ASIL-汽车安全完整性等级讲解

2023年12月19日发(作者：轮胎质量排名前十名)

ASIL-汽车安全完整性等级讲解

一、.ASIL定义

ASIL等级的定义是为了对失效后带来的风险进行评估和量化以达到安全目标，其全称是Automotive Safety Integration Level--汽车安全完整性等级。

ASIL(Automotive Safety Integrity Level)由ISO 26262标准定义的风险分类系统，用于公路车辆的功能安全。

该标准将功能安全定义为“由于电气或电子系统的故障行为而导致的危害，不存在不合理的风险”。ASIL根据损害的可能性和可接受性确定安全要求，以使汽车零部件符合ISO 26262。

ISO 26262-A，B，C和D标识了四种ASIL。ASILA代表最低级别，而ASIL D代表最高的汽车危害等级。

安全气囊，防抱死制动和动力转向等系统需要ASIL-D级（对安全性要求最高的严格性），因为与故障相关的风险最高。在安全范围的另一端，诸如尾灯之类的组件仅需要ASIL-A级。前大灯和刹车灯通常为ASIL-B，而巡航控制系统通常为ASIL-C。

二、.ASIL产生的意义

ISO 26262标准将功能安全定义为“不存在因电气/电子系统故障行为造成的危害而产生的不合理风险”。为了符合ISO 26262标准，职能安全顾问会识别和评估危险（安全风险）。然后根据汽车安全完整性等级（ASIL）框架对这些危险进行分类。如此明确的危险分类有助于：

a.制定各种安全要求，将风险降低到可接受的水平

b.顺利管理和跟踪这些安全要求

c.确保交付的产品遵循标准化的安全程序。

汽车安全完整性等级（ASIL） ,通过对潜在危险进行风险分析，通过评估各种风险参数（严重性、暴露和可控性），分配ASIL值。

ISO 26262标准定义了ASIL的四个值：

ASIL A，ASIL B，ASIL C，ASILD。

ASIL D代表最高的汽车危害等级，而ASIL A代表最低的汽车危害等级。还有一个称为QM（质量管理级别）的级别，它表示不要求任何安全要求的危害。

下图演示了确定抗断裂系统（ABS）的ASIL所涉及的步骤：

对于车辆级别上定义的功能的任何特定故障，危害和风险分析（HARA）有助于确定对人员和财产造成伤害的风险的强度。一旦完成此分类，它将有助于确定实现可承受风险所需的过程和降低风险的级别。在汽车设计中，针对硬件和软件过程均执行了根据ASIL的安全目标定义，以确保最高水平的功能安全性。

这些安全级别是根据3个重要参数确定的：

暴露（E）：

这是衡量车辆处于危险或危险状况中可能对人员和财产造成伤害的可能性的度量。各个级别的暴露（例如E1：极低概率，E2：低概率，E3：中等概率，E4：高概率）被分配给要评估的汽车部件。

可控制性（C）：

确定由于要评估的任何汽车部件的故障或故障而违反安全目标时，车辆驾驶员可以控制车辆的程度。可控制性的顺序定义为：C1

严重度（S）：

定义由于违反安全目标而对人员（乘客和道路使用者）和财产的生命或财产造成的损害或后果的严重性或严重性。严重程度的顺序为：S1为轻度和中度伤害；S2用于严重和危及生命的伤害，S3用于危及生命的事件。

ISO 26262 ASIL分配表：

根据ISO 26262标准定义的分配表分配ASIL级别-ASIL A，B，C和D。

让我们试着了解基于E、C和S参数确定各种组件的ASIL值：

S3，E4和C3（3个参数的极值）的组合表示高度危险的情况。因此，被评估的组件被标识为ASIL D，这意味着在发生故障的情况下容易发生严重威胁生命的事件，并要求采取最严格的安全措施。

相反，S1，E1和C1的组合（就安全性至关紧要而言，这三个参数的最低水平）要求QM级别，这意味着该组件是无害的，并且不强调要在安全性要求下管理的安全要求ISO 26262。

同样，中级水平（S2，E4和C3或S2，E3和C2）的组合定义了ASIL C或ASILA。

因此，危险的强度取决于所考虑组件的ASIL级别。ASIL的分配有助于确定特定组件的故障在各种情况下可能造成多大的威胁。在ISO 26262 ASIL和功能安全的框架下；安全目标比汽车组件的功能更为关键。让我们以对汽车电池充电为例来理解这一说法。

