ASIL分解及示例

11關(guān)于ASIL分解

11.1ASIL分解的目的

ASIL分解的目的是通過對系統(tǒng)故障使用多個足夠獨(dú)立的要素來實(shí)現(xiàn)安全目標(biāo)。

11.2ASIL分解的描述

ASIL分解是指將冗余的安全需求分配給相關(guān)項(xiàng)的足夠獨(dú)立的要素。在這種情況下，冗余不一定意味著經(jīng)典的模塊化冗余(見ISO26262-1：2018的3.122)。

ECU的主處理器可以由冗余監(jiān)控處理器監(jiān)控，這兩個處理器都獨(dú)立地能夠啟動定義的安全狀態(tài)，即使監(jiān)控處理器無法滿足分配給ECU的功能要求。

ASIL分解僅對系統(tǒng)性失效有意義，即用于減少這些故障可能性的方法和措施。通過ASIL分解，對硬件架構(gòu)度量的評估和因隨機(jī)硬件故障而違反安全目標(biāo)的評估的要求將保持不變(見ISO26262-9：2018的5.4.5)。

在ASILB(D)分解的情況下，用于評估硬件架構(gòu)度量的ASILD目標(biāo)不被分解為每個硬件要素的單獨(dú)的ASILB目標(biāo)。正如ISO26262-5：2018的8.2中所描述的，目標(biāo)值可以分配給硬件要素，但是這些目標(biāo)是根據(jù)在相關(guān)項(xiàng)的整個硬件級別上開始的分析逐個分配的。根據(jù)安全目標(biāo)的目標(biāo)度量適用于相關(guān)項(xiàng)級別。

在這樣的分解架構(gòu)中，只有當(dāng)兩個要素同時違反它們因分解而得出的安全需求時，才會違反分解前的安全需求。

ISO26262系列標(biāo)準(zhǔn)中的可能分解見【關(guān)于ASIL剪裁的需求分解】（ISO26262-9：2018的第5條）。

11.3.ASIL分解的示例

11.3.1總則

本節(jié)中描述的相關(guān)項(xiàng)及其要求均為示例。安全目標(biāo)及其ASIL和后續(xù)要求僅為說明ASIL分解過程而設(shè)計。這個示例沒有反映ISO26262系列標(biāo)準(zhǔn)在類似現(xiàn)實(shí)示例中的應(yīng)用情況。

11.3.2相關(guān)項(xiàng)定義

以具有一個執(zhí)行器的系統(tǒng)為示例,駕駛員通過使用儀表板上的開關(guān)來觸發(fā)此執(zhí)行器。執(zhí)行器在車 速為零時提供舒適功能,但是如果在超過15km/h時激活會導(dǎo)致危害。

相關(guān)項(xiàng)的初始架構(gòu)如下：

?儀表板開關(guān)輸入由專用ECU讀取(本例中稱為“執(zhí)行器控制ECU(ACECU)”)，該ECU通過專用電源線為執(zhí)行器供電。

?裝有該相關(guān)項(xiàng)的車輛還裝有ECU，該ECU能夠提供車輛速度。例如，該ECU提供車輛速度大于15km/h的信息的能力被假定符合ASILC要求。此ECU在本節(jié)中稱為“VSECU”。

圖25-相關(guān)項(xiàng)邊界

11.3.3危害分析和風(fēng)險評估

分析中考慮的危險事件是在以超過15公里/小時的速度行駛時激活執(zhí)行器，無論是否有駕駛員要求。

為了本示例的目的，與此危險事件相關(guān)的ASIL被歸類為ASILC。

11.3.4相關(guān)安全目標(biāo)

安全目標(biāo)1：避免在車輛速度大于15km/h：時激活執(zhí)行器ASILC。

11.3.5系統(tǒng)架構(gòu)設(shè)計

以下列出了初始架構(gòu)要素的目的：

?VSECU以車輛速度提供執(zhí)行器控制ECU(ACECU)。

?ACECU監(jiān)控駕駛員的請求，測試車輛速度是否小于或等于15公里/小時，

?如果是的話，命令執(zhí)行器。

執(zhí)行器在供電時被激活。

11.3.6.功能安全概念

11.3.6.1總則

這個功能安全概念的示例僅用于說明ASIL分解。它不打算是詳盡的，也不包括所有的功能安全需求。

要求 A1:VSECU 發(fā)出準(zhǔn)確的車速信息給 ACECU。ASILC

要求 A2:當(dāng)車速超過15km/h時,ACECU 不能給執(zhí)行器供電。ASILC

要求 A3:執(zhí)行器只有在得到ACECU 的供電之后才能被激活。ASILC

11.3.6.2涉及該相關(guān)項(xiàng)的安全概念

開發(fā)者可以選擇引入一個冗余要素，這里是一個冗余開關(guān)，如圖26所示。通過引入這個冗余要素，根據(jù)ASIL分解的結(jié)果，用等于或低于ASILC的ASIL開發(fā)ACECU。

圖26-相關(guān)項(xiàng)設(shè)計的第二次迭代

這些要素（進(jìn)化的架構(gòu)）的目的：

?VSECU控制單元為ACECU提供車輛速度。

?ACECU監(jiān)控駕駛員的請求，測試車輛速度是否小于或等于15公里/小時，如果是的話，發(fā)送命令執(zhí)行器。

?冗余開關(guān)位于ACECU與執(zhí)行器之間的電源線上。如果速度小于或等于15公里/小時，它就會打開，當(dāng)速度大于15公里/小時時，它就會關(guān)閉。它這樣做，而不管電力線的狀態(tài)（它的電源是獨(dú)立的）。

?執(zhí)行器只有在供電時才能工作。

功能安全需求：

?需求B1：VSECU向ACECU發(fā)送準(zhǔn)確的車輛速度信息?！鶤SILc

?或者：防止車輛速度小于或等于15公里/小時的不正確傳輸?！鶤SILc

?要求B2：當(dāng)車速度大于15km/h時，ACECU不給執(zhí)行機(jī)構(gòu)供電?！鶤SILX(C)（見表5）

?需求B3：VSECU向冗余開關(guān)發(fā)送準(zhǔn)確的車輛速度信息?！鶤SILc

?要求B4：如果車輛速度大于15公里/小時，冗余開關(guān)處于打開狀態(tài)?！鶤SILY(C)（見表5）

?要求B5：執(zhí)行器只有在由ACECU供電和冗余開關(guān)關(guān)閉時才能工作?！鶤SILc

為了允許ASIL分解，開發(fā)者在必要時添加了獨(dú)立性要求：

?要求B6：ACECU和冗余開關(guān)具有足夠的獨(dú)立性?！鶤SILc

原需求A2已被冗余需求B2和B4所取代，兩者都符合安全目標(biāo)，因此可以應(yīng)用ASIL分解。

表5-可能的分解

責(zé)任編輯：xj

原文標(biāo)題：關(guān)于ASIL分解ISO26262:2018-10-11

文章出處：【微信公眾號：汽車電子硬件設(shè)計】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。