汽車安全完整性等級(jí) （ASIL） 指南

汽車技術(shù)的新革命不僅即將到來，而且已經(jīng)到來。從電動(dòng)汽車的迅速普及到自動(dòng)駕駛汽車，汽車從機(jī)械系統(tǒng)的時(shí)代迅速發(fā)展。出于各種原因，這些進(jìn)步令人興奮和受歡迎，但它們給從擋風(fēng)玻璃雨刷器到微芯片再到內(nèi)置攝像頭的所有開發(fā)人員帶來了越來越多的挑戰(zhàn)和考慮。隨著駕駛員越來越依賴使從 A 點(diǎn)到 B 點(diǎn)更輕松、更有趣的系統(tǒng)，他們還需要確保這些系統(tǒng)安全可靠。

在這種新的汽車現(xiàn)實(shí)中，遵守安全準(zhǔn)則從未像現(xiàn)在這樣重要。隨著開發(fā)人員和制造商努力實(shí)現(xiàn) ISO 26262 合規(guī)性，他們必須了解汽車安全完整性等級(jí) （ASIL），才能知道要應(yīng)用什么級(jí)別的嚴(yán)格性。

什么是 ASIL？

ASIL 代表 Automotive Safety Integrity Level，是道路車輛功能安全的風(fēng)險(xiǎn)分類系統(tǒng)。ASIL 由 ISO 26262 標(biāo)準(zhǔn)第 9 部分定義，并改編自 IEC 61508 中發(fā)布的安全完整性等級(jí) （SIL） 指南。

雖然遵守 ISO 26262 不是強(qiáng)制性的，但它是行業(yè)內(nèi)最先進(jìn)的做法，而 ASIL 是該標(biāo)準(zhǔn)的關(guān)鍵部分。ASIL 根據(jù)產(chǎn)品失敗時(shí)對(duì)人造成傷害的風(fēng)險(xiǎn)來確定產(chǎn)品開發(fā)過程的嚴(yán)格程度。通過根據(jù)各種因素對(duì)每個(gè)組件、模塊或系統(tǒng)進(jìn)行全面的安全評(píng)估，團(tuán)隊(duì)可以對(duì)發(fā)生故障時(shí)的風(fēng)險(xiǎn)和結(jié)果做出合理的預(yù)期，并實(shí)施緩解措施來降低風(fēng)險(xiǎn)。

ASIL 是在全面的危害分析和風(fēng)險(xiǎn)評(píng)估 （HARA） 后確定的。工程師或開發(fā)人員在評(píng)估每個(gè)組件或系統(tǒng)時(shí)，會(huì)關(guān)注該組件或系統(tǒng)的潛在故障所帶來的風(fēng)險(xiǎn)和危害。系統(tǒng)出現(xiàn)故障的可能性有多大？如果失敗了怎么辦？駕駛員可以在不受傷的情況下補(bǔ)償或管理故障嗎？發(fā)生故障時(shí)是否有可能發(fā)生傷害，如果是，傷害會(huì)有多嚴(yán)重？一旦危害分析和風(fēng)險(xiǎn)評(píng)估完成，團(tuán)隊(duì)就可以分配 ASIL。

有哪些不同的 ASIL？

ASIL 將危害分為四個(gè)級(jí)別之一，表示為 A 到 D，第五個(gè)附加級(jí)別用于非危險(xiǎn)系統(tǒng)或組件。ASIL D 代表最高風(fēng)險(xiǎn)級(jí)別，而 ASIL A 代表最低風(fēng)險(xiǎn)級(jí)別。附加級(jí)別 QM 代表質(zhì)量管理，表示僅需要標(biāo)準(zhǔn)質(zhì)量管理合規(guī)性的非危險(xiǎn)物品。

一般來說，防抱死制動(dòng)器或安全氣囊等系統(tǒng)需要 ASIL D 分類，因?yàn)樵谶@些系統(tǒng)中與故障相關(guān)的風(fēng)險(xiǎn)最高。另一方面，尾燈等系統(tǒng)只需要 ASIL A 分類;雖然尾燈肯定有安全組件，但大多數(shù)駕駛員可以減輕這些風(fēng)險(xiǎn)，而且潛在的傷害嚴(yán)重程度通常并不高。

