汽車技術(shù)的新革命不僅即將到來，而且已經(jīng)到來。從電動汽車的迅速普及到自動駕駛汽車，汽車從機(jī)械系統(tǒng)的時代迅速發(fā)展。出于各種原因，這些進(jìn)步令人興奮和受歡迎，但它們給從擋風(fēng)玻璃雨刷器到微芯片再到內(nèi)置攝像頭的所有開發(fā)人員帶來了越來越多的挑戰(zhàn)和考慮。隨著駕駛員越來越依賴使從 A 點到 B 點更輕松、更有趣的系統(tǒng)，他們還需要確保這些系統(tǒng)安全可靠。

在這種新的汽車現(xiàn)實中，遵守安全準(zhǔn)則從未像現(xiàn)在這樣重要。隨著開發(fā)人員和制造商努力實現(xiàn) ISO 26262 合規(guī)性，他們必須了解汽車安全完整性等級 （ASIL），才能知道要應(yīng)用什么級別的嚴(yán)格性。

什么是 ASIL？

ASIL 代表 Automotive Safety Integrity Level，是道路車輛功能安全的風(fēng)險分類系統(tǒng)。ASIL 由 ISO 26262 標(biāo)準(zhǔn)第 9 部分定義，并改編自 IEC 61508 中發(fā)布的安全完整性等級 （SIL） 指南。

雖然遵守 ISO 26262 不是強(qiáng)制性的，但它是行業(yè)內(nèi)最先進(jìn)的做法，而 ASIL 是該標(biāo)準(zhǔn)的關(guān)鍵部分。ASIL 根據(jù)產(chǎn)品失敗時對人造成傷害的風(fēng)險來確定產(chǎn)品開發(fā)過程的嚴(yán)格程度。通過根據(jù)各種因素對每個組件、模塊或系統(tǒng)進(jìn)行全面的安全評估，團(tuán)隊可以對發(fā)生故障時的風(fēng)險和結(jié)果做出合理的預(yù)期，并實施緩解措施來降低風(fēng)險。

ASIL 是在全面的危害分析和風(fēng)險評估 （HARA） 后確定的。工程師或開發(fā)人員在評估每個組件或系統(tǒng)時，會關(guān)注該組件或系統(tǒng)的潛在故障所帶來的風(fēng)險和危害。系統(tǒng)出現(xiàn)故障的可能性有多大？如果失敗了怎么辦？駕駛員可以在不受傷的情況下補(bǔ)償或管理故障嗎？發(fā)生故障時是否有可能發(fā)生傷害，如果是，傷害會有多嚴(yán)重？一旦危害分析和風(fēng)險評估完成，團(tuán)隊就可以分配 ASIL。

有哪些不同的 ASIL？

ASIL 將危害分為四個級別之一，表示為 A 到 D，第五個附加級別用于非危險系統(tǒng)或組件。ASIL D 代表最高風(fēng)險級別，而 ASIL A 代表最低風(fēng)險級別。附加級別 QM 代表質(zhì)量管理，表示僅需要標(biāo)準(zhǔn)質(zhì)量管理合規(guī)性的非危險物品。

一般來說，防抱死制動器或安全氣囊等系統(tǒng)需要 ASIL D 分類，因為在這些系統(tǒng)中與故障相關(guān)的風(fēng)險最高。另一方面，尾燈等系統(tǒng)只需要 ASIL A 分類;雖然尾燈肯定有安全組件，但大多數(shù)駕駛員可以減輕這些風(fēng)險，而且潛在的傷害嚴(yán)重程度通常并不高。

哪些因素決定了 ASIL？

要確定 ASIL，開發(fā)人員和工程師會考慮三個因素：

• 嚴(yán)重程度（危險事件造成的傷害的潛在嚴(yán)重程度）

• 暴露（可能導(dǎo)致受傷的情況的頻率）

• 可控性（駕駛員可以采取行動防止受傷的可能性）

在這三個因素中，每個因素都有以數(shù)字表示的附加級別：

嚴(yán)厲

S0：無傷

S1：輕至中度損傷

S2：重度至危及生命的損傷（可能存活）

S3：危及生命（生存不確定）至致命傷害

暴露

E0：極不可能

E1：概率非常低

E2：低概率

E3：中等概率

E4：高概率（在大多數(shù)作條件下都可能發(fā)生傷害）

操縱

C0：一般可控

C1：簡單可控

C2：通?？煽兀ù蠖鄶?shù)駕駛員可以采取行動以防止受傷）

C3：難以控制或無法控制

相關(guān)文章：ISO 26262 對汽車開發(fā)的影響

如何選擇我的 ASIL？

為了確定 ASIL，開發(fā)團(tuán)隊?wèi)?yīng)對每個系統(tǒng)、模塊或組件進(jìn)行全面的危害分析和風(fēng)險評估 （HARA）。此評估的目的是識別所有可能導(dǎo)致危險或故障的故障，并評估與這些故障相關(guān)的風(fēng)險。任何旨在使任何產(chǎn)品符合 ISO 26262 標(biāo)準(zhǔn)的制造商都應(yīng)進(jìn)行 HARA 并分配 ASIL 。

