11關(guān)于ASIL分解

11.1ASIL分解的目的

ASIL分解的目的是通過(guò)對(duì)系統(tǒng)故障使用多個(gè)足夠獨(dú)立的要素來(lái)實(shí)現(xiàn)安全目標(biāo)。

11.2ASIL分解的描述

ASIL分解是指將冗余的安全需求分配給相關(guān)項(xiàng)的足夠獨(dú)立的要素。在這種情況下，冗余不一定意味著經(jīng)典的模塊化冗余(見(jiàn)ISO26262-1：2018的3.122)。

ECU的主處理器可以由冗余監(jiān)控處理器監(jiān)控，這兩個(gè)處理器都獨(dú)立地能夠啟動(dòng)定義的安全狀態(tài)，即使監(jiān)控處理器無(wú)法滿足分配給ECU的功能要求。

ASIL分解僅對(duì)系統(tǒng)性失效有意義，即用于減少這些故障可能性的方法和措施。通過(guò)ASIL分解，對(duì)硬件架構(gòu)度量的評(píng)估和因隨機(jī)硬件故障而違反安全目標(biāo)的評(píng)估的要求將保持不變(見(jiàn)ISO26262-9：2018的5.4.5)。

在ASILB(D)分解的情況下，用于評(píng)估硬件架構(gòu)度量的ASILD目標(biāo)不被分解為每個(gè)硬件要素的單獨(dú)的ASILB目標(biāo)。正如ISO26262-5：2018的8.2中所描述的，目標(biāo)值可以分配給硬件要素，但是這些目標(biāo)是根據(jù)在相關(guān)項(xiàng)的整個(gè)硬件級(jí)別上開(kāi)始的分析逐個(gè)分配的。根據(jù)安全目標(biāo)的目標(biāo)度量適用于相關(guān)項(xiàng)級(jí)別。

在這樣的分解架構(gòu)中，只有當(dāng)兩個(gè)要素同時(shí)違反它們因分解而得出的安全需求時(shí)，才會(huì)違反分解前的安全需求。

ISO26262系列標(biāo)準(zhǔn)中的可能分解見(jiàn)【關(guān)于ASIL剪裁的需求分解】（ISO26262-9：2018的第5條）。

11.3.ASIL分解的示例

11.3.1總則

本節(jié)中描述的相關(guān)項(xiàng)及其要求均為示例。安全目標(biāo)及其ASIL和后續(xù)要求僅為說(shuō)明ASIL分解過(guò)程而設(shè)計(jì)。這個(gè)示例沒(méi)有反映ISO26262系列標(biāo)準(zhǔn)在類似現(xiàn)實(shí)示例中的應(yīng)用情況。

11.3.2相關(guān)項(xiàng)定義

以具有一個(gè)執(zhí)行器的系統(tǒng)為示例,駕駛員通過(guò)使用儀表板上的開(kāi)關(guān)來(lái)觸發(fā)此執(zhí)行器。執(zhí)行器在車 速為零時(shí)提供舒適功能,但是如果在超過(guò)15km/h時(shí)激活會(huì)導(dǎo)致危害。

相關(guān)項(xiàng)的初始架構(gòu)如下：

?儀表板開(kāi)關(guān)輸入由專用ECU讀取(本例中稱為“執(zhí)行器控制ECU(ACECU)”)，該ECU通過(guò)專用電源線為執(zhí)行器供電。

?裝有該相關(guān)項(xiàng)的車輛還裝有ECU，該ECU能夠提供車輛速度。例如，該ECU提供車輛速度大于15km/h的信息的能力被假定符合ASILC要求。此ECU在本節(jié)中稱為“VSECU”。

圖25-相關(guān)項(xiàng)邊界

11.3.3危害分析和風(fēng)險(xiǎn)評(píng)估

分析中考慮的危險(xiǎn)事件是在以超過(guò)15公里/小時(shí)的速度行駛時(shí)激活執(zhí)行器，無(wú)論是否有駕駛員要求。

為了本示例的目的，與此危險(xiǎn)事件相關(guān)的ASIL被歸類為ASILC。

11.3.4相關(guān)安全目標(biāo)