哪些因素決定了 ASIL？

要確定 ASIL，開發(fā)人員和工程師會(huì)考慮三個(gè)因素：

• 嚴(yán)重程度（危險(xiǎn)事件造成的傷害的潛在嚴(yán)重程度）

• 暴露（可能導(dǎo)致受傷的情況的頻率）

• 可控性（駕駛員可以采取行動(dòng)防止受傷的可能性）

在這三個(gè)因素中，每個(gè)因素都有以數(shù)字表示的附加級(jí)別：

嚴(yán)厲

S0：無傷

S1：輕至中度損傷

S2：重度至危及生命的損傷（可能存活）

S3：危及生命（生存不確定）至致命傷害

暴露

E0：極不可能

E1：概率非常低

E2：低概率

E3：中等概率

E4：高概率（在大多數(shù)作條件下都可能發(fā)生傷害）

操縱

C0：一般可控

C1：簡(jiǎn)單可控

C2：通?？煽兀ù蠖鄶?shù)駕駛員可以采取行動(dòng)以防止受傷）

C3：難以控制或無法控制

相關(guān)文章：ISO 26262 對(duì)汽車開發(fā)的影響

如何選擇我的 ASIL？

為了確定 ASIL，開發(fā)團(tuán)隊(duì)?wèi)?yīng)對(duì)每個(gè)系統(tǒng)、模塊或組件進(jìn)行全面的危害分析和風(fēng)險(xiǎn)評(píng)估 （HARA）。此評(píng)估的目的是識(shí)別所有可能導(dǎo)致危險(xiǎn)或故障的故障，并評(píng)估與這些故障相關(guān)的風(fēng)險(xiǎn)。任何旨在使任何產(chǎn)品符合 ISO 26262 標(biāo)準(zhǔn)的制造商都應(yīng)進(jìn)行 HARA 并分配 ASIL 。

在 HARA 期間，團(tuán)隊(duì)分配上圖確定的嚴(yán)重性、暴露和可控性級(jí)別。在這些類別中確定這些級(jí)別后，團(tuán)隊(duì)可以使用下表得出 ASIL ：

請(qǐng)注意： 雖然本指南通常可以幫助您識(shí)別 ASIL，但它不應(yīng)作為正式的 ASIL 確定。

ASIL 分類有哪些示例？

盡管不同的 ASIL 分類存在一定程度的主觀性，但一些系統(tǒng)和組件的分類相當(dāng)一致。以下是一些示例：

ASIL D：安全氣囊、防抱死制動(dòng)、電動(dòng)助力轉(zhuǎn)向

ASIL C：自適應(yīng)巡航控制、電池管理、懸架

ASIL B：剎車燈、后視攝像頭、組合儀表

ASIL A：尾燈、加熱和冷卻、車身控制單元

QM：GPS/導(dǎo)航系統(tǒng)、衛(wèi)星/數(shù)字無線電、連接性（USB、HDMI、藍(lán)牙）

即使在這些示例中，不同型號(hào)、制造商或風(fēng)險(xiǎn)評(píng)估之間也可能存在差異。例如，根據(jù)其他因素，“發(fā)動(dòng)機(jī)管理”風(fēng)險(xiǎn)可能是 ASIL C 或 D，而各種動(dòng)力總成系統(tǒng)和風(fēng)險(xiǎn)可能在 ASIL B 和 ASIL D 之間有所不同。評(píng)估風(fēng)險(xiǎn)和分配級(jí)別需要考慮許多因素。

此外，ASIL 可能會(huì)發(fā)生變化。例如，OEM（原始設(shè)備制造商）可以確定某個(gè)組件的 ASIL B 級(jí)別，但一旦該組件與其他系統(tǒng)集成，該級(jí)別可能會(huì)隨著額外的危害分析和風(fēng)險(xiǎn)評(píng)估而提高或降低。

