概念
随着汽车新四化的发展,整车E/E系统的复杂性也不断增加,功能安全正成为一种更主流的要求。汽车安全完整性等级(ASIL)分解为实现更高水平的诊断覆盖度提供了可靠而稳健的途径,并在开发具有更高ASIL等级的安全关键系统时为研发人员提供了更大的灵活性。
ASIL等级无疑是汽车功能安全最重要的概念之一,它是相关项潜在危害的风险量化指标,共包含四个等级,即A,B,C,D,和QM,其中A是最低的安全等级,D是最高的安全等级,ASIL等级越高,危害的风险越大,QM为符合正常质量管理即可。
ASIL分解本质是充分冗余,冗余的本质就是独立性,所以独立性是ASIL等级分解的前提,所谓的独立性就是分解后的两个需求,即不存在级联失效,也没有共因失效的问题。
ASIL等级贯穿整个相关项的开发,最初作为安全目标SG的安全属性要求,随着从概念,到系统,再到硬件和软件的开发,ASIL等级由后续每个安全要求来继承。
从本质上来讲,ASIL安全等级的高低直接决定了系统的安全性要求的高低,ASIL 等级越高,意味着为实现相应的安全需求,需要付出更高的代价,需要遵循更严格的开发流程,更高的硬件概率化度量指标,这会直接导致开发成本的增加、开发周期的延长,甚至有时候有时候因为技术原因,无法满足相应的ASIL等级。
功能安全标准
ISO 26262《道路车辆功能安全》脱胎于IEC 61508《电气/电子/可编程电子安全系统的功能安全》,主要定位在汽车行业(包含乘用车、商用车、卡车、特殊车辆、摩托车等)中特定的电子器件、电子设备等专门用于汽车领域的部件,目的是提高汽车电子电气产品的安全性。
ISO 26262从2005年起正式开始制定,历约6年于2011年正式颁布第一版,成为国际标准。第二版也于2018年正式发布。相应的国标版功能安全标准也于2017年正式发布——GB/T 34590。
专业名词浅析
故障(FAULT),错误(ERROR), 失效(FAILURE), 缺陷(DEFECT)这几个词的含义对于不了解功能安全的可能并不容易分清,但这些并不是ISO26262首创的,而是可靠性工程行业的一些基本概念,也是功能安全标准的基础。这些在ISO26262-1文档有很好的描述,我也做下简单的解读:
| 名词 | ISO26262的解释 | 内涵 |
| 故障 (FAULT) | 一种可能导致元器件或者功能失败或者失效的异常 | FAULT是一种“因”。任何失效都来源于某种“因” |
| 错误 (ERROR) | 观察或测量到的和所期望的不一致 | ERROR是观测到的FAULT。通常对于数据传输,系统繁忙等产生的不一致是难免的,这是常用ERROR一词。对于系统单元故障则是常用FAULT。 |
| 失效 (FAILURE) | 一个单元或功能因为故障(FAULT)中止或者无法按预期达成目标 | FAILURE是FAULT的结果。 |
| 缺陷 (DEFECT) | ISO26262常见术语不包含DEFECT,认为应该没有缺陷或者瑕疵 | 缺陷对于硬件来自于材料或者设计生产不完美,对于软件体现于BUG,任何软件BUG在ISO26262都认为是 系统级故障(Systematic Fault ) |
| 单点故障(SPF, Single-Point Fault) | 单个故障发生就会导致系统安全目标失败的异常 | 注意,这里系统安全目标失败指的是从整车的角度来看,所以增加系统冗余或者采用外加看门狗监控这个故障,避免系统安全目标失败的话,这个就不再是单点故障 |
| 残余故障(RF, Residual Fault) | 单个硬件随机故障发生,但没有被系统安全机制所覆盖,而导致系统安全目标失败 | 注意,ISO26262的RF仅限于硬件随机失效。SPF和RF都是严重的,其发生率和ASIL级别直接相关。安全机制的设计应该尽可能覆盖各种已知的硬件随机故障 |
| 多点故障(MPF,Multi Point Fault) | 某个故障,当和别的故障同时发生,而且都没有被检测或者察觉出来,而导致的系统安全目标失败 | 注意,检测或觉察出故障,采取相应措施,就可以减少或者避免多点故障。这同时也意味着多点故障单个发生的时候可能没有很大危害性,需要两个或更多发生才会体现。可检测出来的MPF也叫做MPF-DP |
| 潜伏故障(LF, Latent Fault, MPF-LF) | 在检测周期里,已经发生但是没有被检测或者觉察出来的多点故障 | 注意,这意味着扩大检测覆盖率,或者同时缩短检测周期,有可能减少LF。如果已经被检查出来并进行处理,这个MPF可能可以做到不影响系统安全目标 |
从上述列表分析来看,单点故障(SPF)和残余故障(RF)是最为致命的故障。不容易被发现和觉察的潜伏故障(LF)也会留下隐患。
ASIL的定义
◆通常在项目早期阶段进行,通过对系统/功能进行危害分析和风险评估(HARA)获得
◆每一个危险事件都被分配了一个ASIL等级 (从ASIL-A 到 ASIL-D,或QM)
◆QM不是一个功能安全等级,它意味着没有特殊性的安全要求,满足质量管理流程即可
◆ASIL的选择基于可控性(C)、严重程度(S)和暴露时间(E)
例如:安全气囊、防抱死制动器和动力转向等系统需要ASIL-D等级(适用于安全保证的最高等级,因为与此类故障相关的风险最高);尾灯等组件通常只需要ASIL-A等级,前灯和刹车灯通常为ASIL-B,雨刷控制通常为ASIL-A;而巡航控制通常为ASIL-C。
