汽车技术的新革命已经开始,电动车和自动驾驶汽车的发展迅速。这些创新带来了许多挑战,尤其对于从雨刮器到微芯片,再到内置摄像头等各种部件的开发者。随着驾驶者越来越依赖这些新技术,他们需要确保这些系统的安全和可靠。
在当前的汽车环境下,遵守安全指南变得非常重要。开发者和制造商为了符合ISO 26262的规定,需要理解汽车安全完整性级别,也就是ASIL,以确定需要应用多大程度的严谨性。
什么是ASIL?
ASIL,即汽车安全完整性级别,是ISO 26262标准第九部分定义的道路车辆功能安全的风险分类系统,源于IEC 61508的安全完整性级别(SIL)。
尽管ISO 26262的遵守不是必需的,但在行业内,这被视为最新的实践,其中ASIL是其关键部分。ASIL决定了产品开发过程的严格程度,这基于产品失效可能对人员造成的伤害风险。通过全面评估每个组件、模块或系统,团队可以对出现故障时可能的风险和结果有合理的预期,并采取措施以降低风险。
ASIL的确定是在完成全面的危害分析和风险评估(HARA)后进行的。在此过程中,工程师或开发者会评估每个组件或系统,专注于该组件或系统可能失败带来的风险和危险。他们会考虑系统的可能失败率,失败后可能会发生什么,驾驶员是否能在不受伤的情况下应对这种失败,以及在故障发生的情况下,是否可能会发生伤害,如果会,伤害有多严重。一旦完成危害分析和风险评估,团队就可以确定ASIL
ASIL有哪些不同?
ASIL将危险分为四个级别,从A到D,同时设有一个额外级别,用于标记非危险的系统或组件。其中,ASIL D表示风险最高,而ASIL A则表示风险最低。额外的级别,即QM(质量管理),用于标记只需满足标准质量管理规定的非危险物品。
像防抱死刹车系统或安全气囊这样的系统,由于它们的故障风险最高,通常需要被归为ASIL D级别。而像后灯这样的系统,由于大多数驾驶者能够应对这些风险,且可能造成的伤害通常不严重,因此通常只需归为ASIL A级别。
什么因素决定ASIL?
确定ASIL时,开发者和工程师会考虑三个因素:
- 严重性(危险事件可能造成的伤害的严重程度)
- 暴露(可能导致伤害的条件频率)
- 可控性(驾驶员可能采取行动防止伤害的可能性)
在这三个因素中,每个因素都有额外的数字表达级别:
严重性
- S0:无伤害
- S1:轻到中度伤害
- S2:严重到危及生命的伤害(生存可能)
- S3:危及生命(生存不确定)到致命伤害
暴露
- E0:极不可能
- E1:非常低的可能性
- E2:低概率
- E3:中等概率
- E4:高概率(在大多数操作条件下可能发生伤害)
可控性
- C0:一般可控
- C1:简单可控
- C2:通常可控(大多数驾驶者可以采取行动防止伤害)
- C3:难以控制或无法控制
我应该如何选择我的ASIL?
确定ASIL时,开发团队应对每个系统、模块或组件进行全面的危害分析和风险评估(HARA)。这次评估的目的是识别所有可能导致危害或故障的故障,并评估与这些故障相关的风险。任何希望其任何产品符合ISO 26262标准的制造商都应进行HARA,并分配ASIL。
在进行HARA时,团队应按照上述图表确定严重性、暴露度和可控性的级别。在这些类别内确定了这些级别后,团队可以使用下图来确定ASIL:
请注意:虽然这个指南可能会帮助你大致确定你的ASIL,但它不能作为官方的ASIL确定。
ASIL分类的一些例子是什么?
虽然不同的ASIL分类中存在一定程度的主观性,但有些系统和组件的分类相当一致。以下是一些例子:
- ASIL D:安全气囊,防抱死刹车系统,电动助力转向
- ASIL C:自适应巡航控制,电池管理,悬挂系统
- ASIL B:刹车灯,后视摄像头,仪表板
- ASIL A:后灯,加热和冷却,车身控制单元
- QM:GPS/导航系统,卫星/数字广播,连接性(USB,HDMI,蓝牙)
即使在这些例子中,不同模型,制造商或风险评估之间也可能存在差异。例如,根据其他因素,“发动机管理”的风险可能是ASIL C或D,各种动力系统和风险可能在ASIL B和ASIL D之间变化。评估风险和分配级别需要考虑许多因素。
此外,ASIL是可能发生变化的。例如,原始设备制造商(OEM)可能会确定某个组件具有ASIL B的级别,但一旦该组件与其他系统集成,可能会在进行额外的危害分析和风险评估后提高或降低该级别。
ASIL的挑战是什么?
虽然上述图表显示了如何根据严重性、暴露度和可控性级别确定ASIL,但在分配这些级别时存在一定的主观性。例如,路况、环境因素、交通密度、驾驶者的能力、暴露的可能性都可能大不相同。在宽阔、空旷、干燥的道路上驾驶车辆的驾驶者可能比在暴雨中在繁重的交通中行驶的驾驶者更有可能控制危险事件。ASIL分类系统依赖于“通常”,“可能”,“大概”等主观解释词,需要工程师和开发者进行一定程度的有根据的判断。确定ASIL级别的另一个挑战是基于过去的级别分配进行假设而不进行全面的危害分析和风险评估的诱惑。例如,如果一个系统以前被分配为ASIL B级别,人们可能会假设其当前级别应该相同。然而,系统的改进或与其他系统的集成可能会改变级别。如果GPS系统现在与相机设备或其他智能技术集成,那么新的集成可能会提高或降低ASIL级别。
最后,没有保持良好的文档记录或正确跟踪需求的团队可能会得出不准确的ASIL,甚至可能完全忽视风险。当文档和需求没有被彻底跟踪时,团队可能会错过关键的功能安全风险。不仅为了符合ISO 26262的要求,而且还为了满足在市场上彻底准确地评估和降低风险的实际需要,需求跟踪和可追溯性是至关重要的。
ASIL如何影响产品开发?
一旦系统的ASIL被开发出来,ISO 26262就定义了基于ASIL所需的不同严谨度级别。例如,对于ASIL A和B,捕获需求的信息符号就足够了。这通常意味着需求以自然语言写出,并用简单的图形来说明关键概念。对于ASIL C和D,推荐使用更半正式的符号。需求仍然经常用自然语言书写,但然后会开发系统模型以更准确地描述行为。开发这些模型需要团队有额外的专业知识,但会提高文档的准确性,减少沟通的风险。开发更高ASIL系统的团队通常需要额外的专业知识以及专门的软件工具来支持这个过程。
ASILs如何发展?
汽车工程师协会(SAE)在2015年发布了J2980,以提供评估严重性、暴露度和可控性的额外指导。此外,J2980本身在2018年进行了更新,ISO 26262也进行了更新。
随着汽车技术在AI(人工智能)、自驾驶功能以及通过物联网与外部系统的集成方面的发展,可控性的概念提出了特别的挑战。目前,“可控性”主要指人类车辆操作员,但随着汽车变得越来越能够独立反应,评估可控性的标准可能会发生变化。随着越来越多的功能弥补驾驶员的错误,汽车变得更安全、更智能,减少了导致严重伤害或死亡的危险的可能性。但同时,对外部系统的访问可能会引入网络安全漏洞,这些漏洞可能会使ASIL的考虑更为复杂。
网络安全漏洞可能导致安全考虑,就像硬件故障一样。因此,团队现在开始一起分析系统的安全性和安全性。ISO 21434特别提出了一些建议,与ISO 26262配合,支持这个过程。
