ASIL的案例
你真的做對ASIL分解了嗎?
例如,如果一個ASILD的要求分解成一個ASILC的要求和一個ASIL A 的要求,則應(yīng)標(biāo)注成“ASIL C(D)”和“ASIL A(D)”。如果ASIL C(D)的要求進(jìn)一步分解成一個ASILB的要求和一個ASILA的要求,則應(yīng)使用安全目標(biāo)的ASIL等級將其標(biāo)注為“ASIL B(D)”和“ASIL A(D)”。
ASIL分解標(biāo)記示例
在ISO 26262, part9第5章中也對ASIL分解原則給出了說明,總結(jié)如下表所示。其中QM即Quality Management,表示只要按照企業(yè)質(zhì)量管理流程開發(fā)就可以滿足ISO 26262要求,沒有其他特殊功能安全要求。
表格給人的第一印象是ASIL分解和加減運(yùn)算有些類似,但是要正確地進(jìn)行ASIL分解實(shí)際上并沒有這么簡單,還存在著不少容易被忽略的規(guī)則。接下來以案例的形式對這些規(guī)則以及開發(fā)過程中可能遇到的典型問題進(jìn)行匯總。
2. ASIL分解規(guī)則
2.1. 案例
假設(shè)現(xiàn)在有一個舒適性功能,正常情況下駕駛員在車輛靜止?fàn)顟B(tài)下通過按鈕激活,但是如果該功能在車速超過15kph時激活將會造成ASIL C的風(fēng)險。
展開 當(dāng)要求ASIL D時,我們在要求什么?
PMHF對ASIL A沒有要求;
2. PMHF對ASIL C和ASIL B的要求一樣,同時與ASIL D的要求差一個數(shù)量級。
ISO 26262筆記——如何理解ASIL分解?
ISO 26262, part9第5章要求:
應(yīng)通過在括號中給出安全目標(biāo)的ASIL等級,對每個分解后的ASIL等級做標(biāo)注。
each decomposed ASIL shall be marked by giving the ASIL of the safety goal in parenthesis.
比如,如果一個ASILD的要求分解成一個ASILC的要求和一個ASIL A 的要求,則應(yīng)標(biāo)注成“ASIL C(D)”和“ASIL A(D)”。如果ASIL C(D)的要求進(jìn)一步分解成一個ASILB的要求和一個ASILA的要求,則應(yīng)使用安全目標(biāo)的ASIL等級將其標(biāo)注為“ASIL B(D)”和“ASIL A(D)”。
2、ASIL分解的原則?
而對于ASIL分解原則,在ISO 26262, part9第5章中也給出了說明,現(xiàn)總結(jié)如下。
注
:
以下提到的QM即“Quality Management”,表示只要按照企業(yè)質(zhì)量管理流程開發(fā)就可以滿足ISO 26262要求,沒有其他特殊功能安全要求。
1. ASIL D分解可選擇以下任意一種方式
一個ASIL C(D)的要求和一個ASIL A(D)的要求;或
一個ASIL B(D)的要求和一個ASIL B(D)的要求;或
一個ASIL D(D)的要求和一個QM(D)的要求。
2.
展開 EPB功能安全筆記(16):ASIL分解及其關(guān)鍵點(diǎn)
共因失效(左);級聯(lián)失效(右)
提到獨(dú)立性,讀者比較熟知的是ASIL分解,ISO 26262中要求ASIL分解的前提是:ASIL分解需要安全要求具有冗余性,且分配給充分獨(dú)立的架構(gòu)要素。
本文將對ASIL分解展開說明,在介紹分解原則的同時指出其中的關(guān)鍵點(diǎn),拋磚引玉,希望能給讀者帶來一些參考。
1.什么是ASIL分解?
