上游——它的输入唯一来自 Item Definition(系统边界、功能、工况),输出是 Safety Goal 列表,直接喂给 FSC/FSR。这个位置决定了 HARA 报告的两条硬边界:向上,每条 hazard 必须能追到 Item Definition 里的某个功能/工况;向下,每条 ASIL≥A 的 hazard 必须产出至少一条 SG。报告写作的所有规矩,本质都是在守这两条可追溯边界。

下图把 HARA 报告的文档骨架和它在 V-cycle 的上下游接口画在一起——这是写之前先要在脑子里立住的"报告地图"。

HARA 报告文档骨架 + 上下游接口 — 输入 Item Definition(功能/工况/边界),报告主体 7 章(范围/方法/工况库/危害识别/S·E·C 评级/ASIL 推导/SG 列表),输出 Safety Goal 接 FSC/FSR;每章标注产出物与 I3 查点

写作 SOP 分 5 步,每步产出报告的一个区块,严格按序——后一步的合法性依赖前一步写实:

定范围:从 Item Definition 抄定系统边界与功能清单,声明 HARA 只覆盖这些功能的失效(超出边界的写明 out-of-scope),这是后面"危害识别完整性"的辩护基线。
建工况库:穷举运行工况(车速/道路/载荷/环境),每个工况后面要被 Exposure 评级引用,所以工况库的颗粒度直接决定 E 评级能不能辩护。
危害识别:对每个功能 × 每个工况,问"这个功能失效(漏输出/错输出/非预期输出)会引发什么整车层危害"。
S/E/C 评级 + rationale:对每条 hazardous event 评 S/E/C,每个评级必须附一句 rationale(见 §4)。
ASIL 推导 + SG 制定:S×E×C 查表得 ASIL,每条 ASIL≥A 产出 SG。

2. HARA 报告文档骨架 — 7 章模板

HARA 报告不是一张 S/E/C 表格了事,它是一份有固定骨架的文档,评审方按章核查。下面 7 章是车规项目通行的结构,每章解决一个"可辩护性"问题。

章	内容	它在防什么
§1 范围与边界	引 Item Definition,声明覆盖功能 / out-of-scope	防"危害漏识别"无从辩护
§2 方法与假设	评级用的标准(Annex B 表)、工具、driver 群体假设	防 C 评级基准争议
§3 工况库	穷举运行工况 + 频次依据(LV/统计)	防 E 评级拍脑袋
§4 危害识别表	功能 × 工况 → hazardous event	防识别不系统
§5 S/E/C 评级表	每条事件 S/E/C + rationale	I3 主查区
§6 ASIL 推导	查表结果 + QM 判定	防降级无依据
§7 Safety Goal 列表	每 SG + 安全状态 + FTTI + 向下 link	接 FSC/FSR 的接口

§2 的"假设"是新手最常漏、却被 I3 高频追的一章:Controllability 评级隐含一个"什么样的驾驶员"基准,不写明假设(如"普通持照驾驶员、非赛车手、反应时间 $\leq 1 s$ "),C 评级就失去可复现性。

3. Hazard 条目的 7 字段模板 + worked

报告 §4/§5 的最小单元是一条 hazard 条目。一条写不全的条目会让整条 ASIL 推导链断在审计处。7 字段缺一不可:

下图是一条 hazard 条目从工况到 SG 的字段流转——每个字段是后一个字段的合法性前提,断一格则该条 ASIL 不可辩护。

Hazard 条目 7 字段流转 — 运行工况 → 功能失效模式(漏/错/非预期)→ hazardous event → S/E/C 三评级(各带 rationale)→ ASIL 查表 → Safety Goal;标注每字段的写作要点与 I3 追问

7 字段 + 主驱"非预期扭矩"worked(摘自 HARA worked,这里聚焦怎么写):

① 运行工况:高速公路巡航 120 km/h(引 §3 工况库条目号,不另起)
② 功能失效模式:扭矩控制功能 — 非预期输出(车辆请求 0 但实际输出正扭矩)(用漏/错/非预期三分,别写"故障")
③ hazardous event:车辆非预期加速,可能追尾前车(整车层后果,非器件层)
④ Severity + rationale:S3 — 高速追尾,AIS 3-4 致命伤可能,引 ISO 26262-3 Annex B Table B.1
⑤ Exposure + rationale:E4 — 高速巡航是常态工况,LV 数据占行驶时间 >10%,引 §3 工况库
⑥ Controllability + rationale:C3 — 突发正扭矩,普通驾驶员难在 FTTI 内反应避险,无旁路
⑦ ASIL + SG:S3×E4×C3 → ASIL D;SG: 防止非预期驱动扭矩 > ±10% 额定,FTTI 100 ms,安全状态 = 扭矩关断(STO)

