汽車(chē)安全完整性等級 （ASIL） 指南

汽車(chē)技術(shù)的新革命不僅即將到來(lái)，而且已經(jīng)到來(lái)。從電動(dòng)汽車(chē)的迅速普及到自動(dòng)駕駛汽車(chē)，汽車(chē)從機械系統的時(shí)代迅速發(fā)展。出于各種原因，這些進(jìn)步令人興奮和受歡迎，但它們給從擋風(fēng)玻璃雨刷器到微芯片再到內置攝像頭的所有開(kāi)發(fā)人員帶來(lái)了越來(lái)越多的挑戰和考慮。隨著(zhù)駕駛員越來(lái)越依賴(lài)使從 A 點(diǎn)到 B 點(diǎn)更輕松、更有趣的系統，他們還需要確保這些系統安全可靠。

在這種新的汽車(chē)現實(shí)中，遵守安全準則從未像現在這樣重要。隨著(zhù)開(kāi)發(fā)人員和制造商努力實(shí)現 ISO 26262 合規性，他們必須了解汽車(chē)安全完整性等級 （ASIL），才能知道要應用什么級別的嚴格性。

什么是 ASIL？

ASIL 代表 Automotive Safety Integrity Level，是道路車(chē)輛功能安全的風(fēng)險分類(lèi)系統。ASIL 由 ISO 26262 標準第 9 部分定義，并改編自 IEC 61508 中發(fā)布的安全完整性等級 （SIL） 指南。

雖然遵守 ISO 26262 不是強制性的，但它是行業(yè)內最先進(jìn)的做法，而 ASIL 是該標準的關(guān)鍵部分。ASIL 根據產(chǎn)品失敗時(shí)對人造成傷害的風(fēng)險來(lái)確定產(chǎn)品開(kāi)發(fā)過(guò)程的嚴格程度。通過(guò)根據各種因素對每個(gè)組件、模塊或系統進(jìn)行全面的安全評估，團隊可以對發(fā)生故障時(shí)的風(fēng)險和結果做出合理的預期，并實(shí)施緩解措施來(lái)降低風(fēng)險。

ASIL 是在全面的危害分析和風(fēng)險評估 （HARA） 后確定的。工程師或開(kāi)發(fā)人員在評估每個(gè)組件或系統時(shí)，會(huì )關(guān)注該組件或系統的潛在故障所帶來(lái)的風(fēng)險和危害。系統出現故障的可能性有多大？如果失敗了怎么辦？駕駛員可以在不受傷的情況下補償或管理故障嗎？發(fā)生故障時(shí)是否有可能發(fā)生傷害，如果是，傷害會(huì )有多嚴重？一旦危害分析和風(fēng)險評估完成，團隊就可以分配 ASIL。

有哪些不同的 ASIL？

ASIL 將危害分為四個(gè)級別之一，表示為 A 到 D，第五個(gè)附加級別用于非危險系統或組件。ASIL D 代表最高風(fēng)險級別，而 ASIL A 代表最低風(fēng)險級別。附加級別 QM 代表質(zhì)量管理，表示僅需要標準質(zhì)量管理合規性的非危險物品。

一般來(lái)說(shuō)，防抱死制動(dòng)器或安全氣囊等系統需要 ASIL D 分類(lèi)，因為在這些系統中與故障相關(guān)的風(fēng)險最高。另一方面，尾燈等系統只需要 ASIL A 分類(lèi);雖然尾燈肯定有安全組件，但大多數駕駛員可以減輕這些風(fēng)險，而且潛在的傷害嚴重程度通常并不高。

哪些因素決定了 ASIL？

要確定 ASIL，開(kāi)發(fā)人員和工程師會(huì )考慮三個(gè)因素：

• 嚴重程度（危險事件造成的傷害的潛在嚴重程度）

• 暴露（可能導致受傷的情況的頻率）

• 可控性（駕駛員可以采取行動(dòng)防止受傷的可能性）

在這三個(gè)因素中，每個(gè)因素都有以數字表示的附加級別：

嚴厲

S0：無(wú)傷

S1：輕至中度損傷

S2：重度至危及生命的損傷（可能存活）

S3：危及生命（生存不確定）至致命傷害

暴露

E0：極不可能

E1：概率非常低

E2：低概率

E3：中等概率

E4：高概率（在大多數作條件下都可能發(fā)生傷害）

操縱

C0：一般可控

C1：簡(jiǎn)單可控

C2：通?？煽兀ù蠖鄶雕{駛員可以采取行動(dòng)以防止受傷）

C3：難以控制或無(wú)法控制

相關(guān)文章：ISO 26262 對汽車(chē)開(kāi)發(fā)的影響

如何選擇我的 ASIL？

為了確定 ASIL，開(kāi)發(fā)團隊應對每個(gè)系統、模塊或組件進(jìn)行全面的危害分析和風(fēng)險評估 （HARA）。此評估的目的是識別所有可能導致危險或故障的故障，并評估與這些故障相關(guān)的風(fēng)險。任何旨在使任何產(chǎn)品符合 ISO 26262 標準的制造商都應進(jìn)行 HARA 并分配 ASIL 。