下面的案例在功能安全開發(fā)過程中非常常見:
對信號的功能安全需求的ASIL等級為ASIL D或者ASIL C,而信號只能達(dá)到ASIL A或者ASIL B
對于這種偏差,ISO 26262開了個“后門”來合理地避免這類偏差影響功能安全開發(fā),這個“后門”就是ASIL分解。ASIL分解是降低對功能安全需求的ASIL等級的裁剪方法,這一方法的核心點(diǎn)是通過將一條功能安全需求分解成兩條相互獨(dú)立的需求并分配到兩個及兩個以上相互獨(dú)立的元素(如軟件模塊、硬件模塊、輸入信號等)上。
正是由于這些參與分解的獨(dú)立的元素之間構(gòu)成了互為冗余關(guān)系,從整個系統(tǒng)的角度看,只有當(dāng)這些元素同時發(fā)生失效時才會違背安全目標(biāo),這樣一來對每個參與分解的相關(guān)元素的功能安全要求可以降低。
ISO 26262, part9第5章中定義了ASIL分解的特定的標(biāo)記方式:
應(yīng)通過在括號中給出安全目標(biāo)的ASIL等級,對每個分解后的ASIL等級做標(biāo)注。each decomposed ASIL shall be marked by giving the ASIL of the safety goal in parenthesis.
例如,如果一個ASILD的要求分解成一個ASILC的要求和一個ASIL A 的要求,則應(yīng)標(biāo)注成“ASIL C(D)”和“ASIL A(D)”。
展開 
基于AP AUTOSAR實(shí)現(xiàn)功能安全島
按照作者所在公司測算,與開發(fā)同樣的QM功能相比,符合ASIL-A等級的開發(fā)需要花費(fèi)大概3倍的工作量。更進(jìn)一步,不同ASIL等級的應(yīng)用能夠在同一系統(tǒng)中共存,實(shí)現(xiàn)Mixed Criticality系統(tǒng)。
信息安全架構(gòu)也能很好得益于模塊之間的完全隔離。因?yàn)椋甙踩燃壞K能夠和低安全等級模塊之間隔離開來。這也就是TEE (Trusted Execution Environment)的設(shè)計概念。
目前頂級的商用微內(nèi)核RTOS內(nèi)核部分能滿足ASIL-D等級。
除了RTOS內(nèi)核需要滿足ASIL等級之外,從軟件平臺的角度POSIX PSE51的庫也必須滿足ASIL要求。因?yàn)槿绻粋€AP AUTOSAR的應(yīng)用有ASIL要求,其依賴的所有庫都必須滿足ASIL。其中最重要的是POSIX PSE51。AP標(biāo)準(zhǔn)里定義了應(yīng)用至少需有如下依賴關(guān)系。
AP應(yīng)用的依賴關(guān)系(出自Vector)
目前業(yè)界的現(xiàn)狀為頂級RTOS供應(yīng)商能提供滿足ASIL等級的POSIX PSE51庫。但是,還沒有廠商號稱POSIX PSE53/54的庫也通過了ASIL認(rèn)證。
然后是滿足功能安全的文件系統(tǒng)。值得注意的是,C和C++標(biāo)準(zhǔn)庫提供文件操作接口,比如,C++ fstream。目前有RTOS供應(yīng)商提供滿足ASIL功能的文件系統(tǒng)。
經(jīng)常容易被忽略的一點(diǎn),開發(fā)ASIL Safety應(yīng)用使用的編譯器也必須滿足ASIL要求。兩個方面,第一,如果編譯器不滿足ASIL要求,那么其生成的機(jī)器代碼無法保證和源代碼的對應(yīng)關(guān)系。那么對于源代碼的認(rèn)證并無法保證機(jī)器代碼的可靠性。第二,如上圖的應(yīng)用依賴關(guān)系所示,C/C++標(biāo)準(zhǔn)庫也使用在了ASIL safety應(yīng)用中。
展開 談?wù)勡浖娜蝿?wù)調(diào)度策略