注意 ④⑤⑥ 的 rationale 都做了两件事:给数值 + 引依据(Annex B 表 / 工况库 / driver 假设)。这正是 I3 区分"可辩护评级"和"拍脑袋"的唯一抓手。

4. S/E/C 评级 rationale 怎么写才站得住

这是 HARA 写作的真正难点,也是 I3 评审花时间最多的地方。从第一性原理看,S/E/C 是把一团连续主观的风险压成离散等级(详见每日深讲 FS-A2),压缩必然丢信息——rationale 就是把丢掉的判断依据补回报告、让它可复现。

可辩护的 rationale 有一个固定句式:「等级 + 量化锚点 + 引用来源」。三者缺一就被追:

只写等级(S3)→ I3 追"凭什么"
写等级+量化(S3,因为高速碰撞)→ I3 追"高速是多少、伤害等级依据"
写全(S3 — 相对速度 >60 km/h 追尾,AIS 3-4 危及生命,依 Annex B Table B.1 S3 定义)→ 站得住

三个维度各有易错点。S 要锚到 AIS 医学伤害等级,别用"很严重"这类形容词。E 最常见的致命错误是把"故障频率"当成"工况暴露频率"——E 评的是"车多常处于这个危险工况"(如高速巡航占行驶时间比例),不是"故障多常发生";依据来源是车队/实测行驶 profile、GIDAS 等行驶统计或 SAE J2980 指引(不是 LV124 —— 那是低压电气零部件试验标准,不含工况暴露频率)。C 要写明 driver 基准(§2 假设)且用"普通驾驶员"——假设成赛车手会系统性低估 C、压低 ASIL,是 I3 重点狙击的降级手法。

光说句式不够。下面三维各举一条**「被 I3 打回 → 它会追什么 → 改成站得住」**,关键洞察是:差别往往不在评级数字对错,而在写法扛不扛得住追问——同一个 S3,写法不对照样判 NC。

Severity — 打回写法 S3,高速很危险(形容词、无锚点)。I3 追:"多高速?什么伤害?依哪条?" 站得住写法 S3 — 相对速度 >60 km/h 追尾、乘员舱侵入风险,AIS 3-4 危及生命,依 Annex B Table B.1 S3 定义。差别:后者把"危险"翻成可查速度 + 医学等级 + 标准表条目,三个抓手都能被第三方复核。

Exposure — 打回写法 E4,这个故障很常见。这不是"写不细",是概念错:把故障频率当成了暴露度,I3 一眼判错、整条 ASIL 推导失去信任。站得住写法 E4 — 高速公路巡航属常态运行工况,依车队行驶 profile / GIDAS 行驶统计占典型行驶时间 >10% 归 E4;此处评车辆处于该工况的频率,与故障发生率无关。差别:后者锚定"工况暴露"并显式撇清"非故障率"——主动堵住评审最爱追的那个混淆。

Controllability — 打回写法 C2,有经验的驾驶员能及时反应。这是最隐蔽的降级手法:偷换驾驶员基准、抬高可控性、把 ASIL 从 D 压到 C,省下大量冗余成本——也正因如此是 I3 重点狙击区。站得住写法 C3 — 突发正扭矩无预兆,普通持照驾驶员(§2 假设:非职业、反应时间 >1 s)在 100 ms FTTI 窗口内无法反应避险,且无机械旁路。差别:后者用 §2 写定的基准 + FTTI 时间账,把"能不能控"变成可推导的对比,而非主观判断。

三组的共性,就是 rationale 写作的终极标准:把一个主观判断,降维成"换个人拿你引的依据、能复算出同一个评级"的客观链。不是"理由充分",是"可被第三方复现"。

5. ASIL 推导 + Safety Goal 写法(向下接 FSR 的接口)

§6 的 ASIL 推导本身是机械查表(S×E×C 三维查 ISO 26262-3:2018 Table 4,clause 6.4.3.7 的规范性矩阵;Annex B 是 S/E/C 各自的分类表 B.1/B.2-B.3/B.4,B.4 是 Controllability 不是 ASIL 矩阵),写作要点只有一个:QM 判定必须显式留痕。落到 QM 的条目不能直接删,要写明"S0 / E0 / C0 之一 → QM,理由 X",否则 I3 无法区分"评估后判 QM"和"漏识别"——后者是致命 NC。

