什么是ASIL?ASIL D 又是什么?

定义 ASIL

ASIL 表示汽车安全性等级。这是 ISO 26262 标准针对道路车辆的功能安全性定义的风险分类系统。

该标准将功能安全定义为“不存在由电气电子系统故障行为相关的危害引起的不合理风险”。ASIL 根据对汽车部件的危害概率和承受度,确立符合 ISO 26262 标准的安全要求。

ISO 26262 确定了四种 ASIL — A、B、C 和 D。ASIL A 代表最低程度的汽车危害,ASIL D 则代表最高程度的汽车危险。

安全气囊、防抱死制动系统和动力转向系统必须达到 ASIL D 级,这是应用于安全保障的最严苛等级,因为其失效带来的风险最高。而安全等级范围的最低等级,如后灯等部件,仅需达到 ASIL A 级即可。大灯和刹车灯通常是 ASIL B 级,而巡航控制通常是 ASIL C 级。

ASIL 汽车安全性等级 以及ASIL D

ASIL 如何划分?

通过执行危害分析和风险评估确立 ASIL 等级。对于车辆中的每个电子部件,工程师测量三个特定变量:

  • 严重程度(对驾驶员和乘客造成的伤害类型)
  • 接触概率(车辆是否经常接触危害)
  • 可控性(驾驶员能够阻止伤害的程度)

每个变量都可以细分为几个子类。严重程度有四个等级,从“无伤害”(S0) 到“危及生命/致命伤”(S3)。接触概率有五个等级,涵盖“非常不可能”(E0) 到“极有可能”(E4)。可控性有四个等级,从“一般可控”(C0) 到“不可控”(C3)。

需分析并组合所有变量和子分类才能确定所需的 ASIL。例如,最高危害 (S3 + E4 + C3) 的组合将导致达到 ASIL D 等级。 

了解 ASIL B 和 ASIL D 就绪的DesignWare IP 如何加速汽车 SoC 的功能安全评估

下载手册

ASIL 面临哪些挑战?

确定 ASIL 等级需涉及许多变量,并要求工程师做出假设。例如,即使一个部件被假设为“不可控”(C3),并且在发生故障时也可能导致“危及生命/致命伤害”(S3),仍然可以被划分为 ASIL A 级(低风险),这只是因为其危害接触概率较低 (E1)。

ASIL 定义旨在提供信息而不是作出规定,因而留出了解释空间。留有巨大的空间。ASIL 词汇依赖副词界定(经常、很可能、可能、不太可能)。“经常”能够避免伤害是指 60% 还是 90% 的接触概率? 在大溪地接触黑冰的概率和在加拿大一样吗? 那么不同车流量如何影响呢? 在高峰时段的洛杉矶和上午在澳大利亚内陆的一段空旷道路上,情况会一样吗?

简而言之,ASIL 的等级划分取决于环境和具体解释。 

ASIL 如何发展而来?

鉴于确定 ASILS 涉及的不确定性, 美国汽车工程师学会 (SAE) 于 2015 年起草了 J2980,“ISO 26262 ASIL 危害分类的考虑因素”。这些指南为评估特定危害的接触概率、严重程度和可控性提供了更明确的指导。J2980 不断发展 - SAE 于 2018 年发布了修订版。

随着自动驾驶汽车的发展,ISO 26262 将需要重新审视目前属于人类驾驶员的“可控性”的定义。正如当前标准中的表述,没有人类驾驶员意味着可控性始终是 C3,这是“不可控”的极限。描述严重程度(伤害)和接触概率(概率)的其他变量,无疑也需要重新检查。

ASIL 的优点是什么?

ISO 26262 是一个面向目标的标准,完全关注“防止伤害”。尽管 ASIL 分类面临质疑的挑战,却旨在“防止损害”,并帮助我们在冗长且经常脱节的供应链中,让无数汽车零部件达到最高安全等级。

主要优势包括:

  • 制定安全要求以将风险降低到可接受的水平
  • 管理并跟踪安全要求
  • 确保最终产品遵循标准化安全程序 

新思科技怎样帮助您达到 ASIL 要求?

新思科技 DesignWare IP 产品组合采用安全套装,符合 ASIL B 和 ASIL D 就绪 ISO 26262 认证,专为安全攸关的应用而设计。我们经过 ASIL 认证的 IP 还可加速高级驾驶员辅助系统芯片 (ADAS芯片) 等应用的开发。

我们的安全套装包括故障模式影响和诊断分析 (FMEDA) 报告、安全手册和认证报告,用于加速安全评估并能帮您实现目标 ASIL。使用 DesignWare IP 还有助于降低供应链风险,并加速实现ADAS芯片级功能安全的整个进程(从需求规格界定到设计、实现、集成、验证、确认和配置)。