智能网联汽车ASIL安全等级如何划分
目录
- 一、功能安全标准
- 二、功能安全等级定义
- 三、危险事件的确定
- 四、ASIL安全等级
- 五、危险分析和风险评定
- 六、功能安全目标的分解
一、功能安全标准
ISO 26262《道路车辆功能安全》脱胎于IEC 61508《电气/电子/可编程电子安全系统的功能安全》,主要定位在汽车行业(包含乘用车、商用车、卡车、特殊车辆、摩托车等)中特定的电子器件、电子设备等专门用于汽车领域的部件,目的是提高汽车电子电气产品的安全性。
ISO 26262从2005年起正式开始制定,历约6年于2011年正式颁布第一版,成为国际标准。第二版也于2018年正式发布。相应的国标版功能安全标准也于2017年正式发布——GB/T 34590。同时,第二版的GB/T 34690也在制定中,相信不久就会正式颁布。
二、功能安全等级定义
ASIL (Automotive Safety Integrity Level)
是指汽车安全完整性等级。它是由ISO 26262 标准定义的道路车辆功能安全的风险分类系统。在ISO 26262中,功能安全定义为:不存在由于电子/电气系统的功能异常表现引起的危险而导致的不合理风险( Absence of unreasonable risk due to hazards caused by malfunctioning behaviour of E/E systems)。
ISO 26262定义了四种功能安全等级——ASIL A, ASIL B, ASIL C和ASIL D。其中ASIL A代表最低程度,ASIL D代表最高程度的汽车危险。
ASIL的定义通常通过如下来获得:
- 通常在项目早期阶段进行,通过对系统/功能进行危害分析和风险评估(HARA)获得
- 每一个危险事件都被分配了一个ASIL等级 (从ASIL-A 到 ASIL-D,或QM)
- QM不是一个功能安全等级,它意味着没有特殊性的安全要求,满足质量管理流程即可
- ASIL的选择基于可控性(C)、严重程度(S)和暴露时间(E)。
例如:安全气囊、防抱死制动器和动力转向等系统需要ASIL-D等级(适用于安全保证的最高等级,因为与此类故障相关的风险最高);尾灯等组件通常只需要ASIL-A等级,前灯和刹车灯通常为ASIL-B,雨刷控制通常为ASIL-A;而巡航控制通常为ASIL-C。
三、危险事件的确定
对电子控制器ECU来说,引起失效主要是两个方面:软件和硬件。
(1)软件失效:比如没有考虑分母可能为0、变量公式定义错误、导致精度丢失。
(2)硬件失效:如下图所示可以分为传感器失效、ECU硬件失效(比如CPU或者RAM/ROM失效)、执行器失效。
依据ISO26262标准进行功能安全设计时,首先识别系统的功能,并分析其所有可能的功能故障(Malfunction)或失效,可采用的分析方法有HAZOP、FMEA、头脑风暴等。
功能故障在特定的驾驶场景下才会造成伤亡事件,比如近光灯系统,其中一个功能故障就是灯非预期熄灭,如果在漆黑的夜晚行驶在山路上,驾驶员看不清道路状况,可能会掉入悬崖,造成车毁人亡;如果此功能故障发生在白天就不会产生任何的影响。
所以进行功能故障分析后,要进行情景分析,识别与此故障相关的驾驶情景,比如:高速公路超车、车库停车等。分析驾驶情景建议从公路类型(国道,高速),路面情况,(湿滑、冰雪);车辆状态(转向、
超车、制动、加速等),环境条件(风雪雨尘、夜晚、隧道灯),人员情况(乘客、路人)等几个方面去考虑。功能故障和驾驶场景的组合叫做危害事件(hazard event)。
危害事件确定后,根据三个因子——严重度(Severity)、暴露率(Exposure)和可控性(Controllability)评估危害事件的风险级别,也就是ASIL等级。
四、ASIL安全等级
ASIL等级,Automotive Safety Integration Level,汽车安全完整性等级,描述系统能够实现指定安全目标的概率高低。每个安全功能要求都包括两部分内容,安全性目标和ASIL安全等级。
对一个指定系统应用安全功能要求。
ASIL安全等级划分包括如下步骤:
