ASIL安全等级.docx

《ASIL安全等级.docx》由会员分享，可在线阅读，更多相关《ASIL安全等级.docx（6页珍藏版）》请在优知文库上搜索。

1、1什么是ASlL安全等级ASlL等级，AutomotiveSafetyIntegrationLevel,汽车安全完整性等级，描述系统能够实现指定安全目标的概率高低。每个安全功能要求都包括两部分内容,安全性目标和ASIL安全等级。对一个指定系统应用安全功能要求，ASIL安全等级划分包括如下步骤：1）根据预想架构、功能概念、操作模式和系统状态等确定安全事件；2）危险分析和风险评估，初步确定ASIL安全等级；3）逐级分解安全要求和安全等级，ASlL安全级别划分和ASIL安全级别逐层分解两个过程交替进行，直至抵达无法进一步分解零件或者子系统；4）最后用几个原则去检查等级分配的合理性，包括因素共存原则、

2、相关失效分析和安全分析。.圻左受声案:浒方内亍几个ASlL相关的概念ASlL等级划分，从安全目标出发，按照等级划分的基本规则，考虑影响等级的三要素，最终确定系统或者零件安全等级的过程。ASIL等级划分目标在于降低系统性失效的概率，但并不针对单一零件性能参数的水平进行规定，也不会产生影响。ASlL有四个等级，分别为A,B,C,D,其中A是最低的等级，D是最高的等级。ASIL等级分解，将系统的安全目标和安全等级逐步落实到下级子系统的过程。危害，指系统功能异常导致危害的潜在来源;危害事件，指在指定场景下发生的危害;危害分析和风险评估，对指定系统的可能危害事件进行识别和归类，并定义防止或减轻危害发生的

3、安全目标和安全等级，来避免避免不合理风险。影响ASlL等级的三个基本要素是严重度(Severity)暴露率(Exposure)和可控性(COntrOlIability)。严重度，描述一旦风险成为现实，相关人员、财产将遭受损害的程度，比如电子锁故障就比刹车故障的严重程度低；暴露率，描述风险出现时，人员或者财产可能受到影响的概率，比如底盘出现异响比乘员座椅故障暴露率低；可控性，描述风险出现时，驾驶员等在多大程度上可以采取主动措施避免损害的发生，轮胎缓慢漏气比刹车失灵可控性高。2划分和分解安全等级的目的给汽车上的全部电子电气系统划分安全等级，明确每个系统，每个子系统，每个零件的安全目标,制定执行明确

4、的安全措施,一方面使相关人员和部门统一认识,避免因为目标含混不清，职责不明确造成的风险；另一方面，避免在同一个安全要素上重复投入资源，出现分布不均而出现的资源浪费，一个风险点有几个安全保障，而另一个故隙点却没有人意识到。通过系统性，全生命周期的思考方式,实现全面的规划安全功能的目的。3ASIL安全等级划分方法划分ASlL安全等级，首先需要做安全事项的危险分析和风险评估。针对所有可能发生的危害事件进行的危险分析和风险评估，是确定安全目标的第一步，这一步可以在还不知道对象细节的时候就进行。比如，车辆在路上运行，有碰撞的风险，这个风险的存在性和存在的形式都不必等待车辆设计好造型的时候才知道。功能安全

5、要求的确定，标准给出一系列建议，下面选择性理解其中认为重要的几点。D功能安全的要求应该根据系统基本架构提出；2）下级系统应该全面继承上级系统的安全要求和安全等级；3）同一要素与上级的几个系统都有从属关系，则取安全等级最高的系统级别；4）处理好于飞电子电气类安全措施的接口，不要存在系统安全空白，也不要在一个点上过度设计；原文给出了危险分析和风险评估方法建议，归纳起来大体如下：建议使用评估清单；可以采用头脑风暴、分析工具（如FEMA或者FTA等）；根据不同场景进行评估，场景应该是公认的，影响作用方式是常识中的；每个危险事件自身的描述以及危险造成的影响，都应该清晰界定，尽量使用最准确具体的语言，并全

