ASIL-汽车安全完整性等级介绍

ASIL的确定在开发高度可靠和功能安全的汽车应用中形成了非常关键的过程。在当今汽车设计变得越来越复杂，拥有大量ECU，传感器和执行器的时代，确保产品开发和调试的每个阶段的功能安全的需求变得更加重要。电池以低于10 km / h的速度过度充电的情况并不像以极高的速度过度充电那样严重，在这种情况下，过热和随之而来的火灾的可能性也很高。相反，S1，E1和C1的组合（就安全性至关紧要而言，这三个参数的最低

文章共2,285字 · 阅读需要大约8分钟

一键AI生成摘要，助你高效阅读

问答

xinyuan0214

9896人浏览 · 2022-12-19 19:41:38

xinyuan0214 · 2022-12-19 19:41:38 发布

1.定义

ASIL(Automotive Safety Integrity Level)是指汽车安全完整性等级。它是由ISO 26262标准定义的风险分类系统，用于公路车辆的功能安全。

该标准将功能安全定义为“由于电气或电子系统的故障行为而导致的危害，不存在不合理的风险”。ASIL根据损害的可能性和可接受性确定安全要求，以使汽车零部件符合ISO 26262。

ISO 26262-A，B，C和D标识了四种ASIL。ASILA代表最低级别，而ASIL D代表最高的汽车危害等级。

安全气囊，防抱死制动和动力转向等系统需要ASIL-D级（对安全性要求最高的严格性），因为与故障相关的风险最高。在安全范围的另一端，诸如尾灯之类的组件仅需要ASIL-A级。前大灯和刹车灯通常为ASIL-B，而巡航控制系统通常为ASIL-C。

2.ASIL产生背景

根据交通安全局（BTS）的机动车安全数据，平均每年报告超过600万起涉及机动车的撞车事故。

根据美国运输部的数据，2016年美国汽车制造商必须召回创纪录的5320万辆汽车。汽车安全召回的增加是由于美国道路交通事故死亡/道路交通事故死亡人数增加所致

据美国国家公路交通安全管理局（NHTSA）称，当制造商或NHTSA确定车辆，设备，汽车座椅或轮胎会造成不合理的安全风险或未达到最低要求时，会发出自动召回事件安全标准”。

这些统计数据清楚地使我们得出一个共同的结论-即使在沿着行业的广度和深度进行技术进步之后，汽车仍然是道路交通事故的主要原因。

因此，安全性成为汽车应用开发的基本要求。特别是对于汽车，在生产和退役的每个阶段，功能安全都是至关重要的范例。

3.ASIL产生的意义

ISO 26262标准将功能安全定义为“不存在因电气/电子系统故障行为造成的危害而产生的不合理风险”。为了符合ISO 26262标准，职能安全顾问会识别和评估危险（安全风险）。然后根据汽车安全完整性等级（ASIL）框架对这些危险进行分类。如此明确的危险分类有助于：

a.制定各种安全要求，将风险降低到可接受的水平

b.顺利管理和跟踪这些安全要求

c.确保交付的产品遵循标准化的安全程序。

汽车安全完整性等级（ASIL） ,通过对潜在危险进行风险分析，通过评估各种风险参数（严重性、暴露和可控性），分配ASIL值。

4.如何确定汽车应用的ASIL值

ISO 26262标准定义了ASIL的四个值：ASIL A，ASIL B，ASIL C，ASILD。

ASIL D代表最高的汽车危害等级，而ASIL A代表最低的汽车危害等级。还有一个称为QM（质量管理级别）的级别，它表示不要求任何安全要求的危害。

下图演示了确定抗断裂系统（ABS）的ASIL所涉及的步骤：

对于车辆级别上定义的功能的任何特定故障，危害和风险分析（HARA）有助于确定对人员和财产造成伤害的风险的强度。一旦完成此分类，它将有助于确定实现可承受风险所需的过程和降低风险的级别。在汽车设计中，针对硬件和软件过程均执行了根据ASIL的安全目标定义，以确保最高水平的功能安全性。

这些安全级别是根据3个重要参数确定的：

暴露（E）：这是衡量车辆处于危险或危险状况中可能对人员和财产造成伤害的可能性的度量。各个级别的暴露（例如E1：极低概率，E2：低概率，E3：中等概率，E4：高概率）被分配给要评估的汽车部件。

可控制性（C）：确定由于要评估的任何汽车部件的故障或故障而违反安全目标时，车辆驾驶员可以控制车辆的程度。可控制性的顺序定义为：C1 <C2 <C3（C1易于控制，而C3难以控制）。

严重度（S）：定义由于违反安全目标而对人员（乘客和道路使用者）和财产的生命或财产造成的损害或后果的严重性或严重性。严重程度的顺序为：S1为轻度和中度伤害；S2用于严重和危及生命的伤害，S3用于危及生命的事件。

ISO 26262 ASIL分配表

根据ISO 26262标准定义的分配表分配ASIL级别-ASIL A，B，C和D。

让我们试着了解基于E、C和S参数确定各种组件的ASIL值：

S3，E4和C3（3个参数的极值）的组合表示高度危险的情况。因此，被评估的组件被标识为ASIL D，这意味着在发生故障的情况下容易发生严重威胁生命的事件，并要求采取最严格的安全措施。

相反，S1，E1和C1的组合（就安全性至关紧要而言，这三个参数的最低水平）要求QM级别，这意味着该组件是无害的，并且不强调要在安全性要求下管理的安全要求ISO 26262。

同样，中级水平（S2，E4和C3或S2，E3和C2）的组合定义了ASIL C或ASILA。

因此，危险的强度取决于所考虑组件的ASIL级别。ASIL的分配有助于确定特定组件的故障在各种情况下可能造成多大的威胁。在ISO 26262 ASIL和功能安全的框架下；安全目标比汽车组件的功能更为关键。让我们以对汽车电池充电为例来理解这一说法。

与电池相关的安全目标是要根据ASIL进行评估的一个更关键的考虑因素，而不是如下表所示的电池本身。电池以低于10 km / h的速度过度充电的情况并不像以极高的速度过度充电那样严重，在这种情况下，过热和随之而来的火灾的可能性也很高。

Vehicle Condition	Cause of malfunction	Possible hazard	ASIL
Running Speed< 10 km/h	Charging of battery pack beyond allowable energy storage	Overcharging may lead to thermal event	A
Running Speed> 10 – 50 km/h	Charging of battery pack beyond allowable energy storage	Overcharging may lead to thermal event	B
Running Speed> 50 km/h	Charging of battery pack beyond allowable energy storage	Overcharging may lead to thermal event	C

因此，ASIL的确定在开发高度可靠和功能安全的汽车应用中形成了非常关键的过程。在当今汽车设计变得越来越复杂，拥有大量ECU，传感器和执行器的时代，确保产品开发和调试的每个阶段的功能安全的需求变得更加重要。这就是为什么现代汽车制造商非常注重达到符合ISO 26262标准和ASIL级别的最高汽车安全标准的原因。