iso 26262中的asil等級確定與分解

1、ISO26262中的中的ASIL等級確定與分解等級確定與分解1.引言引言汽車上電子電氣系統（EE）數量不斷的增加，一些高端豪華轎車上有多達70多個ECU（ElectronicControlUnit電子控制單元），其中安全氣囊系統、制動系統、底盤控制系統、發(fā)動機控制系統以及線控系統等都是安全相關系統。當系統出現故障的時候，系統必須轉入安全狀態(tài)或者轉換到降級模式，避免系統功能失效而導致人員傷亡。失效可能是由于規(guī)范錯誤(比如安全需求不完整)、

2、人為原因的錯誤(比如：軟件bug)、環(huán)境的影響(比如：電磁干擾)等等原因引起的。為了實現汽車上電子電氣系統的功能安全設計，道路車輛功能安全標準ISO26262[1]于2011年正式發(fā)布，為開發(fā)汽車安全相關系統提供了指南，該標準的基礎是適用于任何行業(yè)的電子電氣可編程電子系統的功能安全標準IEC61508[2]。ISO26262標準中對系統做功能安全設計時，前期重要的一個步驟是對系統進行危害分析和風險評估，識別出系統的危害并且對危害的風險等

3、級——ASIL等級（AutomotiveSafetyIntegrationLevel，汽車安全完整性等級）進行評估。ASIL有四個等級，分別為A，B，C，D，其中A是最低的等級，D是最高的等級。然后，針對每種危害確定至少一個安全目標，安全目標是系統的最高級別的安全需求，由安全目標導出系統級別的安全需求，再將安全需求分配到硬件和軟件。ASIL等級決定了對系統安全性的要求，ASIL等級越高，對系統的安全性要求越高，為實現安全付出的代價越高，

4、意味著硬件的診斷覆蓋率越高，開發(fā)流程越嚴格，相應的開發(fā)成本增加、開發(fā)周期延長，技術要求嚴格。ISO26262中提出了在滿足安全目標的前提下降低ASIL等級的方法——ASIL分解，這樣可以解決上述開發(fā)中的難點。本文首先介紹了ISO26262標準中的危害分析和風險評估階段中的ASIL等級確定方法，然后介紹了ASIL分解的原則，并輔以實例進行說明。2.危害分析和風險評估危害分析和風險評估依據ISO26262標準進行功能安全設計時，首先識別系統

5、的功能，并分析其所有可能的功能故障（Malfunction），可采用的分析方法有HAZOP，FMEA、頭腦風暴等。如果在系統開發(fā)的各個階段發(fā)現在本階段沒有識別出來的故障，都要回到這個階段，進行更新。功能故障在特定的駕駛場景下，才會造成傷亡事件，比如近光燈系統，其中一個功能故障就是燈非預期熄滅，如果在漆黑的夜晚行駛在山路上，駕駛員看不清道路狀況，可能會掉入懸崖，造成車毀人亡；如果此功能故障發(fā)生在白天就不會產生任何的影響。所以進行功能故障分

6、析后，要進行情景分析，識別與此故障相關的駕駛情景，比如：高速公路超車、車庫停車等。分析駕駛情景建議從公路類型：比如國道、城市道路、鄉(xiāng)村道路等；路面情況：比如濕滑路面、冰雪路面、干燥路面；車輛狀態(tài)：比如轉向、超車、制動、加速等；環(huán)境條件：比如：風雪交加、夜晚、隧道燈；交通狀況：擁堵、順暢、紅綠燈等；人員情況：不如乘客、路人等幾個方面去考慮。功能故障和駕駛場景的組合叫做危害事件（hazardevent），危害事件確定后，根據三個因子——嚴重

7、度（Severity）、暴露率（Exposure）和可控性（Controllability）評估危害事件的風險級別——ASIL等級。其中嚴重度是指對駕駛員、乘員、或者行人等涉險人員的傷害程度；暴露率是指人員暴露在系統的失效能夠造成危害的場景中的概率；可控性是指駕駛員或其他涉險人員能夠避免事故或傷害的可能性。這三個因子的分類在表1中給出。表1嚴重度、暴露率、可控性分類通過以上分析，得出EPB系統的安全目標為：防止制動失效，ASIL等級為D

8、。3.ASIL分解原則分解原則通過上節(jié)介紹的危害分析和風險評估，我們得出系統的安全目標和相應的ASIL等級，從安全目標可以推導出開發(fā)階段的安全需求，安全需求繼承安全目標的ASIL等級。如果一個安全需求分解為兩個冗余的安全需求，那么原來的安全需求的ASIL等級可以分解到兩個冗余的安全需求上。因為只有當兩個安全需求同時不滿足時，才導致系統的失效，所以冗余安全需求的ASIL等級可以比原始的安全需求的ASIL等級低。ISO26262標準的第9章

9、給出了ASIL分解的原則，如圖1所示。分解后的ASIL等級后面括號里是指明原始需求的ASIL等級，比如ASILD等級分解為ASILC(D)和ASILA(D)等，因為集成和需求的驗證仍然依據其原始的ASIL等級。ASIL分解可以在安全生命周期的多個階段進行，比如功能安全概念、系統設計、硬件設計、軟件設計階段。而且ASIL等級可以分多次進行，比如ASILD等級分為ASILC(D)和ASILA(D)，ASILC(D)還可以繼續(xù)分解為ASILB

10、(D)和ASILA(D)。但是ASIL分解的一個最重要的要求就是獨立性，如果不能滿足獨立性要求的話，冗余單元要按照原來的ASIL等級開發(fā)。所謂的獨立性就冗余單元之間不應發(fā)生從屬失效（DependentFailure），從屬失效分為共因失效（CommonCauseFailure）和級聯失效(CadingFailure)兩種。共因失效是指兩個單元因為共同的原因失效，比如軟件復制冗余，冗余單元會因為同一個軟件bug導致兩者都失效，為了避免該共