多核系統(tǒng)另一個復(fù)雜性維度是混合IP或混合ASIL集成。如果軟件功能是由不同IP源開發(fā)或不同的ASIL等級組成,混合IP或混合ASIL軟件功能應(yīng)該有意將其分離,因?yàn)槿绻粋€任務(wù)在內(nèi)存訪問或執(zhí)行時間行為方面出現(xiàn)非預(yù)期行為時,該任務(wù)可能會被終止,同時允許其他獨(dú)立的任務(wù)繼續(xù)運(yùn)行。如果被終止的任務(wù)中包含混合IP或者混合ASIL的軟件功能。那么相當(dāng)大的功能可能出現(xiàn)丟失。
任務(wù)到核上的映射
一旦任務(wù)的功能確定好了,就必須將任務(wù)分配到核上,對于單核來說,就無需多言,因?yàn)樗鼉H有一個核,如圖1a所示。在多核系統(tǒng)中,需要提前明確任務(wù)在哪個核上運(yùn)行,以及之間的數(shù)據(jù)交互,如圖1b所示。
圖1 任務(wù)分配
如果需要基于混合IP或者是混合ASIL的任務(wù)設(shè)計,如圖1c所示,任務(wù)到核上的分配更加靈活。在圖1c中,有16個任務(wù)需要分配,在四核的情況下,將所有OEM_hi任務(wù)分配給core1,所有OEM_ low任務(wù)分配給core2,所有Tier1_hi任務(wù)分配給core3,所有Tier1_low任務(wù)分配給core4。通過這種IP和ASIL任務(wù)分配到不同核上,保證調(diào)度的物理隔離,減少不同IP的相互影響。
除了來自共享核帶來干擾,任務(wù)之間也可能通過內(nèi)存相互干擾。使用相同的分區(qū)方案也可以防止內(nèi)存干擾。每個ASIL或IP都放置在自己的內(nèi)存分區(qū),并且這些分區(qū)受OS-Application保護(hù),那么任務(wù)無效的內(nèi)存訪問都將會被阻隔。例如假設(shè)Task_Tier1_low行為不當(dāng),試圖寫入屬于OEM_hi、OEM_low或Tier1_hi分區(qū)的內(nèi)存地址。
展開 電動汽車電機(jī)驅(qū)動控制器功能安全架構(gòu)研究
如上所述,還應(yīng)對該危害的其他場景進(jìn)行分析,以便確定控制系統(tǒng)的最終ASIL等級,表3給出了基于“非預(yù)期的轉(zhuǎn)矩增加”幾個典型場景的HARA分析結(jié)果。
從上述分析可知,“非預(yù)期的轉(zhuǎn)矩增加”在不同的場景下所對應(yīng)的ASIL等級并不相同,應(yīng)選擇最高的ASIL等級進(jìn)行開發(fā)(本例確定為ASILC)。需要說明的是,HARA分析是功能安全開發(fā)中非常重要而且復(fù)雜的工作,本文主要對分析方法進(jìn)行研究,所做的HARA分析是基于“非預(yù)期的轉(zhuǎn)矩增加”幾個典型場景,而最終的ASIL等級確定需要綜合考慮所有場景。
1.2 微處理器需求分析
將電動汽車電機(jī)驅(qū)動控制器的安全目標(biāo)分解到電機(jī)驅(qū)動控制器的微處理器中,可知微處理器部分的ASIL等級應(yīng)不小于ASILC。可以通過ASIL分解的方式使用普通的多芯片冗余方案來降低對微處理器本身ASIL等級的需求,但采用這種方法其設(shè)計成本和難度均遠(yuǎn)高于采用安全微處理器的,因此通常建議選擇帶鎖步核的安全微處理器芯片,其ASIL等級通常為D。
目前符合ASILD等級的微處理器主要有單核鎖步型(如TI公司的TMS570系列芯片)和多核鎖步型(如NXP公司的MPC5746R系列芯片,Infineon公司的TC27x系列芯片等)兩種。針對于不同數(shù)量的內(nèi)核,功能安全架構(gòu)的實(shí)現(xiàn)方式和難度也各異,本文將進(jìn)一步對此進(jìn)行分析。
2 符合功能安全的電動汽車電機(jī)驅(qū)動控制器EGAS系統(tǒng)架構(gòu)設(shè)計
進(jìn)行功能安全產(chǎn)品的開發(fā)時,需要對ASIL等級進(jìn)行分解,可將其分解為基本功能與安全功能兩部分。對基本功能的開發(fā)執(zhí)行QM等級標(biāo)準(zhǔn),而對安全功能的開發(fā)執(zhí)行ASIL等級標(biāo)準(zhǔn)。對電機(jī)驅(qū)動控制器而言,即將安全目標(biāo)分解為ASILC=QM(C)+ASIL(C)。為了實(shí)現(xiàn)這種分解,本文使用EGAS架構(gòu)進(jìn)行設(shè)計。
