• No início do desenvolvimento de um novo sistema eletrônico veicular, quando os requisitos iniciais estão sendo estabelecidos.
• Durante as iterações do design, quando modificações ou atualizações são feitas que podem influenciar a segurança funcional.
• Após mudanças significativas em sistemas existentes ou na introdução de novas tecnologias ou funcionalidades.
• Como parte da avaliação de impacto quando são identificados novos perigos ou informações sobre operação do veículo, ou após incidentes de segurança.
• Antes de finalizar o design para produção, para garantir que todos os perigos foram identificados e mitigados.
• Em qualquer revisão do ciclo de vida do produto onde novos riscos possam surgir, como na expansão para novos mercados com diferentes regulamentações ou condições de operação.

• Para identificar e avaliar perigos que podem levar a danos ou lesões em caso de falha dos sistemas elétricos e eletrônicos.
• Para garantir a conformidade com as normas internacionais de segurança veicular, como a ISO 26262, que visa a segurança funcional.
• Para sistematizar e documentar o processo de avaliação de riscos, criando uma base sólida para o desenvolvimento de requisitos de segurança.
• Para determinar os níveis adequados de medidas de segurança e estabelecer uma estrutura para desenvolvimento, verificação e validação de sistemas seguros.
• Para minimizar a probabilidade de acidentes devido a falhas no sistema, melhorando a confiabilidade e a segurança geral do veículo.
• Para evitar custos associados a recalls, responsabilidade por danos e perda de confiança dos consumidores, mantendo a integridade da marca.

Começa com a definição de um item existente. Determine situações operacionais relevantes e modos de operação, como dirigir na cidade, em estradas rurais ou na autoestrada, além de modos como dirigir para frente, marcha à ré ou elevar o veículo na oficina com o motor funcionando. A subcategoria de situação ou modo operacional a ser considerada varia conforme o item específico.

Neste passo, considere os riscos à vida e à integridade física. Anote todos os perigos que possam surgir de uma falha no item ou de um uso inadequado previsível pelo motorista. Perigos para passageiros e outros usuários da via devem ser determinados em nível veicular.

Um exemplo é a aceleração não intencional causada pelo controle de cruzeiro adaptativo. As luzes do veículo representam um perigo se apagarem inesperadamente. A forma como o item foi projetado ou fabricado não é relevante, mas se uma falha em um item levar à falha de outro, os perigos associados devem ser considerados.

Um perigo específico que ocorre em uma situação operacional é agora chamado de evento perigoso. Neste terceiro passo, esses eventos perigosos são avaliados individualmente segundo três critérios:

• Severidade de qualquer lesão potencial (S)
• Frequência com que uma situação operacional ocorre – a exposição (E)
• Se uma situação pode ser gerenciada para evitar lesões – a controlabilidade (C)

Por exemplo,  um evento perigoso é se as luzes se apagarem enquanto se dirige no escuro em uma estrada rural sinuosa.

Os níveis desses critério são:

Severidade (S) severity of injuries

• S0: Sem lesões
• S1: Lesões leves
• S2: Lesões graves
• S3: Lesões fatais ou incapacitantes

Exposição (E) exposure

• E0: Muito improvável (Raro)
• E1: Improvável (Baixo)
• E2: Possível (Moderado)
• E3: Provável (Alto)
• E4: Muito provável (Contínuo ou Frequente)

Controlabilidade (C)

• C0: Facilmente controlável
• C1: Normalmente controlável
• C2: Dificilmente controlável
• C3: Praticamente incontrolável

Tabela 1058: comparação entre os critérios de perigo do HARA e os índices do FMEA

O Nível de Integridade de Segurança Automotiva (ASIL) para cada evento perigoso é calculado com base em uma tabela que cruza os valores estimados para Severidade (S), Exposição (E) e Controlabilidade (C).

Na próxima figura apresentamos dois exemplos dessa tabela.