与电池相关的安全目标是要根据ASIL进行评估的一个更关键的考虑因素，而不是如下表所示的电池本身。电池以低于10 km / h的速度过度充电的情况并不像以极高的速度过度充电那样严重，在这种情况下，过热和随之而来的火灾的可能性也很高。

因此，ASIL的确定在开发高度可靠和功能安全的汽车应用中形成了非常关键的过程。

在当今汽车设计变得越来越复杂，拥有大量ECU，传感器和执行器的时代，确保产品开发和调试的每个阶段的功能安全的需求变得更加重要。这就是为什么现代汽车制造商非常注重达

到符合ISO 26262标准和ASIL级别的最高汽车安全标准的原因。

三、车载失效事件处理

对电子控制器ECU来说，引起失效主要是两个方面：软件和硬件。

（1）软件失效：比如没有考虑分母可能为0、变量公式定义错误、导致精度丢失。

（2）硬件失效：如下图所示可以分为传感器失效、ECU硬件失效（比如CPU或者RAM/ROM失效）、执行器失效。

依据ISO26262标准进行功能安全设计时，首先识别系统的功能，并分析其所有可能的功能故障（Malfunction）或失效，可采用的分析方法有HAZOP、FMEA、头脑风暴等。

功能故障在特定的驾驶场景下才会造成伤亡事件，比如近光灯系统，其中一个功能故障就是灯非预期熄灭，如果在漆黑的夜晚行驶在山路上，驾驶员看不清道路状况，可能会掉入悬崖，造成车毁人亡；如果此功能故障发生在白天就不会产生任何的影响。

所以进行功能故障分析后，要进行情景分析，识别与此故障相关的驾驶情景，比如：高速公路超车、车库停车等。分析驾驶情景建议从公路类型（国道，高速），路面情况，（湿滑、冰雪）；车辆状态（转向、超车、制动、加速等），环境条件（风雪雨尘、夜晚、隧道灯），人员情况（乘客、路人）等几个方面去考虑。功能故障和驾驶场景的组合叫做危害事件（hazard

event）。

危害事件确定后，根据三个因子——严重度（Severity）、暴露率（Exposure）和可控性（Controllability）评估危害事件的风险级别，也就是ASIL等级。

四、ASIL等级划分方法：

对于汽车系统，特定危险的风险决定于以下三个因素：

（1）危险事件所导致伤害或损失的潜在严重性 (Severity of failure, S)

（2）指人员暴露在系统失效能够造成危害的场景中的概率OR理解为危险事件可能发生的驾驶工况的可能性 (probability of exposure, 简称E)

（3）危险所涉及的驾驶员和其它交通人员通过及时的反应避免特定伤害或损失的能力

(controllability, 简称C)

然后分别将严重性S、可能性E和可控性C分成4个等级，如下表所示，其中QM代表与安全无关：

按照以上的划分并进行组合相加得到5个ASIL等级（QM，A，B，C，D），原则是：

A. 基本可控C0的组合不考虑；

B. 无伤害S0的组合不考虑；

C. 其余组合相加等于7分为ASIL A，

等于8分为ASIL B，

等于9分为ASIL C，

等于10分为最高等级ASIL D；

ASIL A、B、C、D都是与功能安全相关的

D. 其余的得分安全评定为QM，代表与安全无关的功能

对于S/E/C和ASIL A/B/C/D的对应关系有个更直观、容易的记忆方法：

ASILA：S+E+C=7

ASILB：S+E+C=8

ASILC：S+E+C=9

ASILD：S+E+C=10

五、ASIL分解的定义

随着汽车不断地发展并采用更加复杂的电气/电子/可编程电子主导系统，更高性能水平和最高水平诊断覆盖率的应用数量不断增加。ASIL-D等级应用程序有可能受益于ASIL分解架构，该架构为终端设备设计人员在开发具有高ASIL等级要求的安全关键系统时提供了更大的灵活性。

根据ISO 26262 定义，ASIL 分解是将安全要求冗余地分配给充分独立的要素（这里指系统组件[软件或者硬件]；硬件组件或者软件单元），目的是降低分配给相关要素的冗余安全要求的ASIL 等级（Apportioning of redundant safety requirements to elements, with sufficient

independence, for the same safety goal. The objective being reducing the ASIL of the

redundant safety requirements that are allocated to the corresponding elements ）。

