ASIL等級
關(guān)注創(chuàng)建者:匿名 創(chuàng)建時間:2021-09-06
ASIL等級的實例教程
如上所述,還應對該危害的其他場景進行分析,以便確定控制系統(tǒng)的最終ASIL等級,表3給出了基于“非預期的轉(zhuǎn)矩增加”幾個典型場景的HARA分析結(jié)果。
從上述分析可知,“非預期的轉(zhuǎn)矩增加”在不同的場景下所對應的ASIL等級并不相同,應選擇最高的ASIL等級進行開發(fā)(本例確定為ASILC)。需要說明的是,HARA分析是功能安全開發(fā)中非常重要而且復雜的工作,本文主要對分析方法進行研究,所做的HARA分析是基于“非預期的轉(zhuǎn)矩增加”幾個典型場景,而最終的ASIL等級確定需要綜合考慮所有場景。
1.2 微處理器需求分析
將電動汽車電機驅(qū)動控制器的安全目標分解到電機驅(qū)動控制器的微處理器中,可知微處理器部分的ASIL等級應不小于ASILC。可以通過ASIL分解的方式使用普通的多芯片冗余方案來降低對微處理器本身ASIL等級的需求,但采用這種方法其設計成本和難度均遠高于采用安全微處理器的,因此通常建議選擇帶鎖步核的安全微處理器芯片,其ASIL等級通常為D。
目前符合ASILD等級的微處理器主要有單核鎖步型(如TI公司的TMS570系列芯片)和多核鎖步型(如NXP公司的MPC5746R系列芯片,Infineon公司的TC27x系列芯片等)兩種。針對于不同數(shù)量的內(nèi)核,功能安全架構(gòu)的實現(xiàn)方式和難度也各異,本文將進一步對此進行分析。
2 符合功能安全的電動汽車電機驅(qū)動控制器EGAS系統(tǒng)架構(gòu)設計
進行功能安全產(chǎn)品的開發(fā)時,需要對ASIL等級進行分解,可將其分解為基本功能與安全功能兩部分。對基本功能的開發(fā)執(zhí)行QM等級標準,而對安全功能的開發(fā)執(zhí)行ASIL等級標準。對電機驅(qū)動控制器而言,即將安全目標分解為ASILC=QM(C)+ASIL(C)。為了實現(xiàn)這種分解,本文使用EGAS架構(gòu)進行設計。
展開 共因失效(左);級聯(lián)失效(右)
提到獨立性,讀者比較熟知的是ASIL分解,ISO 26262中要求ASIL分解的前提是:ASIL分解需要安全要求具有冗余性,且分配給充分獨立的架構(gòu)要素。
本文將對ASIL分解展開說明,在介紹分解原則的同時指出其中的關(guān)鍵點,拋磚引玉,希望能給讀者帶來一些參考。
1.什么是ASIL分解?
下面的案例在功能安全開發(fā)過程中非常常見:
對信號的功能安全需求的ASIL等級為ASIL D或者ASIL C,而信號只能達到ASIL A或者ASIL B
對于這種偏差,ISO 26262開了個“后門”來合理地避免這類偏差影響功能安全開發(fā),這個“后門”就是ASIL分解。ASIL分解是降低對功能安全需求的ASIL等級的裁剪方法,這一方法的核心點是通過將一條功能安全需求分解成兩條相互獨立的需求并分配到兩個及兩個以上相互獨立的元素(如軟件模塊、硬件模塊、輸入信號等)上。
正是由于這些參與分解的獨立的元素之間構(gòu)成了互為冗余關(guān)系,從整個系統(tǒng)的角度看,只有當這些元素同時發(fā)生失效時才會違背安全目標,這樣一來對每個參與分解的相關(guān)元素的功能安全要求可以降低。
ISO 26262, part9第5章中定義了ASIL分解的特定的標記方式:
應通過在括號中給出安全目標的ASIL等級,對每個分解后的ASIL等級做標注。each decomposed ASIL shall be marked by giving the ASIL of the safety goal in parenthesis.
