ISO 26262 ASIL安全等级,你知道如何来划分和分解吗2019-04-22 1734据九脑汇了解,随着汽车上电子/电气系统(E/E)数量不断的增加,一些高 端豪华轿车上面就有多达 70多个ECUEIectronic Control Unit电子控制单元),其中安全气囊系统、制动系统、底盘控制系统、发动机控制系统以及线控系统等 都是安全相关系统。为了实现汽车上电子/电气系统的功能安全设计,道路车辆功能安全标准 ISO 26262于2011年正式发布,为开发汽车安全相关系统提供了指南,该标准 的基础是适用于任何行业的电子/电气/可编程电子系统的功能安全标准IEC 61508。ASIL安全等级的概念ASIL 等级 Automotive Safety In tegrati on Level,汽车安全完整性等级,指描述系统能够实现指定安全目标的概率高低。每个的安全功能要求都包括安全 性目标和ASIL安全等级这两部分内容。对一个指定系统应用安全功能要求,ASIL安全等级划分包括如下步骤1.根据预想架构、功能概念、操作模式和系统状态等确定安全事件;2.危险分析和风险评估,初步确定 ASIL安全等级;3.逐级分解安全要求和安全等级,ASIL安全级别划分和ASIL安全级别逐层分解两个过程交替进行,直至抵达无法进一步分解零件或者子系统;4.可用因素共存原则、相关失效分析和安全分析等原则来检查等级分配的合 理性。与ASIL相关的几个概念根据ASIL等级划分的基本规则,我们从安全目标出发,主要是考虑影响等 级的三要素,最终确定系统或者零件安全等级的过程。ASIL 等级划分目标在于为了降低系统性失效的概率,但并不针对单一零件 性能参数的水平进行规定,对此也不会产生影响。你可知道ASIL是有四个等级,分别为A,B,C,D,其中A是最低的等级,D是最咼的等级。而 ASIL 等级分解只要是将系统的安全目标和安全等级逐步落实到下级子系 统的过程。危害,指系统功能异常导致危害的潜在来源;危害事件 ,指在指定场景下发生的危害;危害分析和风险评估 ,对指定系统的可能危害事件进行识别和归类,并定义 防止或减轻危害发生的安全目标和安全等级,来避免避免不合理风险。影响ASIL等级的三个基本要素是严重度 Severity 、暴露率Exposure 和可控性 Controllability 。严重度,描述一旦风险成为现实,相关人员、财产将遭受损害的程度,比如 电子锁故障就比刹车故障的严重程度低;暴露率 ,描述风险出现时,人员或者财产可能受到影响的概率,比如底盘出 现异响比乘员座椅故障暴露率低;可控性 ,描述风险出现时,驾驶员等在多大程度上可以采取主动措施避免损 害的发生,轮胎缓慢漏气比刹车失灵可控性咼。为什么要划分和分解安全等级给汽车上的全部电子电气系统划分安全等级,明确每个系统,每个子系统,每个零件的安全目标,制定执行明确的安全措施。一方面使相关人员和部门统一认识,避免因为目标含混不清,职责不明确造 成的风险;另一方面,避免在同一个安全要素上重复投入资源,出现分布不均而出现的资源浪费,一个风险点有几个安全保障,而另一个故障点却没有人意识到。通过系统性,全生命周期的思考方式,实现全面的规划安全功能的目的ASIL安全等级划分方法划分 ASIL 安全等级,首先我们需要做安全事项的危险分析和风险评估。针 对所有可能发生的危害事件进行的危险分析和风险评估,是确定安全目标的第一 步,这一步可以在还不知道对象细节的时候就进行。比如,车辆在路上运行,有 碰撞的风险,这个风险的存在性和存在的形式都不必等待车辆设计好造型的时候 才知道。为了明确功能安全要求,ISO26262标准给出一系列建议,下面是比较重要 的几点建议。1.根据系统基本架构提出功能安全的要求;2.下级系统应该全面继承上级系统的安全要求和安全等级;3.同一要素与上级的几个系统都有从属关系,则取安全等级最高的系统级 别;4.处理好于飞电子电气类安全措施的接口,不要存在系统安全空白,也不要 在一个点上过度设计;对于上文所提到的危险分析和风险评估方法建议,我们归纳起来大体如下使用评估清单;采用头脑风暴、分析工具(如 FEMA或者FTA等);根据不同场景进行评估,场景应该是公认的,影响作用方式是常识中的;清晰界定每个危险事件自身的描述以及危险造成的影响,尽量使用最准确具 体的语言,并全面的估计影响;对于标准适用范围以外的风险应当一道给以适当处理。安全等级 ASIL 按照严重性、暴露性和可控性这三个维度来进行具体评估。用SX表示,X取值可以是011213,级别从低到高,级别越高,伤害越严重。
