据颐卓咨询了解,随着汽车上电子/电气系统(E/E)数量不断的增加,一些高端豪华轿车上面就有多达70多个ECU(Electronic Control Unit电子控制单元),其中安全气囊系统、制动系统、底盘控制系统、发动机控制系统以及线控系统等都是安全相关系统。
为了实现汽车上电子/电气系统的功能安全设计,道路车辆功能安全标准 ISO 26262于2011年正式发布,为开发汽车安全相关系统提供了指南,该标准的基础是适用于任何行业的电子/电气/可编程电子系统的功能安全标准IEC 61508。
ASIL安全等级的概念
ASIL等级,Automotive Safety Integration Level,汽车安全完整性等级,指描述系统能够实现指定安全目标的概率高低。每个的安全功能要求都包括安全性目标和ASIL安全等级这两部分内容。
对一个指定系统应用安全功能要求,ASIL安全等级划分包括如下步骤:
1.根据预想架构、功能概念、操作模式和系统状态等确定安全事件;
2.危险分析和风险评估,初步确定ASIL安全等级;
3.逐级分解安全要求和安全等级,ASIL安全级别划分和ASIL安全级别逐层分解两个过程交替进行,直至抵达无法进一步分解 零件或者子系统;
4.可用因素共存原则、相关失效分析和安全分析等原则来检查等级分配的合理性。
与ASIL相关的几个概念
根据ASIL等级划分的基本规则,我们从安全目标出发,主要是考虑影响等级的三要素,最终确定系统或者零件安全等级的过程。
ASIL等级划分目标在于为了降低系统性失效的概率,但并不针对单一零件性能参数的水平进行规定,对此也不会产生影响。
你可知道ASIL是有四个等级,分别为A,B,C,D,其中A是最低的等级,D是最高的等级。
而ASIL等级分解只要是将系统的安全目标和安全等级逐步落实到下级子系统的过程。
危害,指系统功能异常导致危害的潜在来源;
危害事件,指在指定场景下发生的危害;
危害分析和风险评估,对指定系统的可能危害事件进行识别和归类,并定义防止或减轻危害发生的安全目标和安全等级,来避免避免不合理风险。
影响ASIL等级的三个基本要素是严重度(Severity)、暴露率(Exposure)和可控性(Controllability)。
严重度,描述一旦风险成为现实,相关人员、财产将遭受损害的程度,比如电子锁故障就比刹车故障的严重程度低;
暴露率,描述风险出现时,人员或者财产可能受到影响的概率,比如底盘出现异响比乘员座椅故障暴露率低;
可控性,描述风险出现时,驾驶员等在多大程度上可以采取主动措施避免损害的发生,轮胎缓慢漏气比刹车失灵可控性高。
为什么要划分和分解安全等级
给汽车上的全部电子电气系统划分安全等级,明确每个系统,每个子系统,每个零件的安全目标,制定执行明确的安全措施。
一方面使相关人员和部门统一认识,避免因为目标含混不清,职责不明确造成的风险;
另一方面,避免在同一个安全要素上重复投入资源,出现分布不均而出现的资源浪费,一个风险点有几个安全保障,而另一个故障点却没有人意识到。
通过系统性,全生命周期的思考方式,实现全面的规划安全功能的目的。
ASIL安全等级划分方法
划分ASIL安全等级,首先我们需要做安全事项的危险分析和风险评估。针对所有可能发生的危害事件进行的危险分析和风险评估,是确定安全目标的第一步,这一步可以在还不知道对象细节的时候就进行。比如,车辆在路上运行,有碰撞的风险,这个风险的存在性和存在的形式都不必等待车辆设计好造型的时候才知道。
为了明确功能安全要求,ISO26262标准给出一系列建议,下面是比较重要的几点建议。
1.根据系统基本架构提出功能安全的要求;
2.下级系统应该全面继承上级系统的安全要求和安全等级;
3.同一要素与上级的几个系统都有从属关系,则取安全等级最高的系统级别;