例如,如果一個ASILD的要求分解成一個ASILC的要求和一個ASIL A 的要求,則應標注成“ASIL C(D)”和“ASIL A(D)”。
展開 同時這也意味著不論是哪一個層級,對隨機硬件失效要求的ASIL等級都應該是分解前的值。
舉個例子,駕駛員在車輛靜止時可以通過按鈕激活某舒適性功能,但是如果在車速大于10kph時錯誤激活,有造成ASIL D危害的風險。該功能由ECU A實現(xiàn),需要在激活該功能前正確判斷車速,當車速高于10kph時禁止激活。
ECU A的系統(tǒng)架構(gòu)如下:
safety concept分析如下圖所示。車速計算依賴互為冗余且充分獨立的輪速傳感器和變速箱軸速傳感器。
無論對輪速和變速箱軸速的需求是下列哪一種分配:
輪速ASIL A(D); 變速箱軸速ASIL C(D)
輪速ASIL B(D); 變速箱軸速ASIL B(D)
輪速ASIL C(D); 變速箱軸速ASIL A(D)
對于ECU A這個整體而言,隨機硬件失效要求都要符合ISO 26262, part5中對下面三個指標的ASIL D的要求。
SPFM≥99%
LFM≥90%
PMHF<10 FIT
上面的例子驗證了:
無論在哪一個層級,對隨機硬件失效要求的ASIL等級都應該是分解前的值。
但是,不同的層級ASIL等級都繼承分解前的ASIL等級,那么ASIL等級背后的要求也一樣一樣嗎?
答案是否定的。
展開 S(severity 嚴重度):
危害發(fā)生對駕駛員或乘客或路人或周邊車輛中人員會造成的傷害等級。
2. E(Exposure 曝光度):
運行場景在日常駕駛過程中發(fā)生的概率。
3. C(controllability 可控度):
駕駛員或其他涉險人員控制危害以避免傷害的概率。
通過這三個維度的綜合評分確定汽車安全完整性等級( ASIL, automotive safety integrity level),如下圖所示。ASIL D代表最高嚴格等級,ASIL A 代表最低嚴格等級。QM(quality management)則意味著只要按照企業(yè)流程開發(fā)就可以滿足ISO 26262要求,無其他特殊要求。
總結(jié)
ASIL等級通過危害分析與風險評估這一功能安全活動而來。通過對危害事件進行S/E/C三個維度的評估從而確定風險的ASIL等級
對每個具有ASIL等級的危害事件都導出一條Safety Goal,ASIL等級是Safety Goal的基本屬性
ASIL等級越高,危害事件造成的不合理的風險越大,因此功能安全開發(fā)要求也會越高
2. ASIL D到底在要求什么?
當確定了一條完整的Safety Goal,同時Safety Goal對應的safety criteria確定以后,接下來將基于系統(tǒng)架構(gòu)識別出可能違背Safety Goal的系統(tǒng)要素(軟件或硬件),從而對相應的要素分配功能安全需求,(在無法進行分解的情況下)這些功能安全需求都將繼承Safety Goal的ASIL等級。ASIL等級越高,意味著功能安全開發(fā)的要求越嚴苛。
展開 按照作者所在公司測算,與開發(fā)同樣的QM功能相比,符合ASIL-A等級的開發(fā)需要花費大概3倍的工作量。更進一步,不同ASIL等級的應用能夠在同一系統(tǒng)中共存,實現(xiàn)Mixed Criticality系統(tǒng)。
信息安全架構(gòu)也能很好得益于模塊之間的完全隔離。因為,高安全等級模塊能夠和低安全等級模塊之間隔離開來。這也就是TEE (Trusted Execution Environment)的設計概念。
目前頂級的商用微內(nèi)核RTOS內(nèi)核部分能滿足ASIL-D等級。
除了RTOS內(nèi)核需要滿足ASIL等級之外,從軟件平臺的角度POSIX PSE51的庫也必須滿足ASIL要求。因為如果一個AP AUTOSAR的應用有ASIL要求,其依賴的所有庫都必須滿足ASIL。其中最重要的是POSIX PSE51。AP標準里定義了應用至少需有如下依賴關(guān)系。
AP應用的依賴關(guān)系(出自Vector)
目前業(yè)界的現(xiàn)狀為頂級RTOS供應商能提供滿足ASIL等級的POSIX PSE51庫。但是,還沒有廠商號稱POSIX PSE53/54的庫也通過了ASIL認證。
然后是滿足功能安全的文件系統(tǒng)。值得注意的是,C和C++標準庫提供文件操作接口,比如,C++ fstream。目前有RTOS供應商提供滿足ASIL功能的文件系統(tǒng)。
經(jīng)常容易被忽略的一點,開發(fā)ASIL Safety應用使用的編譯器也必須滿足ASIL要求。兩個方面,第一,如果編譯器不滿足ASIL要求,那么其生成的機器代碼無法保證和源代碼的對應關(guān)系。那么對于源代碼的認證并無法保證機器代碼的可靠性。第二,如上圖的應用依賴關(guān)系所示,C/C++標準庫也使用在了ASIL safety應用中。
展開 
ASIL等級的最新內(nèi)容
意義:需求經(jīng)理無需打開測試工具,在 Codebeamer 的儀表盤上就能看到:需求 A 的驗證進度為 100%,且代碼覆蓋率達到了 ISO 26262 ASIL D 等級的要求。
四、集成的核心優(yōu)勢
1、自動生成審計報告
l 在審計過程中,能夠?qū)崟r生成最新的追溯矩陣。你可以清晰地看到:哪些需求已完成測試?
