Что такое ASIL (уровень полноты безопасности автомобиля)?

Введение

В сегодняшней быстро развивающейся автомобильной промышленности безопасность — это не просто функция, это необходимость. Поскольку транспортные средства становятся все более автономными и управляемыми программным обеспечением, обеспечение функциональной безопасности становится первостепенным. Именно здесь ASIL, или уровень целостности автомобильной безопасности, играет решающую роль.

Определенная стандартом ISO 26262, классификация ASIL помогает оценить риск, связанный с потенциальными опасностями в автомобильных системах, и направляет меры безопасности, необходимые для их смягчения. От тормозных систем до усовершенствованных систем помощи водителю (ADAS) уровень полноты безопасности автомобиля помогает определить, насколько строго необходимо соблюдать процесс разработки для защиты жизней.

В этой статье мы разберем, что означает уровень целостности автомобильной безопасности, как он используется в ISO 26262, различия между уровнями целостности автомобильной безопасности A, B, C и D и как выполнить оценку риска с помощью анализа опасностей и оценки рисков (HARA). Независимо от того, новичок ли вы в этой концепции или хотите углубить свои знания в области автомобильной безопасности, это руководство проведет вас через все, что вам нужно знать.

Что такое ASIL (уровень полноты безопасности автомобиля)?

ASIL (Automotive Safety Integrity Level) — это схема классификации рисков, определенная стандартом ISO 26262 для функциональной безопасности дорожных транспортных средств. Она количественно определяет требования безопасности, необходимые для предотвращения или контроля опасностей, вызванных потенциальными системными сбоями в автомобильных компонентах.

Уровни целостности автомобильной безопасности — A, B, C и D — определяются на основе серьезности, подверженности и контролируемости потенциальной опасности. ASIL D представляет собой самый высокий уровень риска и, следовательно, требует самых строгих мер безопасности, в то время как ASIL A отражает самый низкий.

Почему ASIL важен в автомобильной промышленности

Поскольку современные автомобили в значительной степени зависят от электронных и программных систем для критических операций, таких как торможение, рулевое управление и предотвращение столкновений, последствия отказа системы могут быть опасными для жизни. Это делает классификацию ASIL необходимой для обеспечения того, чтобы все функции безопасности автомобиля были разработаны, протестированы и проверены на надлежащем уровне безопасности.

Назначая уровень целостности автомобильной безопасности каждой системной функции, инженеры могут определить соответствующие процессы безопасности и методы проверки. Это обеспечивает соответствие стандартам автомобильной безопасности и помогает предотвратить несчастные случаи из-за неисправностей системы.

Обзор ISO 26262 и функциональной безопасности

ISO 26262 — международный стандарт функциональной безопасности в автомобильных электрических и электронных системах. Он обеспечивает систематический подход к выявлению потенциальных опасностей, оценке рисков и определению требований безопасности с использованием классификации ASIL.

Стандарт определяет комплексный процесс разработки требований, который охватывает от концепции и проектирования до внедрения, тестирования и обслуживания. Его основная цель — снизить риск до приемлемого уровня с помощью превентивных мер, соответствующих определенному уровню ASIL.

Уровень полноты безопасности автомобилей является основой стандарта ISO 26262: он связывает потенциальные опасности с техническими мерами, необходимыми для их предотвращения или смягчения, обеспечивая безопасную и надежную работу транспортного средства на протяжении всего жизненного цикла продукта.

Роль ASIL в стандарте ISO 26262

В рамках ISO 26262 уровень полноты безопасности автомобилей служит основополагающим элементом для определения и управления требованиями функциональной безопасности. ISO 26262 предписывает использование классификации ASIL для оценки рисков, связанных с потенциальными опасностями в автомобильных системах.

Каждая функция в транспортном средстве оценивается по трем критериям:

• Серьезность (влияние отказа),
• Подверженность (частота рабочих сценариев),
• Управляемость (способность водителя управлять транспортным средством после отказа).

Эти критерии определяют назначение уровня ASIL (от A до D), который затем определяет необходимые процессы разработки, усилия по валидации и механизмы безопасности, требуемые для снижения этого риска. Без уровня целостности автомобильной безопасности стандарт ISO 26262 не будет иметь структурированного способа расстановки приоритетов критически важных для безопасности компонентов.

Как ASIL поддерживает функциональную безопасность в автомобильных системах

Уровень целостности автомобильной безопасности обеспечивает функциональную безопасность, согласовывая цели безопасности с уровнем риска, создаваемого системными сбоями. Например, сбой в автономной системе экстренного торможения может привести к серьезным последствиям и, таким образом, обычно классифицируется как уровень D — требующий наивысшего уровня строгости безопасности.

