​​ChinaAutoRegs｜GB/Z 42285-2022英文版翻译 道路车辆 电子电气系统ASIL等级确定方法指南（英语版）
Road vehicles—ASIL determination guidelines for electrical and electronic system

目次
前言
1 范围
2 规范性引用文件
3 术语和定义
4 危害分析和风险评估
4.1 危害的识别
4.2 风险评估
4.3 安全目标与安全状态的关系
附录 A（资料性） 整车层面的运动
附录 B（资料性） 严重度分级指南
附录 C（资料性） 转向功能危害分析和风险评估示例
附录 D（资料性） 驱动和传动功能危害分析和风险评估示例
附录 E（资料性） 悬架控制功能的危害分析和风险评估示例
附录 F（资料性） 制动和驻车制动功能危害分析和风险评估示例
参考文献

1 范围

本指导性技术文件提出了确定道路车辆电子电气系统ASIL（汽车安全完整性等级）的方法。确定电 子电气系统的汽车安全完整性等级（ASIL）是GB/T 34590.3-2022中所要求的。
本指导性技术文件适用于安装在除轻便摩托车外的量产道路车辆上的包含一个或多个电气/电子系 统的与安全相关的系统。

2 规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。
GB/T 34590-2022(所有部分) 道路车辆 功能安全

3 术语和定义

GB/T 34590.1-2022界定的术语和定义适用于本文件。

4 危害分析和风险评估

4.1 危害的识别
危害分析和风险评估（HARA）是一个分析过程，即识别潜在的危害，并与运行场景进行组合，形成 一组特定的危害事件，评估每个危害事件的风险以确定其ASIL等级和安全目标。
相关项定义是进行HARA的前提条件。危害识别可通过不同的危害分析技术实现。本文件给出了使用 危害与可操作性分析（HAZOP）技术进行危害识别的示例。HAZOP是一种探索型的分析方法，可用于识别 和评估相关项的功能异常表现，有助于结构化和系统地检查相关项在整车层面的运行情况，该分析方法 通过给相关项的每个功能添加适当的引导词来假定其不同的功能异常表现，该功能异常表现可导致危害， 而该危害可能对目标车辆的驾乘人员，其他车辆及其乘客，或其他处于风险中的人员，如目标车辆附近 的行人、骑自行车的人员或维修人员造成潜在伤害。
其他有效的方法也可用于识别相关危害，本文件不推荐也不支持某种特定的危害识别方法，危害的 识别是危害分析和风险评估的一部分。
下面是一个简单的HAZOP方法的应用示例，用于识别相关项潜在的功能异常表现所导致的危害。例 如，基于在相关项定义中所描述的功能，考虑相关项执行器的作用和能力，进而假设如下的相关项功能 异常表现：
a) 功能丧失——在有需求时，不提供功能； b) 在有需求时，提供错误的功能：
1) 错误的功能——多于预期；
2) 错误的功能——少于预期；
3) 错误的功能——方向相反。
c) 非预期的功能——在无需求时，提供功能；
d) 输出卡滞在固定值上——功能不能按照预期更新。
注1：相关项处于功能异常时，可考虑在进行与相关项的维修不相关的任务时对维护人员的伤害。然而，对已有故 障、已损坏或已拆解的相关项进行维修时，危害分析和风险评估不考虑相关项的已有故障对维护人员的伤害。 例如，电动助力转向系统有在转向助力振荡这个故障情况下关闭助力功能的安全机制。当进行此故障的维修时，维修人员可强制开启助力功能以识别故障的原因。这种情况不能使用危害分析和风险评估方法进行分析， 因为这是维修人员为了进行维修而故意操作的。
注2：根据GB/T 34590-2022，危害分析和风险评估基于相关项的功能异常表现。
注3：并非所有的HAZOP引导词[1]都适用于所有的分析，可根据分析的范围和内容对引导词进行剪裁。使用者可选 取一组特殊的HAZOP引导词用于分析。
针对车辆的两种功能，即转向助力和制动控制，表1提供了使用HAZOP方法识别功能异常表现的示例。
表 1 HAZOP 方法应用示例
注4：在相关项的安全概念设计或后续的确认过程中,宜考虑车辆不同功能之间的相互作用。例如：单独来看，相关
项的功能丧失可作为一种降级模式，但考虑到相关项间的相互作用和依赖关系，在整车层面上可能不是安全 状态。
一旦某项功能潜在的功能异常表现被识别出来，将继续开展危害分析活动，分析每个功能异常表现 在整车层面上产生的危害。在此分析过程中，应考虑车辆的运行场景，包括相关项生命周期的各个阶段（如：运行、服务和报废阶段）。 同一个功能异常表现可能造成多个整车层面的危害，这取决于车辆在不同运行场景中的行为表现。
例如，非预期或过大的制动可能引起车辆非预期的减速和非预期的侧向移动，这取决于驾驶场景。
另外，相关项的多个功能异常表现可能造成相同的整车层面危害。危害分析和风险评估是一个迭代 过程。考虑到不同的车辆运行场景和相关项生命周期阶段，相关项的功能异常表现和相应的整车层面危 害也会在危害分析和风险评估的过程中不断更新。
表2和表3给出了将表1中基于整车功能所识别出的功能异常表现映射到整车层面危害的示例。该映 射随功能异常表现所考虑的驾驶场景不同而不同（例如：制动丧失会导致减速能力丧失，车辆溜坡等）。
表 2 将转向助力功能的功能异常表现映射到整车层面危害的示例
表 3 将制动控制功能的功能异常表现映射到整车层面危害的示例
4.2 风险评估
在风险评估过程中，假设相关项的功能异常表现会引起某个危害。根据危害的定义，其作为伤害的 潜在来源，极大依赖于功能异常发生时所处的驾驶场景。因此，第一步需要假设一种车辆驾驶或运行场 景以用于定义伤害。基于该运行场景，根据本文件4.2.1中的指导确定该运行场景的暴露概率（E）。对 于该危害事件，严重度（S）和可控性（C）分别由4.2.2和4.2.3的指导确定。对于一个给定的危害事件， 基于合理可预见的包含相关项的车辆的运行场景，重复该过程。
风险评估的结果依赖于相关项、车辆和数据的可用性。相关项的功能的设计和车辆特征将影响导致 伤害的场景的定义，以及E、S、C参数的等级和理由。分析人员应考虑这些因素，并以此为基础对所开 发系统的特性进行分析。
对于每个已分析过的危害事件，应将最高ASIL等级及其分配暴露概率（E）、严重度（S）和可控性
（C）的理由记录在案（例如，记录在危害分析和风险评估模板中）。
注1：确定暴露概率（E）、严重度（S）和可控性（C）的顺序可以调整（也就是重新排列）。本文件假定暴露概率
（E）、严重度（S）和可控性（C）以图1的顺序确定。
4.2.1 步骤 1：确定暴露概率
4.2.1.1 一般信息

