ASIL-汽车安全完整性等级讲解
一、.ASIL定义
ASIL等级的定义是为了对失效后带来的风险进行评估和量化以达到安全目标,其全称是Automotive Safety Integration Level--汽车安全完整性等级。
ASIL(Automotive Safety Integrity Level)由ISO 26262标准定义的风险分类系统,用于公路车辆的功能安全。
该标准将功能安全定义为“由于电气或电子系统的故障行为而导致的危害,不存在不合理的风险”。ASIL根据损害的可能性和可接受性确定安全要求,以使汽车零部件符合ISO 26262。ISO 26262-A,B,C和D标识了四种ASIL。ASILA代表最低级别,而ASIL D代表最高的汽车危害等级。
安全气囊,防抱死制动和动力转向等系统需要ASIL-D级(对安全性要求最高的严格性),因为与故障相关的风险最高。在安全范围的另一端,诸如尾灯之类的组件仅需要ASIL-A级。前大灯和刹车灯通常为ASIL-B,而巡航控制系统通常为ASIL-C。
沃尔沃xc90混动二、.ASIL产生的意义
ISO 26262标准将功能安全定义为“不存在因电气/电子系统故障行为造成的危害而产生
路虎历史
的不合理风险”。为了符合ISO 26262标准,职能安全顾问会识别和评估危险(安全风险)。然后根据汽车安全完整性等级(ASIL)框架对这些危险进行分类。如此明确的危险分类有助于:
a.制定各种安全要求,将风险降低到可接受的水平
b.顺利管理和跟踪这些安全要求
c.确保交付的产品遵循标准化的安全程序。
汽车安全完整性等级(ASIL),通过对潜在危险进行风险分析,通过评估各种风险参数(严重性、暴露和可控性),分配ASIL值。
ISO 26262标准定义了ASIL的四个值:
ASIL A,ASIL B,ASIL C,ASILD。
ASIL D代表最高的汽车危害等级,而ASIL A代表最低的汽车危害等级。还有一个称为QM (质量管理级别)的级别,它表示不要求任何安全要求的危害。
下图演示了确定抗断裂系统(ABS)的ASIL所涉及的步骤:
a4旅行版
对于车辆级别上定义的功能的任何特定故障,危害和风险分析(HARA)有助于确定对人员
和财产造成伤害的风险的强度。一旦完成此分类,它将有助于确定实现可承受风险所需的过程和降低
风险的级别。在汽车设计中,针对硬件和软件过程均执行了根据ASIL的安全目标定义,以确保最高水平的功能安全性。
这些安全级别是根据3个重要参数确定的:
暴露(E):
这是衡量车辆处于危险或危险状况中可能对人员和财产造成伤害的可能性的度量。各个级别的暴露(例如E1:极低概率,E2:低概率,E3:中等概率,E4:高概率)被分配给要评估的汽车部件。
可控制性(C):
确定由于要评估的任何汽车部件的故障或故障而违反安全目标时,车辆驾驶员可以控制车辆的程度。可控制性的顺序定义为:C1 <C2 <C3(C1易于控制,而C3难以控制)。别克商务车报价及图片
严重度(S):
信用卡分期付款买车
定义由于违反安全目标而对人员(乘客和道路使用者)和财产的生命或财产造成的损害或后果的严重性或严重性。严重程度的顺序为:S1为轻度和中度伤害;S2用于严重和危及生命的伤害,S3用于危及生命的事件。
ISO 26262 ASIL分配表:
根据ISO 26262标准定义的分配表分配ASIL级别-ASIL A,B,C和D。
让我们试着了解基于E、C和S参数确定各种组件的ASIL值:
S3,E4和C3(3个参数的极值)的组合表示高度危险的情况。因此,被评估的组件被标识为ASIL D,这意味着在发生故障的情况下容易发生严重威胁生命的事件,并要求采取最严格的安全措施。
相反,S1,E1和C1的组合(就安全性至关紧要而言,这三个参数的最低水平)要求QM 级别,这意味着该组件是无害的,并且不强调要在安全性要求下管理的安全要求ISO 26262。同样,中级水平(S2,E4和C3或S2,E3和C2)的组合定义了ASIL C或ASILA。
因此,危险的强度取决于所考虑组件的ASIL级别。ASIL的分配有助于确定特定组件的故障在各种情况下可能造成多大的威胁。在ISO 26262 ASIL和功能安全的框架下;安全目标比汽车组件的功能更为关键。让我们以对汽车电池充电为例来理解这一说法。
与电池相关的安全目标是要根据ASIL进行评估的一个更关键的考虑因素,而不是如下表所
示的电池本身。电池以低于10 km / h的速度过度充电的情况并不像以极高的速度过度充电那样严重,在这种情况下,过热和随之而来的火灾的可能性也很高。
因此,ASIL的确定在开发高度可靠和功能安全的汽车应用中形成了非常关键的过程。
在当今汽车设计变得越来越复杂,拥有大量ECU,传感器和执行器的时代,确保产品开发和调试的每个阶段的功能安全的需求变得更加重要。这就是为什么现代汽车制造商非常注重达到符合ISO 26262标准和ASIL级别的最高汽车安全标准的原因。
三、车载失效事件处理
对电子控制器ECU来说,引起失效主要是两个方面:软件和硬件。
(1)软件失效:比如没有考虑分母可能为0、变量公式定义错误、导致精度丢失。(2)硬件失效:如下图所示可以分为传感器失效、ECU硬件失效(比如CPU或者RAM/ROM 失效)、执行器失效。
依据ISO26262标准进行功能安全设计时,首先识别系统的功能,并分析其所有可能的功能故障(Malfunction)或失效,可采用的分析方法有HAZOP、FMEA、头脑风暴等。功能故障在特定的驾驶场景下才会造成伤亡事件,比如近光灯系统,其中一个功能故障就是灯非预期熄灭,如果在漆黑的夜晚行驶在山路上,驾驶员看不清道路状况,可能会掉入悬崖,造成车毁人亡;如果此功能故障发生在白天就不会产生任何的影响。
英郎gt所以进行功能故障分析后,要进行情景分析,识别与此故障相关的驾驶情景,比如:高速公