ISO26262中的ASIL等级确定与分解.pdf

. ISO 26262 中的 ASIL 等级确定与分解 1. 引言 汽车上电子 / 电气系统 （E/E ）数量不断的增加， 一些高端豪华轿车上有多达 70 多个 ECU （Electronic Control Unit 电子控制单元），其中安全气囊系统、制动系统、底盘控制系统、发动机控制系统以及线控系 统等都是安全相关系统。当系统出现故障的时候，系统必须转入安全状态或者转换到降级模式，避免系统 功能失效而导致人员伤亡。失效可能是由于规范错误 ( 比如安全需求不完整 ) 、人为原因的错误 ( 比如：软件 bug) 、环境的影响 ( 比如：电磁干扰 )等等原因引起的。为了实现汽车上电子 / 电气系统的功能安全设计，道 路车辆功能安全标准 ISO 26262[1] 于 2011 年正式发布，为开发汽车安全相关系统提供了指南，该标准的 基础是适用于任何行业的电子 / 电气/ 可编程电子系统的功能安全标准 IEC 61508[2] 。 ISO 26262 标准中对系统做功能安全设计时， 前期重要的一个步骤是对系统进行危害分析和风险评估， 识别出系统的危害并且对危害的风险等级 —— ASIL 等级（ Automotive Safety Integration Level ，汽车安全 完整性等级） 进行评估。 ASIL 有四个等级， 分别为 A ，B ，C ，D ，其中 A 是最低的等级， D 是最高的等级。 然后，针对每种危害确定至少一个安全目标，安全目标是系统的最高级别的安全需求，由安全目标导出系 统级别的安全需求，再将安全需求分配到硬件和软件。 ASIL 等级决定了对系统安全性的要求， ASIL 等级 越高，对系统的安全性要求越高，为实现安全付出的代价越高，意味着硬件的诊断覆盖率越高，开发流程 越严格，相应的开发成本增加、开发周期延长，技术要求严格。 ISO 26262 中提出了在满足安全目标的前 提下降低 ASIL 等级的方法 —— ASIL 分解，这样可以解决上述开发中的难点。 本文首先介绍了 ISO 26262 标准中的危害分析和风险评估阶段中的 ASIL 等级确定方法， 然后介绍了 ASIL 分解的原则，并辅以实例进行说明。 2. 危害分析和风险评估 依据 ISO 26262 标准进行功能安全设计时，首先识别系统的功能，并分析其所有可能的功能故障 （Malfunction ），可采用的分析方法有 HAZOP ，FMEA 、头脑风暴等。如果在系统开发的各个阶段发现在 本阶段没有识别出来的故障，都要回到这个阶段，进行更新。功能故障在特定的驾驶场景下，才会造成伤 亡事件，比如近光灯系统，其中一个功能故障就是灯非预期熄灭，如果在漆黑的夜晚行驶在山路上，驾驶 员看不清道路状况， 可能会掉入悬崖， 造成车毁人亡； 如果此功能故障发生在白天就不会产生任何的影响。 所以进行功能故障分析后，要进行情景分析，识别与此故障相关的驾驶情景，比如：高速公路超车、车库 停车等。分析驾驶情景建议从公路类型：比如国道、城市道路、乡村道路等；路面情况：比如湿滑路面、 冰雪路面、干燥路面；车辆状态：比如转向、 超车、制动、加速等；环境条件：比如：风雪交加、夜晚、 隧道灯；交通状况：拥堵、顺畅、红绿灯等；人员情况：不如乘客、路人等几个方面去考虑。功能故障和 驾驶场景的组合叫做危害事件 （hazard event ）， 危害事件确定后， 根据三个因子 —— 严重度 （Severity ）、 暴露率（ Exposure ）和可控性（ Controllability ）评估危害事件的风险级别 —— ASIL 等级。其中严重度是 指对驾驶员、乘员、或者行人等涉险人员的伤害程度；暴露率是指人员暴露在系统的失效能够造成危害的 场景中的概率；可控性是指驾驶员或其他涉险人员能够避免事故或伤害的可能性。这三个因子的分类在表 1 中给出。