При назначении уровней ASIL:

• Разработчики получают указания по применению соответствующих мер безопасности,
• Инженеры могут реализовать избыточность, обнаружение неисправностей и диагностику на основе рисков,
• Команды обеспечивают соблюдение стандартов безопасности в автомобильной промышленности на протяжении всего жизненного цикла продукта.

Короче говоря, уровень полноты безопасности автомобилей в автомобильных системах обеспечивает структурированный и количественный способ реализации требований функциональной безопасности ISO 26262, снижая риск отказов и повышая общую безопасность современных транспортных средств.

Классификация и уровни ASIL (A, B, C, D)

Классификация ASIL является основной частью стандарта ISO 26262 и используется для определения необходимых требований безопасности для каждой автомобильной системы или компонента на основе уровня риска. Классификация включает четыре возрастающих уровня — A, B, C и D — где ASIL D представляет самую высокую степень риска и требует наиболее строгого контроля безопасности.

Классификация основана на трех ключевых факторах:

• Строгость – Потенциальный вред, причиненный неисправностью,
• Экспозиция – Как часто возникает эксплуатационное состояние,
• контролируемость – Способность водителя или системы предотвращать вред.

Каждая комбинация этих факторов определяет соответствующий уровень ASIL с помощью процесса, известного как анализ опасностей и оценка рисков (HARA).

Подробная разбивка уровней безопасности автомобилей: A, B, C и D

Уровень А

• Уровень риска: Самый низкий
• Строгость: Легкие или незначительные травмы
• Экспозиция: Иногда
• контролируемость: Легко управляется водителем
• Области применения: Некритические системы (например, предупреждения информационно-развлекательной системы)

Уровень B

• Уровень риска: Умеренный
• Строгость: Возможны травмы средней тяжести
• Экспозиция: Возможно частое посещение
• контролируемость: В целом контролируемо
• Области применения: Усилитель рулевого управления, системы камер заднего вида

Уровень C

• Уровень риска: Высокая
• Строгость: Возможны серьезные травмы
• Экспозиция: Вероятно или часто
• контролируемость: Трудно контролировать
• Области применения: Системы удержания полосы движения, адаптивный круиз-контроль

Уровень D

• Уровень риска: Наибольший
• Строгость: Опасные для жизни или смертельные травмы
• Экспозиция: Очень часто или непрерывно
• контролируемость: Трудно или невозможно контролировать
• Области применения: Тормозные системы, срабатывание подушек безопасности, функции автономного вождения

Сравнение ASIL A и ASIL D: серьезность риска, подверженность и управляемость

Системы ASIL D проходят самые строгие процессы разработки, включая углубленное тестирование, проектирование избыточности и комплексную проверку безопасности для соответствия функциональным рекомендациям по безопасности ISO 26262. Напротив, системы ASIL A требуют меньших усилий, но все равно должны соответствовать базовому уровню обеспечения безопасности.

Оценка и определение риска ASIL

Что такое оценка риска ASIL?

Оценка риска ASIL — это структурированный процесс, определенный стандартом функциональной безопасности ISO 26262, для определения соответствующего уровня полноты безопасности автомобиля для заданной функции транспортного средства. Он оценивает риски, связанные с потенциальными сбоями системы, и направляет разработку целей безопасности на основе оцененного риска.

Эта оценка гарантирует, что конструкция системы соответствует требуемым стандартам безопасности, путем классификации каждой функции по ASIL A, B, C или D с использованием формального анализа, называемого HARA — анализ опасностей и оценка рисков.

Как определить уровень ASIL: шаг за шагом

Определение правильной классификации ASIL включает в себя следующие структурированные шаги:

1. Определите функции и потенциальные опасности
   • Определите анализируемую систему или компонент.
   • Определите все потенциальные неисправности или опасные сценарии.
2. Определите оперативную ситуацию
   • Оцените, в каких условиях вождения (скорость, тип дороги, погода) работает функция.
3. Оценить серьезность (S)
   • Оцените возможные последствия отказа.
   • Степень тяжести варьируется от S1 (легкая травма) до S3 (опасная для жизни или смертельная травма).
4. Оценить воздействие (E)
   • Определите, как часто возникает данное рабочее состояние.
   • Диапазон от E1 (очень низкая) до E4 (высокая вероятность).
5. Оценить управляемость (C)
   • Оцените способность водителя или системы избежать опасности.
   • Диапазон от C1 (легко контролируемый) до C3 (неконтролируемый).
6. Назначить уровень ASIL
   • На основании сочетания серьезности, подверженности риску и управляемости назначьте уровень ASIL (A–D) или QM (управление качеством), если риск низкий.
7. Определить цели и требования безопасности
   • Преобразуйте результаты уровня целостности в конкретные цели безопасности и технические требования безопасности для разработки системы.

