ISO26262中的ASIL等级确定与分解

1、欧阳讣创编2021.02.11ISO 26262 中的 ASIL 等级确定与分解时间：2021.02.11创作：欧阳计1. 引言汽车上电子/电气系统（E/E）数量不断的增加，一些高 端豪华轿车上有多达 70 多个 ECU （Electronic Control Unit 电 子控制单元），其中安全气囊系统、制动系统、底盘控制 系 统、发动机控制系统以及线控系统等都是安全相关系 统。当 系统出现故障的时候，系统必须转入安全状态或者 转换到降 级模式，避免系统功能失效而导致人员伤亡。失 效可能是由 于规范错误（比如安全需求不完整）、人为原因的 错误（比 如：软件bug）、环境的影响（比如：电磁干扰

2、）等等原因 引起的。为了实现汽车上电子/电气系统的功能安全设 计，道 路车辆功能安全标准 ISO 262621于正式发布，为开 发汽车安 全相关系统提供了指南，该标准的基础是适用于 任何行业的 电子/电气/可编程电子系统的功能安全标准 IEC 61508（2 oISO 26262 标准中对系统做功能安全设计时，前期重要 的 一个步骤是对系统进行危害分析和风险评估，识别出系 统的 危害并且对危害的风险等级ASIL等级（AutomotiveSafety In tegration Level，汽车安全完整性等级）进行评估。ASIL有四个等级，分别为A, B, C, D,其中A是最低的等 级，D 是最

3、高的等级。然后，针对每种危害确定至少一个安 全目标， 安全目标是系统的最高级别的安全需求，由安全 目标导出系统 级别的安全需求，再将安全需求分配到硬件和软件。ASIL等级 决定了对系统安全性的要求， ASIL 等级越 高，对系统的安全性 要求越高，为实现安全付出的代价越 高，意味着硬件的诊断覆 盖率越高，开发流程越严格，相 应的开发成本增加、开发周期 延长，技术要求严格。 ISO 26262 中提岀了在满足安全目标的前 提下降低 ASIL 等级的 方法一一 ASIL 分解，这样可以解决上述 开发中的难点。本文首先介绍了 ISO 26262 标准中的危害分析和风险评 估 阶段中的 ASIL 等级

4、确定方法，然后介绍了 ASIL 分解的原 则， 并辅以实例进行说明。2.危害分析和风险评估依据 ISO 26262 标准进行功能安全设计时，首先识别系 统 的功能，并分析其所有可能的功能故障( Malfunction), 可采用的 分析方法有HAZOP, FMEA、头脑风暴等。如果在系统开发的各 个阶段发现在本阶段没有识别出来的故障， 都要回到这个阶 段，进行更新。功能故障在特定的驾驶场 景下，才会造成伤亡 事件，比如近光灯系统，其中一个功 能故障就是灯非预期熄 灭，如果在漆黑的夜晚行驶在山路 上，驾驶员看不清道路状况，可能会掉入悬崖，造成车毁 人亡；如果此功能故障发生在 白天就不会产生任何的

5、影 响。所以进行功能故障分析后，要进 行情景分析，识别与 此故障相关的驾驶情景，比如：高速公路 超车、车库停车 等。分析驾驶情景建议从公路类型：比如国 道、城市道 路、乡村道路等；路面情况：比如湿滑路面、冰雪 路面、 干燥路面；车辆状态：比如转向、超车、制动、加速 等； 环境条件：比如：风雪交加、夜晚、隧道灯；交通状况： 拥堵、顺畅、红绿灯等；人员情况：不如乘客、路人等几 个方 面去考虑。功能故障和驾驶场景的组合叫做危害事件(hazard eve nt),危害事件确定后，根据三个因子严重度(Severity)、暴露率(Exposure)和可控性(Controllability)评估危害事件的风

6、险级别一一 ASIL等级。其 中严重度是指对驾驶员、乘员、或者行人等涉险人员的 伤害程 度；暴露率是指人员暴露在系统的失效能够造成危 害的场景中 的概率；可控性是指驾驶员或其他涉险人员能 够避免事故或伤 害的可能性。这三个因子的分类在表1 中 给出。表1 严重度、暴露率、可控性分类ASIL等级的确定基于这三个影响因子，表2中给岀了 ASIL 的确定方法，其中D代表最高等级，A代表最低等 级，QM表 示质量管理(Quality Management),表示按照 质量管理体系开发 系统或功能就足够了，不用考虑任何安 全相关的设计。确定了 危害的 ASIL 等级后，为每个危害确 定至少一个安全目标，

7、作 为功能和技术安全需求的基础。表 2ASIL 等级确定下面以EPB (Electrical Park Brake)系统为例介绍如何进 行危 害分析和风险评估。EPB 较传统的驻车制动器，除了驻车功能，还有动态起 步 辅助功能、紧急制动功能以及自动驻车功能等。这里我 们以驻 车功能为例，当驻车时，驾驶员通过按钮或其它方 式发出制动 请求，EPB系统在汽车的后轮上施加制动力，以防止车非预期 滑行。该系统的危害有：非预期制动失效、 非预期制动启动。 相同的危害在不同的场景下的风险是不 一样的，所以我们要对 不同的驾驶场景进行分析。为了简 化问题，这里我们仅对非 预期制动失效这种功能故障进行 风险评

