ISO 26262 ASIL安全等級，劃分和分解

1 什麼是ASIL安全等級

ASIL等級，Automotive Safety Integration Level，汽車安全完整性等級，描述系統能夠實現指定安全目標的概率高低。每個安全功能要求都包括兩部分內容，安全性目標和ASIL安全等級。

對一個指定系統應用安全功能要求，

ASIL安全等級劃分包括如下步驟：

1）根據預想架構、功能概念、操作模式和系統狀態等確定安全事件；

2）危險分析和風險評估，初步確定ASIL安全等級；

3）逐級分解安全要求和安全等級，ASIL安全級別劃分和ASIL安全級別逐層分解兩個過程交替進行，直至抵達無法進一步分解 零件或者子系統；

4）最後用幾個原則去檢查等級分配的合理性，包括因素共存原則、相關失效分析和安全分析。

幾個ASIL相關的概念

ASIL等級劃分，從安全目標出發，按照等級劃分的基本規則，考慮影響等級的三要素，最終確定系統或者零件安全等級的過程。

ASIL等級劃分目標在於降低系統性失效的概率，但並不針對單一零件性能參數的水平進行規定，也不會產生影響。

ASIL有四個等級，分別為A，B，C，D，其中A是最低的等級，D是最高的等級。

ASIL等級分解，將系統的安全目標和安全等級逐步落實到下級子系統的過程。

危害，指系統功能異常導致危害的潛在來源；

危害事件，指在指定場景下發生的危害；

危害分析和風險評估，對指定系統的可能危害事件進行識別和歸類，並定義防止或減輕危害發生的安全目標和安全等級，來避免避免不合理風險。

影響ASIL等級的三個基本要素是嚴重度（Severity）、暴露率（Exposure）和可控性（Controllability）。嚴重度，描述一旦風險成為現實，相關人員、財產將遭受損害的程度，比如電子鎖故障就比剎車故障的嚴重程度低；暴露率，描述風險出現時，人員或者財產可能受到影響的概率，比如底盤出現異響比乘員座椅故障暴露率低；可控性，描述風險出現時，駕駛員等在多大程度上可以採取主動措施避免損害的發生，輪胎緩慢漏氣比剎車失靈可控性高。

2 劃分和分解安全等級的目的

給汽車上的全部電子電氣系統劃分安全等級，明確每個系統，每個子系統，每個零件的安全目標，制定執行明確的安全措施，一方面使相關人員和部門統一認識，避免因為目標含混不清，職責不明確造成的風險；另一方面，避免在同一個安全要素上重複投入資源，出現分布不均而出現的資源浪費，一個風險點有幾個安全保障，而另一個故障點卻沒有人意識到。通過系統性，全生命周期的思考方式，實現全面的規劃安全功能的目的。

3 ASIL安全等級劃分方法

劃分ASIL安全等級，首先需要做安全事項的危險分析和風險評估。針對所有可能發生的危害事件進行的危險分析和風險評估，是確定安全目標的第一步，這一步可以在還不知道對象細節的時候就進行。比如，車輛在路上運行，有碰撞的風險，這個風險的存在性和存在的形式都不必等待車輛設計好造型的時候才知道。

功能安全要求的確定，標準給出一系列建議，下面選擇性理解其中認為重要的幾點。

1）功能安全的要求應該根據系統基本架構提出；

2）下級系統應該全面繼承上級系統的安全要求和安全等級；

3）同一要素與上級的幾個系統都有從屬關係，則取安全等級最高的系統級別；

4）處理好於飛電子電氣類安全措施的介面，不要存在系統安全空白，也不要在一個點上過度設計；

原文給出了危險分析和風險評估方法建議，歸納起來大體如下：建議使用評估清單；可以採用頭腦風暴、分析工具（如FEMA或者FTA等）；根據不同場景進行評估，場景應該是公認的，影響作用方式是常識中的；每個危險事件自身的描述以及危險造成的影響，都應該清晰界定，盡量使用最準確具體的語言，並全面的估計影響（原文舉出的例子：車輛電源系統故障可能導致喪失引擎動力，喪失轉向的電動助力以及前大燈照明）；處理標準適用範圍以外的風險，不能置之不理，而應當一道給以適當處理。

