芯馳科技帶你了解汽車智能化時(shí)代的ASIL

如今自動(dòng)駕駛、智能汽車、智能網(wǎng)聯(lián)等概念,已成為汽車行業(yè)耳熟能詳?shù)母哳l詞,不久的將來(lái),萬(wàn)物互聯(lián)、萬(wàn)物智能將覆蓋日常生活。拿汽車產(chǎn)業(yè)舉例,相關(guān)政府機(jī)構(gòu)已明確表示,智能網(wǎng)聯(lián)汽車將是產(chǎn)業(yè)轉(zhuǎn)型升級(jí)的重要方向,智能化將作為引領(lǐng)汽車行業(yè)深刻發(fā)展的重要標(biāo)志。那么從傳統(tǒng)跨越到智能化,相關(guān)標(biāo)準(zhǔn)有哪些?又是如何定義的?

汽車智能化程度越高,電子、電氣系統(tǒng)越復(fù)雜,對(duì)功能安全的要求也到了前所未有的高度。比如,某廠商就因?yàn)闆](méi)有遵守功能安全相關(guān)標(biāo)準(zhǔn),曾引發(fā)了轟動(dòng)一時(shí)的“剎車門”事件。談到功能安全,最常聽(tīng)到的就是ASIL。那么ASIL究竟是什么?ASIL A/B/C/D的等級(jí)又是怎么定義出來(lái)的?

ASIL的定義

ASIL定義在道路車輛功能安全國(guó)際標(biāo)準(zhǔn)ISO 26262中,全稱是Automotive Safety Integrity Level,用來(lái)表征產(chǎn)品的功能安全在避免不合理風(fēng)險(xiǎn)方面的能力。分為A、B、C和D四個(gè)等級(jí),其中 D為最高級(jí)別。

ASIL的確定

ASIL的等級(jí)是由以下三個(gè)因素共同決定:

嚴(yán)重度S(Severity)

暴露度E(probability of Exposure )

可控度C(Controllability)

嚴(yán)重度

嚴(yán)重度是指當(dāng)危害事件發(fā)生時(shí),相關(guān)人所受到的傷害程度。這里的相關(guān)人既包括車內(nèi)的駕駛員、乘客,也包括了其他交通參與者,比如路上的行人。

ISO 26262將嚴(yán)重度分成了S0、S1、S2和S3四個(gè)等級(jí),嚴(yán)重程度隨著數(shù)字遞增而增大。下表列出了對(duì)各個(gè)等級(jí)的定義。

上表中只是給出了各個(gè)等級(jí)的定性定義,具體可以參考相關(guān)置信度比較高的數(shù)據(jù),比如美國(guó)交通醫(yī)學(xué)促進(jìn)協(xié)會(huì)(AAAM)所發(fā)布的AIS,也就是ISO 26262-3:2018中的表B.1。

暴露度

暴露度是指危害事件相應(yīng)場(chǎng)景的暴露概率。ISO 26262將暴露度分為E0、E1、E2、E3和E4五個(gè)等級(jí),定義如下表:

需要注意的是,上表E1到E4,相鄰的兩個(gè)等級(jí)的概率差異是一個(gè)數(shù)量級(jí)。

相對(duì)于危害程度來(lái)說(shuō),暴露度不太直觀,舉兩個(gè)例子說(shuō)明:自然災(zāi)害相關(guān)的場(chǎng)景(比如海嘯)就可以定義為E0;汽車啟動(dòng)后開(kāi)始加速的場(chǎng)景是每次駕駛都會(huì)遇到,就應(yīng)該定義為E4。

可控度

可控度是指危害事件發(fā)生時(shí),駕駛員或其他交通參與者對(duì)危害的控制程度,或者說(shuō)是避免危害的能力。ISO 26262將可控度分為C0、C1、C2和C3四個(gè)等級(jí)。需要注意的是,與嚴(yán)重度、暴露度不同,C的數(shù)值越大可控程度越低。

和暴露度類似,上表中相鄰兩個(gè)等級(jí)相差一個(gè)數(shù)量級(jí)。舉例來(lái)說(shuō):車內(nèi)音響的非預(yù)期音量增大,對(duì)維持行車方向的基本沒(méi)有影響,就屬于C0;相對(duì)的如果是剎車系統(tǒng)失效,駕駛員很難控制車速,可控度就是C3。

ASIL

將前面提到的各個(gè)等級(jí)的嚴(yán)重度、暴露度和可控度進(jìn)行組合,就得到了如下表所示的ASILA、B、C和D四個(gè)等級(jí)。

需要特別注意的是:

盡管標(biāo)準(zhǔn)里提到QM,但是QM只是表明按照一般的質(zhì)量體系開(kāi)發(fā)(比如ISO9001,IATF16949),并不算 是ASIL的等級(jí);S0、E0和C0并沒(méi)有相應(yīng)的ASIL等級(jí)。

對(duì)于S/E/C和ASIL A/B/C/D的對(duì)應(yīng)關(guān)系有個(gè)更直觀、容易的記憶方法:

ASILA:S+E+C=7

ASILB:S+E+C=8

ASILC:S+E+C=9

ASILD:S+E+C=10

從ASIL定義可以看出,對(duì)于S/E/C三個(gè)參數(shù)的權(quán)重是一樣,并沒(méi)有采用和最新的AIAG/VDA FMEA手冊(cè)一樣提高嚴(yán)重度的優(yōu)先級(jí),這也許是標(biāo)準(zhǔn)可改進(jìn)的地方之一。

ASIL在ISO 26262中的作用

除了用來(lái)表征功能安全等級(jí),ASIL是一條貫穿ISO 26262始終的重要線索。

首先,通過(guò)對(duì)相關(guān)項(xiàng)(Item)進(jìn)行HARA分析可以得到各個(gè)危害事件的ASIL;與危害事件所關(guān)聯(lián)的安全目標(biāo)繼承了其相應(yīng)的ASIL;為了達(dá)到安全目標(biāo)所定義的功能安全需求也繼承了相應(yīng)的ASIL;在整個(gè)產(chǎn)品的開(kāi)發(fā)過(guò)程中,各種分析、設(shè)計(jì)、驗(yàn)證方法會(huì)根據(jù)不同的ASIL有不同的要求;最后衡量一個(gè)產(chǎn)品是否滿足功能安全的定量的度量指標(biāo)也會(huì)因不同的ASIL有不同的要求。

那么一個(gè)產(chǎn)品怎樣才能算是達(dá)到了某個(gè)ASIL級(jí)別?這就要從故障(Fault)的兩大分類來(lái)加以分析。ISO 26262中將故障分成了以下兩大類:

系統(tǒng)性故障(Systematic Faults)

1、包括所有軟件bug和硬件bug,甚至包括文檔中的錯(cuò)誤以及需求定義的缺失等;

2、對(duì)于這類故障要通過(guò)功能安全管理來(lái)避免和控制,所以才會(huì)有功能安全管理的流程認(rèn)證。

硬件隨機(jī)故障(Random Hardware Faults)

1、包括元件的開(kāi)路和短路,半導(dǎo)體中的soft error等;

2、對(duì)于這類故障要通過(guò)各種安全機(jī)制來(lái)控制,最后是否符合要求要看ISO 26262中定義的三個(gè)度量指標(biāo)(SPFM、LFM和PHFM)是否被滿足。

所以,只有一個(gè)產(chǎn)品同時(shí)滿足了對(duì)上面兩類故障的避免和控制要求,才能真正算是達(dá)到了所定義的功能安全等級(jí)。拿車規(guī)芯片行業(yè)舉例,一般有以下兩種方式來(lái)宣稱自己產(chǎn)品是滿足某個(gè)ASIL級(jí)別。

一種是公司按照ISO 26262開(kāi)發(fā)產(chǎn)品并進(jìn)行內(nèi)部評(píng)估(Functional Safety Assessment)。此為大公司通常做法,是一種自證的方式,靠公司在業(yè)界的影響力以及信譽(yù)給產(chǎn)品背書。這種方式需要公司內(nèi)部有較大的安全部門能獨(dú)立對(duì)產(chǎn)品進(jìn)行安全評(píng)估。當(dāng)然好處是,因?yàn)槭亲宰C,對(duì)某些方面的處理會(huì)相對(duì)靈活。

另外一種方式是公司按照ISO 26262開(kāi)發(fā)產(chǎn)品,并聘請(qǐng)第三方公司對(duì)產(chǎn)品進(jìn)行認(rèn)證,規(guī)模相對(duì)小的公司多采用此種方式。

目前可提供認(rèn)證服務(wù)的公司包括TÜV三杰(TÜV Rheinland,TÜV SUD,SGS-TÜV Saar)和Exida。因?yàn)榈谌揭獙?duì)產(chǎn)品安全性背書,此種方式對(duì)產(chǎn)品要求更加嚴(yán)格。除了產(chǎn)品認(rèn)證的方式以外,對(duì)于產(chǎn)品的ASIL的描述也有不同

ASIL capability:這種描述是表明產(chǎn)品能支持某個(gè)ASIL等級(jí)的系統(tǒng)開(kāi)發(fā),能夠提供相應(yīng)的支持文件(Safety Manual、FMEDA等),不一定有第三方的認(rèn)證證書;

ASIL systematic:這種描述表示產(chǎn)品解決了上述提及的系統(tǒng)性故障,但并沒(méi)有涵蓋硬件隨機(jī)故障,從上述分析可以看出,這種產(chǎn)品并不是真正意義上符合ASIL某個(gè)等級(jí)的要求;

ASIL certified:這種表示產(chǎn)品經(jīng)過(guò)了第三方的認(rèn)證,可以提供認(rèn)證證書以及相應(yīng)的支持文件。

總結(jié)

希望通過(guò)以上介紹,大家能對(duì)ASIL有所了解,對(duì)何種產(chǎn)品符合ASIL等級(jí)有初步認(rèn)識(shí)。重點(diǎn)說(shuō)下,芯馳科技專注于智能汽車核心芯片的研發(fā),現(xiàn)階段已經(jīng)取得了TÜV萊茵頒發(fā)的全球首張ISO 26262:2018版流程認(rèn)證證書,對(duì)產(chǎn)品的認(rèn)證也在進(jìn)行中。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。