ASIL(Automotive Safety Integrity Level,汽车安全完整性等级)作为 ISO 26262 功能安全标准的核心评估指标,采用A、B、C、D的分级体系(D级为最高风险等级)。通常在项目开发初期概念阶段就要根据相关项的功能进行失效分析,从而确定ASIL等级,以量化的方法平衡该项目开发时的安全与成本。
ASIL等级的确定基于三个主要因素S(Severity,严重性)、E(Exposure,暴露概率)、C(Controllability,可控性) 评估风险参数,再分配相应失效下的ASIL等级。
● 严重性(Severity, S):衡量故障可能导致的伤害或损伤的严重程度。
● 暴露率(Exposure, E):衡量人员在特定操作条件下暴露于危险中的可能性。
● 可控性(Controllability, C):衡量驾驶员或其他涉险人员避免事故或伤害的可能性。
图1 ASIL等级确定流程
其中S、E、C 的评估顺序可以调整。
表1 严重度等级S
表2 暴露概率等级
表3 可控性等级
通过一套组合拳,确定严重性、暴露度和可控性三维风险参数量化分析后,即可依据风险矩阵确定ASIL等级,以下表格提供了相关的参考。
表4 ASIL等级确定
三、ASIL等级与FMEA
实际项目开发过程中,已有的FMEA流程和ASIL等级确定步骤有何关系?危害分析与风险评估(HARA)的步骤与FMEA较为详细,应如何结合并进行融合?
其实ASIL等级的确定方法HARA与FMEA中前几个步骤很相似,两者均属于安全分析方法,我理解它们可以在系统安全工程中相互补充,二者分别通过风险量化和失效分析的方式协同工作,共同支撑产品的安全设计。ASIL 的确定弥补了FMEA在侧重单一失效模式、缺乏系统性风险评估方面的不足,同样ASIL等级的确定可以系统性地量化风险,确保高风险场景被优先处理。
针对两者交集部分,例如,S严重度或严重性的确定,可以充分考虑双方对失效模式的分析方法,同时分别关注安全合规性与其他法规符合性要求;又例如,在暴露概率E与发生概率O的评估中,需明确其评分准则的对应关系等。
具体整合建议如下● 通过ASIL确定FMEA范围,在项目初期进行ASIL等级确定后,针对高等级的ASIL,如C、D,需要开展更深入的FMEA,如硬件FMEA、软件FMEA等;
● 针对新版FMEA,可以结合ASIL中S/E/C的评估准则,参考补充FMEA中的S/O/D评分说明;
● FMEA中输出的纠正措施需要与相应的ASIL等级要求一致,例如ASIL D需要故障注入测试,在FMEA的纠正措施中就不能只有简单的测试措施;
●ASIL等级适当地修订AP值,针对新版FMEA,虽然AP的评分已经比老版更加注重了高风险项的处理,但是针对自动驾驶感知系统的某些功能失效,例如未识别前方行人,在FMEA中需要确保该失效是高优先级;
●FMEA是ASIL的具体实践类工具,可以在FMEA中适当增加安全目标、ASIL等级、诊断覆盖率等信息,提供具体的实施方案。
四、注意事项
基于ISO 26262标准,ASIL等级由危害事件的三个属性(S/E/C)决定。当对这三个属性进行准确评估后,即可确定ASIL等级。但需注意,ISO 26262仅提供方法框架,实际应用中需通过多部门协同、充分沟通及集体决策确定较为合理的ASIL等级。
ASIL等级反映产品安全底线要求,与产品实际安全水平无必然关联。高等级ASIL表明产品可能会带来比较高的安全风险,需在全生命周期内实施更严格的开发流程和管理规范,需要按照标准满足更为严苛的技术和管理要求。
功能安全入门系列课程(799元):
点击图片/下述课程文字跳转链接立即购课,道路功能安全概览只需0.01元!
▶ 道路功能安全概览(0.01元即可学习)
▶ 功能安全管理(199元)
▶ 聊一聊功能安全概念的开发(199元)
▶ 如何基于功能安全系统级的开发与验证(199元)
▶ 如何进行基于功能安全硬件级开发与验证(199元)
▶ 如何进行基于功能安全软件级开发与验证(199元)
更多功能安全课程:
ISO 26262功能安全基础培训
ISO 26262 功能安全中级工程师培训(工信部备案资质)
ISO 26262 功能安全内审员培训
功能安全相关技术服务:
ISO 26262 功能安全流程搭建技术服务
ISO 26262 功能安全产品开发技术服务
地址:广州市番禺区石碁镇创运路8号广电计量科技产业园
电话:400-602-0999
邮箱:limx3@grgtest.com
传真:
点击交流