Tabela 1059: tabelas para determinação do Nível de Integridade de Segurança Automotiva (ASIL) a partir do cruzamento dos valores de Severidade (S), Exposição (E) e Controlabilidade (C)
Fontes: tabela da esquerda, Aptiv (2020); tabela da direita, Petry (2022) 

Os nível de integridade de segurança automotiva (ASIL) são:

• ASIL A: Associado a um risco mais baixo, onde a exposição a situações operacionais que poderiam levar a lesões é menos frequente. As medidas de segurança necessárias são proporcionais ao risco mais baixo.
• ASIL B: Indica um risco moderado com exposição mais frequente a situações operacionais que podem causar lesões de moderada gravidade. As medidas de segurança são mais rigorosas que para ASIL A, refletindo a frequência aumentada de exposição.
• ASIL C: Representa um risco considerável, com exposições ainda mais frequentes a situações operacionais que podem resultar em lesões graves. As medidas de segurança são intensificadas em resposta à exposição mais frequente e à gravidade potencial das lesões.
• ASIL D: Refere-se ao mais alto nível de risco, com situações operacionais que apresentam exposição frequente e que podem levar a lesões graves ou fatais. Exige as medidas de segurança mais rigorosas, pois a frequência de exposição a esses perigos é alta e as consequências são as mais severas (morte ou lesões corporais graves).
• QM: este nível adicional que está na tabela indica “quality management”, ou seja, gestão da qualidade, que significa que não há necessidade de implementar medidas adicionais de redução de risco além daquelas já realizadas pelo sistema de qualidade aceitável para aquele tipo de empresa. 

Exemplos:

• “Sistemas como airbags, freios antibloqueio e direção hidráulica exigem uma classificação ASIL-D – o mais alto rigor aplicado à garantia de segurança – porque os riscos associados à sua falha são os mais elevados. No outro extremo do espectro de segurança, componentes como luzes traseiras requerem apenas um grau ASIL-A. Os faróis e as luzes de freio geralmente seriam ASIL-B, enquanto o controle de cruzeiro geralmente seria ASIL-C” (Synopsys, 2024).

• “Digamos que o indicador de velocidade do veículo no display do painel falhe. É possível que o indicador não mostre nenhuma informação (ou seja, esteja sempre zerado) ou possa exibir a velocidade errada. No primeiro caso, a Controlabilidade é muito alta, pois o motorista poderia facilmente perceber a falha e então dirigir com mais cautela. Esse cenário poderia ser classificado como QM. No segundo caso, a falha é menos óbvia para o condutor (por exemplo, indica 55 mph quando deveria indicar 65 mph), mas a Controlabilidade ainda é relativamente forte, pelo que este cenário poderia ser classificado como ASIL-A ou ASIL-B” (Aptiv, 2020).

• “Digamos que os freios do motorista falham durante uma situação operacional de alta velocidade em ruas movimentadas. Isto teria um efeito grave na capacidade do condutor de controlar o veículo e, como resultado, existe a possibilidade de o condutor ou outras pessoas se ferirem gravemente. Este risco seria classificado como ASIL-D neste caso” (Aptiv, 2020).

• “Uma falha semelhante do freio durante um cenário de baixa velocidade em ruas menos movimentadas pode ser classificada em um ASIL inferior, devido à capacidade do motorista de cruzar o veículo para reduzir a velocidade e eventualmente parar o carro. Qualquer sistema que controle a direção ou a travagem provavelmente teria de suportar uma série de cenários, muitos dos quais seriam classificados como ASIL-D, uma vez que essas funções são tão críticas para a operação e controle do veículo” (Aptiv, 2020).

No caso da tabela da direita da figura anterior

No cenário mais crítico, temos um evento perigoso que pode resultar em lesão fatal (S3), com veículos frequentemente em situações operacionais onde isso pode ocorrer (E4), e a lesão pode ser evitada em menos de 90% dos casos (C3). Tal evento receberá ASIL D, indicando que os requisitos mais rigorosos da ISO 26262 devem ser aplicados para prevenir a ocorrência do evento.

Após determinar os ASILs para eventos perigosos, o próximo passo é formular os chamados objetivos de segurança. Estes são objetivos funcionais ou requisitos de segurança de alto nível, e devem ser adequados para prevenir ou mitigar eventos perigosos. É possível formular objetivos de segurança individuais para vários eventos perigosos, resultando em um número reduzido de objetivos de segurança. Cada objetivo de segurança recebe o ASIL mais alto dos eventos perigosos correspondentes.

Por exemplo, um objetivo de segurança pode ser: “impedir que um sistema de bloqueio do volante por eletromagnetismo seja ativado enquanto o veículo estiver em movimento”.

O principal resultado de um HARA é um conjunto de objetivos de segurança com ASILs correspondentes, fornecendo um ponto de partida para o desenvolvimento de um conceito de segurança funcional.

