汽車(chē)技術(shù)的新革命不僅即將到來(lái)，而且已經(jīng)到來(lái)。從電動(dòng)汽車(chē)的迅速普及到自動(dòng)駕駛汽車(chē)，汽車(chē)從機(jī)械系統(tǒng)的時(shí)代迅速發(fā)展。出于各種原因，這些進(jìn)步令人興奮和受歡迎，但它們給從擋風(fēng)玻璃雨刷器到微芯片再到內(nèi)置攝像頭的所有開(kāi)發(fā)人員帶來(lái)了越來(lái)越多的挑戰(zhàn)和考慮。隨著駕駛員越來(lái)越依賴(lài)使從 A 點(diǎn)到 B 點(diǎn)更輕松、更有趣的系統(tǒng)，他們還需要確保這些系統(tǒng)安全可靠。

在這種新的汽車(chē)現(xiàn)實(shí)中，遵守安全準(zhǔn)則從未像現(xiàn)在這樣重要。隨著開(kāi)發(fā)人員和制造商努力實(shí)現(xiàn) ISO 26262 合規(guī)性，他們必須了解汽車(chē)安全完整性等級(jí) （ASIL），才能知道要應(yīng)用什么級(jí)別的嚴(yán)格性。

什么是 ASIL？

ASIL 代表 Automotive Safety Integrity Level，是道路車(chē)輛功能安全的風(fēng)險(xiǎn)分類(lèi)系統(tǒng)。ASIL 由 ISO 26262 標(biāo)準(zhǔn)第 9 部分定義，并改編自 IEC 61508 中發(fā)布的安全完整性等級(jí) （SIL） 指南。

雖然遵守 ISO 26262 不是強(qiáng)制性的，但它是行業(yè)內(nèi)最先進(jìn)的做法，而 ASIL 是該標(biāo)準(zhǔn)的關(guān)鍵部分。ASIL 根據(jù)產(chǎn)品失敗時(shí)對(duì)人造成傷害的風(fēng)險(xiǎn)來(lái)確定產(chǎn)品開(kāi)發(fā)過(guò)程的嚴(yán)格程度。通過(guò)根據(jù)各種因素對(duì)每個(gè)組件、模塊或系統(tǒng)進(jìn)行全面的安全評(píng)估，團(tuán)隊(duì)可以對(duì)發(fā)生故障時(shí)的風(fēng)險(xiǎn)和結(jié)果做出合理的預(yù)期，并實(shí)施緩解措施來(lái)降低風(fēng)險(xiǎn)。

ASIL 是在全面的危害分析和風(fēng)險(xiǎn)評(píng)估 （HARA） 后確定的。工程師或開(kāi)發(fā)人員在評(píng)估每個(gè)組件或系統(tǒng)時(shí)，會(huì)關(guān)注該組件或系統(tǒng)的潛在故障所帶來(lái)的風(fēng)險(xiǎn)和危害。系統(tǒng)出現(xiàn)故障的可能性有多大？如果失敗了怎么辦？駕駛員可以在不受傷的情況下補(bǔ)償或管理故障嗎？發(fā)生故障時(shí)是否有可能發(fā)生傷害，如果是，傷害會(huì)有多嚴(yán)重？一旦危害分析和風(fēng)險(xiǎn)評(píng)估完成，團(tuán)隊(duì)就可以分配 ASIL。

有哪些不同的 ASIL？

ASIL 將危害分為四個(gè)級(jí)別之一，表示為 A 到 D，第五個(gè)附加級(jí)別用于非危險(xiǎn)系統(tǒng)或組件。ASIL D 代表最高風(fēng)險(xiǎn)級(jí)別，而 ASIL A 代表最低風(fēng)險(xiǎn)級(jí)別。附加級(jí)別 QM 代表質(zhì)量管理，表示僅需要標(biāo)準(zhǔn)質(zhì)量管理合規(guī)性的非危險(xiǎn)物品。

一般來(lái)說(shuō)，防抱死制動(dòng)器或安全氣囊等系統(tǒng)需要 ASIL D 分類(lèi)，因?yàn)樵谶@些系統(tǒng)中與故障相關(guān)的風(fēng)險(xiǎn)最高。另一方面，尾燈等系統(tǒng)只需要 ASIL A 分類(lèi);雖然尾燈肯定有安全組件，但大多數(shù)駕駛員可以減輕這些風(fēng)險(xiǎn)，而且潛在的傷害嚴(yán)重程度通常并不高。