展開 BMS功能安全開發(fā)流程詳解
根據(jù)下表,應(yīng)為嚴(yán)重度指定一個S0、S1、S2或S3的嚴(yán)重度等級
d.每一個危害事件的ASIL等級應(yīng)使用“嚴(yán)重度”、“暴露概率”和“可控性”這三個參數(shù)根據(jù)下表來確定:
由于BMS屬于新能源汽車高壓電池系統(tǒng)的一部分,EUCAR定義了高壓電池系統(tǒng)的危害等級。
當(dāng)BMS不能夠很好的監(jiān)測或者保護(hù)電芯時,上表中的危害事件就有可能發(fā)生。ISO26262的目標(biāo)是保護(hù)乘客受到危害,因?yàn)樯媳鞮evel 5以上就算是嚴(yán)重危害事件了。因此有必要定義一個電芯工作的最大允許危害級別,5以上時肯定不允許的。
二、ASIL等級
1、相關(guān)項(xiàng)定義,ASIL等級,安全目標(biāo)
如下圖所示,第一步通過不同的駕駛情況,不同的環(huán)境來確定不同的場景;第二步分析不同場景下的事故所以引起的Hazard Situation.第三步確定這些Hazard Situation的ASIL等級,這一部分有很大的主觀因素,每個公司考慮問題的角度不一樣,針對不同的Hazard Situation設(shè)定的ASIL 等級也會不一樣。比如有些OEM定義熱失控的ASIL LEVEL為C,有些OEM設(shè)定熱失控 ASIL LEVEL 為D,不過目前來看熱失控以后的ASIL LEVEL會是D,在知乎上看有人說以后大眾的高壓電池包的安全等級為D,他說的這個電池包應(yīng)該是指電池包里面的電氣架構(gòu)包括BMS。
第四步根據(jù)上一步確定的不同的故障模型Harzard Situation ASIL的最大ASIL等級。
展開 使用FPGA實(shí)現(xiàn)ADAS設(shè)計的功能安全考慮
應(yīng)用開發(fā)人員定義了專門的安全目標(biāo),針對每一目標(biāo)分配了相應(yīng)的汽車安全完整性等級(ASIL)。對于應(yīng)用中最高級別的ASIL,通常定義了每一組件從開發(fā)直至工作到壽命終了時應(yīng)滿足的要求。圖1顯示了從客戶需求角度看,ADAS應(yīng)符合的ASIL目前的范圍。
圖1.ADAS ASIL市場需求(注:Range of Market Requirements for ADAS Applicatios:針對ADAS應(yīng)用的市場要求范圍)
ASIL-B是市場上的最低級別,而某些應(yīng)用則要求采用ASIL-D以支持某些功能。越來越多的ASIL有更嚴(yán)格的要求。在某些具體實(shí)現(xiàn)中,組件的通用ASIL或者條目(系統(tǒng))等級都會帶來不必要的復(fù)雜度,影響了開發(fā)成本和進(jìn)度。分析系統(tǒng)概念,得出安全概念和要求后,還可以把應(yīng)用分成幾種不同的步驟,這就具有不同的ASIL,更容易實(shí)現(xiàn),而且實(shí)現(xiàn)的效率更高。
例如,前端攝像機(jī)應(yīng)用使用了ADAS中常見的一個圖像傳感器。圖2顯示了系統(tǒng)的高級結(jié)構(gòu)圖。
圖2.高級單前端攝像機(jī)ADAS
一個圖像傳感器連接至圖像處理器,例如可以是Altera Cyclone V SoC。信號處理鏈和數(shù)據(jù)流被分成四個部分。首先,通過把圖像變換成更實(shí)用的表現(xiàn)形式,在像素級上進(jìn)行底層處理。然后,對行圖像或者塊圖像進(jìn)行中間級處理,使用相應(yīng)的算法,提取出邊沿等特征。下一步,進(jìn)行高級處理,提取出每一幀的數(shù)據(jù),探測目標(biāo)并分類。然后,系統(tǒng)會跟蹤目標(biāo),如果需要采取措施,則與剎車或者轉(zhuǎn)向電子控制單元(ECU)進(jìn)行通信。
在FPGA上,底層和中間級處理能被非常高效地實(shí)現(xiàn),但是,用戶也可以在Cyclone V SoC硬核處理器系統(tǒng)(HPS)的Cortex-A9處理器等CPU上實(shí)現(xiàn)某些中間級處理。高級處理主要是控制代碼,可以映射到HPS中的一個或者兩個Cortex-A9上。