S0无伤害;S1轻微或有限伤害;S2严重或危及生命的伤害(可生还);S3危及 生命的伤害(有死亡可能)或致命伤害;暴露性用EX表示,E4是可能性极高。X取值从0至4,共5个等级。E0是几乎不肯能暴露于危险中,可控性用CX表示,最低C0可控,最高C3几乎不可控,共4个级别。ASIL等级分为A B CD四个等级,ASIL A是最低的安全等级,ASIL D 是最高的安全等级。除了这四个等级QM表示与安全无关。评估结果范例表格如下图所示严垂度3可楼性口C1PC2QSUQ炉QM4JQWQWQM1QklQ-E衍QMEq2AEWQMQQhk1Qkk1QMPQM3QMPAP护4扣卜CEWQMPQNPA*E2*JQW24OEP2ASIL安全等级分解效率最高的安全要素分配方式ASIL分解倾向于把冗余的安全要求分配给 足够独立的系统。从安全目标开始,安全要求在开发过程中会被分解和提炼。
ASIL作为安全 目标的一个属性,会被每一个后续的安全要求所继承。功能和技术安全需求向每 个架构要素的分配,开始于初步的架构设想,结束于硬件和软件要素。在设计过程中的ASIL裁剪方法被称作“ ASIL分解”。在分配阶段,优势 来自架构决定,包括存在足够独立的架构要素。这些好处在于-- 应用冗余的安全要求通过独立的架构要素;-- 分配一个可能更低的 ASIL 给这些分解后的安全要求;如果这些架构要素不是足够独立的,那么冗余的要求和架构要素继承初始化 的 ASIL 。”理解一 安全等级的划分对象是电子电气系统或产品,不包括管理流程等事项;理解二标准不对标称参数做安全性评估,只对功能安全系统定义的安全要求进行拆 解和评估;理解三安全等级的划分顺序,是自上而下的过程,上层系统分解出来的支持本层级 安全目标的措施,分解到下面一层,成为下一个层级的安全目标,下层系统没有 特殊情况,需要继承上层的安全目标和安全等级;理解四安全等级和安全要素的支持关系,存在着时间上的连续性,产品生命周期的 每个阶段都必须始终支持本层级系统的安全目标;理解五如果组成系统的子系统之间没有耦合关系,即他们不是互相影响的,而是只 受下面一个层次的系统或者因素影响,那么这些独立系统可以分配略低的 ASIL 等级。从另一个角度说,如果分配正常的安全等级,则独立系统可以使得父系统 获得更大的安全冗余。ASIL 安全等级分解原则要素共存准则 ,一个系统内包含多个子要素,且某些子要素对其安全性产生 影响,另外一些则不产生影响; 或者一些子要素的安全等级高而另外的一些安全 等级低。此时总的原则是,将子要素的安全等级提升到系统安全级别,除非能够 证明,低等级的子要素对系统不产生不良影响,同时对其余子要素也不产生不良 影响。相关失效分析 ,系统内并行的几个功能,可能因为受到同一个底层因素的影 响,或者同一个外部因素的影响同时失效;系统中,串联关系(一个系统的输出 是另一个系统的输入)的几个系统,可能在一个底层输入的错误瞬间造成一系列 的失效。必须识别出这种可能存在的失效模式和相关系统,避免系统中存在相关 失效的情形。安全分析 ,在完成了危险性分析和风险评估以后,系统内每个相关因素的安 全等级和安全目标都已经确定,回过头来,再次进行的一种评估分析。
再次确认 安全目标,考察安全措施实施的效果和可能面对的失效,探讨安全失效后可能造 成的影响。安全分析,意在识别出风险评估阶段遗漏的安全项目和安全方案中的 过度冗余和欠缺。6