ASIL 面臨哪些挑戰(zhàn)？

盡管上圖顯示了如何根據(jù)嚴(yán)重性、風(fēng)險(xiǎn)和可控性級(jí)別得出 ASIL，但分配這些級(jí)別涉及一定程度的主觀性。例如，道路狀況、環(huán)境因素、交通密度、駕駛員能力和接觸可能性都可能有很大差異。在寬闊、空曠、干燥的道路上駕駛車輛的駕駛員可能比在暴雨期間在交通繁忙的道路上駕駛的駕駛員更有可能控制危險(xiǎn)事件。ASIL 分類系統(tǒng)取決于對(duì)“通?！?、“可能”和“可能”等詞的主觀解釋，這涉及工程師和開發(fā)人員在一定程度上受過教育的判斷。確定 ASIL 級(jí)別的另一個(gè)挑戰(zhàn)是，在沒有進(jìn)行全面的危害分析和風(fēng)險(xiǎn)評(píng)估的情況下，根據(jù)過去的級(jí)別分配做出假設(shè)的誘惑。例如，如果系統(tǒng)之前被指定為 ASIL 級(jí)別 B，則可能很容易假設(shè)其當(dāng)前級(jí)別應(yīng)該相同。但是，系統(tǒng)的改進(jìn)或與其他系統(tǒng)的集成可能會(huì)改變級(jí)別。如果 GPS 系統(tǒng)現(xiàn)在與攝像頭設(shè)備或其他一些智能技術(shù)集成，那么這種新的集成可能會(huì)提高或降低 ASIL 級(jí)別。

最后，沒有正確保存良好文檔記錄或跟蹤要求的團(tuán)隊(duì)可能會(huì)得出不準(zhǔn)確的 ASIL，甚至完全忽視風(fēng)險(xiǎn)。當(dāng)文檔和需求沒有得到徹底跟蹤時(shí)，團(tuán)隊(duì)可能會(huì)錯(cuò)過關(guān)鍵的功能安全風(fēng)險(xiǎn)。需求跟蹤和可追溯性不僅對(duì)于符合 ISO 26262 至關(guān)重要，而且對(duì)于徹底準(zhǔn)確地評(píng)估和降低風(fēng)險(xiǎn)的實(shí)際市場(chǎng)需求也至關(guān)重要。

ASIL 如何影響產(chǎn)品開發(fā)？

一旦制定了系統(tǒng)的 ASIL，ISO 26262 就定義了基于 ASIL 所需的不同嚴(yán)格級(jí)別。例如，對(duì)于 ASIL A 和 B，信息表示法足以滿足捕獲要求。這通常意味著需求是用自然語言編寫的，并用簡(jiǎn)單的數(shù)字進(jìn)行擴(kuò)充，以消除關(guān)鍵概念的文盲。對(duì)于 ASIL C 和 D，建議使用更半正式的表示法。需求通常仍然用自然語言編寫，但隨后會(huì)開發(fā)系統(tǒng)模型以更準(zhǔn)確地描述行為。開發(fā)這些模型需要團(tuán)隊(duì)中的額外專業(yè)知識(shí)，但可以提高文檔的準(zhǔn)確性并降低溝通不暢的風(fēng)險(xiǎn)。開發(fā)更高 ASIL 系統(tǒng)的團(tuán)隊(duì)通常需要額外的專業(yè)知識(shí)以及專門的軟件工具來支持該過程。

ASIL 是如何演變的？

汽車工程師協(xié)會(huì) （SAE） 于 2015 年發(fā)布了 J2980，為評(píng)估嚴(yán)重性、暴露和可控性提供了額外的指導(dǎo)。此外，J2980 本身和 ISO 26262 都在 2018 年進(jìn)行了更新。

隨著 AI（人工智能）、自動(dòng)駕駛功能以及通過 IoT（物聯(lián)網(wǎng)）集成到外部系統(tǒng)等汽車技術(shù)的進(jìn)步，可控性的概念提出了特殊的挑戰(zhàn)。目前，“可控性”主要是指人類車輛駕駛員，但隨著汽車獨(dú)立反應(yīng)的能力越來越強(qiáng)，評(píng)估可控性的標(biāo)準(zhǔn)可能會(huì)發(fā)生變化。隨著功能越來越多地補(bǔ)償駕駛員錯(cuò)誤，汽車變得越來越安全和智能，從而降低了導(dǎo)致嚴(yán)重傷害或死亡的危險(xiǎn)的可能性。然而，與此同時(shí)，對(duì)外部系統(tǒng)的訪問可能會(huì)引入網(wǎng)絡(luò)漏洞，使 ASIL 的考慮變得復(fù)雜。

網(wǎng)絡(luò)安全漏洞可能會(huì)導(dǎo)致安全考慮，就像硬件故障一樣。因此，團(tuán)隊(duì)現(xiàn)在開始一起分析系統(tǒng)的安全性。ISO 21434 特別提出了與 ISO 26262 相配合的建議，以支持這一過程。