安全目标和ASIL(Automotive Safety Integrity Level)等级的关系密切,因为ISO 26262标准要求根据潜在风险的严重性来定义系统的功能安全目标,并确定相应的ASIL等级。ASIL等级帮助定义每个安全目标的必要开发流程、验证深度和安全措施,以确保其实现。
以下是安全目标与ASIL等级之间的关系和评估过程:
1. 安全目标的定义
- 安全目标是针对特定系统功能的安全要求,旨在降低潜在的功能性故障带来的风险。例如,在转向系统中,安全目标可能包括“在电子助力失效时确保基本机械转向能力”。
- 安全目标的目的是确保系统在发生故障时不会引发危险情况。因此,每个安全目标对应一个具体的风险情境,是在系统可能存在的各种故障模式中防止事故发生的防线。
2. ASIL等级的评估
- ASIL等级根据三个因素评估:严重性(Severity, S)、暴露概率(Exposure, E) 和 可控性(Controllability, C)。
- 严重性:如果出现故障,潜在的伤害程度如何?它定义了事件对安全的潜在影响,从轻微到致命。
- 暴露概率:驾驶员、乘员或其他道路使用者在何种频率下会遇到这样的情况。
- 可控性:在故障情境下,驾驶员是否能控制车辆,防止事故发生。
- 根据这些因素,ASIL等级被划分为 QM(质量管理,最低级别),ASIL A,ASIL B,ASIL C,ASIL D。ASIL D代表最高的安全等级要求,因为其对应的故障后果最严重、可控性最差,暴露频率也更高。
3. 安全目标和ASIL等级的关系
- 每个安全目标的ASIL等级是根据其故障后果的风险程度确定的。系统的高风险目标需要更高的ASIL等级,确保开发过程中的严格性与风险成正比。
- 高ASIL等级的安全目标通常要求更复杂的冗余设计、检测机制和更全面的故障响应流程。例如:
- ASIL D:例如刹车系统的安全目标(如在失效时切换至机械制动)需要ASIL D级别的开发流程。
- ASIL B:自动雨刷系统的安全目标(如失效时发出警告)可能只需要ASIL B,因为其失效对安全影响较小且驾驶员可控性较高。
4. 确定ASIL等级的流程
- 风险分析与评估:通过危害分析和风险评估(HARA),识别系统潜在的安全风险,定义相关的安全目标。
- 分配ASIL等级:根据HARA结果,将每个安全目标分配相应的ASIL等级。
- 设计安全措施:每个ASIL等级要求不同的开发深度、冗余和诊断策略。例如,ASIL D要求的开发和验证流程是最严格的,以保证功能的高可靠性。
5. 实际应用中的关系
- 在实际开发中,ASIL等级直接影响开发活动。例如,针对ASIL D的目标,开发团队需要进行严格的测试和验证,增加冗余设计,确保故障不影响车辆的基本控制。
- ASIL等级越高,对故障容忍度、检测频率、诊断覆盖率和故障恢复能力的要求也更高,开发周期和成本会随之增加。
总结
安全目标是产品在故障条件下必须满足的关键安全要求,而ASIL等级根据其潜在风险的严重性、暴露频率和可控性来决定开发的严格性。高ASIL等级对应高风险的安全目标,要求更严格的开发和验证流程,以确保系统能够在故障情况下保护用户的安全。
来源:中豪技术专家团队,转载请注明出处
