11關(guān)于ASIL分解

11.1ASIL分解的目的

ASIL分解的目的是通過對系統(tǒng)故障使用多個足夠獨立的要素來實現(xiàn)安全目標。

11.2ASIL分解的描述

ASIL分解是指將冗余的安全需求分配給相關(guān)項的足夠獨立的要素。在這種情況下，冗余不一定意味著經(jīng)典的模塊化冗余(見ISO26262-1：2018的3.122)。

ECU的主處理器可以由冗余監(jiān)控處理器監(jiān)控，這兩個處理器都獨立地能夠啟動定義的安全狀態(tài)，即使監(jiān)控處理器無法滿足分配給ECU的功能要求。

ASIL分解僅對系統(tǒng)性失效有意義，即用于減少這些故障可能性的方法和措施。通過ASIL分解，對硬件架構(gòu)度量的評估和因隨機硬件故障而違反安全目標的評估的要求將保持不變(見ISO26262-9：2018的5.4.5)。

在ASILB(D)分解的情況下，用于評估硬件架構(gòu)度量的ASILD目標不被分解為每個硬件要素的單獨的ASILB目標。正如ISO26262-5：2018的8.2中所描述的，目標值可以分配給硬件要素，但是這些目標是根據(jù)在相關(guān)項的整個硬件級別上開始的分析逐個分配的。根據(jù)安全目標的目標度量適用于相關(guān)項級別。

在這樣的分解架構(gòu)中，只有當兩個要素同時違反它們因分解而得出的安全需求時，才會違反分解前的安全需求。

ISO26262系列標準中的可能分解見【關(guān)于ASIL剪裁的需求分解】（ISO26262-9：2018的第5條）。

11.3.ASIL分解的示例

11.3.1總則

本節(jié)中描述的相關(guān)項及其要求均為示例。安全目標及其ASIL和后續(xù)要求僅為說明ASIL分解過程而設(shè)計。這個示例沒有反映ISO26262系列標準在類似現(xiàn)實示例中的應用情況。

11.3.2相關(guān)項定義

以具有一個執(zhí)行器的系統(tǒng)為示例,駕駛員通過使用儀表板上的開關(guān)來觸發(fā)此執(zhí)行器。執(zhí)行器在車 速為零時提供舒適功能,但是如果在超過15km/h時激活會導致危害。

相關(guān)項的初始架構(gòu)如下：

?儀表板開關(guān)輸入由專用ECU讀取(本例中稱為“執(zhí)行器控制ECU(ACECU)”)，該ECU通過專用電源線為執(zhí)行器供電。

?裝有該相關(guān)項的車輛還裝有ECU，該ECU能夠提供車輛速度。例如，該ECU提供車輛速度大于15km/h的信息的能力被假定符合ASILC要求。此ECU在本節(jié)中稱為“VSECU”。

圖25-相關(guān)項邊界

11.3.3危害分析和風險評估

分析中考慮的危險事件是在以超過15公里/小時的速度行駛時激活執(zhí)行器，無論是否有駕駛員要求。

為了本示例的目的，與此危險事件相關(guān)的ASIL被歸類為ASILC。

11.3.4相關(guān)安全目標

安全目標1：避免在車輛速度大于15km/h：時激活執(zhí)行器ASILC。

11.3.5系統(tǒng)架構(gòu)設(shè)計

以下列出了初始架構(gòu)要素的目的：

?VSECU以車輛速度提供執(zhí)行器控制ECU(ACECU)。

?ACECU監(jiān)控駕駛員的請求，測試車輛速度是否小于或等于15公里/小時，

?如果是的話，命令執(zhí)行器。

執(zhí)行器在供電時被激活。

11.3.6.功能安全概念

11.3.6.1總則

這個功能安全概念的示例僅用于說明ASIL分解。它不打算是詳盡的，也不包括所有的功能安全需求。

要求 A1:VSECU 發(fā)出準確的車速信息給 ACECU。ASILC

要求 A2:當車速超過15km/h時,ACECU 不能給執(zhí)行器供電。ASILC

要求 A3:執(zhí)行器只有在得到ACECU 的供電之后才能被激活。ASILC

11.3.6.2涉及該相關(guān)項的安全概念

開發(fā)者可以選擇引入一個冗余要素，這里是一個冗余開關(guān)，如圖26所示。通過引入這個冗余要素，根據(jù)ASIL分解的結(jié)果，用等于或低于ASILC的ASIL開發(fā)ACECU。

圖26-相關(guān)項設(shè)計的第二次迭代

這些要素（進化的架構(gòu)）的目的：

?VSECU控制單元為ACECU提供車輛速度。

?ACECU監(jiān)控駕駛員的請求，測試車輛速度是否小于或等于15公里/小時，如果是的話，發(fā)送命令執(zhí)行器。

?冗余開關(guān)位于ACECU與執(zhí)行器之間的電源線上。如果速度小于或等于15公里/小時，它就會打開，當速度大于15公里/小時時，它就會關(guān)閉。它這樣做，而不管電力線的狀態(tài)（它的電源是獨立的）。

?執(zhí)行器只有在供電時才能工作。

功能安全需求：

?需求B1：VSECU向ACECU發(fā)送準確的車輛速度信息?！鶤SILc

?或者：防止車輛速度小于或等于15公里/小時的不正確傳輸?！鶤SILc

?要求B2：當車速度大于15km/h時，ACECU不給執(zhí)行機構(gòu)供電?！鶤SILX(C)（見表5）

?需求B3：VSECU向冗余開關(guān)發(fā)送準確的車輛速度信息?！鶤SILc

?要求B4：如果車輛速度大于15公里/小時，冗余開關(guān)處于打開狀態(tài)?！鶤SILY(C)（見表5）

?要求B5：執(zhí)行器只有在由ACECU供電和冗余開關(guān)關(guān)閉時才能工作?！鶤SILc

為了允許ASIL分解，開發(fā)者在必要時添加了獨立性要求：

?要求B6：ACECU和冗余開關(guān)具有足夠的獨立性?！鶤SILc

原需求A2已被冗余需求B2和B4所取代，兩者都符合安全目標，因此可以應用ASIL分解。

表5-可能的分解

責任編輯：xj

原文標題：關(guān)于ASIL分解ISO26262:2018-10-11

文章出處：【微信公眾號：汽車電子硬件設(shè)計】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。