对于要求最高级别诊断覆盖率的ASIL-D 等级系统，确保单个系统故障不会导致功能灾难性后果变得异常重要。分解后的体系结构有助于实现这一目标，并且在开发此类系统时可以作为关键的设计选项。

下图展示了ASIL分解符合ISO 26262 Part9中的组合。

六、ASIL分解示例

ASIL分解示例（ESCL）

ESCL(Electronic Steering Colum Lock)是汽车电子转向锁的简称。

电子转向锁是一种转向管柱锁定装置——以物理方式限制转向轴的旋转运动。电子转向锁的主要用途是防止未经授权的操作，并用作防盗装置。

电子转向锁的功能安全目标是在车辆行驶时避免非预期的接合（Avoid unintended

engage of the ESCL while the vehicle is being driven）。

根据可控制、暴露概率和严重度三个指标来分析：

高速行驶时，电子转向锁非预期接合的后果可能是灾难性的，严重度打分为S3；

高速行驶时，电子转向锁非预期接合导致驾驶员/乘客暴露在危险中的几率是高发生率（几乎每次驾驶都可能会发生），暴露概率打分为E4；

高速行驶时，避免电子转向锁非预期接合的控制能力非常低，难以控制或者无法控制，可控性打分为C3；

综上对电子转向锁非预期接合这一事件分析，该系统应按照功能安全ASIL-D等级要求进行设计开发，由此得出电子转向锁的功能安全目标及安全等级如下：

安全目标：车辆行驶时，避免非预期的接合。——ASIL-D

下图是该功能的简单架构，其中车身控制器通过CAN通讯与MCU进行信息交互，MCU进而通过控制执行机构来将转向锁锁定。

ESCL 架构框图

这是一个单通道架构的设计，并且需要MCU 去驱动桥驱来保证随机硬件度量指标满足ASIL-D。设计上的限制可能会强制使用未达到ASIL-D等级的MCU。即使MCU满足ASIL-D指标要求，与BCM通讯的单个MCU仍可能出现通讯故障，从而可能导致车辆在驾驶时接合转向锁。我们可以通过对此要求进行分解来解决。

为了了解使用ASIL分解的正确方法，我们先来看看不正确的分解的实现。

在下图所示的有缺陷的架构中，BMC 发送命令来锁定或者解锁转向柱。有一个ABS 防抱死系统或者ESP 车身电子稳定系统通过CAN 通讯来提供车速信息。主MCU 负责驱动执行器。辅助MCU 仅在车辆静止时负责使能桥驱。但我们从下图中可以看到，辅助MCU 通过主MCU 接收车速信息，车辆的CAN 总线没有独立连接。因此，主MCU 上的共因故障可能会导致辅助MCU 传输错误的车速信息。这可能会导致安全目标的违反。

有缺陷架构

下图展示了一个更好的分解解决方案。使用两个独立的CAN通讯来避免共因失效。BMC通过车身CAN将锁定/解锁的指令发给主MCU。ABS/ESP控制器使用底盘CAN与辅助MCU进行通讯，只有在车辆停止时才会启用桥驱。除了作为实现安全目标的更稳妥的方式之外，上述例子的分解还可以使用两个ASIL-B的MCU来实现ASIL-D的功能。

图 ASIL 分解架构示意图

5.2 ASIL分解示例（通用）

ASIL C：车速大于15km/h时应禁用此功能。

图10.未分解

ASIL C：车速大于15km/h时应禁用此功能。

分解如下：

ASIL A(C ):车速大于15km/h时，控制器不应发送激活指令。

ASIL B(C ): 执行器开关应该打开当车速大于15km/h时。

图11.分解后

ASIL分解的总结

1）根据ISO 26262进行ASIL分解的目的不是为了证明随机硬件故障时减少ASIL分配给硬件元件的合理性，而是将重点放在系统故障情况下的功能和要求上。只有在细化需求并将其分配给不同的独立组件时，才能使用ASIL分解。

2）如果设计使用了ASIL分解，那么确认自上而下的ASIL需求分解对于最终的安全案例至关重要。即使系统是自上而下设计的，并且设计元素已经预先分配了ASIL，设计团队仍需要明确考虑（预期的—）自上而下的需求分解。