展開 使用FPGA實(shí)現(xiàn)ADAS設(shè)計的功能安全考慮
應(yīng)用開發(fā)人員定義了專門的安全目標(biāo),針對每一目標(biāo)分配了相應(yīng)的汽車安全完整性等級(ASIL)。對于應(yīng)用中最高級別的ASIL,通常定義了每一組件從開發(fā)直至工作到壽命終了時應(yīng)滿足的要求。圖1顯示了從客戶需求角度看,ADAS應(yīng)符合的ASIL目前的范圍。
ASIL-B是市場上的最低級別,而某些應(yīng)用則要求采用ASIL-D以支持某些功能。越來越多的ASIL有更嚴(yán)格的要求。在某些具體實(shí)現(xiàn)中,組件的通用ASIL或者條目(系統(tǒng))等級都會帶來不必要的復(fù)雜度,影響了開發(fā)成本和進(jìn)度。分析系統(tǒng)概念,得出安全概念和要求后,還可以把應(yīng)用分成幾種不同的步驟,這就具有不同的ASIL,更容易實(shí)現(xiàn),而且實(shí)現(xiàn)的效率更高。
例如,前端攝像機(jī)應(yīng)用使用了ADAS中常見的一個圖像傳感器。圖2顯示了系統(tǒng)的高級結(jié)構(gòu)圖。
一個圖像傳感器連接至圖像處理器,例如可以是Altera Cyclone V SoC。信號處理鏈和數(shù)據(jù)流被分成四個部分。首先,通過把圖像變換成更實(shí)用的表現(xiàn)形式,在像素級上進(jìn)行底層處理。然后,對行圖像或者塊圖像進(jìn)行中間級處理,使用相應(yīng)的算法,提取出邊沿等特征。下一步,進(jìn)行高級處理,提取出每一幀的數(shù)據(jù),探測目標(biāo)并分類。然后,系統(tǒng)會跟蹤目標(biāo),如果需要采取措施,則與剎車或者轉(zhuǎn)向電子控制單元(ECU)進(jìn)行通信。
在FPGA上,底層和中間級處理能被非常高效地實(shí)現(xiàn),但是,用戶也可以在Cyclone V SoC硬核處理器系統(tǒng)(HPS)的Cortex-A9處理器等CPU上實(shí)現(xiàn)某些中間級處理。高級處理主要是控制代碼,可以映射到HPS中的一個或者兩個Cortex-A9上。處理鏈的最后一步是目標(biāo)跟蹤和決策,可以在外部微控制器上完成這一步。
展開 汽車芯片需要怎樣的處理器架構(gòu)?
在汽車行業(yè)有一個功能安全標(biāo)準(zhǔn)——ISO 26262,該標(biāo)準(zhǔn)定義了不同的汽車安全完整性等級(ASIL)。ISO 26262 標(biāo)準(zhǔn)包括隨機(jī)硬件故障的可接受失效時間 (FIT) 概念,還規(guī)定了硬件、軟件和組合系統(tǒng)開發(fā)應(yīng)遵循的系統(tǒng)化流程要求,以符合汽車標(biāo)準(zhǔn)。
為了幫助ASIL與汽車用例及其安全關(guān)鍵性保持一致,ISO 26262 標(biāo)準(zhǔn)主要參考三大要素:
暴露概率:典型駕駛中發(fā)生此事件的頻率
駕駛員的可控性:駕駛員應(yīng)對故障的可能性
故障的嚴(yán)重性:因故障引發(fā)事故的可能性
圖1顯示了如何通過以上幾個要素來判斷車輛的ASIL安全等級。
圖1:以車輛前向碰撞警告系統(tǒng)為例,其暴露概率 (E4)、可控性 (C3) 和嚴(yán)重性 (S3) 共同決定了其需要符合 ASIL D安全等級
隨著汽車自動駕駛等級的提高,駕駛員的可控性也隨之降低。如果汽車系統(tǒng)中發(fā)生故障,則可能導(dǎo)致碰撞。ISO 26262 將故障分為兩種:
系統(tǒng)故障
隨機(jī)硬件故障:分為永久性和瞬態(tài)性兩種
系統(tǒng)故障在硬件和軟件中都會出現(xiàn),所以最好在軟硬件模塊的開發(fā)過程中就要引入安全保護(hù)機(jī)制。在隨機(jī)硬件故障中,永久性故障是指由硬件裝置的磨損引起,發(fā)生(例如:短路)之后會無限期地(或至少在修復(fù)前)持續(xù)。隨機(jī)故障的故障指標(biāo)是硬件架構(gòu)指標(biāo),用于測量 SoC 內(nèi)安全機(jī)制的覆蓋范圍,故障指標(biāo)越高,硬件架構(gòu)中故障的風(fēng)險就越低。