1)根据预想架构、功能概念、操作模式和系统状态等确定安全事件;
2)危险分析和风险评估,初步确定ASIL安全等级;
3)逐级分解安全要求和安全等级,ASIL安全级别划分和ASIL安全级别逐层分解两个过程交替进行,直至抵达无法进一步分解 零件或者子系统;
4)最后用几个原则去检查等级分配的合理性,包括因素共存原则、相关失效分析和安全分析。
五、危险分析和风险评定
对于汽车系统,特定危险的风险决定于以下三个因素:
(1)危险事件所导致伤害或损失的潜在严重性 (Severity of failure, S)
(2)指人员暴露在系统失效能够造成危害的场景中的概率OR理解为危险事件可能发生的驾驶工况的可能性 (probability of exposure, 简称E)
(3)危险所涉及的驾驶员和其它交通人员通过及时的反应避免特定伤害或损失的能力 (controllability, 简称C)
然后分别将严重性S、可能性E和可控性C分成4个等级,如下表所示,其中QM代表与安全无关:
按照以上的划分并进行组合相加得到5个ASIL等级(QM,A,B,C,D),原则是:
- 基本可控C0的组合不考虑;
- 无伤害S0的组合不考虑;
- 其余组合相加等于7分为ASIL A,等于8分为ASIL B,等于9分为ASIL C,等于10分为最高等级ASIL
- ASIL A、B、C、D都是与功能安全相关的
- 其余的得分安全评定为QM,代表与安全无关的功能
六、功能安全目标的分解
通过上危害分析和风险评估,我们得出系统或功能的安全目标和相应的ASIL等级,当ASIL等级确定之后,就需要对每个评定的风险确定安全目标,安全目标是最高级别的安全需求。安全目标确定以后就需要在系统设计,硬件,软件等方面进行设计和实施,验证。
从安全目标可以推导出开发阶段的安全需求,安全需求继承安全目标的ASIL等级。如果一个安全需求分解为两个冗余的安全需求,那么原来的安全需求的ASIL等级可以分解到两个冗余的安全需求上。因为只有当两个安全需求同时不满足时,才导致系统的失效,所以冗余安全需求的ASIL等级可以比原始的安全需求的ASIL等级低。ISO 26262标准的第9章给出了ASIL分解的原则。ISO 26262中提出了在满足安全目标的前提下降低ASIL等级的方法——ASIL分解,这样可以解决上述开发中的难点。
ASIL分解的一个最重要的要求就是独立性,如果不能满足独立性要求的话,冗余单元要按照原来的ASIL等级开发。所谓的独立性就是冗余单元之间不应发生从属失效(Dependent
Failure),从属失效分为共因失效(Common Cause Failure)和级联失效(Cascading Failure) 两种。共因失效是指两个单元因为共同的原因失效,比如软件复制冗余,冗余单元会因为同一个软件bug导致两者都失效。级联失效是指一个单元失效导致另一个单元的失效,比如一个软件组件的功能出现故障,写入另一个软件组件RAM中,导致另一个软件组件的功能失效。
具体降解的方法如下所示,对一个 ASIL D 的要求进行分解:
- 一个ASIL C(D)的要求和一个ASIL A(D)的要求;或
- 一个ASIL B(D)的要求和一个ASIL B(D)的要求;或
- 一个ASIL D(D)的要求和一个QM(D)的要求
参考:
汽车安全完整性等级(ASIL)分解和应用
智能网联汽车ASIL安全等级如何划分相关推荐
- 智能网联汽车高精地图白皮书(2020)
1. 前言 高精地图的发展与智慧交通.智能网联汽车紧密相关,从智能网联汽车上路伊始,高精地图产业就应势而生并飞速发展.相对于以往的导航地图,高精地图是智能网联汽车交通的共性基础技术,其服务的对象并非仅 ...
- 智能网联汽车风险评估方法EVITA
EVITA全称E-Safety Vehicle Intrusion Protected Applications,电子安全车辆入侵防护应用.EVITA本身是由欧盟委员会资助的一个项目,始于2008年, ...
- 超级终端工具_【招商通信余俊团队】智能网联汽车发展提速,科技巨头跑步入场,有望成为新一代超级终端——招商通信周周谈(2020年第48周)...