安全等級ASIL按照三個維度進行具體評估，嚴重性、暴露性和可控性。

嚴重性，用SX表示，X取值可以是0/1/2/3，級別從低到高，級別越高，傷害越嚴重。S0無傷害；S1輕微或有限傷害；S2嚴重或危及生命的傷害（可生還）；S3危及生命的傷害（有死亡可能）或致命傷害；

暴露性，用EX表示， X取值從0至4，共5個等級。E0是幾乎不肯能暴露於危險中，E4是可能性極高。

可控性，用CX表示，最低C0可控，最高C3幾乎不可控，共4個級別。

ASIL 等級分為A、B、C、D 四個等級，ASIL A 是最低的安全等級，ASIL D 是最高的

安全等級。除了這四個等級QM 表示與安全無關。評估結果範例表格如下圖所示。

4 ASIL安全等級分解

ASIL分解傾向於把冗餘的安全要求分配給足夠獨立的系統，是效率最高的安全要素分配方式。

原文「正在開發過程中的以安全為目標的要素的傳播貫穿於要素開發的全過程。

從安全目標開始，安全要求在開發過程中會被分解和提煉。ASIL 作為安全目標的一個

屬性，會被每一個後續的安全要求所繼承。功能和技術安全需求向每個架構要素的分配，開始於初步的架構設想，結束於硬體和軟體要素。

在設計過程中的ASIL 裁剪方法被稱作「ASIL 分解」。在分配階段，優勢來自架構決定，

包括存在足夠獨立的架構要素。這些好處在於：

--應用冗餘的安全要求通過獨立的架構要素；

--分配一個可能更低的ASIL 給這些分解後的安全要求；

如果這些架構要素不是足夠獨立的，那麼冗餘的要求和架構要素繼承初始化的ASIL。」

理解一，安全等級的劃分對象是電子電氣系統或產品，不包括管理流程等事項；

理解二，標準不對標稱參數做安全性評估，只對功能安全系統定義的安全要求進行拆解和評估；

理解三，安全等級的劃分順序，是自上而下的過程，上層系統分解出來的支持本層級安全目標的措施，分解到下面一層，成為下一個層級的安全目標，下層系統沒有特殊情況，需要繼承上層的安全目標和安全等級；

理解四，安全等級和安全要素的支持關係，存在著時間上的連續性，產品生命周期的每個階段都必須始終支持本層級系統的安全目標；

理解五，如果組成系統的子系統之間沒有耦合關係，即他們不是互相影響的，而是只受下面一個層次的系統或者因素影響，那麼這些獨立系統可以分配略低的ASIL等級。從另一個角度說，如果分配正常的安全等級，則獨立系統可以使得父系統獲得更大的安全冗餘。

5 ASIL安全等級分解原則

要素共存準則，一個系統內包含多個子要素，且某些子要素對其安全性產生影響，另外一些則不產生影響；或者一些子要素的安全等級高而另外的一些安全等級低。此時總的原則是，將子要素的安全等級提升到系統安全級別，除非能夠證明，低等級的子要素對系統不產生不良影響，同時對其餘子要素也不產生不良影響。

相關失效分析，系統內並行的幾個功能，可能因為受到同一個底層因素的影響，或者同一個外部因素的影響同時失效；系統中，串聯關係（一個系統的輸出是另一個系統的輸入）的幾個系統，可能在一個底層輸入的錯誤瞬間造成一系列的失效。必須識別出這種可能存在的失效模式和相關係統，避免系統中存在相關失效的情形。

標準中舉出的例子是，系統內幾個子系統同時曝露在強電磁干擾下，進而環境內多個系統可能同時失效，這是一個並聯失效的例子。另一個級聯失效的例子是車輛的車速感測器失效，發送的車速信息錯誤，進而造成整車控制器等系統的集體失效。系統性失效和硬體隨機失效，都可能造成相關失效；多個失效模式近似的系統共存，也容易出現相關失效。

安全分析，在完成了危險性分析和風險評估以後，系統內每個相關因素的安全等級和安全目標都已經確定，回過頭來，再次進行的一種評估分析。再次確認安全目標，考察安全措施實施的效果和可能面對的失效，探討安全失效後可能造成的影響。安全分析，意在識別出風險評估階段遺漏的安全項目和安全方案中的過度冗餘和欠缺。

參考文獻

ISO26262道路車輛功能安全 Part 1：定義；

ISO26262道路車輛功能安全Part 3：概念階段；

ISO26262道路車輛功能安全Part 9：基於ASIL 和安全的分析；

（圖片來自互聯網）