在 HARA 期間，團隊分配上圖確定的嚴重性、暴露和可控性級別。在這些類(lèi)別中確定這些級別后，團隊可以使用下表得出 ASIL ：

請注意： 雖然本指南通?？梢詭椭R別 ASIL，但它不應作為正式的 ASIL 確定。

ASIL 分類(lèi)有哪些示例？

盡管不同的 ASIL 分類(lèi)存在一定程度的主觀(guān)性，但一些系統和組件的分類(lèi)相當一致。以下是一些示例：

ASIL D：安全氣囊、防抱死制動(dòng)、電動(dòng)助力轉向

ASIL C：自適應巡航控制、電池管理、懸架

ASIL B：剎車(chē)燈、后視攝像頭、組合儀表

ASIL A：尾燈、加熱和冷卻、車(chē)身控制單元

QM：GPS/導航系統、衛星/數字無(wú)線(xiàn)電、連接性（USB、HDMI、藍牙）

即使在這些示例中，不同型號、制造商或風(fēng)險評估之間也可能存在差異。例如，根據其他因素，“發(fā)動(dòng)機管理”風(fēng)險可能是 ASIL C 或 D，而各種動(dòng)力總成系統和風(fēng)險可能在 ASIL B 和 ASIL D 之間有所不同。評估風(fēng)險和分配級別需要考慮許多因素。

此外，ASIL 可能會(huì )發(fā)生變化。例如，OEM（原始設備制造商）可以確定某個(gè)組件的 ASIL B 級別，但一旦該組件與其他系統集成，該級別可能會(huì )隨著(zhù)額外的危害分析和風(fēng)險評估而提高或降低。

ASIL 面臨哪些挑戰？

盡管上圖顯示了如何根據嚴重性、風(fēng)險和可控性級別得出 ASIL，但分配這些級別涉及一定程度的主觀(guān)性。例如，道路狀況、環(huán)境因素、交通密度、駕駛員能力和接觸可能性都可能有很大差異。在寬闊、空曠、干燥的道路上駕駛車(chē)輛的駕駛員可能比在暴雨期間在交通繁忙的道路上駕駛的駕駛員更有可能控制危險事件。ASIL 分類(lèi)系統取決于對“通?！?、“可能”和“可能”等詞的主觀(guān)解釋?zhuān)@涉及工程師和開(kāi)發(fā)人員在一定程度上受過(guò)教育的判斷。確定 ASIL 級別的另一個(gè)挑戰是，在沒(méi)有進(jìn)行全面的危害分析和風(fēng)險評估的情況下，根據過(guò)去的級別分配做出假設的誘惑。例如，如果系統之前被指定為 ASIL 級別 B，則可能很容易假設其當前級別應該相同。但是，系統的改進(jìn)或與其他系統的集成可能會(huì )改變級別。如果 GPS 系統現在與攝像頭設備或其他一些智能技術(shù)集成，那么這種新的集成可能會(huì )提高或降低 ASIL 級別。

最后，沒(méi)有正確保存良好文檔記錄或跟蹤要求的團隊可能會(huì )得出不準確的 ASIL，甚至完全忽視風(fēng)險。當文檔和需求沒(méi)有得到徹底跟蹤時(shí)，團隊可能會(huì )錯過(guò)關(guān)鍵的功能安全風(fēng)險。需求跟蹤和可追溯性不僅對于符合 ISO 26262 至關(guān)重要，而且對于徹底準確地評估和降低風(fēng)險的實(shí)際市場(chǎng)需求也至關(guān)重要。

ASIL 如何影響產(chǎn)品開(kāi)發(fā)？

一旦制定了系統的 ASIL，ISO 26262 就定義了基于 ASIL 所需的不同嚴格級別。例如，對于 ASIL A 和 B，信息表示法足以滿(mǎn)足捕獲要求。這通常意味著(zhù)需求是用自然語(yǔ)言編寫(xiě)的，并用簡(jiǎn)單的數字進(jìn)行擴充，以消除關(guān)鍵概念的文盲。對于 ASIL C 和 D，建議使用更半正式的表示法。需求通常仍然用自然語(yǔ)言編寫(xiě)，但隨后會(huì )開(kāi)發(fā)系統模型以更準確地描述行為。開(kāi)發(fā)這些模型需要團隊中的額外專(zhuān)業(yè)知識，但可以提高文檔的準確性并降低溝通不暢的風(fēng)險。開(kāi)發(fā)更高 ASIL 系統的團隊通常需要額外的專(zhuān)業(yè)知識以及專(zhuān)門(mén)的軟件工具來(lái)支持該過(guò)程。

ASIL 是如何演變的？

汽車(chē)工程師協(xié)會(huì ) （SAE） 于 2015 年發(fā)布了 J2980，為評估嚴重性、暴露和可控性提供了額外的指導。此外，J2980 本身和 ISO 26262 都在 2018 年進(jìn)行了更新。

隨著(zhù) AI（人工智能）、自動(dòng)駕駛功能以及通過(guò) IoT（物聯(lián)網(wǎng)）集成到外部系統等汽車(chē)技術(shù)的進(jìn)步，可控性的概念提出了特殊的挑戰。目前，“可控性”主要是指人類(lèi)車(chē)輛駕駛員，但隨著(zhù)汽車(chē)獨立反應的能力越來(lái)越強，評估可控性的標準可能會(huì )發(fā)生變化。隨著(zhù)功能越來(lái)越多地補償駕駛員錯誤，汽車(chē)變得越來(lái)越安全和智能，從而降低了導致嚴重傷害或死亡的危險的可能性。然而，與此同時(shí)，對外部系統的訪(fǎng)問(wèn)可能會(huì )引入網(wǎng)絡(luò )漏洞，使 ASIL 的考慮變得復雜。

網(wǎng)絡(luò )安全漏洞可能會(huì )導致安全考慮，就像硬件故障一樣。因此，團隊現在開(kāi)始一起分析系統的安全性。ISO 21434 特別提出了與 ISO 26262 相配合的建議，以支持這一過(guò)程。