汽車安全完整性等級（ASIL）分解和應用

隨著汽車新四化的發展，整車E/E系統的復雜性也不斷增加，功能安全正成為一種更主流的要求。汽車安全完整性等級（ASIL）分解為實現更高水平的診斷覆蓋度提供了可靠而穩健的途徑，并在開發具有更高ASIL等級的安全關鍵系統時為研發人員提供了更大的靈活性。本文嘗試從ASIL分解背景和分解定義出發，對ASIL分解進展開介紹，通過簡單的案例應用對分解進行說明，并于文章最后對ASIL分解進行總結。6yhednc

01、功能安全標準

ISO 26262《道路車輛功能安全》脫胎于IEC 61508《電氣/電子/可編程電子安全系統的功能安全》，主要定位在汽車行業（包含乘用車、商用車、卡車、特殊車輛、摩托車等）中特定的電子器件、電子設備等專門用于汽車領域的部件，目的是提高汽車電子電氣產品的安全性。 ISO 26262從2005年起正式開始制定，歷約6年于2011年正式頒布第一版，成為國際標準。第二版也于2018年正式發布。相應的國標版功能安全標準也于2017年正式發布——GB/T 34590。同時，第二版的GB/T 34690也在制定中，相信不久就會正式頒布。6yhednc

6yhednc

圖 1. ISO 26262/GB/T 34590 概述6yhednc

026yhednc

功能安全完整性等級6yhednc

ASIL (Automotive Safety Integrity Level) 是指汽車安全完整性等級。它是由ISO 26262 標準定義的道路車輛功能安全的風險分類系統。在ISO 26262中，功能安全定義為：不存在由于電子/電氣系統的功能異常表現引起的危險而導致的不合理風險（ Absence of unreasonable risk due to hazards caused by malfunctioning behaviour of E/E systems）。 ISO 26262定義了四種功能安全等級——ASIL A, ASIL B, ASIL C和ASIL D。其中ASIL A代表最低程度，ASIL D代表最高程度的汽車危險。 ASIL的定義通常通過如下來獲得: ◆通常在項目早期階段進行，通過對系統/功能進行危害分析和風險評估（HARA）獲得 ◆每一個危險事件都被分配了一個ASIL等級 （從ASIL-A 到 ASIL-D，或QM） ◆QM不是一個功能安全等級，它意味著沒有特殊性的安全要求，滿足質量管理流程即可 ◆ASIL的選擇基于可控性（C）、嚴重程度（S）和暴露時間（E）6yhednc

6yhednc

圖 2. 如何獲取ASIL及相應要求6yhednc

例如：安全氣囊、防抱死制動器和動力轉向等系統需要ASIL-D等級（適用于安全保證的最高等級，因為與此類故障相關的風險最高）；尾燈等組件通常只需要ASIL-A等級，前燈和剎車燈通常為ASIL-B，雨刷控制通常為ASIL-A；而巡航控制通常為ASIL-C。6yhednc

6yhednc

圖 3. 常見安全等級示例（此圖片來源于網絡）6yhednc

036yhednc

分解的背景6yhednc

眾所周知，系統層面的需求分配/分解是系統工程的常見任務，如下圖所示。6yhednc

6yhednc

圖 4. 需求的分配/分解6yhednc

而且安全關鍵系統的設計通?？赡艿靡嬗谌哂嘈枨蟮姆峙?，可以通過以下幾點來體現：6yhednc

◆將系統層面的需求分解為多個冗余的子需求，并且分配給不同的組件；6yhednc

◆每一個子需求（組件）直接支持達到系統層面的要求；6yhednc

◆這里意味著必須要確保冗余需求實現的獨立性；6yhednc

◆如果一個組件失效了，其他的組件仍然滿足系統層面的要求，因此提高系統的完整性。6yhednc

6yhednc

圖 5. 需求的分配/分解6yhednc

那么我們該如何評估所設計的冗余需求呢？不妨通過下面幾點展開看：6yhednc

◆故障樹分析可以用來評估冗余需求對隨機硬件故障的有效性； ◆同時也需要針對系統性故障來評估冗余需求:   ◇ ISO 26262中定義了ASIL 分解的概念   ◇ ISO 26262中Part9 定義了關于ASIL裁剪的需求分解   ◇ 將給定的安全要求分解為一組冗余的安全要求，在給定原始ASIL等級的情況下，新的ASIL將根據這些要求進行定制   ◇ ASIL分解用于系統方面，而不是隨機硬件故障   ◇ 需要證明元素的獨立性要求已分配6yhednc

046yhednc

ASIL分解的定義6yhednc

隨著汽車不斷地發展并采用更加復雜的電氣/電子/可編程電子主導系統，更高性能水平和最高水平診斷覆蓋率的應用數量不斷增加。ASIL-D等級應用程序有可能受益于ASIL分解架構，該架構為終端設備設計人員在開發具有高ASIL等級要求的安全關鍵系統時提供了更大的靈活性。6yhednc

根據ISO 26262定義，ASIL 分解是將安全要求冗余地分配給充分獨立的要素 （這里指系統組件[軟件或者硬件]；硬件組件或者軟件單元），目的是降低分配給相關要素的冗余安全要求的ASIL等級（Apportioning of redundant safety requirements to elements, with sufficient independence, for the same safety goal. The objective being reducing the ASIL of the redundant safety requirements that are allocated to the corresponding elements）。6yhednc

對于要求最高級別診斷覆蓋率的ASIL-D等級系統，確保單個系統故障不會導致功能災難性后果變得異常重要。分解后的體系結構有助于實現這一目標，并且在開發此類系統時可以作為關鍵的設計選項。6yhednc

