芯馳科技帶你了解汽車智能化時代的ASIL

如今自動駕駛、智能汽車、智能網(wǎng)聯(lián)等概念,已成為汽車行業(yè)耳熟能詳?shù)母哳l詞,不久的將來,萬物互聯(lián)、萬物智能將覆蓋日常生活。拿汽車產(chǎn)業(yè)舉例,相關(guān)政府機構(gòu)已明確表示,智能網(wǎng)聯(lián)汽車將是產(chǎn)業(yè)轉(zhuǎn)型升級的重要方向,智能化將作為引領(lǐng)汽車行業(yè)深刻發(fā)展的重要標志。那么從傳統(tǒng)跨越到智能化,相關(guān)標準有哪些?又是如何定義的?

汽車智能化程度越高,電子、電氣系統(tǒng)越復(fù)雜,對功能安全的要求也到了前所未有的高度。比如,某廠商就因為沒有遵守功能安全相關(guān)標準,曾引發(fā)了轟動一時的“剎車門”事件。談到功能安全,最常聽到的就是ASIL。那么ASIL究竟是什么?ASIL A/B/C/D的等級又是怎么定義出來的?

ASIL的定義

ASIL定義在道路車輛功能安全國際標準ISO 26262中,全稱是Automotive Safety Integrity Level,用來表征產(chǎn)品的功能安全在避免不合理風(fēng)險方面的能力。分為A、B、C和D四個等級,其中 D為最高級別。

ASIL的確定

ASIL的等級是由以下三個因素共同決定:

嚴重度S(Severity)

暴露度E(probability of Exposure )

可控度C(Controllability)

嚴重度

嚴重度是指當危害事件發(fā)生時,相關(guān)人所受到的傷害程度。這里的相關(guān)人既包括車內(nèi)的駕駛員、乘客,也包括了其他交通參與者,比如路上的行人。

ISO 26262將嚴重度分成了S0、S1、S2和S3四個等級,嚴重程度隨著數(shù)字遞增而增大。下表列出了對各個等級的定義。

上表中只是給出了各個等級的定性定義,具體可以參考相關(guān)置信度比較高的數(shù)據(jù),比如美國交通醫(yī)學(xué)促進協(xié)會(AAAM)所發(fā)布的AIS,也就是ISO 26262-3:2018中的表B.1。

暴露度

暴露度是指危害事件相應(yīng)場景的暴露概率。ISO 26262將暴露度分為E0、E1、E2、E3和E4五個等級,定義如下表:

需要注意的是,上表E1到E4,相鄰的兩個等級的概率差異是一個數(shù)量級。

相對于危害程度來說,暴露度不太直觀,舉兩個例子說明:自然災(zāi)害相關(guān)的場景(比如海嘯)就可以定義為E0;汽車啟動后開始加速的場景是每次駕駛都會遇到,就應(yīng)該定義為E4。

可控度

可控度是指危害事件發(fā)生時,駕駛員或其他交通參與者對危害的控制程度,或者說是避免危害的能力。ISO 26262將可控度分為C0、C1、C2和C3四個等級。需要注意的是,與嚴重度、暴露度不同,C的數(shù)值越大可控程度越低。

和暴露度類似,上表中相鄰兩個等級相差一個數(shù)量級。舉例來說:車內(nèi)音響的非預(yù)期音量增大,對維持行車方向的基本沒有影響,就屬于C0;相對的如果是剎車系統(tǒng)失效,駕駛員很難控制車速,可控度就是C3。

ASIL

將前面提到的各個等級的嚴重度、暴露度和可控度進行組合,就得到了如下表所示的ASILA、B、C和D四個等級。

需要特別注意的是:

盡管標準里提到QM,但是QM只是表明按照一般的質(zhì)量體系開發(fā)(比如ISO9001,IATF16949),并不算 是ASIL的等級;S0、E0和C0并沒有相應(yīng)的ASIL等級。

對于S/E/C和ASIL A/B/C/D的對應(yīng)關(guān)系有個更直觀、容易的記憶方法:

ASILA:S+E+C=7

ASILB:S+E+C=8

ASILC:S+E+C=9

ASILD:S+E+C=10

從ASIL定義可以看出,對于S/E/C三個參數(shù)的權(quán)重是一樣,并沒有采用和最新的AIAG/VDA FMEA手冊一樣提高嚴重度的優(yōu)先級,這也許是標準可改進的地方之一。

ASIL在ISO 26262中的作用

除了用來表征功能安全等級,ASIL是一條貫穿ISO 26262始終的重要線索。

首先,通過對相關(guān)項(Item)進行HARA分析可以得到各個危害事件的ASIL;與危害事件所關(guān)聯(lián)的安全目標繼承了其相應(yīng)的ASIL;為了達到安全目標所定義的功能安全需求也繼承了相應(yīng)的ASIL;在整個產(chǎn)品的開發(fā)過程中,各種分析、設(shè)計、驗證方法會根據(jù)不同的ASIL有不同的要求;最后衡量一個產(chǎn)品是否滿足功能安全的定量的度量指標也會因不同的ASIL有不同的要求。

那么一個產(chǎn)品怎樣才能算是達到了某個ASIL級別?這就要從故障(Fault)的兩大分類來加以分析。ISO 26262中將故障分成了以下兩大類:

系統(tǒng)性故障(Systematic Faults)

1、包括所有軟件bug和硬件bug,甚至包括文檔中的錯誤以及需求定義的缺失等;

2、對于這類故障要通過功能安全管理來避免和控制,所以才會有功能安全管理的流程認證。

硬件隨機故障(Random Hardware Faults)

1、包括元件的開路和短路,半導(dǎo)體中的soft error等;

2、對于這類故障要通過各種安全機制來控制,最后是否符合要求要看ISO 26262中定義的三個度量指標(SPFM、LFM和PHFM)是否被滿足。

所以,只有一個產(chǎn)品同時滿足了對上面兩類故障的避免和控制要求,才能真正算是達到了所定義的功能安全等級。拿車規(guī)芯片行業(yè)舉例,一般有以下兩種方式來宣稱自己產(chǎn)品是滿足某個ASIL級別。

一種是公司按照ISO 26262開發(fā)產(chǎn)品并進行內(nèi)部評估(Functional Safety Assessment)。此為大公司通常做法,是一種自證的方式,靠公司在業(yè)界的影響力以及信譽給產(chǎn)品背書。這種方式需要公司內(nèi)部有較大的安全部門能獨立對產(chǎn)品進行安全評估。當然好處是,因為是自證,對某些方面的處理會相對靈活。

另外一種方式是公司按照ISO 26262開發(fā)產(chǎn)品,并聘請第三方公司對產(chǎn)品進行認證,規(guī)模相對小的公司多采用此種方式。

目前可提供認證服務(wù)的公司包括TÜV三杰(TÜV Rheinland,TÜV SUD,SGS-TÜV Saar)和Exida。因為第三方要對產(chǎn)品安全性背書,此種方式對產(chǎn)品要求更加嚴格。除了產(chǎn)品認證的方式以外,對于產(chǎn)品的ASIL的描述也有不同

ASIL capability:這種描述是表明產(chǎn)品能支持某個ASIL等級的系統(tǒng)開發(fā),能夠提供相應(yīng)的支持文件(Safety Manual、FMEDA等),不一定有第三方的認證證書;

ASIL systematic:這種描述表示產(chǎn)品解決了上述提及的系統(tǒng)性故障,但并沒有涵蓋硬件隨機故障,從上述分析可以看出,這種產(chǎn)品并不是真正意義上符合ASIL某個等級的要求;

ASIL certified:這種表示產(chǎn)品經(jīng)過了第三方的認證,可以提供認證證書以及相應(yīng)的支持文件。

總結(jié)

希望通過以上介紹,大家能對ASIL有所了解,對何種產(chǎn)品符合ASIL等級有初步認識。重點說下,芯馳科技專注于智能汽車核心芯片的研發(fā),現(xiàn)階段已經(jīng)取得了TÜV萊茵頒發(fā)的全球首張ISO 26262:2018版流程認證證書,對產(chǎn)品的認證也在進行中。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。