Depois de realizar e documentar o HARA, é necessário submetê-lo a uma verificação conforme as regras da ISO 26262, parte 8. Uma equipe de revisão deve, por exemplo, verificar a suficiência e razoabilidade de todos os eventos perigosos considerados. Também deve avaliar se os objetivos de segurança (determinados no passo 5) são consistentes com os perigos identificados e se o procedimento de HARA foi aplicado corretamente.

Cada HARA deve ser avaliado por uma pessoa que não faz parte do desenvolvimento. É necessária uma confirmação independente para garantir que o ASIL correto foi estabelecido e que os critérios da ISO 26262 para um HARA foram atendidos.

Como consequência da observação 2 (os “itens” da definição refere-se aos sistemas que implementam funções no nível do automóvel), e como os sistemas de um automóvel interagem entre si, a princípio são as montadoras que possuem a visão do todo (do automóvel e seus sistemas) e por isso, os fabricantes de automóveis  são os responsáveis por implementar o HARA.

 Porém, a realização do HARA e outras análises de risco é uma responsabilidade compartilhada, com expectativas e requisitos detalhados geralmente definidos em acordos específicos entre montadoras e fornecedores.

Conforme definido pela ISO 26262, a responsabilidade pode variar dependendo de acordos específicos entre montadoras (OEMs – Original Equipment Manufacturers) e seus fornecedores. Contudo, é importante entender alguns princípios gerais sobre como o HARA e as responsabilidades de segurança funcional são compartilhadas ou distribuídas.

Responsabilidade das Montadoras:

• As montadoras, sendo os integradores finais do veículo, têm a responsabilidade geral de garantir a segurança funcional do veículo como um todo. Isso inclui a realização de um HARA abrangente para o veículo, considerando todos os sistemas e componentes integrados.
• O HARA realizado pelas montadoras foca nos perigos e riscos em nível de veículo ou sistema, derivando requisitos de segurança funcional de alto nível que devem ser atendidos pelos sistemas e componentes fornecidos.

Responsabilidade dos Fornecedores:

• Os fornecedores de sistemas, subsistemas ou componentes também têm responsabilidades significativas em relação à segurança funcional. Eles precisam garantir que seus produtos atendam aos requisitos de segurança funcional especificados pelas montadoras, o que pode incluir a realização de suas próprias análises de risco e HARA para características específicas de seus produtos.
• Em muitos casos, os fornecedores são responsáveis por realizar análises detalhadas, como FMEA (Failure Mode and Effects Analysis) ou outras avaliações de risco pertinentes a seus produtos, para identificar potenciais modos de falha e assegurar que os riscos sejam adequadamente mitigados.

Colaboração Montadora-Fornecedor:

• A relação entre montadoras e fornecedores é frequentemente colaborativa, com ambos trabalhando juntos para garantir a segurança funcional em todos os níveis do veículo. Isso pode incluir a troca de informações detalhadas sobre requisitos de segurança, resultados de análise de risco e estratégias de mitigação.
• As montadoras podem requerer que fornecedores sigam certas práticas ou padrões (como partes específicas da ISO 26262) e forneçam evidências de conformidade, como parte do processo de qualificação e seleção de fornecedores.

O HARA (Hazard Analysis and Risk Assessment) na ISO 26262 é utilizado principalmente para a identificação e avaliação preliminar de perigos associados aos sistemas elétricos e eletrônicos em veículos, e não para o desenvolvimento direto de soluções específicas para os modos de falha identificados.

 O objetivo do HARA é identificar os perigos potenciais que podem resultar do mau funcionamento desses sistemas e avaliar o risco associado a esses perigos, considerando a severidade do dano potencial, a probabilidade de exposição ao perigo e a possibilidade de controle ou mitigação.

Como já vimos, as funções principais do HARA incluem:

• Identificação de perigos: Determinar situações em que o mau funcionamento de sistemas elétricos e eletrônicos pode levar a condições perigosas.
• Avaliação de riscos: Estimar o nível de risco associado a cada perigo identificado, geralmente resultando na classificação de Níveis de Integridade de Segurança (ASIL).
• Direcionamento para análise e mitigação: Baseado na avaliação de riscos, o HARA direciona a determinação subsequente de requisitos de segurança e estratégias de mitigação. Embora o HARA por si só não desenvolva soluções específicas para modos de falha, ele estabelece a base para que essas soluções sejam criadas.