图 1 风险评估过程的示例

根据GB/T 34590.3-2022,车辆运行场景的暴露概率可以被指定为表4中的五个等级之一。表4总结了 GB/T 34590.3-2022中表2、附录B.2和附录B.3中的示例，得到基于运行场景频率和运行场景持续时间的 各种暴露概率等级。按照图1，风险评估的第一步是针对特定的车辆运行场景评估暴露概率。特定的车 辆运行场景可以是几个工况同时出现。确定暴露概率的目的是去理解真实场景，包括正常驾驶和危险驾 驶工况。然而，需要注意的是不同的交通规则、环境条件等都会影响所考虑的场景，并可能由此导致不 同的暴露概率。
表 4 GB/T 34590 中的暴露概率等级描述
4.2.1.2 基于持续时间的暴露概率
对于功能异常表现直接导致危害事件的情况，可以选用基于车辆运行场景持续时间的暴露概率等级。
示例：考虑电助力转向系统使用了一个错误的转向扭矩。当车辆静止时，这对于驾驶员的影响可能很小，但如果车 辆在高速路上行驶，则驾驶员很有可能偏离既定的行驶路线。由于车辆在该运行场景下的持续时间大于整体运行时间的 10%，高速路行驶可以被定义为 E4。
注：由危害导致潜在伤害的可能性会增加，这取决于涉险人员的行为或危害事件所处的环境。
4.2.1.3 基于频率的暴露概率
暴露概率等级不仅可以由功能异常表现直接引起危害事件（与场景的持续时间相关）的车辆运行场 景确定，也可以由那些在某种场景或情况下，在更早的时间点出现并潜伏在系统中的故障所引起危害事 件的场景确定。因此，这种场景的出现结合之前存在的故障会直接触发危害事件，而不需考虑其持续时 间。
示例：对于车尾倒车灯激活的场景，可选择基于频率的方法来确定暴露概率。对于这个示例，可以认为“车辆倒车” 的运行场景是经常发生的，所以选为 E4。选用频率是因为无论何时倒车灯出现故障，危害只可能在车辆挡位切换至倒车 时才被触发。
4.2.1.4 车辆运行场景
图2给出了一系列车辆运行的场景作为参考。本示例清单不能认为是穷尽的，而且在很多情况下， 这 些 场 景 可 合 并 以 减 少 或 者 简 化 在 危 害 分 析 和 风 险 评 估 中 所 考 虑 的 场 景 （ 参 考 GB/T 34590.3-2022,6.4.2）。
4.2.1.5 暴露概率等级分配指南
a) 风险评估中的暴露概率分配，是根据对不同地理位置或目标市场的交通情况、文化、路况和 驾驶方式的适用的且可用的数据和信息进行专家评估而得出的。当有疑问时，可以使用估计 值。
b) 分配暴露概率时，可考虑暴露于车辆运行场景的频率,或暴露于该车辆运行场景的整体持续时 间的概率。在某些情况下, 两种暴露概率准则都可适用,此时,必须分别评估每个准则并指定 各自的 ASIL。
示例：对于“洗车”场景的暴露概率，基于暴露的频率可以导出为 E3，而基于暴露的持续时间可以导出为 E2。
c) 通过考虑某一车辆在实际使用中发生的场景，可以对暴露概率进行评估。如果适用，可以考 虑特定目标市场的暴露概率。然而这不应该被用于人为增加或减少暴露概率的因素。
d) GB/T 34590.3-2022 中提供的车辆运行场景的示例，可作为暴露概率分配的参考。
e) 在评估某些车辆的运行场景时, 可能需要多种因素组合才能使危害导致特定伤害。某一车辆 运行场景可能由几个因素构成，此外, 这些因素中的某些因素可能会有密切的关联。针对形 成危害事件的先决条件的因素组合，其暴露概率的正确值，需在识别各个因子的相互关系后 才能计算出。
示例：对于有雪且有冰的场景，那么它们与路面摩擦力的降低有很高的相关性。如果有雪或有冰的场景的暴露概率 对于道路摩擦力的降低被分别认为是彼此独立的 E2 等级，那么不应该用这两个定级为 E2 的暴露概率因子等效出一个低 于 E2 的暴露概率（来针对有雪且有冰的场景）。错误地把这些因素视为独立的，的确会导致暴露概率的降级。