下圖展示了ASIL分解符合ISO 26262 Part9中的組合。6yhednc

6yhednc

圖 6. ASIL分解方法6yhednc

056yhednc

ASIL分解示例6yhednc

5.1 ASIL分解示例（ESCL）6yhednc

ESCL (Electronic Steering Colum Lock) 是汽車電子轉向鎖的簡稱。電子轉向鎖是一種轉向管柱鎖定裝置——以物理方式限制轉向軸的旋轉運動。電子轉向鎖的主要用途是防止未經授權的操作，并用作防盜裝置。 電子轉向鎖的功能安全目標是在車輛行駛時避免非預期的接合（Avoid unintended engage of the ESCL while the vehicle is being driven）。 根據可控制、暴露概率和嚴重度三個指標來分析： ◆高速行駛時，電子轉向鎖非預期接合的后果可能是災難性的，嚴重度打分為S3； ◆高速行駛時，電子轉向鎖非預期接合導致駕駛員/乘客暴露在危險中的幾率是高發生率（幾乎每次駕駛都可能會發生），暴露概率打分為E4； ◆高速行駛時，避免電子轉向鎖非預期接合的控制能力非常低，難以控制或者無法控制，可控性打分為C3；6yhednc

綜上對電子轉向鎖非預期接合這一事件分析，該系統應按照功能安全ASIL-D等級要求進行設計開發，由此得出電子轉向鎖的功能安全目標及安全等級如下：6yhednc

安全目標：車輛行駛時，避免非預期的接合。——ASIL-D6yhednc

下圖是該功能的簡單架構，其中車身控制器通過CAN通訊與MCU進行信息交互，MCU進而通過控制執行機構來將轉向鎖鎖定。6yhednc

6yhednc

圖 7. ESCL 架構框圖6yhednc

這是一個單通道架構的設計，并且需要MCU 去驅動橋驅來保證隨機硬件度量指標滿足ASIL-D。設計上的限制可能會強制使用未達到ASIL-D等級的MCU。即使MCU滿足ASIL-D指標要求，與BCM通訊的單個MCU仍可能出現通訊故障，從而可能導致車輛在駕駛時接合轉向鎖。我們可以通過對此要求進行分解來解決。6yhednc

為了了解使用ASIL分解的正確方法，我們先來看看不正確的分解的實現。6yhednc

在下圖所示的有缺陷的架構中，BMC發送命令來鎖定或者解鎖轉向柱。有一個ABS防抱死系統或者ESP車身電子穩定系統通過CAN通訊來提供車速信息。主MCU負責驅動執行器。輔助MCU僅在車輛靜止時負責使能橋驅。但我們從下圖中可以看到，輔助MCU通過主MCU接收車速信息，車輛的CAN總線沒有獨立連接。因此，主MCU上的共因故障可能會導致輔助MCU傳輸錯誤的車速信息。這可能會導致安全目標的違反。6yhednc

6yhednc

圖 8.有缺陷架構6yhednc

下圖展示了一個更好的分解解決方案。使用兩個獨立的CAN通訊來避免共因失效。BMC通過車身CAN將鎖定/解鎖的指令發給主MCU。ABS/ESP控制器使用底盤CAN與輔助MCU進行通訊，只有在車輛停止時才會啟用橋驅。除了作為實現安全目標的更穩妥的方式之外，上述例子的分解還可以使用兩個ASIL-B的MCU來實現ASIL-D的功能。6yhednc

6yhednc

圖 9.ESCL ASIL 分解架構示意圖6yhednc

5.2 ASIL分解示例（通用）6yhednc

ASIL C：車速大于15km/h時應禁用此功能。6yhednc

6yhednc

圖 10.未分解 ASIL C：車速大于15km/h時應禁用此功能。 分解如下： ASIL A(C ): 車速大于15km/h時，控制器不應發送激活指令。 ASIL B(C ): 執行器開關應該打開當車速大于15km/h時。6yhednc

6yhednc

圖 11.分解后6yhednc

066yhednc

ASIL分解的總結6yhednc

1）根據ISO 26262進行ASIL分解的目的不是為了證明隨機硬件故障時減少ASIL分配給硬件元件的合理性，而是將重點放在系統故障情況下的功能和要求上。只有在細化需求并將其分配給不同的獨立組件時，才能使用ASIL分解。 2）如果設計使用了ASIL分解，那么確認自上而下的ASIL需求分解對于最終的安全案例至關重要。即使系統是自上而下設計的，并且設計元素已經預先分配了ASIL，設計團隊仍需要明確考慮（預期的—）自上而下的需求分解。 3）通過利用架構中現有的冗余元素，需求分解可用于降低分配給特定元素的安全要求的ASIL等級； 4）針對隨機硬件故障實施安全機制將足以滿足標準對設計幾個要素的要求。這種技術是對分解規則（ASIL X to ASIL X(X) and QM(X)）的一種解釋。6yhednc

參考文獻6yhednc

[1] ISO 26262:2018, Part1 [2] ISO 26262:2018, Part9 [3] GB/T 34590:2017, Part1 [4] Alessandro Frigerio, Bart Vermeulen and Kees Goossens, A generic method for a bottom-up ASIL decomposition [5] TI 官網資料 [6] SYNOPSPY官網資料 [7] D'Ambrosio, J.G., Debouk, R.: ASIL Decomposition: The Good, the Bad, and the Ugly. Tech. rep., SAE Technical Paper (2013) [8] Ward, D.D., Crozier, S.E.: The uses and abuses of ASIL decomposition in ISO 26262.6yhednc