HARA Worked Example 深度 — 主驱意外加速 → ASIL D 全流程

下图把主驱意外加速作为 worked example,把 HARA 6 步走完 — 从场景 → ASIL D 一步不落:

6 步分别:

1. Situation — 描述使用场景(速度 / 道路 / 环境 / 模式)
2. Hazard — 描述危害事件(整车级,非组件级)
3. Severity (S) — 后果有多严重 (S0-S3)
4. Exposure (E) — 发生频次 (E0-E4)
5. Controllability (C) — 驾驶员能否避险 (C0-C3)
6. ASIL 推导 — 正文 Table 4 查表,转 Safety Goal

Situation 是车辆层面的描述,不涉及组件:

• 操作模式:Drive(D 档)
• 道路类型:高速公路
• 速度:120 km/h
• 环境:湿滑路面
• 周边:30m 前有车
• 驾驶员状态:正常清醒

关键:不写"主驱控制器故障"—— 那是 failure mode,不是 situation。Situation 是 "如果故障发生时,车辆所处的客观环境"。

Hazard 是整车级别的危害,不是组件故障。

主驱意外加速场景:

• Hazard:主驱意外加速 — 输出扭矩超出驾驶员意图
• 不是 hazard: "MCU SW bug" / "扭矩传感器读错"(这些是 root cause,在 FMEA 里)

ISO 26262 范围 vs SOTIF 范围:

• ISO 26262:由 E/E 系统故障 引起 → 主驱意外加速 ✓
• SOTIF (ISO 21448):由系统正常工作但场景不当 引起 → 例如自动驾驶看错车道线

本例完全在 ISO 26262 范围内:扭矩信号错误 = 故障。

ISO 26262 Annex B Table B.1 把 S 分 4 档:

本场景推导:

• 120 km/h + 前方 30m + 湿滑路面 → 假设主驱意外 +100% 扭矩
• 反应时间约 1s,车速增至 130-140 km/h
• 制动距离 80m+,几乎必撞前车
• 高速撞击 → 致命 / 重伤不可逆 → S3

ISO 26262 Annex B Table B.2 把 E 分 5 档:

本场景推导:

• 高速公路 + 120 km/h 巡航 = 几乎每个司机每天都经历
• E = E4

ISO 26262 Annex B Table B.3 把 C 分 4 档:

本场景推导:

• 高速 120 km/h + 湿地 + 30m 间距 + 突发意外加速
• 司机反应时间 0.7-1.5s
• 期间车辆已加速到 130-140 km/h,跟前车间距 ≤ 10m
• 即使刹车,湿地刹车距离不够
• 绝大多数司机无法避险 → C3

ISO 26262 正文 Table 4(Clause 6) 把 S × E × C 转 ASIL:

本场景 S3 × E4 × C3 → ASIL D

三轴独立性 + 工况敏感性:S/E/C 必须各自独立打分(先描述完 hazard 再分别评,不能用目标 ASIL 反推)。同一 hazard"意外加速"换工况,ASIL 显著变:

因果:低速碰撞动能小(S↓)、该工况占行驶时间比例低(E↓)、驾驶员有时间避险(C↓),三轴同向回落 → ASIL 大幅降。所以 HARA 必须逐工况评,不能只取最恶劣一条代全部。

ASIL D = 最高安全等级,对应:

• SPFM ≥ 99% / LFM ≥ 90% / PMHF ≤ 10 FIT
• HW 必须 ISO 26262 cert
• SW 必须 MISRA C + 完整单元测试 + Coverage ≥ 90%
• 项目周期 18-24 个月

ASIL D 的 hazard 转 Safety Goal,SG 是顶层安全约束:

FTTI 与安全机制预算 怎么定的?

• FTTI ≈ 700ms — 故障(扭矩误差)到车辆失控的物理时间(vehicle dynamic 仿真),是危害的固有属性,不是被减出来的
• 约束:FDTI(检测)+ FRTI(反应,含进安全态)≤ FTTI —— driver detect → ECU response → STO/ASC 的总耗时必须塞进 700ms 预算内
• 本例设计目标:该总和 ≤ 100ms(对 700ms FTTI 留足裕度);SafeState 切换 200ms + 测试 buffer 是占用预算的分项,不是从 FTTI 里减

Safety Goal 拆到 Function Safety Concept (FSC):

• FSC-001-1:扭矩信号校验机制(双路冗余 + 投票)
• FSC-001-2:扭矩限制器(MAX = pedal + 50Nm)
• FSC-001-3:SafeState 切换(检测到偏差 → ASC 主动短路放电)

每个 FSC 再拆到 Technical Safety Concept (TSC):

• TSC-001-1-1:torque 传感器 SPI 双 CRC 校验
• TSC-001-1-2:扭矩仲裁运行在 lockstep 双核
• TSC-001-2-1:扭矩限制器在 SBC 硬件实现
• TSC-001-3-1:STO 由独立 hardware 实现(2nd-level safety)

链接:TSC + DIA 深度

业界范例验证本例:

• Bosch ESI (Electric Safety Integrated) White Paper:主驱 + Brake combined HARA,5 大 hazard(意外加速 / 意外刹车 / 单轮锁死 / 制动失效 / 转向失效)全部 ASIL D
• 大众 MEB:主驱意外加速 → ASIL D,Safety Goal = "no unintended torque > 50Nm"
• Tesla:类似 framework,但内部 ASIL 分类略不同(用 SQAR Q1-Q4)

结论:EV 主驱意外加速 = ASIL D 是行业共识,新项目 HARA 可直接套用。

新手 HARA 常犯 5 个错:

HARA = ISO 26262 第一道工序 — 6 步 (Situation/Hazard/S/E/C/ASIL) 走完,主驱意外加速场景必然推到 S3 × E4 × C3 = ASIL D,SG = "扭矩跟随,SM 响应 ≤100ms(FTTI ~700ms)"。HARA 推导必须文档化,Polarion 内置模板;S/E/C 三轴打分必有依据(车辆动力学仿真 + 司机反应实验 + 实际事故统计),不能拍脑袋。新项目第一周做 HARA,后续 18 个月安全开发全部基于此推导。