芯馳科技帶你了解汽車智能化時代的ASIL

如今自動駕駛、智能汽車、智能網聯(lián)等概念,已成為汽車行業(yè)耳熟能詳?shù)母哳l詞,不久的將來,萬物互聯(lián)、萬物智能將覆蓋日常生活。拿汽車產業(yè)舉例,相關政府機構已明確表示,智能網聯(lián)汽車將是產業(yè)轉型升級的重要方向,智能化將作為引領汽車行業(yè)深刻發(fā)展的重要標志。那么從傳統(tǒng)跨越到智能化,相關標準有哪些?又是如何定義的?

汽車智能化程度越高,電子、電氣系統(tǒng)越復雜,對功能安全的要求也到了前所未有的高度。比如,某廠商就因為沒有遵守功能安全相關標準,曾引發(fā)了轟動一時的“剎車門”事件。談到功能安全,最常聽到的就是ASIL。那么ASIL究竟是什么?ASIL A/B/C/D的等級又是怎么定義出來的?

ASIL的定義

ASIL定義在道路車輛功能安全國際標準ISO 26262中,全稱是Automotive Safety Integrity Level,用來表征產品的功能安全在避免不合理風險方面的能力。分為A、B、C和D四個等級,其中 D為最高級別。

ASIL的確定

ASIL的等級是由以下三個因素共同決定:

嚴重度S(Severity)

暴露度E(probability of Exposure )

可控度C(Controllability)

嚴重度

嚴重度是指當危害事件發(fā)生時,相關人所受到的傷害程度。這里的相關人既包括車內的駕駛員、乘客,也包括了其他交通參與者,比如路上的行人。

ISO 26262將嚴重度分成了S0、S1、S2和S3四個等級,嚴重程度隨著數(shù)字遞增而增大。下表列出了對各個等級的定義。

上表中只是給出了各個等級的定性定義,具體可以參考相關置信度比較高的數(shù)據(jù),比如美國交通醫(yī)學促進協(xié)會(AAAM)所發(fā)布的AIS,也就是ISO 26262-3:2018中的表B.1。

暴露度

暴露度是指危害事件相應場景的暴露概率。ISO 26262將暴露度分為E0、E1、E2、E3和E4五個等級,定義如下表:

需要注意的是,上表E1到E4,相鄰的兩個等級的概率差異是一個數(shù)量級。

相對于危害程度來說,暴露度不太直觀,舉兩個例子說明:自然災害相關的場景(比如海嘯)就可以定義為E0;汽車啟動后開始加速的場景是每次駕駛都會遇到,就應該定義為E4。

可控度

可控度是指危害事件發(fā)生時,駕駛員或其他交通參與者對危害的控制程度,或者說是避免危害的能力。ISO 26262將可控度分為C0、C1、C2和C3四個等級。需要注意的是,與嚴重度、暴露度不同,C的數(shù)值越大可控程度越低。

和暴露度類似,上表中相鄰兩個等級相差一個數(shù)量級。舉例來說:車內音響的非預期音量增大,對維持行車方向的基本沒有影響,就屬于C0;相對的如果是剎車系統(tǒng)失效,駕駛員很難控制車速,可控度就是C3。

ASIL

將前面提到的各個等級的嚴重度、暴露度和可控度進行組合,就得到了如下表所示的ASILA、B、C和D四個等級。

需要特別注意的是:

盡管標準里提到QM,但是QM只是表明按照一般的質量體系開發(fā)(比如ISO9001,IATF16949),并不算 是ASIL的等級;S0、E0和C0并沒有相應的ASIL等級。

對于S/E/C和ASIL A/B/C/D的對應關系有個更直觀、容易的記憶方法:

ASILA:S+E+C=7

ASILB:S+E+C=8

ASILC:S+E+C=9

ASILD:S+E+C=10

從ASIL定義可以看出,對于S/E/C三個參數(shù)的權重是一樣,并沒有采用和最新的AIAG/VDA FMEA手冊一樣提高嚴重度的優(yōu)先級,這也許是標準可改進的地方之一。

ASIL在ISO 26262中的作用

除了用來表征功能安全等級,ASIL是一條貫穿ISO 26262始終的重要線索。

首先,通過對相關項(Item)進行HARA分析可以得到各個危害事件的ASIL;與危害事件所關聯(lián)的安全目標繼承了其相應的ASIL;為了達到安全目標所定義的功能安全需求也繼承了相應的ASIL;在整個產品的開發(fā)過程中,各種分析、設計、驗證方法會根據(jù)不同的ASIL有不同的要求;最后衡量一個產品是否滿足功能安全的定量的度量指標也會因不同的ASIL有不同的要求。

那么一個產品怎樣才能算是達到了某個ASIL級別?這就要從故障(Fault)的兩大分類來加以分析。ISO 26262中將故障分成了以下兩大類:

系統(tǒng)性故障(Systematic Faults)

1、包括所有軟件bug和硬件bug,甚至包括文檔中的錯誤以及需求定義的缺失等;

2、對于這類故障要通過功能安全管理來避免和控制,所以才會有功能安全管理的流程認證。

硬件隨機故障(Random Hardware Faults)

1、包括元件的開路和短路,半導體中的soft error等;

2、對于這類故障要通過各種安全機制來控制,最后是否符合要求要看ISO 26262中定義的三個度量指標(SPFM、LFM和PHFM)是否被滿足。

所以,只有一個產品同時滿足了對上面兩類故障的避免和控制要求,才能真正算是達到了所定義的功能安全等級。拿車規(guī)芯片行業(yè)舉例,一般有以下兩種方式來宣稱自己產品是滿足某個ASIL級別。

一種是公司按照ISO 26262開發(fā)產品并進行內部評估(Functional Safety Assessment)。此為大公司通常做法,是一種自證的方式,靠公司在業(yè)界的影響力以及信譽給產品背書。這種方式需要公司內部有較大的安全部門能獨立對產品進行安全評估。當然好處是,因為是自證,對某些方面的處理會相對靈活。

另外一種方式是公司按照ISO 26262開發(fā)產品,并聘請第三方公司對產品進行認證,規(guī)模相對小的公司多采用此種方式。

目前可提供認證服務的公司包括TÜV三杰(TÜV Rheinland,TÜV SUD,SGS-TÜV Saar)和Exida。因為第三方要對產品安全性背書,此種方式對產品要求更加嚴格。除了產品認證的方式以外,對于產品的ASIL的描述也有不同

ASIL capability:這種描述是表明產品能支持某個ASIL等級的系統(tǒng)開發(fā),能夠提供相應的支持文件(Safety Manual、FMEDA等),不一定有第三方的認證證書;

ASIL systematic:這種描述表示產品解決了上述提及的系統(tǒng)性故障,但并沒有涵蓋硬件隨機故障,從上述分析可以看出,這種產品并不是真正意義上符合ASIL某個等級的要求;

ASIL certified:這種表示產品經過了第三方的認證,可以提供認證證書以及相應的支持文件。

總結

希望通過以上介紹,大家能對ASIL有所了解,對何種產品符合ASIL等級有初步認識。重點說下,芯馳科技專注于智能汽車核心芯片的研發(fā),現(xiàn)階段已經取得了TÜV萊茵頒發(fā)的全球首張ISO 26262:2018版流程認證證書,對產品的認證也在進行中。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。