ASIL汽車(chē)安全性等級(jí)

1、ISO26262ASIL安全等級(jí)，你知道如何來(lái)劃分和分解嗎？2019-04-2217:34據(jù)九腦匯了解，隨著汽車(chē)上電子/電氣系統(tǒng)（日E）數(shù)量不斷的增加，一些高端豪華轎車(chē)上面就有多達(dá)70多個(gè)ECU（ElectronicControlUnit電子控制單元），其中安全氣囊系統(tǒng)、制動(dòng)系統(tǒng)、底盤(pán)控制系統(tǒng)、發(fā)動(dòng)機(jī)控制系統(tǒng)以及線控系統(tǒng)等都是安全相關(guān)系統(tǒng)。為了實(shí)現(xiàn)汽車(chē)上電子/電氣系統(tǒng)的功能安全設(shè)計(jì)，道路車(chē)輛功能安全標(biāo)準(zhǔn)ISO26262于2011年正式發(fā)布，為開(kāi)發(fā)汽車(chē)安全相關(guān)系統(tǒng)提供了指南，該標(biāo)準(zhǔn)的基礎(chǔ)是適用于任何行業(yè)的電子/電氣/可編程電子系統(tǒng)的功能安全標(biāo)準(zhǔn)IEC61508。ASIL安全等級(jí)的概念A(yù)SIL等級(jí)

2、,AutomotiveSafetyIntegrationLevel,汽車(chē)安全完整性等級(jí)，指描述系統(tǒng)能夠?qū)崿F(xiàn)指定安全目標(biāo)的概率高低。每個(gè)的安全功能要求都包括安全性目標(biāo)和ASIL安全等級(jí)這兩部分內(nèi)容。對(duì)一個(gè)指定系統(tǒng)應(yīng)用安全功能要求，ASIL安全等級(jí)劃分包括如下步驟：1 .根據(jù)預(yù)想架構(gòu)、功能概念、操作模式和系統(tǒng)狀態(tài)等確定安全事件；2 .危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估，初步確定ASIL安全等級(jí)；3 .逐級(jí)分解安全要求和安全等級(jí)，ASIL安全級(jí)別劃分和ASIL安全級(jí)別逐層分解兩個(gè)過(guò)程交替進(jìn)行，直至抵達(dá)無(wú)法進(jìn)一步分解零件或者子系統(tǒng)；4 .可用因素共存原則、相關(guān)失效分析和安全分析等原則來(lái)檢查等級(jí)分配的合理性。與ASIL

3、相關(guān)的幾個(gè)概念根據(jù)ASIL等級(jí)劃分的基本規(guī)則，我們從安全目標(biāo)出發(fā)，主要是考慮影響等級(jí)的三要素，最終確定系統(tǒng)或者零件安全等級(jí)的過(guò)程。ASIL等級(jí)劃分目標(biāo)在于為了降低系統(tǒng)性失效的概率，但并不針對(duì)單一零件性能參數(shù)的水平進(jìn)行規(guī)定，對(duì)此也不會(huì)產(chǎn)生影響。你可知道ASIL是有四個(gè)等級(jí)，分別為A,B,C,D,其中A是最低的等級(jí)，D是最局的等級(jí)。而ASIL等級(jí)分解只要是將系統(tǒng)的安全目標(biāo)和安全等級(jí)逐步落實(shí)到下級(jí)子系統(tǒng)的過(guò)程。危害，指系統(tǒng)功能異常導(dǎo)致危害的潛在來(lái)源；危害事件，指在指定場(chǎng)景下發(fā)生的危害；危害分析和風(fēng)險(xiǎn)評(píng)估，對(duì)指定系統(tǒng)的可能危害事件進(jìn)行識(shí)別和歸類(lèi)，并定義防止或減輕危害發(fā)生的安全目標(biāo)和安全等級(jí)，來(lái)避免避免

