汽车安全完整性等级 （ASIL） 指南

汽车技术的新革命不仅即将到来，而且已经到来。从电动汽车的迅速普及到自动驾驶汽车，汽车从机械系统的时代迅速发展。出于各种原因，这些进步令人兴奋和受欢迎，但它们给从挡风玻璃雨刷器到微芯片再到内置摄像头的所有开发人员带来了越来越多的挑战和考虑。随着驾驶员越来越依赖使从 A 点到 B 点更轻松、更有趣的系统，他们还需要确保这些系统安全可靠。

在这种新的汽车现实中，遵守安全准则从未像现在这样重要。随着开发人员和制造商努力实现 ISO 26262 合规性，他们必须了解汽车安全完整性等级 （ASIL），才能知道要应用什么级别的严格性。

什么是 ASIL？

ASIL 代表 Automotive Safety Integrity Level，是道路车辆功能安全的风险分类系统。ASIL 由 ISO 26262 标准第 9 部分定义，并改编自 IEC 61508 中发布的安全完整性等级 （SIL） 指南。

虽然遵守 ISO 26262 不是强制性的，但它是行业内最先进的做法，而 ASIL 是该标准的关键部分。ASIL 根据产品失败时对人造成伤害的风险来确定产品开发过程的严格程度。通过根据各种因素对每个组件、模块或系统进行全面的安全评估，团队可以对发生故障时的风险和结果做出合理的预期，并实施缓解措施来降低风险。

ASIL 是在全面的危害分析和风险评估 （HARA） 后确定的。工程师或开发人员在评估每个组件或系统时，会关注该组件或系统的潜在故障所带来的风险和危害。系统出现故障的可能性有多大？如果失败了怎么办？驾驶员可以在不受伤的情况下补偿或管理故障吗？发生故障时是否有可能发生伤害，如果是，伤害会有多严重？一旦危害分析和风险评估完成，团队就可以分配 ASIL。

有哪些不同的 ASIL？

ASIL 将危害分为四个级别之一，表示为 A 到 D，第五个附加级别用于非危险系统或组件。ASIL D 代表最高风险级别，而 ASIL A 代表最低风险级别。附加级别 QM 代表质量管理，表示仅需要标准质量管理合规性的非危险物品。

一般来说，防抱死制动器或安全气囊等系统需要 ASIL D 分类，因为在这些系统中与故障相关的风险最高。另一方面，尾灯等系统只需要 ASIL A 分类;虽然尾灯肯定有安全组件，但大多数驾驶员可以减轻这些风险，而且潜在的伤害严重程度通常并不高。

哪些因素决定了 ASIL？

要确定 ASIL，开发人员和工程师会考虑三个因素：

• 严重程度（危险事件造成的伤害的潜在严重程度）

• 暴露（可能导致受伤的情况的频率）

• 可控性（驾驶员可以采取行动防止受伤的可能性）

在这三个因素中，每个因素都有以数字表示的附加级别：

严厉

S0：无伤

S1：轻至中度损伤

S2：重度至危及生命的损伤（可能存活）

S3：危及生命（生存不确定）至致命伤害

暴露

E0：极不可能

E1：概率非常低

E2：低概率

E3：中等概率

E4：高概率（在大多数作条件下都可能发生伤害）

操纵

C0：一般可控

C1：简单可控

C2：通常可控（大多数驾驶员可以采取行动以防止受伤）

C3：难以控制或无法控制

相关文章：ISO 26262 对汽车开发的影响

如何选择我的 ASIL？

为了确定 ASIL，开发团队应对每个系统、模块或组件进行全面的危害分析和风险评估 （HARA）。此评估的目的是识别所有可能导致危险或故障的故障，并评估与这些故障相关的风险。任何旨在使任何产品符合 ISO 26262 标准的制造商都应进行 HARA 并分配 ASIL 。