4.处理好于飞电子电气类安全措施的接口,不要存在系统安全空白,也不要在一个点上过度设计;
对于上文所提到的危险分析和风险评估方法建议,我们归纳起来大体如下:
使用评估清单;采用头脑风暴、分析工具(如FEMA或者FTA等);
根据不同场景进行评估,场景应该是公认的,影响作用方式是常识中的;
清晰界定每个危险事件自身的描述以及危险造成的影响,尽量使用最准确具体的语言,并全面的估计影响;
对于标准适用范围以外的风险应当一道给以适当处理。
安全等级ASIL按照严重性、暴露性和可控性这三个维度来进行具体评估:
严重性
用SX表示,X取值可以是0/1/2/3,级别从低到高,级别越高,伤害越严重。S0无伤害;S1轻微或有限伤害;S2严重或危及生命的伤害(可生还);S3危及生命的伤害(有死亡可能)或致命伤害;
暴露性
用EX表示, X取值从0至4,共5个等级。E0是几乎不肯能暴露于危险中,E4是可能性极高。
可控性
用CX表示,最低C0可控,最高C3几乎不可控,共4个级别。
ASIL 等级分为A、B、C、D 四个等级,ASIL A 是最低的安全等级,ASIL D 是最高的安全等级。
除了这四个等级QM 表示与安全无关。评估结果范例表格如下图所示。
ASIL安全等级分解
效率最高的安全要素分配方式:ASIL分解倾向于把冗余的安全要求分配给足够独立的系统。
从安全目标开始,安全要求在开发过程中会被分解和提炼。ASIL 作为安全目标的一个属性,会被每一个后续的安全要求所继承。功能和技术安全需求向每个架构要素的分配,开始于初步的架构设想,结束于硬件和软件要素。
在设计过程中的ASIL 裁剪方法被称作“ASIL 分解”。在分配阶段,优势来自架构决定,包括存在足够独立的架构要素。
这些好处在于:
--应用冗余的安全要求通过独立的架构要素;
--分配一个可能更低的ASIL 给这些分解后的安全要求;
如果这些架构要素不是足够独立的,那么冗余的要求和架构要素继承初始化的ASIL。”
理解一
安全等级的划分对象是电子电气系统或产品,不包括管理流程等事项;
理解二
标准不对标称参数做安全性评估,只对功能安全系统定义的安全要求进行拆解和评估;
理解三
安全等级的划分顺序,是自上而下的过程,上层系统分解出来的支持本层级安全目标的措施,分解到下面一层,成为下一个层级的安全目标,下层系统没有特殊情况,需要继承上层的安全目标和安全等级;
理解四
安全等级和安全要素的支持关系,存在着时间上的连续性,产品生命周期的每个阶段都必须始终支持本层级系统的安全目标;
理解五
如果组成系统的子系统之间没有耦合关系,即他们不是互相影响的,而是只受下面一个层次的系统或者因素影响,那么这些独立系统可以分配略低的ASIL等级。从另一个角度说,如果分配正常的安全等级,则独立系统可以使得父系统获得更大的安全冗余。
ASIL安全等级分解原则
要素共存准则,一个系统内包含多个子要素,且某些子要素对其安全性产生影响,另外一些则不产生影响;或者一些子要素的安全等级高而另外的一些安全等级低。此时总的原则是,将子要素的安全等级提升到系统安全级别,除非能够证明,低等级的子要素对系统不产生不良影响,同时对其余子要素也不产生不良影响。
相关失效分析,系统内并行的几个功能,可能因为受到同一个底层因素的影响,或者同一个外部因素的影响同时失效;系统中,串联关系(一个系统的输出是另一个系统的输入)的几个系统,可能在一个底层输入的错误瞬间造成一系列的失效。必须识别出这种可能存在的失效模式和相关系统,避免系统中存在相关失效的情形。
安全分析,在完成了危险性分析和风险评估以后,系统内每个相关因素的安全等级和安全目标都已经确定,回过头来,再次进行的一种评估分析。再次确认安全目标,考察安全措施实施的效果和可能面对的失效,探讨安全失效后可能造成的影响。安全分析,意在识别出风险评估阶段遗漏的安全项目和安全方案中的过度冗余和欠缺。