4、不合理風(fēng)險(xiǎn)。影響ASIL等級(jí)的三個(gè)基本要素是嚴(yán)重度(Severity)、暴露率(Exposure)和可控性(Controllability)。嚴(yán)重度，描述一旦風(fēng)險(xiǎn)成為現(xiàn)實(shí)，相關(guān)人員、財(cái)產(chǎn)將遭受損害的程度，比如電子鎖故障就比剎車(chē)故障的嚴(yán)重程度低；暴露率，描述風(fēng)險(xiǎn)出現(xiàn)時(shí)，人員或者財(cái)產(chǎn)可能受到影響的概率，比如底盤(pán)出現(xiàn)異響比乘員座椅故障暴露率低；可控性，描述風(fēng)險(xiǎn)出現(xiàn)時(shí)，駕駛員等在多大程度上可以采取主動(dòng)措施避免損害的發(fā)生，輪胎緩慢漏氣比剎車(chē)失靈可控性高。為什么要?jiǎng)澐趾头纸獍踩燃?jí)給汽車(chē)上的全部電子電氣系統(tǒng)劃分安全等級(jí)，明確每個(gè)系統(tǒng)，每個(gè)子系統(tǒng)，每個(gè)零件的安全目標(biāo)，制定執(zhí)行明確的安全措施。一方面使相關(guān)人員

5、和部門(mén)統(tǒng)一認(rèn)識(shí)，避免因?yàn)槟繕?biāo)含混不清，職責(zé)不明確造成的風(fēng)險(xiǎn)；另一方面，避免在同一個(gè)安全要素上重復(fù)投入資源，出現(xiàn)分布不均而出現(xiàn)的資源浪費(fèi)，一個(gè)風(fēng)險(xiǎn)點(diǎn)有幾個(gè)安全保障，而另一個(gè)故障點(diǎn)卻沒(méi)有人意識(shí)到。通過(guò)系統(tǒng)性，全生命周期的思考方式，實(shí)現(xiàn)全面的規(guī)劃安全功能的目的ASIL安全等級(jí)劃分方法劃分ASIL安全等級(jí)，首先我們需要做安全事項(xiàng)的危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估。針對(duì)所有可能發(fā)生的危害事件進(jìn)行的危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估，是確定安全目標(biāo)的第一步，這一步可以在還不知道對(duì)象細(xì)節(jié)的時(shí)候就進(jìn)行。比如，車(chē)輛在路上運(yùn)行，有碰撞的風(fēng)險(xiǎn)，這個(gè)風(fēng)險(xiǎn)的存在性和存在的形式都不必等待車(chē)輛設(shè)計(jì)好造型的時(shí)候才知道。為了明確功能安全要求，ISO2626

6、2標(biāo)準(zhǔn)給出一系列建議，下面是比較重要的幾點(diǎn)建議。1 .根據(jù)系統(tǒng)基本架構(gòu)提出功能安全的要求；2 .下級(jí)系統(tǒng)應(yīng)該全面繼承上級(jí)系統(tǒng)的安全要求和安全等級(jí)；3 .同一要素與上級(jí)的幾個(gè)系統(tǒng)都有從屬關(guān)系，則取安全等級(jí)最高的系統(tǒng)級(jí)別；4 .處理好于飛電子電氣類(lèi)安全措施的接口，不要存在系統(tǒng)安全空白，也不要在一個(gè)點(diǎn)上過(guò)度設(shè)計(jì)；對(duì)于上文所提到的危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估方法建議，我們歸納起來(lái)大體如下：使用評(píng)估清單；采用頭腦風(fēng)暴、分析工具（如FEM/AE者FTA等）；根據(jù)不同場(chǎng)景進(jìn)行評(píng)估，場(chǎng)景應(yīng)該是公認(rèn)的，影響作用方式是常識(shí)中的；清晰界定每個(gè)危險(xiǎn)事件自身的描述以及危險(xiǎn)造成的影響，盡量使用最準(zhǔn)確具體的語(yǔ)言，并全面的估計(jì)影響；對(duì)

7、于標(biāo)準(zhǔn)適用范圍以外的風(fēng)險(xiǎn)應(yīng)當(dāng)一道給以適當(dāng)處理安全等級(jí)ASIL按照嚴(yán)重性、暴露性和可控性這三個(gè)維度來(lái)進(jìn)行具體評(píng)估。嚴(yán)重性用SX表示，X取值可以是0/1/2/3,級(jí)別從低到高，級(jí)別越高，傷害越嚴(yán)重。S0無(wú)傷害；S1輕微或有限傷害；S2嚴(yán)重或危及生命的傷害（可生還）；S3危及生命的傷害（有死亡可能）或致命傷害；暴露性用EX表示，X取值從0至4,共5個(gè)等級(jí)。E0是幾乎不肯能暴露于危險(xiǎn)中,E4是可能性極高?？煽匦杂肅X表示，最低C0可控，最高C3幾乎不可控，共4個(gè)級(jí)別。ASIL等級(jí)分為A、B、C、D四個(gè)等級(jí)，ASILA是最低的安全等級(jí)，ASILD是最高的安全等級(jí)。除了這四個(gè)等級(jí)QM表示與安全無(wú)關(guān)。評(píng)估結(jié)