在 HARA 期间，团队分配上图确定的严重性、暴露和可控性级别。在这些类别中确定这些级别后，团队可以使用下表得出 ASIL ：

请注意： 虽然本指南通常可以帮助您识别 ASIL，但它不应作为正式的 ASIL 确定。

ASIL 分类有哪些示例？

尽管不同的 ASIL 分类存在一定程度的主观性，但一些系统和组件的分类相当一致。以下是一些示例：

ASIL D：安全气囊、防抱死制动、电动助力转向

ASIL C：自适应巡航控制、电池管理、悬架

ASIL B：刹车灯、后视摄像头、组合仪表

ASIL A：尾灯、加热和冷却、车身控制单元

QM：GPS/导航系统、卫星/数字无线电、连接性（USB、HDMI、蓝牙）

即使在这些示例中，不同型号、制造商或风险评估之间也可能存在差异。例如，根据其他因素，“发动机管理”风险可能是 ASIL C 或 D，而各种动力总成系统和风险可能在 ASIL B 和 ASIL D 之间有所不同。评估风险和分配级别需要考虑许多因素。

此外，ASIL 可能会发生变化。例如，OEM（原始设备制造商）可以确定某个组件的 ASIL B 级别，但一旦该组件与其他系统集成，该级别可能会随着额外的危害分析和风险评估而提高或降低。

ASIL 面临哪些挑战？

尽管上图显示了如何根据严重性、风险和可控性级别得出 ASIL，但分配这些级别涉及一定程度的主观性。例如，道路状况、环境因素、交通密度、驾驶员能力和接触可能性都可能有很大差异。在宽阔、空旷、干燥的道路上驾驶车辆的驾驶员可能比在暴雨期间在交通繁忙的道路上驾驶的驾驶员更有可能控制危险事件。ASIL 分类系统取决于对“通常”、“可能”和“可能”等词的主观解释，这涉及工程师和开发人员在一定程度上受过教育的判断。确定 ASIL 级别的另一个挑战是，在没有进行全面的危害分析和风险评估的情况下，根据过去的级别分配做出假设的诱惑。例如，如果系统之前被指定为 ASIL 级别 B，则可能很容易假设其当前级别应该相同。但是，系统的改进或与其他系统的集成可能会改变级别。如果 GPS 系统现在与摄像头设备或其他一些智能技术集成，那么这种新的集成可能会提高或降低 ASIL 级别。

最后，没有正确保存良好文档记录或跟踪要求的团队可能会得出不准确的 ASIL，甚至完全忽视风险。当文档和需求没有得到彻底跟踪时，团队可能会错过关键的功能安全风险。需求跟踪和可追溯性不仅对于符合 ISO 26262 至关重要，而且对于彻底准确地评估和降低风险的实际市场需求也至关重要。

ASIL 如何影响产品开发？

一旦制定了系统的 ASIL，ISO 26262 就定义了基于 ASIL 所需的不同严格级别。例如，对于 ASIL A 和 B，信息表示法足以满足捕获要求。这通常意味着需求是用自然语言编写的，并用简单的数字进行扩充，以消除关键概念的文盲。对于 ASIL C 和 D，建议使用更半正式的表示法。需求通常仍然用自然语言编写，但随后会开发系统模型以更准确地描述行为。开发这些模型需要团队中的额外专业知识，但可以提高文档的准确性并降低沟通不畅的风险。开发更高 ASIL 系统的团队通常需要额外的专业知识以及专门的软件工具来支持该过程。

ASIL 是如何演变的？

汽车工程师协会 （SAE） 于 2015 年发布了 J2980，为评估严重性、暴露和可控性提供了额外的指导。此外，J2980 本身和 ISO 26262 都在 2018 年进行了更新。

随着 AI（人工智能）、自动驾驶功能以及通过 IoT（物联网）集成到外部系统等汽车技术的进步，可控性的概念提出了特殊的挑战。目前，“可控性”主要是指人类车辆驾驶员，但随着汽车独立反应的能力越来越强，评估可控性的标准可能会发生变化。随着功能越来越多地补偿驾驶员错误，汽车变得越来越安全和智能，从而降低了导致严重伤害或死亡的危险的可能性。然而，与此同时，对外部系统的访问可能会引入网络漏洞，使 ASIL 的考虑变得复杂。

网络安全漏洞可能会导致安全考虑，就像硬件故障一样。因此，团队现在开始一起分析系统的安全性。ISO 21434 特别提出了与 ISO 26262 相配合的建议，以支持这一过程。