Após a identificação e quantificação dos riscos pelo HARA, a responsabilidade por desenvolver soluções específicas para mitigar esses riscos é tipicamente realizada por meio de processos subsequentes, como o FMEA e o desenvolvimento de requisitos de segurança. Estes processos são usados para:

• Analisar modos de falha: O FMEA detalha os modos de falha potenciais, suas causas e efeitos, incluindo aqueles que podem resultar em riscos de segurança identificados no HARA.
• Desenvolver ações de mitigação / eliminação: Com base na análise do FMEA, são propostas ações para mitigar / eliminar os riscos, que podem incluir alterações de design, controles adicionais, ou medidas de proteção.
• Documentação e Implementação: Os resultados dessas análises e as soluções propostas são documentados e implementados para garantir que os riscos identificados sejam efetivamente gerenciados.
• Desenvolvimento de requisitos de segurança: O HARA define objetivos de segurança, que são declarações de alto nível sobre o que deve ser feito para evitar ou mitigar os riscos identificados. Esses objetivos são derivados diretamente dos perigos e riscos avaliados durante o HARA. Este desenvolvimento traduz os objetivos em requisitos (mensuráveis) que podem ser implementados e verificados.

 Objetivos Complementares

Tanto o HARA e como o DFMEA são utilizados para identificar e avaliar riscos, mas com enfoques diferentes:

• O HARA se concentra em identificar perigos e avaliar riscos associados aos sistemas elétricos e eletrônicos de um veículo, que podem causar lesões físicas ou danos à saúde das pessoas 
• O DFMEA é mais geral.  Ele analisa modos potenciais de falha no design de um produto, suas causas e efeitos e ainda determina ações de mitigação ou eliminação dos riscos.

O HARA pode identificar perigos que necessitam ser mitigados, e o DFMEA pode ser usado para analisar como esses perigos podem ser manifestados através de falhas no design. Assim, os resultados do HARA podem influenciar a análise realizada no DFMEA.

Além disso, o HARA é aplicado nas fases iniciais e para as principais funções de um automóvel e suas relações, como vimos anteriormente. O DFMEA desce até o nível de componentes, e sempre com um foco nos sistemas elétricos e eletrônicos de um veículo, que podem causar lesões físicas ou danos à saúde das pessoas 

E a relação com o DVP&R?

O Plano e Relatório de Verificação de Design (DVP&R) é um complemento do DFMEA para coordenar e desenvolver um plano detalhado de testes e verificações com base nas ações recomendadas do DFMEA, com o objetivo final de aumentar a confiabilidade dos produtos.  O DVP&R pode também utilizar informações do HARA. no caso dos sistemas elétricos e eletrônicos de um veículo.

A edição de alguns tópicos desta seção contou com o apoio do chatGPT 4.0, o assistente de Inteligência Artificial da OpenAI:

• Primeiramente, foi realizado um levantamento de fontes sobre os tópicos “Quando e por que você deveria utilizar o HARA”. Essas fontes utilizadas pelo chatGPT para criar esses dois tópicos. Posteriormente, esses tópicos foram  complementados, corrigidos e editados pelo autor desta seção.
• Os passos de desenvolvimento do HARA foram resumidos pelo chatGPT a partir da publicação de Petry (2022) Os exemplos e tabelas  foram extraídos de outras fontes. Os passos foram complementados e editados pelo autor desta seção.
• A primeira versão da relação do HARA com o FMEA foi criada pelo autor, após leituras de das publicações citadas nas referência e, em especial, das discussões do fórum The Elsmar Coven (2024). Em seguida, o autor escreveu diversas afirmações e foi conferindo com o chatGPT, que eventualmente acrescentava alguns pontos, que o autor procurava confirmação em outras fontes. 
• Estamos entrando em contato atualmente com especialistas para revisarem o conteúdo desta seção.

Aptiv (2020). What Is ASIL-D? Disponível em: https://www.aptiv.com/en/insights/article/what-is-asil-d Acesso em: 11 fevereiro 2024.

Petry, Erwin (2022)  ISO 26262:2018 Part 3 – Clause 6: Hazard Analysis and Risk Assessment. KUGLER MAAG CIE GmbH. Disponível em: https://www.kuglermaag.com/functional-safety/hara/#downloadForm Acesso em: 11 fevereiro 2024.

Synopsys (2024). What Is ASIL-D? Disponível em: https://www.synopsys.com/automotive/what-is-asil.html Acesso em: 11 fevereiro 2024.

The Elsmar Coven (2024) A Free Quality Discussion Forum and Process Improvement Resource for Quality Assurance, Engineering, and Management Professionals. Disponível em: https://elsmar.com/ Acesso em: 12 fevereiro 2024.