了解ISO 26262 ASIL是如何用于汽车应用的
根据机动车安全数据,平均每年有600多万起涉及机动车的撞车事故。
根据美国交通部的数据,美国汽车制造商必须在2016年召回5.320万辆汽车,这是创纪录的。汽车安全召回的增加是由美国道路交通死亡/道路交通死亡人数上升造成的。
据美国国家公路交通安全管理局(NHTSA,US)称,汽车召回是在制造商或NHTSA认定车辆、设备、汽车座椅或轮胎可能造成不合理的安全风险或不符合最低安全标准时发出的。
这些统计数字清楚地告诉我们一个共同的结论--即使在工业的广度和深度取得技术进步之后,汽车仍然是道路事故的一个主要原因。
因此,安全性,成为汽车应用开发的基本要求。对于汽车来说,具体而言,在生产和退役的各个阶段,功能安全是一个非常关键的范例。
通过ISO 26262标准的镜头:什么是功能安全与ASIL?
ISO 26262标准将功能安全定义为“由于电气/电子系统故障行为所造成的危害的风险”。
然后根据汽车安全完整性级别(ASIL)框架对这些危害进行分类。
这种明确的危害分类有助于:
建立各种安全要求,将风险降低到可接受的水平。
顺利管理和跟踪这些安全要求。
确保在交付的产品中遵守标准化的安全程序。
汽车安全完整性等级(ASIL) , 根据国际标准化组织26262规定的风险分类计划,以确定安全要求。通过对潜在危险进行风险分析,通过评估各种风险参数(严重程度、暴露程度和可控性)来分配ASIL值。
安全生命周期是一次旅程,安全目标和ASIL是里程碑!
任何汽车部件的安全生命周期之旅,首先是系统的定义及其在车辆级别上的安全临界度。
这是通过对相应的汽车部件(硬件/软件)进行危害分析和风险评估(Hara)来实现的。HARA是确定汽车安全完整性水平(ASIL)的必要练习。
在Hara期间,对某一特定汽车部件的所有潜在危害和危险情况进行评估,其发生可能对车辆安全至关重要。
例如,安全气囊意外膨胀或刹车失灵是安全隐患,应事先评估和管理。
HARA之后,确定每个组件的安全目标,然后根据ISO 26262标准,根据QM或ASIL级别对其进行分类。=
安全目标基本上是指汽车部件在不对车辆构成任何威胁的情况下正常工作所需的安全水平。例如,对于汽车门来说,安全目标可以是打开或关闭它的重要性,这取决于在特定条件下哪个动作是安全的。在车辆内发生火灾或洪水的情况下,安全目标是尽快打开车门,以便乘客能够逃离。
相反,当车辆快速行驶时,与车门有关的安全目标将是保持关闭
如何根据ISO 26262标准确定汽车应用的ASIL等级
ISO 26262标准定义了ASIL的四个值:ASILA、ASILB、ASILC、ASILD。
ASILD代表最高程度的汽车危险,ASIL A最低。还有一个级别叫做QM(用于质量管理级别),它代表不需要任何安全要求的危险。
下图演示了用于防断系统(ABS)的ASIL测定所涉及的步骤.
专注ISO26262流程认证和ISO26262产品认证
对于车辆一级某一特定功能的任何特定故障,危险和风险分析(Hara)有助于确定对人员和财产造成损害的风险的强度。一旦完成了这一分类,它将有助于确定实现可容忍风险所需的流程和降低风险的水平。根据ASIL对硬件和汽车设计中的软件过程确保最高水平的功能安全。
这些安全等级是根据以下三个重要参数来确定的:
Exposure ( E):这是衡量车辆在危险或危险情况下可能对人和财产造成损害的可能性。不同程度的暴露,如E1:极低概率,E2:低概率,E3:中概率,E4:高概率被分配给被评估的汽车部件。
Controllability (C):确定如果由于被评估的任何汽车部件的故障或故障而破坏安全目标,车辆的驾驶员可以控制车辆的程度。可控性的顺序定义为:C1
Severity ( S):明确了安全目标侵害对人民(乘客和道路使用者)和财产造成的损害或后果的严重性或强度。严重程度的顺序是:轻伤和中度伤害为S1;严重和危及生命的伤害为S2;威胁生命的事件为S3.
ISO 26262 ASIL分配表
ASIL级别-ASILA、B、C和D是根据ISO 26262标准定义的分配表分配的。
让我们尝试理解基于E,C和S参数的各个组件的ASIL值的确定。从ASIL分配表中几乎没有观察到,
S3、E4和C3(3个参数的极值)的组合是指高度危险的情况。因此,被评估的成分被确认为ASILD,这意味着在发生故障时,它容易发生严重的危及生命的事件,并要求采取最严格的安全措施。
相反,S1、E1和C1(在安全-临界度方面的3个参数中的最低水平)的组合要求QM水平,这意味着该组件不具有危险性,也不强调根据ISO 26262管理的安全要求。
同样,中等水平的组合--S2、E4和C3或S2、E3和C2--定义了ASIL C或ASIL A。
因此,危险的强度取决于正在审议的各组成部分的ASIL水平。分配ASIL有助于确定在各种情况下特定组件的故障会造成多大的威胁。
在ISO 26262 ASIL和功能安全的框架下,安全目标比汽车部件的功能更重要。让我们以汽车电池充电为例来理解这一说法。
与电池相关的安全目标是一个更重要的考虑因素,需要按照ASIL来评估,而不是如下表所示的电池本身。以低于10公里/小时的速度充电电池的情况并不像超速充电那样严重,在这种情况下,过热和随后发生火灾的可能性也可能很高。:
车辆状况故障原因可能危害阿西尔运行速度<10 km/h电池组充电超过允许的储能量过度充电可能导致热事件。A运行速度>10-50公里/小时电池组充电超过允许的储能量过度充电可能导致热事件。B运行速度>50公里/小时电池组充电超过允许的储能量过度充电可能导致热事件。C
因此,ASIL的测定是开发高可靠性和功能性安全汽车应用的一个非常关键的过程。在汽车设计日益复杂、ECU、传感器和执行器数量巨大的今天,在产品开发和调试的每一个阶段,确保功能安全的需求变得更加重要。