在 HARA 期間，團(tuán)隊分配上圖確定的嚴(yán)重性、暴露和可控性級別。在這些類別中確定這些級別后，團(tuán)隊可以使用下表得出 ASIL ：

請注意： 雖然本指南通常可以幫助您識別 ASIL，但它不應(yīng)作為正式的 ASIL 確定。

ASIL 分類有哪些示例？

盡管不同的 ASIL 分類存在一定程度的主觀性，但一些系統(tǒng)和組件的分類相當(dāng)一致。以下是一些示例：

ASIL D：安全氣囊、防抱死制動、電動助力轉(zhuǎn)向

ASIL C：自適應(yīng)巡航控制、電池管理、懸架

ASIL B：剎車燈、后視攝像頭、組合儀表

ASIL A：尾燈、加熱和冷卻、車身控制單元

QM：GPS/導(dǎo)航系統(tǒng)、衛(wèi)星/數(shù)字無線電、連接性（USB、HDMI、藍(lán)牙）

即使在這些示例中，不同型號、制造商或風(fēng)險評估之間也可能存在差異。例如，根據(jù)其他因素，“發(fā)動機(jī)管理”風(fēng)險可能是 ASIL C 或 D，而各種動力總成系統(tǒng)和風(fēng)險可能在 ASIL B 和 ASIL D 之間有所不同。評估風(fēng)險和分配級別需要考慮許多因素。

此外，ASIL 可能會發(fā)生變化。例如，OEM（原始設(shè)備制造商）可以確定某個組件的 ASIL B 級別，但一旦該組件與其他系統(tǒng)集成，該級別可能會隨著額外的危害分析和風(fēng)險評估而提高或降低。

ASIL 面臨哪些挑戰(zhàn)？

盡管上圖顯示了如何根據(jù)嚴(yán)重性、風(fēng)險和可控性級別得出 ASIL，但分配這些級別涉及一定程度的主觀性。例如，道路狀況、環(huán)境因素、交通密度、駕駛員能力和接觸可能性都可能有很大差異。在寬闊、空曠、干燥的道路上駕駛車輛的駕駛員可能比在暴雨期間在交通繁忙的道路上駕駛的駕駛員更有可能控制危險事件。ASIL 分類系統(tǒng)取決于對“通?！?、“可能”和“可能”等詞的主觀解釋，這涉及工程師和開發(fā)人員在一定程度上受過教育的判斷。確定 ASIL 級別的另一個挑戰(zhàn)是，在沒有進(jìn)行全面的危害分析和風(fēng)險評估的情況下，根據(jù)過去的級別分配做出假設(shè)的誘惑。例如，如果系統(tǒng)之前被指定為 ASIL 級別 B，則可能很容易假設(shè)其當(dāng)前級別應(yīng)該相同。但是，系統(tǒng)的改進(jìn)或與其他系統(tǒng)的集成可能會改變級別。如果 GPS 系統(tǒng)現(xiàn)在與攝像頭設(shè)備或其他一些智能技術(shù)集成，那么這種新的集成可能會提高或降低 ASIL 級別。

最后，沒有正確保存良好文檔記錄或跟蹤要求的團(tuán)隊可能會得出不準(zhǔn)確的 ASIL，甚至完全忽視風(fēng)險。當(dāng)文檔和需求沒有得到徹底跟蹤時，團(tuán)隊可能會錯過關(guān)鍵的功能安全風(fēng)險。需求跟蹤和可追溯性不僅對于符合 ISO 26262 至關(guān)重要，而且對于徹底準(zhǔn)確地評估和降低風(fēng)險的實際市場需求也至關(guān)重要。

ASIL 如何影響產(chǎn)品開發(fā)？

一旦制定了系統(tǒng)的 ASIL，ISO 26262 就定義了基于 ASIL 所需的不同嚴(yán)格級別。例如，對于 ASIL A 和 B，信息表示法足以滿足捕獲要求。這通常意味著需求是用自然語言編寫的，并用簡單的數(shù)字進(jìn)行擴(kuò)充，以消除關(guān)鍵概念的文盲。對于 ASIL C 和 D，建議使用更半正式的表示法。需求通常仍然用自然語言編寫，但隨后會開發(fā)系統(tǒng)模型以更準(zhǔn)確地描述行為。開發(fā)這些模型需要團(tuán)隊中的額外專業(yè)知識，但可以提高文檔的準(zhǔn)確性并降低溝通不暢的風(fēng)險。開發(fā)更高 ASIL 系統(tǒng)的團(tuán)隊通常需要額外的專業(yè)知識以及專門的軟件工具來支持該過程。

ASIL 是如何演變的？

汽車工程師協(xié)會 （SAE） 于 2015 年發(fā)布了 J2980，為評估嚴(yán)重性、暴露和可控性提供了額外的指導(dǎo)。此外，J2980 本身和 ISO 26262 都在 2018 年進(jìn)行了更新。

隨著 AI（人工智能）、自動駕駛功能以及通過 IoT（物聯(lián)網(wǎng)）集成到外部系統(tǒng)等汽車技術(shù)的進(jìn)步，可控性的概念提出了特殊的挑戰(zhàn)。目前，“可控性”主要是指人類車輛駕駛員，但隨著汽車獨(dú)立反應(yīng)的能力越來越強(qiáng)，評估可控性的標(biāo)準(zhǔn)可能會發(fā)生變化。隨著功能越來越多地補(bǔ)償駕駛員錯誤，汽車變得越來越安全和智能，從而降低了導(dǎo)致嚴(yán)重傷害或死亡的危險的可能性。然而，與此同時，對外部系統(tǒng)的訪問可能會引入網(wǎng)絡(luò)漏洞，使 ASIL 的考慮變得復(fù)雜。

網(wǎng)絡(luò)安全漏洞可能會導(dǎo)致安全考慮，就像硬件故障一樣。因此，團(tuán)隊現(xiàn)在開始一起分析系統(tǒng)的安全性。ISO 21434 特別提出了與 ISO 26262 相配合的建議，以支持這一過程。