所以,為汽車SoC開發(fā)的符合ASIL的IP需要對所有故障類型(包括永久性故障和瞬態(tài)故障)都有保護(hù)作用。具體而言,對于隨機(jī)硬件故障,ASIL級別定義如表1所示。
展開 
EPB功能安全筆記(14):FTA定量分析之ISO26262對隨機(jī)硬件失效的要求
單點(diǎn)故障度量圖示
1.1.2.ISO 26262對單點(diǎn)故障度量的要求
ISO 26262中對單點(diǎn)故障度量的要求如下,對ASIL A的安全目標(biāo)沒有要求,對ASIL B的安全目標(biāo)沒有強(qiáng)制要求,對ASIL C和ASIL D的安全目標(biāo)有強(qiáng)制要求。
1.2.潛伏故障度量
潛伏故障度量反映了相關(guān)項(xiàng)通過安全機(jī)制覆蓋、通過駕駛員在安全目標(biāo)違背之前識別或通過設(shè)計手段(主要為安全故障)實(shí)現(xiàn)的對潛伏故障的魯棒性。高的潛伏故障度量值意味著硬件的潛伏故障所占的比例低,系統(tǒng)可靠性更高。
1.2.1.潛伏故障度量的計算
潛伏故障度量的計算公式為:
式中分母即安全相關(guān)的失效率總和。潛伏故障度量公式圖示如下。
潛伏故障度量的圖示
1.2.2.ISO 26262對潛伏故障度量的要求
ISO 26262中對潛伏故障度量的要求如下,對ASIL A的安全目標(biāo)沒有要求,對ASIL B的安全目標(biāo)沒有強(qiáng)制要求,對ASIL C和ASIL D的安全目標(biāo)有強(qiáng)制要求。
隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評估
簡單來說,對隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評估是用來確定違背安全目標(biāo)的殘余風(fēng)險已經(jīng)足夠低。ISO 26262對這一評估推薦了兩個方法:
第一個方法包括使用概率的度量,即“隨機(jī)硬件失效概率度量”( Probabilistic Metric for random Hardware Failures,PMHF),通過使用例如定量故障樹分析(FTA)及將此計算結(jié)果與目標(biāo)值相比較的方法,評估是否違背所考慮的安全目標(biāo)。
第二個方法包括獨(dú)立的評估每個殘余和單點(diǎn)故障,及每個雙點(diǎn)失效是否導(dǎo)致違背所考慮的安全目標(biāo)。
展開 汽車芯片需要怎樣的處理器架構(gòu)?
在汽車行業(yè)有一個功能安全標(biāo)準(zhǔn)——ISO 26262,該標(biāo)準(zhǔn)定義了不同的汽車安全完整性等級(ASIL)。ISO 26262 標(biāo)準(zhǔn)包括隨機(jī)硬件故障的可接受失效時間 (FIT) 概念,還規(guī)定了硬件、軟件和組合系統(tǒng)開發(fā)應(yīng)遵循的系統(tǒng)化流程要求,以符合汽車標(biāo)準(zhǔn)。
為了幫助ASIL與汽車用例及其安全關(guān)鍵性保持一致,ISO 26262 標(biāo)準(zhǔn)主要參考三大要素:
暴露概率:典型駕駛中發(fā)生此事件的頻率
駕駛員的可控性:駕駛員應(yīng)對故障的可能性
故障的嚴(yán)重性:因故障引發(fā)事故的可能性
圖1顯示了如何通過以上幾個要素來判斷車輛的ASIL安全等級。
圖1:以車輛前向碰撞警告系統(tǒng)為例,其暴露概率 (E4)、可控性 (C3) 和嚴(yán)重性 (S3) 共同決定了其需要符合 ASIL D安全等級
隨著汽車自動駕駛等級的提高,駕駛員的可控性也隨之降低。如果汽車系統(tǒng)中發(fā)生故障,則可能導(dǎo)致碰撞。ISO 26262 將故障分為兩種:
系統(tǒng)故障
隨機(jī)硬件故障:分為永久性和瞬態(tài)性兩種