8、果范例表格如下圖所示。嚴(yán)重度，暴濡事。可控性丁C1P3C3QS1JQKPQWQh懺QM+1QkH，EWQM7QNHA?E+卡即EBQMQQkU口QK卬QKWAQE3一加小Ra小EWQMPQNPA6QMPg加A<B爐3D.ASIL安全等級(jí)分解效率最高的安全要素分配方式：ASIL分解傾向于把冗余的安全要求分配給足夠獨(dú)立的系統(tǒng)。從安全目標(biāo)開(kāi)始，安全要求在開(kāi)發(fā)過(guò)程中會(huì)被分解和提煉。ASIL作為安全目標(biāo)的一個(gè)屬性，會(huì)被每一個(gè)后續(xù)的安全要求所繼承。功能和技術(shù)安全需求向每個(gè)架構(gòu)要素的分配，開(kāi)始于初步的架構(gòu)設(shè)想，結(jié)束于硬件和軟件要素。在設(shè)計(jì)過(guò)程中的ASIL裁剪方法被稱(chēng)作“ASIL分解”。在分配階段，優(yōu)勢(shì)

9、來(lái)自架構(gòu)決定，包括存在足夠獨(dú)立的架構(gòu)要素。這些好處在于：-應(yīng)用冗余的安全要求通過(guò)獨(dú)立的架構(gòu)要素；-分配一個(gè)可能更低的ASIL給這些分解后的安全要求;如果這些架構(gòu)要素不是足夠獨(dú)立的，那么冗余的要求和架構(gòu)要素繼承初始化的ASIL。"理解一安全等級(jí)的劃分對(duì)象是電子電氣系統(tǒng)或產(chǎn)品，不包括管理流程等事項(xiàng);理解二標(biāo)準(zhǔn)不對(duì)標(biāo)稱(chēng)參數(shù)做安全性評(píng)估，只對(duì)功能安全系統(tǒng)定義的安全要求進(jìn)行拆解和評(píng)估；理解三安全等級(jí)的劃分順序，是自上而下的過(guò)程，上層系統(tǒng)分解出來(lái)的支持本層級(jí)安全目標(biāo)的措施，分解到下面一層，成為下一個(gè)層級(jí)的安全目標(biāo)，下層系統(tǒng)沒(méi)有特殊情況，需要繼承上層的安全目標(biāo)和安全等級(jí)；理解四安全等級(jí)和安全要素的

10、支持關(guān)系，存在著時(shí)間上的連續(xù)性，產(chǎn)品生命周期的每個(gè)階段都必須始終支持本層級(jí)系統(tǒng)的安全目標(biāo)；理解五如果組成系統(tǒng)的子系統(tǒng)之間沒(méi)有耦合關(guān)系，即他們不是互相影響的，而是只受下面一個(gè)層次的系統(tǒng)或者因素影響，那么這些獨(dú)立系統(tǒng)可以分配略低的ASIL等級(jí)。從另一個(gè)角度說(shuō)，如果分配正常的安全等級(jí)，則獨(dú)立系統(tǒng)可以使得父系統(tǒng)獲得更大的安全冗余。ASIL安全等級(jí)分解原則要素共存準(zhǔn)則，一個(gè)系統(tǒng)內(nèi)包含多個(gè)子要素，且某些子要素對(duì)其安全性產(chǎn)生影響，另外一些則不產(chǎn)生影響；或者一些子要素的安全等級(jí)高而另外的一些安全等級(jí)低。此時(shí)總的原則是，將子要素的安全等級(jí)提升到系統(tǒng)安全級(jí)別，除非能夠證明，低等級(jí)的子要素對(duì)系統(tǒng)不產(chǎn)生不良影響，同時(shí)對(duì)其余子要素也不產(chǎn)生不良影響。相關(guān)失效分析，系統(tǒng)內(nèi)并行的幾個(gè)功能，可能因?yàn)槭艿酵粋€(gè)底層因素的影響，或者同一個(gè)外部因素的影響同時(shí)失效；系統(tǒng)中，串聯(lián)關(guān)系（一個(gè)系統(tǒng)的輸出是另一個(gè)系統(tǒng)的輸入）的幾個(gè)系統(tǒng)，可能在一個(gè)底層輸入的錯(cuò)誤瞬間造成一系列的失效。必須識(shí)別出這種可能存在的失效模式和相