汽车安全性分类（汽车安全完整性等级）

ISO26262从2005年起正式开始制定，历约6年于2011年正式颁布第一版，成为国际标准。第二版也于2018年正式发布。其中ASILA代表最低程度，ASILD代表最高程度的汽车危险。对于要求最高级别诊断覆盖率的ASIL-D等级系统，确保单个系统故障不会导致功能灾难性后果变得异常重要。辅助MCU仅在车辆静止时负责使能桥驱。因此，主MCU上的共因故障可能会导致辅助MCU传输错误的车速信息。这可能会导致安全目标的违反。使用两个独立的CAN通讯来避免共因失效。

ISO 26262《道路车辆功能安全》脱胎于IEC 61508《电气/电子/可编程电子安全系统的功能安全》，主要定位在汽车行业（包含乘用车、商用车、卡车、特殊车辆、摩托车等）中特定的电子器件、电子设备等专门用于汽车领域的部件，目的是提高汽车电子电气产品的安全性。

ISO 26262从2005年起正式开始制定，历约6年于2011年正式颁布第一版，成为国际标准。第二版也于2018年正式发布。相应的国标版功能安全标准也于2017年正式发布——GB/T 34590。同时，第二版的GB/T 34690也在制定中，相信不久就会正式颁布。

图 1. ISO 26262/GB/T 34590 概述

功能安全完整性等级

ASIL (Automotive Safety Integrity Level) 是指汽车安全完整性等级。它是由ISO 26262 标准定义的道路车辆功能安全的风险分类系统。在ISO 26262中，功能安全定义为：不存在由于电子/电气系统的功能异常表现引起的危险而导致的不合理风险（ Absence of unreasonable risk due to hazards caused by malfunctioning behaviour of E/E systems）。

ISO 26262定义了四种功能安全等级——ASIL A, ASIL B, ASIL C和ASIL D。其中ASIL A代表最低程度，ASIL D代表最高程度的汽车危险。

ASIL的定义通常通过如下来获得:

◆通常在项目早期阶段进行，通过对系统/功能进行危害分析和风险评估（HARA）获得

◆每一个危险事件都被分配了一个ASIL等级（从ASIL-A 到 ASIL-D，或QM）

◆QM不是一个功能安全等级，它意味着没有特殊性的安全要求，满足质量管理流程即可

◆ASIL的选择基于可控性（C）、严重程度（S）和暴露时间（E）

图 2. 如何获取ASIL及相应要求

例如：安全气囊、防抱死制动器和动力转向等系统需要ASIL-D等级（适用于安全保证的最高等级，因为与此类故障相关的风险最高）；尾灯等组件通常只需要ASIL-A等级，前灯和刹车灯通常为ASIL-B，雨刷控制通常为ASIL-A；而巡航控制通常为ASIL-C。

图 3. 常见安全等级示例（此图片来源于网络）

分解的背景

众所周知，系统层面的需求分配/分解是系统工程的常见任务，如下图所示。

图 4. 需求的分配/分解

而且安全关键系统的设计通常可能得益于冗余需求的分配，可以通过以下几点来体现：

◆将系统层面的需求分解为多个冗余的子需求，并且分配给不同的组件；

◆每一个子需求（组件）直接支持达到系统层面的要求；

◆这里意味着必须要确保冗余需求实现的独立性；

◆如果一个组件失效了，其他的组件仍然满足系统层面的要求，因此提高系统的完整性。

图 5. 需求的分配/分解

那么我们该如何评估所设计的冗余需求呢？不妨通过下面几点展开看：

◆故障树分析可以用来评估冗余需求对随机硬件故障的有效性；

◆同时也需要针对系统性故障来评估冗余需求:

◇ ISO 26262中定义了ASIL 分解的概念

◇ ISO 26262中Part9 定义了关于ASIL裁剪的需求分解

◇ 将给定的安全要求分解为一组冗余的安全要求，在给定原始ASIL等级的情况下，新的ASIL将根据这些要求进行定制

◇ ASIL分解用于系统方面，而不是随机硬件故障

◇ 需要证明元素的独立性要求已分配

ASIL分解的定义

随着汽车不断地发展并采用更加复杂的电气/电子/可编程电子主导系统，更高性能水平和最高水平诊断覆盖率的应用数量不断增加。ASIL-D等级应用程序有可能受益于ASIL分解架构，该架构为终端设备设计人员在开发具有高ASIL等级要求的安全关键系统时提供了更大的灵活性。