§7 的 Safety Goal 是 HARA 向下交付的接口,每条 SG 必须含 4 要素,缺了 FSC/FSR 就接不住:① 安全意图(防止什么,如"防止非预期驱动扭矩 > ±10%")② ASIL(继承自对应 hazard)③ 安全状态(达成后系统进入的可控态,如 STO / ASC)④ FTTI(故障容错时间,如 100 ms——它会向下被 FTTI 预算分解拆到采样率)。每条 SG 还要标一个唯一 ID(如 SG-01),供 FSR 反向 link——这是 FSR/TSR 写作那一环能闭合 traceability 的前提。

6. ASIL D HARA Review — I3 的 6 个查点

I3 评审 HARA(M1 里程碑)有固定的查点清单。下图把 6 个查点映射到报告对应章节,自检时逐项过。

HARA 报告 I3 评审 6 查点映射 — 完整性(范围覆盖)/可追溯(上接 Item Def 下接 FSR)/工况充分/评级 rationale 三件套/QM 留痕/SG 四要素,各点指向报告对应章节 + 不通过的典型 NC

6 个查点:

完整性:覆盖功能集 = Item Definition 功能集?有无功能漏识别危害?
可追溯:每条 hazard 上接 Item Def 某功能/工况、每条 SG 下有 FSR 引用?
工况充分:§3 工况库是否覆盖会暴露危害的所有运行场景?
评级 rationale:每个 S/E/C 是否「等级+量化+引用」三件套齐全?
QM 留痕:落 QM 的条目是否写明判定理由(非漏识别)?
SG 四要素:每条 SG 是否含意图/ASIL/安全状态/FTTI + 唯一 ID?

7. 5 个会被 I3 打回的写作反模式

这 5 种写法是 HARA 报告被退回的高频原因,且都不是"评错了",而是"写不对":

第一,评级无 rationale——只填 S3/E4/C3 不写依据,占 NC 的大头。第二,hazardous event 写成器件层(如"MOSFET 短路")而非整车层("非预期加速")——HARA 评的是整车危害,器件失效是后面 FMEDA 的事。第三,Exposure 用故障频率——把"这个故障多常发生"当 E,根本性混淆(E 是工况暴露)。第四,Controllability 假设赛车手——隐性抬高可控性、压低 ASIL,降级无依据。第五,QM 条目直接删除——评估后判 QM 不留痕,I3 无法和"漏识别"区分,反而比写出来更危险。

8. 工程交付清单

一份可提交 I3 的 HARA 报告,落地时按此清单自检:

7 章骨架齐全,§2 写明评级标准 + driver 假设
每条 hazard 7 字段完整,S/E/C 三件套 rationale
ASIL 查表结果 + QM 判定留痕
SG 列表每条 4 要素 + 唯一 ID,向下有 FSR link 占位
向上每条 hazard 引 Item Definition 功能/工况号
过完 §6 的 6 个 I3 查点自检

缩写表

缩写	全称	含义
HARA	Hazard Analysis and Risk Assessment	危害分析与风险评估
S / E / C	Severity / Exposure / Controllability	严重度 / 暴露度 / 可控性
ASIL	Automotive Safety Integrity Level	汽车安全完整性等级(A-D)
QM	Quality Managed	质量管理(无需 ISO 26262 措施)
SG	Safety Goal	安全目标
FTTI	Fault Tolerant Time Interval	故障容错时间间隔
FSR	Functional Safety Requirement	功能安全需求
STO / ASC	Safe Torque Off / Active Short Circuit	安全转矩关断 / 主动短路
AIS	Abbreviated Injury Scale	简明损伤定级(S 的医学锚点)
I3	Independent Assessment	独立评估(第三方)
NC	Non-Conformity	不符合项

核心要点

HARA 是要过 I3(M1)的工作产物;评级正确但 rationale 缺失,与评错同样判 NC
7 章骨架 + 7 字段 hazard 条目;向上接 Item Definition、向下产出 SG
S/E/C rationale 固定句式:「等级 + 量化锚点 + 引用来源」,三者缺一被追
E 评工况暴露非故障频率;C 用普通驾驶员非赛车手;QM 必留痕
SG 四要素(意图/ASIL/安全状态/FTTI)+ 唯一 ID,是向下接 FSR 闭合 traceability 的接口

Cross-references

← 索引
HARA 概念入门 — 本页的前置概念
HARA Worked Example — 做一个完整 HARA 案例(本页讲怎么写成报告)
ISO 26262 V-cycle 全栈 hub — HARA 在 Part 3 概念阶段
Safety Plan 写作 / FSR/TSR 写作 — 同源写作 deep,HARA 向下接 FSR
每日深讲 FS-A2 风险量化 — S/E/C 为何如此切分的第一性原理