本質(zhì)而言,3DGS 及同類 Neural Material Field 方法無法完整替代材質(zhì)與標準,核心原因有三點:
精度:雷達仿真需要 ε?,神經(jīng)網(wǎng)絡無法從光學圖像估計電磁參數(shù),近紅外波段的 IOR 也無法從可見光訓練數(shù)據(jù)可靠外推
可解釋性:ISO 26262 高 ASIL 等級要求形式化可驗證性,隱式權(quán)重無法提供可審計的材質(zhì)參數(shù)聲明
互操作性:神經(jīng)材質(zhì)場是工具私有的隱式表示
該標準將汽車安全完整性等級(ASIL)分為A-D四個級別,其中ASIL-D代表最高安全要求。
D 等級功能安全標準
基于 AbsInt 的測試流程
函數(shù)調(diào)用關(guān)系及用量顯示
數(shù)據(jù)化表格用量展示
基于 RVS 的動態(tài)性能測試
? 客戶收益
· 在 PIL、HIL、車載環(huán)境下進行時序分析,確保軟件行為安全
· 可視化監(jiān)測任務調(diào)度和 CPU
若放任不同ASIL等級軟件組件在一個系統(tǒng)中運行,可能會存在低ASIL等級軟件組件失效從而引發(fā)高ASIL等級軟件組件失效的風險。
ISO26262 對軟件組件之間的交互進行了分析并提出了免于干擾(Freedom from Interference)的需求,安全隔離則旨在隔離軟件系統(tǒng)中安全相關(guān)與安全無關(guān)的軟件組件,以及不同ASIL等級的軟件組件。
· 功能安全
提供與量產(chǎn)狀態(tài)一致的EGAS L3 監(jiān)控層(FusaCoder)及支持CAN,LIN E2E保護功能,用于前期驗證或者直接量產(chǎn),開發(fā)流程滿足最高等級ASIL D。
· SOA通信
特有的提供MBD圖形化配置及集成SOA通信功能,支持SOME/IP及DoIP協(xié)議。
· 安全等級ASIL D
經(jīng)緯恒潤線控制動系統(tǒng)產(chǎn)品,功能安全保持在最高的汽車安全等級ASIL D級。
自2021年量產(chǎn)以來,經(jīng)緯恒潤線控制動產(chǎn)品已服務國內(nèi)眾多主流主機廠,獲得客戶們的廣泛好評。
根據(jù)ISO26262-5中的要求,系統(tǒng)需要根據(jù)不同ASIL等級的要求,針對不同比例的單點故障(SPF)和潛在故障(LF)進行檢測,并采取相應的安全措施。
產(chǎn)品本身的風險高低,對于ASIL等級較高的產(chǎn)品,要強制做一些關(guān)鍵功能測試。
feature的實現(xiàn)情況。
已知的軟硬件變化。
工作量評估。
前序版本、相關(guān)版本的測試狀態(tài)。
MCU資源要求:
· 對主頻和算力有一定要求,主頻不低于100MHz且算力不低于200DMIPS;
· Flash存儲空間不低于1MB,具有代碼Flash和數(shù)據(jù)Flash物理分區(qū);
· RAM不低于128KB;
· 高功能安全等級要求,可以達到ASIL-B等級;
· 支持多路ADC;
· 支持多路CAN-FD;
· 車規(guī)等級AEC-Q100 Grade1;
· 支持在線升級