Что такое HARA (анализ опасностей и оценка рисков)?

HARA (аббревиатура от Hazard Analysis and Risk Assessment) — это краеугольный камень методологии, используемой в ISO 26262 для оценки и классификации рисков, связанных с автомобильными системами.

С помощью HARA каждая выявленная опасность анализируется на предмет:

• Серьёзность (С) – Влияние аварии на безопасность людей
• Экспозиция (E) – Вероятность возникновения дорожной ситуации
• Управляемость (С) – Способность водителя/системы избегать вреда

Матрица HARA сопоставляет эти входные данные для определения соответствующего уровня ASIL, который затем учитывается во всех последующих действиях по обеспечению безопасности.

Объяснение факторов ASIL: серьезность, подверженность, контролируемость

Эти три переменные формируют основу для определения уровня полноты безопасности автомобиля, позволяя командам применять правильный уровень обеспечения функциональной безопасности на протяжении всего жизненного цикла разработки продукта.

Функциональная безопасность и соответствие ASIL

Требования к функциональной безопасности на основе уровней ASIL

Функциональная безопасность, как определено стандартом ISO 26262, гарантирует, что автомобильные системы работают безопасно даже при наличии неисправностей. Каждый уровень ASIL (от A до D) вводит различные требования к степени целостности безопасности, при этом ASIL D требует самых строгих процессов и контроля.

Чем выше уровень полноты безопасности автомобиля, тем более строгими должны быть мероприятия по разработке, включая:

• Систематическое предотвращение ошибок
• Надежные методы проектирования
• Процедуры проверки и подтверждения
• Отказоустойчивость и диагностическое покрытие

Это гарантирует, что функциональная безопасность достигается пропорционально потенциальному риску, связанному с каждой функцией.

Цели безопасности и требования безопасности

Цели безопасности — это функциональные цели безопасности верхнего уровня, полученные из оценки риска ASIL (HARA). Эти цели — системные задачи, направленные на предотвращение или смягчение опасных событий.

Каждая цель безопасности затем разбивается на требования функциональной безопасности (FSR) и технические требования безопасности (TSR), которые распределяются по компонентам и архитектуре системы.

Например:

• Цель безопасности: Предотвратить непреднамеренное ускорение
• Требование функциональной безопасности: Контролируйте достоверность входного сигнала дроссельной заслонки.
• Технические требования безопасности: Избыточность датчиков и сравнение сигналов

Каждое требование имеет уровень ASIL, присвоенный исходной цели безопасности, что обеспечивает соответствующую строгость разработки во всей иерархии системы.

Соответствие ASIL для автомобильных систем и компонентов

Соответствие ASIL означает приведение всего процесса разработки продукта в соответствие с практиками, действиями и документацией, изложенными в ISO 26262 для конкретной классификации ASIL.

Ключевые аспекты соответствия включают в себя:

• Анализ опасностей и оценка рисков (HARA)
• Разложение и распределение ASIL
• Разработка механизмов безопасности (например, отказоустойчивых устройств, сторожевых псов)
• Проверочные и валидационные мероприятия (тестирование, моделирование)
• Создание обоснования безопасности и подтверждающей документации

Все компоненты — аппаратные, программные и механические — должны соответствовать назначенному уровню полноты безопасности автомобиля, чтобы считаться безопасными для использования в серийных транспортных средствах.

Влияние на электронные блоки управления (ЭБУ) и конструкцию системы

Электронные блоки управления (ЭБУ) играют центральную роль в выполнении критически важных для безопасности функций, поэтому на них напрямую влияет классификация уровня полноты безопасности автомобиля.

ASIL влияет на конструкцию ЭБУ следующими способами:

• избыточность: Более высокие уровни ASIL требуют избыточных процессоров, памяти или путей связи.
• Диагностика: Включение механизмов обнаружения ошибок и отказоустойчивости
• Partitioning: Изоляция критически важного для безопасности программного обеспечения от некритических задач
• Процесс разработки: Улучшенный контроль качества, прослеживаемость и документация жизненного цикла
• Выбор компонентов: Предпочтение отдается микроконтроллерам с сертификатом ASIL или совместимым с ASIL

Хорошо спроектированная система учитывает ASIL на этапе проектирования архитектуры, чтобы оптимизировать ее с точки зрения соответствия требованиям, стоимости и надежности.

