ISO 26262 中的ASIL 等级确定与分解 1. 引言 汽车上电子/电气系统(E/E)数量不断的增加,一些高端豪华轿车上有多达70 多个ECU(Electronic Control Unit 电子控制单元),其中安全气囊系统、制动系统、底盘控制系统、发动机控制系统以及线控系统等都是安全相关系统。当系统出现故障的时候,系统必须转入安全状态或者转换到降级模式,避免系统功能失效而导致人员伤亡。失效可能是由于规范错误 (比如安全需求不完整)、人为原因的错误(比如:软件 bug)、环境的影响( 比如:电磁干扰)等等原因引起的。为了实现汽车上电子/电气系统的功能安全设计,道路车辆功能安全标准 ISO 26262[1]于 2011 年正式发布,为开发汽车安全相关系统提供了指南,该标准的基础是适用于任何行业的电子/电气/可编程电子系统的功能安全标准 IEC 61508[2]。 ISO 26262 标准中对系统做功能安全设计时,前期重要的一个步骤是对系统进行危害分析和风险评估,识别出系统的危害并且对危害的风险等级——ASIL 等级(Automotive Safety Integration Level ,汽车安全完整性等级)进行评估。ASIL 有四个等级,分别为 A,B,C,D,其中A 是最低的等级,D 是最高的等级。然后,针对每种危害确定至少一个安全目标,安全目标是系统的最高级别的安全需求,由安全目标导出系统级别的安全需求,再将安全需求分配到硬件和软件。 ASIL 等级决定了对系统安全性的要求,ASIL 等级越高,对系统的安全性要求越高,为实现安全付出的代价越高,意味着硬件的诊断覆盖率越高,开发流程越严格,相应的开发成本增加、开发周期延长,技术要求严格。ISO 26262 中提出了在满足安全目标的前提下降低 ASIL 等级的方法——ASIL 分解,这样可以解决上述开发中的难点。 本文首先介绍了 ISO 26262 标准中的危害分析和风险评估阶段中的ASIL 等级确定方法,然后介绍了 ASIL 分解的原则,并辅以实例进行说明。 2. 危害分析和风险评估 依据 ISO 26262 标准进行功能安全设计时,首先识别系统的功能,并分析其所有可能的功能故障(Malfunction),可采用的分析方法有HAZOP,FMEA、头脑风暴等。如果在系统开发的各个阶段发现在本阶段没有识别出来的故障,都要回到这个阶段,进行更新。功能故障在特定的驾驶场景下,才会造成伤亡事件,比如近光灯系统,其中一个功能故障就是灯非预期熄灭,如果在漆黑的夜晚行驶在山路上,驾驶员看不清道路状况,可能会掉入悬崖,造成车...