系統(tǒng)故障在硬件和軟件中都會出現(xiàn),所以最好在軟硬件模塊的開發(fā)過程中就要引入安全保護(hù)機(jī)制。在隨機(jī)硬件故障中,永久性故障是指由硬件裝置的磨損引起,發(fā)生(例如:短路)之后會無限期地(或至少在修復(fù)前)持續(xù)。隨機(jī)故障的故障指標(biāo)是硬件架構(gòu)指標(biāo),用于測量 SoC 內(nèi)安全機(jī)制的覆蓋范圍,故障指標(biāo)越高,硬件架構(gòu)中故障的風(fēng)險就越低。
所以,為汽車SoC開發(fā)的符合ASIL的IP需要對所有故障類型(包括永久性故障和瞬態(tài)故障)都有保護(hù)作用。具體而言,對于隨機(jī)硬件故障,ASIL級別定義如表1所示。
展開 基于功能安全的示例AUTOSAR軟件系統(tǒng)
(2 bit, 01 代表左近光失效, 10 代表右近光失效, 11 代表雙側(cè)失效))(ASIL B)
SysSafReq07: FLM ECU應(yīng)當(dāng)在雙側(cè)近光失效狀態(tài)超過200ms的情況下打開雙側(cè)日間行車燈(ASIL B)
SysSafReq08: FLM ECU應(yīng)當(dāng)使用獨(dú)立電路來點(diǎn)亮雙側(cè)燈泡,以免單一故障就使得雙側(cè)失效(ASIL B)
SysSafReq09: HMI應(yīng)當(dāng)根據(jù)LBFailure信號顯示燈泡故障信息(ASIL A)
SysSafReq10: CAN信號CL15ON傳輸需要得到保證(ASIL B)
SysSafReq11: CAN信號LBFailure傳輸需要得到保證(ASIL B)
SysSafReq12: FLM ECU應(yīng)當(dāng)在CL15_01消息通信故障連續(xù)發(fā)生200ms時點(diǎn)亮近光燈
SysSafReq13: FLM ECU應(yīng)當(dāng)在LightStatus_01消息通信故障連續(xù)發(fā)生200ms時打開雙側(cè)日間行車燈;還要為駕駛員提供例如“車燈系統(tǒng)故障”的文本信息
分配(功能)系統(tǒng)安全需求
下一步,我們需要將所有系統(tǒng)安全需求分配到架構(gòu)中的系統(tǒng)元素當(dāng)中。
展開 ISO 26262和FMEA中的風(fēng)險評估對比
評分表如下:
C值評級及說明
基于這三個維度的評分,即可確定ASIL等級即汽車安全完整性等級( automotive safety integrity level)。ASIL一共分為四個等級,D代表最高嚴(yán)格等級,即風(fēng)險最高,A 代表最低嚴(yán)格等級,即風(fēng)險最低。
如果相關(guān)項(xiàng)對應(yīng)的危害事件的評級在ASIL A及ASIL A以上,則功能安全開發(fā)需要予以考慮;對于QM(質(zhì)量管理,quality management),只要按照企業(yè)流程開發(fā)就認(rèn)為可以滿足ISO 26262要求,無需額外進(jìn)行功能安全開發(fā)。
仍然拿制動系統(tǒng)舉例,對于非預(yù)期制動這一危害,結(jié)合場景進(jìn)行ASIL等級評定的結(jié)果如下表所示。
整車危害
場景
可能發(fā)生的風(fēng)險
車輛非預(yù)期制動
兩輛車運(yùn)行在同一車道且速度相近
前車非預(yù)期減速,后車制動不及,追尾
S值
E值
C值
ASIL等級
碰撞速度超過40kph時,駕駛員有危及生命的危害
S3
場景發(fā)生概率與兩車車距有關(guān),能造成碰撞危害的場景暴露度中等
E3
駕駛員不可控
C3
C
總結(jié)來看,功能安全開發(fā)中危害分析與風(fēng)險評估的步驟和要點(diǎn)可歸納如下:得到安全目標(biāo)及對應(yīng)的ASIL等級后,接下來就對可能影響這一安全目標(biāo)的產(chǎn)品進(jìn)行功能安全開發(fā),從而保證將該產(chǎn)品及功能違背安全目標(biāo)的可能性控制在對應(yīng)的ASIL等級可接受的范圍內(nèi)。
展開 