ASIL详解

概念

随着汽车新四化的发展,整车E/E系统的复杂性也不断增加,功能安全正成为一种更主流的要求。汽车安全完整性等级(ASIL)分解为实现更高水平的诊断覆盖度提供了可靠而稳健的途径,并在开发具有更高ASIL等级的安全关键系统时为研发人员提供了更大的灵活性。
ASIL等级无疑是汽车功能安全最重要的概念之一,它是相关项潜在危害的风险量化指标,共包含四个等级,即A,B,C,D,和QM,其中A是最低的安全等级,D是最高的安全等级,ASIL等级越高,危害的风险越大,QM为符合正常质量管理即可。
ASIL分解本质是充分冗余,冗余的本质就是独立性,所以独立性是ASIL等级分解的前提,所谓的独立性就是分解后的两个需求,即不存在级联失效,也没有共因失效的问题。
ASIL等级贯穿整个相关项的开发,最初作为安全目标SG的安全属性要求,随着从概念,到系统,再到硬件和软件的开发,ASIL等级由后续每个安全要求来继承。
从本质上来讲,ASIL安全等级的高低直接决定了系统的安全性要求的高低,ASIL 等级越高,意味着为实现相应的安全需求,需要付出更高的代价,需要遵循更严格的开发流程,更高的硬件概率化度量指标,这会直接导致开发成本的增加、开发周期的延长,甚至有时候有时候因为技术原因,无法满足相应的ASIL等级。

功能安全标准

ISO 26262《道路车辆功能安全》脱胎于IEC 61508《电气/电子/可编程电子安全系统的功能安全》,主要定位在汽车行业(包含乘用车、商用车、卡车、特殊车辆、摩托车等)中特定的电子器件、电子设备等专门用于汽车领域的部件,目的是提高汽车电子电气产品的安全性。
ISO 26262从2005年起正式开始制定,历约6年于2011年正式颁布第一版,成为国际标准。第二版也于2018年正式发布。相应的国标版功能安全标准也于2017年正式发布——GB/T 34590。

专业名词浅析

故障(FAULT),错误(ERROR), 失效(FAILURE), 缺陷(DEFECT)这几个词的含义对于不了解功能安全的可能并不容易分清,但这些并不是ISO26262首创的,而是可靠性工程行业的一些基本概念,也是功能安全标准的基础。这些在ISO26262-1文档有很好的描述,我也做下简单的解读:

名词ISO26262的解释内涵
故障 (FAULT)一种可能导致元器件或者功能失败或者失效的异常FAULT是一种“因”。任何失效都来源于某种“因”
错误 (ERROR)观察或测量到的和所期望的不一致ERROR是观测到的FAULT。通常对于数据传输,系统繁忙等产生的不一致是难免的,这是常用ERROR一词。对于系统单元故障则是常用FAULT。
失效 (FAILURE)一个单元或功能因为故障(FAULT)中止或者无法按预期达成目标FAILURE是FAULT的结果。
缺陷 (DEFECT)ISO26262常见术语不包含DEFECT,认为应该没有缺陷或者瑕疵缺陷对于硬件来自于材料或者设计生产不完美,对于软件体现于BUG,任何软件BUG在ISO26262都认为是 系统级故障(Systematic Fault )
单点故障(SPF, Single-Point Fault)单个故障发生就会导致系统安全目标失败的异常注意,这里系统安全目标失败指的是从整车的角度来看,所以增加系统冗余或者采用外加看门狗监控这个故障,避免系统安全目标失败的话,这个就不再是单点故障
残余故障(RF, Residual Fault)单个硬件随机故障发生,但没有被系统安全机制所覆盖,而导致系统安全目标失败注意,ISO26262的RF仅限于硬件随机失效。SPF和RF都是严重的,其发生率和ASIL级别直接相关。安全机制的设计应该尽可能覆盖各种已知的硬件随机故障
多点故障(MPF,Multi Point Fault)某个故障,当和别的故障同时发生,而且都没有被检测或者察觉出来,而导致的系统安全目标失败注意,检测或觉察出故障,采取相应措施,就可以减少或者避免多点故障。这同时也意味着多点故障单个发生的时候可能没有很大危害性,需要两个或更多发生才会体现。可检测出来的MPF也叫做MPF-DP
潜伏故障(LF, Latent Fault, MPF-LF)在检测周期里,已经发生但是没有被检测或者觉察出来的多点故障注意,这意味着扩大检测覆盖率,或者同时缩短检测周期,有可能减少LF。如果已经被检查出来并进行处理,这个MPF可能可以做到不影响系统安全目标

从上述列表分析来看,单点故障(SPF)和残余故障(RF)是最为致命的故障。不容易被发现和觉察的潜伏故障(LF)也会留下隐患。

ASIL的定义

◆通常在项目早期阶段进行,通过对系统/功能进行危害分析和风险评估(HARA)获得
◆每一个危险事件都被分配了一个ASIL等级 (从ASIL-A 到 ASIL-D,或QM)
◆QM不是一个功能安全等级,它意味着没有特殊性的安全要求,满足质量管理流程即可
◆ASIL的选择基于可控性(C)、严重程度(S)和暴露时间(E)

例如:安全气囊、防抱死制动器和动力转向等系统需要ASIL-D等级(适用于安全保证的最高等级,因为与此类故障相关的风险最高);尾灯等组件通常只需要ASIL-A等级,前灯和刹车灯通常为ASIL-B,雨刷控制通常为ASIL-A;而巡航控制通常为ASIL-C。

  • 9
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值