安全目標(biāo)1：避免在車輛速度大于15km/h：時(shí)激活執(zhí)行器ASILC。

11.3.5系統(tǒng)架構(gòu)設(shè)計(jì)

以下列出了初始架構(gòu)要素的目的：

?VSECU以車輛速度提供執(zhí)行器控制ECU(ACECU)。

?ACECU監(jiān)控駕駛員的請(qǐng)求，測(cè)試車輛速度是否小于或等于15公里/小時(shí)，

?如果是的話，命令執(zhí)行器。

執(zhí)行器在供電時(shí)被激活。

11.3.6.功能安全概念

11.3.6.1總則

這個(gè)功能安全概念的示例僅用于說(shuō)明ASIL分解。它不打算是詳盡的，也不包括所有的功能安全需求。

要求 A1:VSECU 發(fā)出準(zhǔn)確的車速信息給 ACECU。ASILC

要求 A2:當(dāng)車速超過(guò)15km/h時(shí),ACECU 不能給執(zhí)行器供電。ASILC

要求 A3:執(zhí)行器只有在得到ACECU 的供電之后才能被激活。ASILC

11.3.6.2涉及該相關(guān)項(xiàng)的安全概念

開(kāi)發(fā)者可以選擇引入一個(gè)冗余要素，這里是一個(gè)冗余開(kāi)關(guān)，如圖26所示。通過(guò)引入這個(gè)冗余要素，根據(jù)ASIL分解的結(jié)果，用等于或低于ASILC的ASIL開(kāi)發(fā)ACECU。

圖26-相關(guān)項(xiàng)設(shè)計(jì)的第二次迭代

這些要素（進(jìn)化的架構(gòu)）的目的：

?VSECU控制單元為ACECU提供車輛速度。

?ACECU監(jiān)控駕駛員的請(qǐng)求，測(cè)試車輛速度是否小于或等于15公里/小時(shí)，如果是的話，發(fā)送命令執(zhí)行器。

?冗余開(kāi)關(guān)位于ACECU與執(zhí)行器之間的電源線上。如果速度小于或等于15公里/小時(shí)，它就會(huì)打開(kāi)，當(dāng)速度大于15公里/小時(shí)時(shí)，它就會(huì)關(guān)閉。它這樣做，而不管電力線的狀態(tài)（它的電源是獨(dú)立的）。

?執(zhí)行器只有在供電時(shí)才能工作。

功能安全需求：

?需求B1：VSECU向ACECU發(fā)送準(zhǔn)確的車輛速度信息?！鶤SILc

?或者：防止車輛速度小于或等于15公里/小時(shí)的不正確傳輸?！鶤SILc

?要求B2：當(dāng)車速度大于15km/h時(shí)，ACECU不給執(zhí)行機(jī)構(gòu)供電?！鶤SILX(C)（見(jiàn)表5）

?需求B3：VSECU向冗余開(kāi)關(guān)發(fā)送準(zhǔn)確的車輛速度信息?！鶤SILc

?要求B4：如果車輛速度大于15公里/小時(shí)，冗余開(kāi)關(guān)處于打開(kāi)狀態(tài)?！鶤SILY(C)（見(jiàn)表5）

?要求B5：執(zhí)行器只有在由ACECU供電和冗余開(kāi)關(guān)關(guān)閉時(shí)才能工作?！鶤SILc

為了允許ASIL分解，開(kāi)發(fā)者在必要時(shí)添加了獨(dú)立性要求：

?要求B6：ACECU和冗余開(kāi)關(guān)具有足夠的獨(dú)立性?！鶤SILc

原需求A2已被冗余需求B2和B4所取代，兩者都符合安全目標(biāo)，因此可以應(yīng)用ASIL分解。

表5-可能的分解

責(zé)任編輯：xj

原文標(biāo)題：關(guān)于ASIL分解ISO26262:2018-10-11

文章出處：【微信公眾號(hào)：汽車電子硬件設(shè)計(jì)】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。