哪些因素決定了 ASIL？

要確定 ASIL，開(kāi)發(fā)人員和工程師會(huì)考慮三個(gè)因素：

• 嚴(yán)重程度（危險(xiǎn)事件造成的傷害的潛在嚴(yán)重程度）

• 暴露（可能導(dǎo)致受傷的情況的頻率）

• 可控性（駕駛員可以采取行動(dòng)防止受傷的可能性）

在這三個(gè)因素中，每個(gè)因素都有以數(shù)字表示的附加級(jí)別：

嚴(yán)厲

S0：無(wú)傷

S1：輕至中度損傷

S2：重度至危及生命的損傷（可能存活）

S3：危及生命（生存不確定）至致命傷害

暴露

E0：極不可能

E1：概率非常低

E2：低概率

E3：中等概率

E4：高概率（在大多數(shù)作條件下都可能發(fā)生傷害）

操縱

C0：一般可控

C1：簡(jiǎn)單可控

C2：通常可控（大多數(shù)駕駛員可以采取行動(dòng)以防止受傷）

C3：難以控制或無(wú)法控制

相關(guān)文章：ISO 26262 對(duì)汽車(chē)開(kāi)發(fā)的影響

如何選擇我的 ASIL？

為了確定 ASIL，開(kāi)發(fā)團(tuán)隊(duì)?wèi)?yīng)對(duì)每個(gè)系統(tǒng)、模塊或組件進(jìn)行全面的危害分析和風(fēng)險(xiǎn)評(píng)估 （HARA）。此評(píng)估的目的是識(shí)別所有可能導(dǎo)致危險(xiǎn)或故障的故障，并評(píng)估與這些故障相關(guān)的風(fēng)險(xiǎn)。任何旨在使任何產(chǎn)品符合 ISO 26262 標(biāo)準(zhǔn)的制造商都應(yīng)進(jìn)行 HARA 并分配 ASIL 。

在 HARA 期間，團(tuán)隊(duì)分配上圖確定的嚴(yán)重性、暴露和可控性級(jí)別。在這些類(lèi)別中確定這些級(jí)別后，團(tuán)隊(duì)可以使用下表得出 ASIL ：

請(qǐng)注意： 雖然本指南通?？梢詭椭R(shí)別 ASIL，但它不應(yīng)作為正式的 ASIL 確定。

ASIL 分類(lèi)有哪些示例？

盡管不同的 ASIL 分類(lèi)存在一定程度的主觀性，但一些系統(tǒng)和組件的分類(lèi)相當(dāng)一致。以下是一些示例：

ASIL D：安全氣囊、防抱死制動(dòng)、電動(dòng)助力轉(zhuǎn)向

ASIL C：自適應(yīng)巡航控制、電池管理、懸架

ASIL B：剎車(chē)燈、后視攝像頭、組合儀表

ASIL A：尾燈、加熱和冷卻、車(chē)身控制單元

QM：GPS/導(dǎo)航系統(tǒng)、衛(wèi)星/數(shù)字無(wú)線電、連接性（USB、HDMI、藍(lán)牙）

即使在這些示例中，不同型號(hào)、制造商或風(fēng)險(xiǎn)評(píng)估之間也可能存在差異。例如，根據(jù)其他因素，“發(fā)動(dòng)機(jī)管理”風(fēng)險(xiǎn)可能是 ASIL C 或 D，而各種動(dòng)力總成系統(tǒng)和風(fēng)險(xiǎn)可能在 ASIL B 和 ASIL D 之間有所不同。評(píng)估風(fēng)險(xiǎn)和分配級(jí)別需要考慮許多因素。

此外，ASIL 可能會(huì)發(fā)生變化。例如，OEM（原始設(shè)備制造商）可以確定某個(gè)組件的 ASIL B 級(jí)別，但一旦該組件與其他系統(tǒng)集成，該級(jí)別可能會(huì)隨著額外的危害分析和風(fēng)險(xiǎn)評(píng)估而提高或降低。