f) 在危害分析和风险评估时，不应该针对维修人员评估已经被工作场所的安全规章制度所覆盖
的危害，以及正在被维修的相关项所引起的所有危害(参见 4.1，注 1)。
g) 已定义的危害事件必须足够具体，以保证准确地定义伤害程度和确定可控性。
——某个场景可划分为几个新增的特定场景(可能导致不同的 S、C 参数)；
——如果与相同危害相关的多个场景的分析结果相似或者相同，应将这些场景组合起来分析；
——不应使用以上指南人为地增加或减少暴露概率因素；
——这并非要求穷尽地检查每种可能的组合，考虑典型的车辆运行场景并包含了那些可以导出最   高 ASIL 等级的场景就足够了。
4.2.2 步骤 2：确定严重度
4.2.2.1 4.2.2.1 一般信息
按照GB/T 34590，由于某个特定危害事件引起的潜在伤害的“严重度”等级，可被定义为表5所示 四个级别中的一个。这些“严重度”等级是为某个给定危害事件分配ASIL等级提供指导的通用分类。
通常，“严重度”等级很难确切地被定义。因为，任何一次实际碰撞的“严重度”结果与许多因素 相关，而这其中很多因素无法被提前确定。影响严重度的因素包括：
a) 碰撞的类型，比如平面碰撞（例如正面、尾部、侧面碰撞）；
b) 碰撞参与车辆间或单个车辆碰撞事故发生时（与被撞物体）的相对速度；
c) 碰撞相关车辆的相对大小、高度、以及结构完整度（即碰撞兼容性）；
d) 车内乘员以及车外有碰撞风险人员的健康和年龄情况；
e) 车内乘员对于安全保护装置的使用情况（例如：安全带、儿童安全座椅）；
f) 有资质的且迅速的紧急救援（紧急救援队）的可用性及响应。
这些因素中，可能可以预测一些碰撞特性以及在某些情况下估计碰撞的相对速度。大多数会影响某 一假定危害事件所引起的伤害“严重度”的其他因素，无法被很合理地提前预测。上述因素可作为用于 风险评估中确定暴露度和可控性的因素的一部分。
除了可被忽略的碰撞，几乎所有碰撞产生伤害包括致命伤害的可能性永远不会为零。对于所有道路 使用人员（例如，行人和骑自行车人员）来说，影响伤害可能性的特性是极为不同的。涉及交通事故的
人员可能是年轻健壮的人，他们可以承受较大的碰撞力而不会产生持续严重的伤害。也可能是年老体弱的人，他们即使发生较轻微、低速的碰撞也会产生较大的伤害。因此，几乎针对任何碰撞类型所引起的 “严重度”结果，可能是从“几乎无伤害”到“致命”的分布组合。
表5提供了GB/T 34590.3-2022中对于S0-S3严重度等级的描述。

现成译文，到款即发。
任取样页验证译文质量。
提供正规增值税电子发票。
请联系手机/微信: 133-0649-6964/Email: standardtrans@foxmail.com 购买完整译文。
专业源于专注|ChinaAutoRegs 始终专注于汽车标准翻译领域！迄今为止已翻译上千个国内外汽车标准法规！独家打造千万级汽车专业术语库和记忆库。
Note:
This document in English is readily available, and delivered immediately upon payment.
You may request for sample pages to your preference to verify the quality of translation.
Please contact standardtrans@foxmail.com for the complete PDF in English.