8、估。表 3 给出了 EPB 风险评估表，在该表中我们考 虑的驾驶场景是车停在斜坡 上，驾驶员不在车上。如果驾 驶员在车上的话，驾驶员可通过 踩刹车控制汽车滑行，可 控性增加，那么所评估的 ASIL 等级 会比表中的 ASIL D 低， 但是对于同一个安全目标，如果评估 的 ASIL 等级不同的 话，要选择 ASIL 等级最高的那个。表 3 EPB 风险评估通过以上分析，得出 EPB 系统的安全目标为：防止制动 失 效， ASIL 等级为 D。3. ASIL 分解原则通过上节介绍的危害分析和风险评估，我们得出系统的 安 全目标和相应的 ASIL 等级，从安全目标可以推导出开发 阶段 的安全需求，

9、安全需求继承安全目标的 ASIL 等级。如 果一个 安全需求分解为两个冗余的安全需求，那么原来的 安全需求的 ASIL 等级可以分解到两个冗余的安全需求上。 因为只有当两个 安全需求同时不满足时，才导致系统的失 效，所以冗余安全需 求的ASIL等级可以比原始的安全需求 的ASIL等级低。ISO 26262 标准的第 9 章给出了 ASIL 分解的 原则，如图 1 所示。分解后的 ASIL 等级后而括号里是指明原始需求的 ASIL 等 级，比如ASILD等级分解为ASILC(D)和ASILA(D)等，因为 集成 和需求的验证仍然依据其原始的 ASIL 等级。 ASIL 分解 可以在 安全生命周期

10、的多个阶段进行，比如功能安全概 念、系统设 计、硬件设计、软件设计阶段。而且 ASIL 等级 可以分多次进 行，比如ASILD等级分为ASILC(D)和ASILA(D), ASILC(D)还可以继 续分解为 ASILB(D)和 ASIL A(D)o但是 ASIL 分解的一个最重要的要求就是独立性，如果 不 能满足独立性要求的话，冗余单元要按照原来的 ASIL 等 级开 发。所谓的独立性就冗余单元之间不应发生从属失效(Depe ndent Failure)，从属失效分为共因失效(Common Cause Failure)和级联失效(Cascading Failure)两种。共因失效是指两个 单元

11、因为共同的原因失效，比如软件复制冗 余，冗余单元会因 为同一个软件 bug 导致两者都失效，为 了避免该共因失效， 我们采用多种软件设计方法。级联失 效是指一个单元失效导致 另一个单元的失效，比如一个软 件组件的功能出现故障，写入 另一个软件组件 RAM 中，导 致另一个软件组件的功能失效， 为了控制该级联失效，我 们采用内存管理单元，可以探测到非 法写入 RAM 的情况。图 1 ASIL 分解原理图下面以一个例子介绍 ASIL 分解的过程。假设功能F,其输入信号为SI, S2, S3,这三个信号分别测量不 同的物理量，是相互独立的，经过 ECU 内部的逻 辑运算后， 发送触发信息给执行器Ac

12、tuator，功能F的架构 示意图如图2 所示。假设经过危害分析和风险评估后，功 能 F 的 ASIL 等级 为ASILD，安全目标为避免非预期触发执行器。那么功能F的各 个部分继承ASIL等级，即传感器、ECU、执行器都需要按照 ASILD 等级开发，如图 3 所示。图 2 功能 F 架构不意图图 3 ASIL 等级在功能 F 架构上的分配图经过进一步的分析发现，当速度V阈值时，非预期触发 执行器，才能造成危险。那么我们在功能 F 的架构中，加 入一 个安全机制，安全机制的功能是当检测到速度 V 大于 阈值时，不允许触发执行器。那么功能 F 的架构变为如图 4 所示。 图 4 加入安全机制后

13、的架构功能 F 和安全机制是冗余安全需求，同时来满足安全目 标，因此可以将功能 F 原来的 ASIL 等级在这两个需求上进 行 分解，分解为ASILD(D)和QM(D)，分解后的ASIL等级如图5所 示。图 5 ASIL 分解后架构示意图原来的传感器 S2、S3 按照 QM 开发，速度传感器 按照 ASILD 开发， ECU 里面的软件，原来的逻辑按 QM 开 发，安全 机制的逻辑按照 ASILD 开发，不同 ASIL 等级的软 件存在于一 个 ECU 内，为了保证软件之间的独立性，保证 两者之间不相 互影响，需要考虑内存保护机制，合适的调 度属性来保证存储 空间和 CPU 时间的独立性，这样会增加 软件开发的很多成 本。那么我们进一步采取硬件上的分离 来保证独立性，我们选 择一个成本很低的简单的芯片(比 如 PGA, Programmable Gate Array)来运行安全机制中的软件(如图6所示)。需要注意的是 PGA 要使用独立的电源 和时钟。图 6 改进的 ASIL 分解后架构示意图经过分解后，按照 ASILD 开发的功能逻辑简单，使得开 发 变得简单，整体成本也得以降低。4 结论本文以 EPB 为例介绍了 ISO 26262 标准中安全目标及其 ASIL 等级确定的方法，安全目标的 ASI