/注明/ 文章内容由汽车功能安全行业工程师口述及参考行业资料整理,仅代表个人观点,如果更好的建议和补充,可以留言互动!
01. 在进行 ASIL 等级评估时,首先需要确定评估的范围,即明确对哪些系统或功能进行评估。同时,功能分解的粒度也非常重要,粒度过粗可能会忽略一些关键的安全问题,粒度过细则会增加评估的复杂性和成本。例如,对于一辆汽车的电子系统,如果评估范围仅确定为 “整车电子系统”,这就过于宽泛,无法准确评估各个子系统的安全等级。但如果将功能分解得过于细致,如将一个简单的传感器信号处理功能再细分成多个微小功能,会导致评估工作变得繁琐且效率低下。
根据车辆的架构和功能特点,结合 ISO 26262 标准中的相关指导,合理确定评估范围。可以从整车系统逐步分解到子系统、模块和组件。 在功能分解时,参考行业最佳实践和类似项目的经验,确定一个既能保证评估准确性又能兼顾效率的功能分解粒度。例如,对于汽车的制动系统,可以将其分解为制动控制单元、制动执行器、传感器等主要功能模块进行评估。
02. 危害分析和风险评估是 ASIL 等级评估的基础。准确地识别潜在危害并评估其风险等级是确保汽车功能安全的关键步骤。这需要综合考虑危害的严重性、暴露率和可控性等因素。例如,在汽车的转向系统中,转向失控是一种潜在危害。需要分析这种危害在不同驾驶场景下(如高速行驶、城市道路行驶等)的发生概率(暴露率),以及驾驶员在危害发生时能否有效控制车辆(可控性),同时评估转向失控可能导致的伤害程度(严重性)。
采用科学的方法和工具进行危害分析和风险评估。例如,使用故障模式和影响分析(FMEA)、故障树分析(FTA)等方法。 结合实际的车辆运行数据和测试数据,对危害的严重性、暴露率和可控性进行量化评估。同时参考行业标准和法规要求,确保评估结果的准确性和可靠性。
03. 在汽车系统中,不同的子系统或模块可能具有不同的 ASIL 等级。如何确保这些不同等级的系统在交互时的安全性和可靠性是一个关键问题。例如,一个具有 ASIL D 等级的制动系统与一个具有 ASIL B 等级的车身稳定系统之间存在数据交互和控制接口。如果接口设计不合理,可能会导致高等级系统受到低等级系统故障的影响,从而降低整车的功能安全水平。
在设计阶段,对不同 ASIL 等级系统之间的接口进行严格定义和规范。采用隔离、冗余等技术确保高等级系统不受低等级系统故障的影响。 进行接口的安全性分析和验证,确保在各种故障模式下,接口的功能和数据传输都能保证系统的安全性。例如,可以在接口处设置故障检测和处理机制,一旦检测到低等级系统的故障,能够及时采取措施保护高等级系统的正常运行。
04. 验证和确认是确保 ASIL 等级实施效果的重要手段。只有通过有效的验证和确认方法,才能保证汽车系统在实际运行中能够达到预期的功能安全水平。例如,在设计和开发一个具有特定 ASIL 等级的电子控制单元(ECU)后,需要验证该 ECU 在各种工况下是否能够满足其安全要求,包括在正常情况和故障情况下的性能表现。
采用多种方法进行验证和测试,包括硬件在环测试(HIL)、软件测试、整车道路测试等。通过模拟各种故障场景和实际驾驶场景,检验系统的功能安全性能。 建立完善的验证和确认流程,确保每个阶段的测试结果都符合 ASIL 等级的要求。同时,对测试数据进行记录和分析,以便在出现问题时能够追溯和改进。
