ASIL 汽车安全性等级

1、国际标准化组织26262 ASIL安全级别，你知道如何划分和分解它吗？2019-04-22 17:34据九脑会介绍，随着汽车上电子/电气系统(E/E)数量的增加，一些高端豪华车上有70多个电子控制单元(Economic Control Unit)，其中安全气囊系统、制动系统、底盘控制系统、发动机控制系统和线控系统都是与安全相关的系统。为了实现汽车电子电气系统的功能安全设计，2011年正式发布了道路车辆功能安全标准ISO 26262，为开发汽车安全相关系统提供了指导。该标准基于适用于任何行业的电子/电气/可编程电子系统的功能安全标准IEC 61508。ASIL安全等级的概念ASIL水平，汽车安全

2、集成水平，是指系统能够达到规定的安全目标的概率。每个安全功能要求包括两个部分：安全目标和ASIL安全水平。为了将安全功能要求应用于指定系统，ASIL安全分类包括以下步骤：1.根据预期的体系结构、功能概念、运行模式和系统状态等进行设计。确定安全事件；2.风险分析和风险评估，初步确定ASIL的安全等级；3.逐步分解安全要求和安全级别。ASIL安全等级划分和ASIL安全等级逐层分解交替进行，直到不能进一步分解的部分或子系统到达；4.等级划分的合理性可以通过因素共存原则、相关失效分析和安全分析来检验。与ASIL有关的几个概念根据ASIL分类的基本规则，从安全目标出发，主要考虑影响等级的三个因素，最终确

3、定系统或部件的安全等级。ASIL分类的目标是降低系统故障的概率，但它没有规定单个零件的性能参数水平，这不会影响它。你知道ASIL有四个等级，即甲、乙、丙和丁，其中甲是最低等级，丁是最高等级。ASIL层次分解只是将系统的安全目标和层次逐步落实到下属子系统的过程。危害是指系统功能异常造成的潜在危害源；危险事件是指在指定的现场发生的危险；危害分析和风险评估，对指定系统可能发生的危害事件进行识别和分类，定义安全目标和安全等级，以预防或减轻危害，避免不合理的风险。影响ASIL水平的三个基本因素是严重性、暴露和可控性。严重性，描述一旦风险成为现实，对相关人员和财产的损害程度。例如，电子锁故障的严重性低于刹

4、车故障的严重性；暴露率，描述风险发生时人员或财产可能受到影响的概率。例如，底盘的异常噪音低于乘客座椅故障的暴露率；可控性描述了当风险发生时，驾驶员可以采取主动措施避免损害的程度。缓慢的轮胎泄漏比刹车失灵更容易控制。我们为什么要划分和分解安全级别将汽车上的所有电子电气系统划分为安全等级，明确每个系统、子系统和部件的安全目标，并制定和实施明确的安全措施。一方面，使相关人员和部门有一个统一的认识，避免因目标模糊和职责不清而造成的风险；另一方面，为了避免在相同的安全系数下重复投入资源，造成资源分配不均的浪费，一个风险点有多个安全保证，而另一个故障点不被认可。通过系统和生命周期的思考，我们可以实现全面规

5、划安全功能的目标。ASIL证券分类方法要对ASIL的安全等级进行分类，首先需要对安全事项进行风险分析和风险评估。对所有可能的危险事件进行风险分析和风险评估是确定安全目标的第一步，这可以在知道物体的细节之前进行。例如，当车辆在道路上行驶时，存在碰撞的风险，并且在设计车辆之前不需要知道这种风险的存在和形式。为了阐明功能安全要求，ISO26262标准给出了一系列建议，以下是一些重要的建议。1.根据基本系统架构提出功能安全要求；2.下级系统应充分继承上级系统的安全要求和安全等级；3.如果同一要素与多个上级系统有隶属关系，则取安全级别最高的系统级；4.在于飞处理好电气和电子安全措施的接口，在一点上没有系

6、统安全漏洞或过度设计；对于上述风险分析和风险评估方法的建议，我们可以总结如下：使用评估清单；采用头脑风暴和分析工具(如联邦应急管理局或自由贸易区)；根据不同的情景，应识别情景，影响方式为常识；明确定义每个危险事件的描述和危险造成的影响，尽可能使用最准确和具体的语言，全面估计影响；标准适用范围以外的风险应一起妥善处理。ASIL的安全级别是根据三个维度进行具体评估的：严重性、暴露和可控性。严重在SX，x的值可以是0/1/2/3，级别从低到高，级别越高，伤害越严重。S0是无害的；S1轻伤或有限伤；S2严重或危及生命的伤害(可存活)；S3危及生命的伤害(可能死亡)或致命伤害；暴露用EX表示，x的值范围

7、从0到4，共有5个等级。E0几乎不愿意暴露在危险中，而E4极有可能。可控制性在CX，最低的C0是可控的，最高的C3几乎是不可控的，总共有四个级别。ASIL的安全等级分为四个等级：甲、乙、丙、丁。ASIL甲为最低安全等级，ASIL丁为最高安全等级。除了这四个层次，质量管理表明它与安全无关。评估结果示例表如下图所示。ASIL安全等级分解ASIL分解是最有效的安全元素分配方法，它倾向于将冗余的安全需求分配给足够独立的系统。从安全目标出发，安全需求将在开发过程中分解和细化。作为安全目标的一个属性，ASIL将被随后的每一项安全要求所继承。将功能和技术安全需求分配给每个体系结构元素始于初步的体系结构假设，

8、止于硬件和软件元素。设计过程中的ASIL裁剪方法称为“ASIL分解”。在发布阶段，优势来自于架构决策，包括足够独立的架构元素的存在。这些好处是：-通过独立的架构元素应用冗余的安全要求；-为这些分解的安全要求指定一个可能更低的ASIL值；如果这些架构元素不够独立，多余的需求和架构元素将继承初始化的ASIL。理解一个安全等级分为电子电气系统或产品，不包括管理流程和其他事项；理解2该标准不评估标称参数的安全性，而仅分解和评估功能安全系统定义的安全要求；理解三安全级别的划分顺序是一个自上而下的过程。上级系统分解的支持本级安全目标的措施分解到下一级，成为下一级的安全目标。下层系统没有特殊情况，需要继承上

9、层的安全目标和安全等级。理解4安全级别和安全要素之间的支持关系在时间上是连续的，产品生命周期的每个阶段都必须始终支持该级别系统的安全目标；理解5如果组成系统的子系统之间没有耦合关系，也就是说，它们彼此不受影响，而只受下一级系统或因素的影响，那么这些独立的系统可以被分配一个稍低的ASIL级。另一方面，如果分配了正常的安全级别，独立系统可以使父系统获得更大的安全冗余。ASIL安全等级分解原理元素共存规则，一个系统包含多个子元素，一些子元素对其安全性有影响，而另一些没有影响；或者一些子元素具有高安全级别，而其他子元素具有低安全级别。此时，一般原则是将子元素的安全级别提升到系统安全级别，除非能够证明低级别子元素对系统和其他子元素没有不利影响。相关故障分析，由于相同的潜在因素或相同的外部因素，系统中的几个并行功能可能同时发生故障；在系统中，处于串联关系的几个系统(一个系统的输出是另一个系统的输入)可能在底部输入错误的时刻导致一系列故障。有必要识别可能的故