Требования к платформе Visure ALM для соответствия ASIL

Обеспечение соответствия ASIL в сложных автомобильных системах требует мощных инструментов, которые поддерживают сквозную функциональную безопасность и соответствие ISO 26262. Платформа Visure Requirements ALM специально создана для решения проблем разработки на основе ASIL, предлагая комплексное решение для управления требованиями безопасности, оценки рисков, прослеживаемости и валидации на протяжении всего жизненного цикла.

Ключевые возможности Visure для соответствия ASIL

• Управление требованиями ASIL-Ready – Visure обеспечивает централизованный контроль над всеми требованиями, связанными с безопасностью, гарантируя, что они четко определены, классифицированы и согласованы с соответствующими уровнями ASIL. Команды могут управлять как функциональными требованиями безопасности, так и техническими требованиями безопасности в рамках единой платформы.
• Интегрированная поддержка HARA и оценки риска – Visure поддерживает процесс HARA (анализ опасностей и оценка рисков), обеспечивая матрицы рисков, оценку серьезности-воздействия-контролируемости и прямую связь опасностей с целями безопасности и классификациями ASIL, что упрощает точную и проверяемую оценку рисков ASIL.
• Полная сквозная прослеживаемость – От целей безопасности до системных требований, тестовых случаев и результатов проверки Visure обеспечивает двунаправленную прослеживаемость — основное требование для соответствия функциональной безопасности ISO 26262. Представления прослеживаемости обеспечивают полный охват и анализ воздействия на всех уровнях целостности автомобильной безопасности.
• Рабочие процессы и шаблоны, соответствующие ASIL – Visure поставляется с предварительно настроенными шаблонами, формами и рабочими процессами ISO 26262, адаптированными для соответствия ASIL. Их можно настроить в соответствии с жизненным циклом безопасности вашей организации и повторно использовать в проектах, что повышает согласованность и сокращает время подготовки к аудиту.
• Автоматизированная документация и отчетность ASIL – Генерируйте в реальном времени документацию, связанную с ASIL, например, планы безопасности, спецификации требований безопасности (SRS), отчеты о проверке и валидации и случаи безопасности. Это обеспечивает прозрачную отчетность для оценок, аудитов и сертификации.
• Требования к качеству, управляемые искусственным интеллектом – Благодаря интегрированным возможностям на основе ИИ Visure помогает выявлять плохо написанные или двусмысленные требования безопасности, улучшая качество и соответствие стандартам написания ASIL. Это необходимо для минимизации рисков безопасности во время разработки.

Почему стоит выбрать Visure для проектов ASIL?

• Поддерживает соответствие стандарту ISO 26262 от концепции до производства
• Оптимизирует сотрудничество между инженерными и охранными группами
• Оптимизирует документацию и аудит безопасности
• Позволяет быстрее снизить риски за счет раннего обнаружения ошибок
• Обеспечивает гибкость интеграции с такими инструментами, как MATLAB, Simulink, Polarion и другими.

Независимо от того, разрабатываете ли вы тормозную систему с рейтингом ASIL D или информационно-развлекательный интерфейс категории QM, платформа Visure Requirements ALM обеспечивает вам контроль, наглядность и строгость, необходимые для эффективного достижения функциональной безопасности и соответствия.

Заключение

В сегодняшнем развивающемся автомобильном ландшафте ASIL (уровень целостности безопасности автомобиля) играет жизненно важную роль в обеспечении функциональной безопасности во все более сложных системах. ASIL, основанный на стандарте ISO 26262, предоставляет структурированную основу для выявления рисков, определения требований безопасности и обеспечения надежной работы критических автомобильных компонентов — даже в условиях неисправности.

Понимание и внедрение уровней ASIL (от A до D) позволяет группам разработчиков систематически управлять рисками, определять соответствующие цели безопасности и согласовывать архитектуру системы с требуемой целостностью безопасности. От первоначальных оценок HARA до прослеживаемости и проверки соответствия, ASIL помогает предотвращать опасные сбои, которые могут привести к опасным для жизни ситуациям.

Поскольку автомобильные системы становятся все более интеллектуальными и автономными, спрос на надежные процессы и инструменты соответствия никогда не был выше. Вот где вступает в игру платформа Visure Requirements ALM, предоставляя интегрированное решение на базе ИИ, которое упрощает реализацию управления рисками, улучшает прослеживаемость и обеспечивает полное соответствие ISO 26262.

Начните 14-дневную бесплатную пробную версию платформы Visure Requirements ALM уже сегодня и узнайте, как правильный инструмент может преобразовать ваше управление требованиями ASIL, документацию по безопасности и жизненный цикл функциональной безопасности.