ASIL分解及示例

11关于ASIL分解

11.1ASIL分解的目的

ASIL分解的目的是通过对系统故障使用多个足够独立的要素来实现安全目标。

11.2ASIL分解的描述

ASIL分解是指将冗余的安全需求分配给相关项的足够独立的要素。在这种情况下，冗余不一定意味着经典的模块化冗余(见ISO26262-1：2018的3.122)。

ECU的主处理器可以由冗余监控处理器监控，这两个处理器都独立地能够启动定义的安全状态，即使监控处理器无法满足分配给ECU的功能要求。

ASIL分解仅对系统性失效有意义，即用于减少这些故障可能性的方法和措施。通过ASIL分解，对硬件架构度量的评估和因随机硬件故障而违反安全目标的评估的要求将保持不变(见ISO26262-9：2018的5.4.5)。

在ASILB(D)分解的情况下，用于评估硬件架构度量的ASILD目标不被分解为每个硬件要素的单独的ASILB目标。正如ISO26262-5：2018的8.2中所描述的，目标值可以分配给硬件要素，但是这些目标是根据在相关项的整个硬件级别上开始的分析逐个分配的。根据安全目标的目标度量适用于相关项级别。

在这样的分解架构中，只有当两个要素同时违反它们因分解而得出的安全需求时，才会违反分解前的安全需求。

ISO26262系列标准中的可能分解见【关于ASIL剪裁的需求分解】（ISO26262-9：2018的第5条）。

11.3.ASIL分解的示例

11.3.1总则

本节中描述的相关项及其要求均为示例。安全目标及其ASIL和后续要求仅为说明ASIL分解过程而设计。这个示例没有反映ISO26262系列标准在类似现实示例中的应用情况。

11.3.2相关项定义

以具有一个执行器的系统为示例,驾驶员通过使用仪表板上的开关来触发此执行器。执行器在车 速为零时提供舒适功能,但是如果在超过15km/h时激活会导致危害。

相关项的初始架构如下：

Ø仪表板开关输入由专用ECU读取(本例中称为“执行器控制ECU(ACECU)”)，该ECU通过专用电源线为执行器供电。

Ø装有该相关项的车辆还装有ECU，该ECU能够提供车辆速度。例如，该ECU提供车辆速度大于15km/h的信息的能力被假定符合ASILC要求。此ECU在本节中称为“VSECU”。

图25-相关项边界

11.3.3危害分析和风险评估

分析中考虑的危险事件是在以超过15公里/小时的速度行驶时激活执行器，无论是否有驾驶员要求。

为了本示例的目的，与此危险事件相关的ASIL被归类为ASILC。

11.3.4相关安全目标

安全目标1：避免在车辆速度大于15km/h：时激活执行器ASILC。

11.3.5系统架构设计

以下列出了初始架构要素的目的：

ØVSECU以车辆速度提供执行器控制ECU(ACECU)。

ØACECU监控驾驶员的请求，测试车辆速度是否小于或等于15公里/小时，

Ø如果是的话，命令执行器。

执行器在供电时被激活。

11.3.6.功能安全概念

11.3.6.1总则

这个功能安全概念的示例仅用于说明ASIL分解。它不打算是详尽的，也不包括所有的功能安全需求。

要求 A1:VSECU 发出准确的车速信息给 ACECU。ASILC

要求 A2:当车速超过15km/h时,ACECU 不能给执行器供电。ASILC

要求 A3:执行器只有在得到ACECU 的供电之后才能被激活。ASILC

11.3.6.2涉及该相关项的安全概念

开发者可以选择引入一个冗余要素，这里是一个冗余开关，如图26所示。通过引入这个冗余要素，根据ASIL分解的结果，用等于或低于ASILC的ASIL开发ACECU。

图26-相关项设计的第二次迭代

这些要素（进化的架构）的目的：

ØVSECU控制单元为ACECU提供车辆速度。

ØACECU监控驾驶员的请求，测试车辆速度是否小于或等于15公里/小时，如果是的话，发送命令执行器。

Ø冗余开关位于ACECU与执行器之间的电源线上。如果速度小于或等于15公里/小时，它就会打开，当速度大于15公里/小时时，它就会关闭。它这样做，而不管电力线的状态（它的电源是独立的）。

Ø执行器只有在供电时才能工作。

功能安全需求：

Ø需求B1：VSECU向ACECU发送准确的车辆速度信息。→ASILc

Ø或者：防止车辆速度小于或等于15公里/小时的不正确传输。→ASILc

Ø要求B2：当车速度大于15km/h时，ACECU不给执行机构供电。→ASILX(C)（见表5）

Ø需求B3：VSECU向冗余开关发送准确的车辆速度信息。→ASILc

Ø要求B4：如果车辆速度大于15公里/小时，冗余开关处于打开状态。→ASILY(C)（见表5）

Ø要求B5：执行器只有在由ACECU供电和冗余开关关闭时才能工作。→ASILc

为了允许ASIL分解，开发者在必要时添加了独立性要求：

Ø要求B6：ACECU和冗余开关具有足够的独立性。→ASILc

原需求A2已被冗余需求B2和B4所取代，两者都符合安全目标，因此可以应用ASIL分解。

表5-可能的分解

责任编辑：xj

原文标题：关于ASIL分解ISO26262:2018-10-11

文章出处：【微信公众号：汽车电子硬件设计】欢迎添加关注！文章转载请注明出处。