6、面的估计影响（原文举出的例子：车辆电源系统故障可能导致丧失引擎动力，丧失转向的电动助力以及前大灯照明）；处理标准适用范围以外的风险，不能置之不理，而应当一道给以适当处理。安全等级ASlL按照三个维度进行具体评估，严重性、暴露性和可控性。严重性，用SX表示，X取值可以是0/1/2/3,级别从低到高，级别越高，伤害越严重。SO无伤害；S1轻微或有限伤害；S2严重或危及生命的伤害（可生还）；S3危及生命的伤害（有死亡可能）或致命伤害；暴露性，用EX表示，X取值从0至4,共5个等级。EO是几乎不肯能暴露于危险中，E4是可能性极高。可控性，用CX表示，最低CO可控，最高C3几乎不可控，共4个级别。ASI

7、L等级分为A、B、C、D四个等级，ASILA是最低的安全等级，ASILD是最高的安全等级。除了这四个等级QM表示与安全无关。评估结果范例表格如下图所JO产重性等级危险可能性等级C1可控性等级C2C3SlElQMQMQME2QMQMQME3QMQMAE4QMABS2E1OMQMQME2QMQMAE3QMABE4ABCc*E1QMQMAE2QMABE3ABC源汽绢岸内2E4BC-制能4ASIL安全等级分解ASIL分解倾向于把冗余的安全要求分配给足够独立的系统，是效率最高的安全要素分配方式。原文“正在开发过程中的以安全为目标的要素的传播贯穿于要素开发的全过程。从安全目标开始，安全要求在开发过程中会被

8、分解和提炼。ASIL作为安全目标的一个属性，会被每一个后续的安全要求所继承。功能和技术安全需求向每个架构要素的分配，开始于初步的架构设想，结束于硬件和软件要素。在设计过程中的ASlL裁剪方法被称作“ASIL分解，在分配阶段，优势来自架构决定，包括存在足够独立的架构要素。这些好处在于:一应用冗余的安全要求通过独立的架构要素;-分配一个可能更低的ASlL给这些分解后的安全要求；如果这些架构要素不是足够独立的，那么冗余的要求和架构要素继承初始化的ASILo”理解一，安全等级的划分对象是电子电气系统或产品，不包括管理流程等事项；理解二，标准不对标称参数做安全性评估，只对功能安全系统定义的安全要求进行拆

9、解和评估；理解三，安全等级的划分顺序，是自上而下的过程，上层系统分解出来的支持本层级安全目标的措施，分解到下面一层，成为下一个层级的安全目标，下层系统没有特殊情况，需要继承上层的安全目标和安全等级；理解四，安全等级和安全要素的支持关系，存在着时间上的连续性，产品生命周期的每个阶段都必须始终支持本层级系统的安全目标；理解五，如果组成系统的子系统之间没有耦合关系，即他们不是互相影响的，而是只受下面一个层次的系统或者因素影响，那么这些独立系统可以分配略低的ASIL等级。从另一个角度说，如果分配正常的安全等级，则独立系统可以使得父系统获得更大的安全冗余。5ASIL安全等级分解原则要素共存准则，一个系统

10、内包含多个子要素，且某些子要素对其安全性产生影响，另外一些则不产生影响；或者一些子要素的安全等级高而另外的一些安全等级低。此时总的原则是，将子要素的安全等级提升到系统安全级别，除非能够证明，低等级的子要素对系统不产生不良影响，同时对其余子要素也不产生不良影响。相关失效分析，系统内并行的几个功能，可能因为受到同一个底层因素的影响,或者同一个外部因素的影响同时失效；系统中，串联关系（一个系统的输出是另一个系统的输入）的几个系统，可能在一个底层输入的错误瞬间造成一系列的失效。必须识别出这种可能存在的失效模式和相关系统，避免系统中存在相关失效的情形。标准中举出的例子是，系统内几个子系统同时曝露在强电磁

11、干扰下，进而环境内多个系统可能同时失效，这是一个并联失效的例子。另一个级联失效的例子是车辆的车速传感器失效，发送的车速信息错误，进而造成整车控制器等系统的集体失效。系统性失效和硬件随机失效，都可能造成相关失效；多个失效模式近似的系统共存，也容易出现相关失效。安全分析，在完成了危险性分析和风险评估以后，系统内每个相关因素的安全等级和安全目标都已经确定，回过头来，再次进行的一种评估分析。再次确认安全目标，考察安全措施实施的效果和可能面对的失效，探讨安全失效后可能造成的影响。安全分析，意在识别出风险评估阶段遗漏的安全项目和安全方案中的过度冗余和欠缺。参考文献ISO26262道路车辆功能安全Parti：定义；ISO26262道路车辆功能安全Part3：概念阶段；ISO26262道路车辆功能安全Part9：基于ASlL和安全的分析；（图片来自互联网）