1 核心逻辑 FCC转向C-V2X技术,5G成C-V2X发展催化剂.美国当地时间11月18日,联邦通信委员会(FCC)正式投票决定将原先指定用于汽车通信专用远程通信(DSRC)的5.9GHz频段(5. ...
- 百度、腾讯、滴滴,如何看2019智能网联汽车发展 | 2019互联网岳麓峰会
*2019互联网岳麓峰会现场 在"2019互联网岳麓峰会"上,智能驾驶依旧是各方热议话题.在百度李彦宏.腾讯苏奎锋和滴滴贾兆寅眼里,2019智能汽车将会如何发展?自动驾驶到智慧城市 ...
- 百度、腾讯、滴滴,如何看2019智能网联汽车发展 | 2019互联网岳麓峰会...
*2019互联网岳麓峰会现场 在"2019互联网岳麓峰会"上,智能驾驶依旧是各方热议话题.在百度李彦宏.腾讯苏奎锋和滴滴贾兆寅眼里,2019智能汽车将会如何发展?自动驾驶到智慧城市 ...
- 车载以太网解决方案 助力智能网联汽车开发
近年来,为了满足智能网联汽车的开发要求,车载以太网技术开始逐渐进入人们的视野.而以太网技术已经成为下一代车载网络架构的趋势之一,其发展之迅猛,使得各主机厂纷纷产生了浓厚的兴趣并投入研发. 01 为什么 ...
- 智能网联汽车 自动驾驶地图数据质量规范
1 范围 本文件规定了全场景下的自动驾驶地图数据质量检测的基本要求.质量检测内容.质量检测指标.质量检测流程.质量检测方法.质量检测结果的判定与质量报告编写的要求等. 本文件适用于自动驾驶地图产品的质 ...
- OFweek 2019 智能网联汽车发展高峰论坛在深圆满落幕!
2019年是自动驾驶进入细分场景落地商用的关键时间点,一方面,车厂正加快L2/L3高级辅助驾驶的量产化,并同时逐步推进L4/L5无人驾驶项目的研发投入:另一方面,在全球车市放缓的背景下,传统主机厂和造 ...
- 智能网联汽车-网联功能与应用(CFA)标准制定路线图
智能网联汽车-网联功能与应用(CFA)标准制定路线图 智能网联汽车-网联功能与应用(CFA)标准制定路线图 摘要 一.分析国内外汽车网联技术发展战略.应用状态和标准法规进展情况. 二.明确汽车网联技术 ...
最新文章
- matlab实现移动平均
- 服务器系统日志4625,win2008 r2 成千上万的“审核失败”日志 事件ID 4625
- 数学分析原理 定理 6.4
- ASP的Server.UrlEncode和Asp.Net的Server.UrlEncode的返回结果不同
- python 三数之和
- nagios用NsClient自定义windows监控
- odoo12 日历模块_日历-ODOO ERP界面布局与操作说明|ODOO 13教程
- html实现横向轮播,js实现横向轮播效果
- DXperience Winforms12.2版中文使用手册
- npm ERR! code EINTEGRITY npm! ERR! shal-
- ERP实施-有色金属-铜冶炼
- 神州优车上云之路:如何在效率、质量和成本三方面达到平衡?
- Android面试题收集(有具体答案)
- 技能提升--1枚程序员的普通话练习
- 亚马逊运营知识:亚马逊排名规则是怎么样的
- 2021.9月win10补丁造成共享打印机问题报错0X0000011b
- 科技巨头Software AG遭攻击,关闭445高危端口后,Windows共享用不了,怎么办?
- 视频目标跟踪综述【一】
- morph 原理实现
- Sencha Touch框架介绍
热门文章
- JAVA 国际化基础知识(二)
- 关于笔记本电脑上HDMI、VGA、USB接口的小知识, 另外别想着用笔记本当树莓派显示器了!
- SEGA 将在 L2 Oasys 网络上推出区块链纸牌游戏
- 使用elasticsearch保存h3c防火墙的nat日志
- 法国旅行之流动的盛宴
- FUSION分布式签名技术
- Reverse Attention for Salient Object Detection
- 安卓平板排行榜_我们试玩了200多款非平台类quot;电子桌游quot;,只为给你带来这个规则视频的最热排行榜!(来源:哔哩哔哩)...
- 网传深圳一程序员坠楼身亡
- 观测天体物理学 第一章 天体信息