来源：芯驰科技SemiDrive

前言

如今自动驾驶、智能汽车、智能网联等概念，已成为汽车行业耳熟能详的高频词，不久的将来，万物互联、万物智能将覆盖日常生活。拿汽车产业举例，相关政府机构已明确表示，智能网联汽车将是产业转型升级的重要方向，智能化将作为引领汽车行业深刻发展的重要标志。那么从传统跨越到智能化，相关标准有哪些？又是如何定义的？

汽车智能化程度越高，电子、电气系统越复杂，对功能安全的要求也到了前所未有的高度。比如，某厂商就因为没有遵守功能安全相关标准，曾引发了轰动一时的“刹车门”事件。

谈到功能安全，最常听到的就是ASIL。那么ASIL究竟是什么？ASIL A/B/C/D的等级又是怎么定义出来的？

ASIL的定义

ASIL定义在道路车辆功能安全国际标准ISO 26262中，全称是Automotive Safety Integrity Level，用来表征产品的功能安全在避免不合理风险方面的能力。分为A、B、C和D四个等级，其中 D为最高级别。

ASIL的确定

ASIL的等级是由以下三个因素共同决定：

• 严重度S（Severity）

• 暴露度E（probability of Exposure ）

• 可控度C（Controllability）

严重度

严重度是指当危害事件发生时，相关人所受到的伤害程度。这里的相关人既包括车内的驾驶员、乘客，也包括了其他交通参与者，比如路上的行人。

ISO 26262将严重度分成了S0、S1、S2和S3四个等级，严重程度随着数字递增而增大。下表列出了对各个等级的定义。

上表中只是给出了各个等级的定性定义，具体可以参考相关置信度比较高的数据，比如美国交通医学促进协会（AAAM）所发布的AIS，也就是ISO 26262-3:2018中的表B.1。

暴露度

暴露度是指危害事件相应场景的暴露概率。

ISO 26262将暴露度分为E0、E1、E2、E3和E4五个等级，定义如下表：

需要注意的是，上表E1到E4，相邻的两个等级的概率差异是一个数量级。

相对于危害程度来说，暴露度不太直观，举两个例子说明：自然灾害相关的场景（比如海啸）就可以定义为E0；汽车启动后开始加速的场景是每次驾驶都会遇到，就应该定义为E4。

可控度

可控度是指危害事件发生时，驾驶员或其他交通参与者对危害的控制程度，或者说是避免危害的能力。

ISO 26262将可控度分为C0、C1、C2和C3四个等级。需要注意的是，与严重度、暴露度不同，C的数值越大可控程度越低。

和暴露度类似，上表中相邻两个等级相差一个数量级。

举例来说：车内音响的非预期音量增大，对维持行车方向的基本没有影响，就属于C0；相对的如果是刹车系统失效，驾驶员很难控制车速，可控度就是C3。

ASIL

将前面提到的各个等级的严重度、暴露度和可控度进行组合，就得到了如下表所示的ASILA、B、C和D四个等级。

需要特别注意的是：

• 尽管标准里提到QM，但是QM只是表明按照一般的质量体系开发（比如ISO9001，IATF16949），并不算  是ASIL的等级；

• S0、E0和C0并没有相应的ASIL等级。

对于S/E/C和ASIL A/B/C/D的对应关系有个更直观、容易的记忆方法：

• ASILA：S+E+C=7

• ASILB：S+E+C=8

• ASILC：S+E+C=9

• ASILD：S+E+C=10

从ASIL定义可以看出，对于S/E/C三个参数的权重是一样，并没有采用和最新的AIAG/VDA FMEA手册一样提高严重度的优先级，这也许是标准可改进的地方之一。

ASIL在ISO 26262中的作用

除了用来表征功能安全等级，ASIL是一条贯穿ISO 26262始终的重要线索。

• 首先，通过对相关项（Item）进行HARA分析可以得到各个危害事件的ASIL；

• 与危害事件所关联的安全目标继承了其相应的ASIL；

• 为了达到安全目标所定义的功能安全需求也继承了相应的ASIL；

• 在整个产品的开发过程中，各种分析、设计、验证方法会根据不同的ASIL有不同的要求；

• 最后衡量一个产品是否满足功能安全的定量的度量指标也会因不同的ASIL有不同的要求。

那么一个产品怎样才能算是达到了某个ASIL级别？这就要从故障（Fault）的两大分类来加以分析。

ISO 26262中将故障分成了以下两大类：

系统性故障（Systematic Faults）

• 包括所有软件bug和硬件bug，甚至包括文档中的错误以及需求定义的缺失等；

• 对于这类故障要通过功能安全管理来避免和控制，所以才会有功能安全管理的流程认证。

硬件随机故障（Random Hardware Faults）

• 包括元件的开路和短路，半导体中的soft error等；

• 对于这类故障要通过各种安全机制来控制，最后是否符合要求要看ISO 26262中定义的三个度量指标（SPFM、LFM和PHFM）是否被满足。

所以，只有一个产品同时满足了对上面两类故障的避免和控制要求，才能真正算是达到了所定义的功能安全等级。

拿车规芯片行业举例，一般有以下两种方式来宣称自己产品是满足某个ASIL级别。

• 一种是公司按照ISO 26262开发产品并进行内部评估（Functional Safety Assessment）。此为大公司通常做法，是一种自证的方式，靠公司在业界的影响力以及信誉给产品背书。这种方式需要公司内部有较大的安全部门能独立对产品进行安全评估。当然好处是，因为是自证，对某些方面的处理会相对灵活。

• 另外一种方式是公司按照ISO 26262开发产品，并聘请第三方公司对产品进行认证，规模相对小的公司多采用此种方式。

目前可提供认证服务的公司包括TÜV三杰（TÜV Rheinland，TÜV SUD，SGS-TÜV Saar）和Exida。因为第三方要对产品安全性背书，此种方式对产品要求更加严格。

除了产品认证的方式以外，对于产品的ASIL的描述也有不同

• ASIL capability：这种描述是表明产品能支持某个ASIL等级的系统开发，能够提供相应的支持文件（Safety Manual、FMEDA等），不一定有第三方的认证证书；

• ASIL systematic：这种描述表示产品解决了上述提及的系统性故障，但并没有涵盖硬件随机故障，从上述分析可以看出，这种产品并不是真正意义上符合ASIL某个等级的要求；

• ASIL certified：这种表示产品经过了第三方的认证，可以提供认证证书以及相应的支持文件。

总结

希望通过以上介绍，大家能对ASIL有所了解，对何种产品符合ASIL等级有初步认识。

END

欢迎加入Imagination GPU与人工智能交流2群

入群请加小编微信：eetrend89

（添加请备注公司名和职称）

推荐阅读

Imagination Technologies 是一家总部位于英国的公司，致力于研发芯片和软件知识产权（IP），基于Imagination IP的产品已在全球数十亿人的电话、汽车、家庭和工作场所中使用。获取更多物联网、智能穿戴、通信、汽车电子、图形图像开发等前沿技术信息，欢迎关注 Imagination Tech！