ASIL 面臨哪些挑戰(zhàn)？

盡管上圖顯示了如何根據(jù)嚴(yán)重性、風(fēng)險(xiǎn)和可控性級(jí)別得出 ASIL，但分配這些級(jí)別涉及一定程度的主觀性。例如，道路狀況、環(huán)境因素、交通密度、駕駛員能力和接觸可能性都可能有很大差異。在寬闊、空曠、干燥的道路上駕駛車(chē)輛的駕駛員可能比在暴雨期間在交通繁忙的道路上駕駛的駕駛員更有可能控制危險(xiǎn)事件。ASIL 分類(lèi)系統(tǒng)取決于對(duì)“通?！?、“可能”和“可能”等詞的主觀解釋?zhuān)@涉及工程師和開(kāi)發(fā)人員在一定程度上受過(guò)教育的判斷。確定 ASIL 級(jí)別的另一個(gè)挑戰(zhàn)是，在沒(méi)有進(jìn)行全面的危害分析和風(fēng)險(xiǎn)評(píng)估的情況下，根據(jù)過(guò)去的級(jí)別分配做出假設(shè)的誘惑。例如，如果系統(tǒng)之前被指定為 ASIL 級(jí)別 B，則可能很容易假設(shè)其當(dāng)前級(jí)別應(yīng)該相同。但是，系統(tǒng)的改進(jìn)或與其他系統(tǒng)的集成可能會(huì)改變級(jí)別。如果 GPS 系統(tǒng)現(xiàn)在與攝像頭設(shè)備或其他一些智能技術(shù)集成，那么這種新的集成可能會(huì)提高或降低 ASIL 級(jí)別。

最后，沒(méi)有正確保存良好文檔記錄或跟蹤要求的團(tuán)隊(duì)可能會(huì)得出不準(zhǔn)確的 ASIL，甚至完全忽視風(fēng)險(xiǎn)。當(dāng)文檔和需求沒(méi)有得到徹底跟蹤時(shí)，團(tuán)隊(duì)可能會(huì)錯(cuò)過(guò)關(guān)鍵的功能安全風(fēng)險(xiǎn)。需求跟蹤和可追溯性不僅對(duì)于符合 ISO 26262 至關(guān)重要，而且對(duì)于徹底準(zhǔn)確地評(píng)估和降低風(fēng)險(xiǎn)的實(shí)際市場(chǎng)需求也至關(guān)重要。

ASIL 如何影響產(chǎn)品開(kāi)發(fā)？

一旦制定了系統(tǒng)的 ASIL，ISO 26262 就定義了基于 ASIL 所需的不同嚴(yán)格級(jí)別。例如，對(duì)于 ASIL A 和 B，信息表示法足以滿(mǎn)足捕獲要求。這通常意味著需求是用自然語(yǔ)言編寫(xiě)的，并用簡(jiǎn)單的數(shù)字進(jìn)行擴(kuò)充，以消除關(guān)鍵概念的文盲。對(duì)于 ASIL C 和 D，建議使用更半正式的表示法。需求通常仍然用自然語(yǔ)言編寫(xiě)，但隨后會(huì)開(kāi)發(fā)系統(tǒng)模型以更準(zhǔn)確地描述行為。開(kāi)發(fā)這些模型需要團(tuán)隊(duì)中的額外專(zhuān)業(yè)知識(shí)，但可以提高文檔的準(zhǔn)確性并降低溝通不暢的風(fēng)險(xiǎn)。開(kāi)發(fā)更高 ASIL 系統(tǒng)的團(tuán)隊(duì)通常需要額外的專(zhuān)業(yè)知識(shí)以及專(zhuān)門(mén)的軟件工具來(lái)支持該過(guò)程。

ASIL 是如何演變的？

汽車(chē)工程師協(xié)會(huì) （SAE） 于 2015 年發(fā)布了 J2980，為評(píng)估嚴(yán)重性、暴露和可控性提供了額外的指導(dǎo)。此外，J2980 本身和 ISO 26262 都在 2018 年進(jìn)行了更新。

隨著 AI（人工智能）、自動(dòng)駕駛功能以及通過(guò) IoT（物聯(lián)網(wǎng)）集成到外部系統(tǒng)等汽車(chē)技術(shù)的進(jìn)步，可控性的概念提出了特殊的挑戰(zhàn)。目前，“可控性”主要是指人類(lèi)車(chē)輛駕駛員，但隨著汽車(chē)獨(dú)立反應(yīng)的能力越來(lái)越強(qiáng)，評(píng)估可控性的標(biāo)準(zhǔn)可能會(huì)發(fā)生變化。隨著功能越來(lái)越多地補(bǔ)償駕駛員錯(cuò)誤，汽車(chē)變得越來(lái)越安全和智能，從而降低了導(dǎo)致嚴(yán)重傷害或死亡的危險(xiǎn)的可能性。然而，與此同時(shí)，對(duì)外部系統(tǒng)的訪問(wèn)可能會(huì)引入網(wǎng)絡(luò)漏洞，使 ASIL 的考慮變得復(fù)雜。

網(wǎng)絡(luò)安全漏洞可能會(huì)導(dǎo)致安全考慮，就像硬件故障一樣。因此，團(tuán)隊(duì)現(xiàn)在開(kāi)始一起分析系統(tǒng)的安全性。ISO 21434 特別提出了與 ISO 26262 相配合的建議，以支持這一過(guò)程。