根据ISO 26262定义，ASIL 分解是将安全要求冗余地分配给充分独立的要素 （这里指系统组件[软件或者硬件]；硬件组件或者软件单元），目的是降低分配给相关要素的冗余安全要求的ASIL等级（Apportioning of redundant safety requirements to elements, with sufficient independence, for the same safety goal. The objective being reducing the ASIL of the redundant safety requirements that are allocated to the corresponding elements）。

对于要求最高级别诊断覆盖率的ASIL-D等级系统，确保单个系统故障不会导致功能灾难性后果变得异常重要。分解后的体系结构有助于实现这一目标，并且在开发此类系统时可以作为关键的设计选项。

下图展示了ASIL分解符合ISO 26262 Part9中的组合。

图 6. ASIL分解方法

ASIL分解示例

5.1 ASIL分解示例（ESCL）

ESCL (Electronic Steering Colum Lock) 是汽车电子转向锁的简称。电子转向锁是一种转向管柱锁定装置——以物理方式限制转向轴的旋转运动。电子转向锁的主要用途是防止未经授权的操作，并用作防盗装置。

电子转向锁的功能安全目标是在车辆行驶时避免非预期的接合（Avoid unintended engage of the ESCL while the vehicle is being driven）。

根据可控制、暴露概率和严重度三个指标来分析：

◆高速行驶时，电子转向锁非预期接合的后果可能是灾难性的，严重度打分为S3；

◆高速行驶时，电子转向锁非预期接合导致驾驶员/乘客暴露在危险中的几率是高发生率（几乎每次驾驶都可能会发生），暴露概率打分为E4；

◆高速行驶时，避免电子转向锁非预期接合的控制能力非常低，难以控制或者无法控制，可控性打分为C3；

综上对电子转向锁非预期接合这一事件分析，该系统应按照功能安全ASIL-D等级要求进行设计开发，由此得出电子转向锁的功能安全目标及安全等级如下：

安全目标：车辆行驶时，避免非预期的接合。——ASIL-D

下图是该功能的简单架构，其中车身控制器通过CAN通讯与MCU进行信息交互，MCU进而通过控制执行机构来将转向锁锁定。

图 7. ESCL 架构框图

这是一个单通道架构的设计，并且需要MCU 去驱动桥驱来保证随机硬件度量指标满足ASIL-D。设计上的限制可能会强制使用未达到ASIL-D等级的MCU。即使MCU满足ASIL-D指标要求，与BCM通讯的单个MCU仍可能出现通讯故障，从而可能导致车辆在驾驶时接合转向锁。我们可以通过对此要求进行分解来解决。

为了了解使用ASIL分解的正确方法，我们先来看看不正确的分解的实现。

在下图所示的有缺陷的架构中，BMC发送命令来锁定或者解锁转向柱。有一个ABS防抱死系统或者ESP车身电子稳定系统通过CAN通讯来提供车速信息。主MCU负责驱动执行器。辅助MCU仅在车辆静止时负责使能桥驱。但我们从下图中可以看到，辅助MCU通过主MCU接收车速信息，车辆的CAN总线没有独立连接。因此，主MCU上的共因故障可能会导致辅助MCU传输错误的车速信息。这可能会导致安全目标的违反。

图 8.有缺陷架构

下图展示了一个更好的分解解决方案。使用两个独立的CAN通讯来避免共因失效。BMC通过车身CAN将锁定/解锁的指令发给主MCU。ABS/ESP控制器使用底盘CAN与辅助MCU进行通讯，只有在车辆停止时才会启用桥驱。除了作为实现安全目标的更稳妥的方式之外，上述例子的分解还可以使用两个ASIL-B的MCU来实现ASIL-D的功能。

图 9.ESCL ASIL 分解架构示意图

5.2 ASIL分解示例（通用）

ASIL C：车速大于15km/h时应禁用此功能。

图 10.未分解

ASIL C：车速大于15km/h时应禁用此功能。

分解如下：

ASIL A(C ): 车速大于15km/h时，控制器不应发送激活指令。

ASIL B(C ): 执行器开关应该打开当车速大于15km/h时。

图 11.分解后

ASIL分解的总结

1）根据ISO 26262进行ASIL分解的目的不是为了证明随机硬件故障时减少ASIL分配给硬件元件的合理性，而是将重点放在系统故障情况下的功能和要求上。只有在细化需求并将其分配给不同的独立组件时，才能使用ASIL分解。

2）如果设计使用了ASIL分解，那么确认自上而下的ASIL需求分解对于最终的安全案例至关重要。即使系统是自上而下设计的，并且设计元素已经预先分配了ASIL，设计团队仍需要明确考虑（预期的—）自上而下的需求分解。