什么是 ASIL（汽车安全完整性等级）？

引言

在当今快速发展的汽车行业中，安全不仅仅是一项功能，更是必需品。随着汽车自动化程度和软件驱动程度的提高，确保功能安全已变得至关重要。而这正是 ASIL（汽车安全完整性等级）发挥关键作用的地方。

ASIL 分类由 ISO 26262 标准定义，旨在评估汽车系统中潜在危险的相关风险，并指导降低这些风险所需的安全措施。从制动系统到高级驾驶辅助系统 (ADAS)，汽车安全完整性等级 (ASIL) 有助于确定在开发过程中需要达到何种程度的严谨性才能保护生命安全。

在本文中，我们将深入解析汽车安全完整性等级 (AIS) 的含义、其在 ISO 26262 中的应用、A、B、C 和 D 级汽车安全完整性等级之间的区别，以及如何通过危害分析和风险评估 (HARA) 进行风险评估。无论您是初次接触该概念，还是希望深入了解汽车安全，本指南都能为您提供所需的一切信息。

什么是 ASIL（汽车安全完整性等级）？

ASIL（汽车安全完整性等级）是 ISO 26262 标准针对道路车辆功能安全定义的风险分类方案。它量化了避免或控制汽车零部件潜在系统故障造成的危险所需的安全要求。

汽车安全完整性等级（A、B、C 和 D）是根据潜在危险的严重程度、暴露程度和可控性确定的。ASIL D 代表最高风险等级，因此需要最严格的安全措施；而 ASIL A 代表最低风险等级。

为什么 ASIL 在汽车行业如此重要

由于现代车辆在制动、转向和防撞等关键操作上高度依赖电子和软件系统，系统故障的后果可能危及生命。因此，ASIL 分类对于确保所有汽车安全功能的开发、测试和验证达到适当的安全等级至关重要。

通过为每个系统功能分配汽车安全完整性等级，工程师可以确定适当的安全流程和验证方法。这确保了符合汽车安全标准，并有助于防止因系统故障而导致事故。

ISO 26262 和功能安全概述

ISO 26262 是汽车电气和电子系统功能安全的国际标准。它提供了一种系统化的方法来识别潜在危险、评估风险，并使用 ASIL 分类来定义安全要求。

该标准定义了一个全面的需求工程流程，涵盖从概念设计到实施、测试和维护。其主要目标是通过与确定的 ASIL 等级相符的预防措施，将风险降低到可接受的水平。

汽车安全完整性等级是 ISO 26262 的支柱——它弥合了潜在危险与预防或减轻危险所需的技术措施之间的差距，确保整个产品生命周期内车辆性能的安全可靠。

ASIL 在 ISO 26262 标准中的作用

在 ISO 26262 框架中，汽车安全完整性等级 (ASIL) 是定义和管理功能安全要求的基础要素。ISO 26262 要求使用 ASIL 分类来评估汽车系统中潜在危险的相关风险。

车辆的每个功能都根据三个标准进行评估：

• 严重程度（故障的影响），
• 暴露（操作场景的频率），
• 可控性（发生故障后驾驶员控制车辆的能力）。

这些标准指导 ASIL 等级（A 至 D）的分配，进而确定降低风险所需的开发流程、验证工作和安全机制。如果没有汽车安全完整性等级 (ASIL)，ISO 26262 标准将缺乏一种结构化的方式来确定安全关键组件的优先级。

ASIL 如何支持汽车系统的功能安全

汽车安全完整性等级 (SIL) 通过将安全目标与系统故障带来的风险等级相结合，确保功能安全。例如，自动紧急制动系统发生故障可能导致严重后果，因此通常被归类为 D 级，需要最高级别的安全严谨性。

通过分配 ASIL 等级：

• 指导开发人员采用适当的安全措施，
• 工程师可以根据风险实施冗余、故障检测和诊断，
• 团队确保整个产品生命周期符合汽车安全标准。

简而言之，汽车系统中的汽车安全完整性等级提供了一种结构化和可量化的方式来实施ISO 26262功能安全要求，从而降低了故障风险并提高了现代汽车的整体安全性。

ASIL 分类和级别（A、B、C、D）

ASIL 分类是 ISO 26262 标准的核心部分，用于根据每个汽车系统或部件的风险等级定义其必要的安全要求。该分类包含四个递增的等级：A、B、C 和 D，其中 ASIL D 代表最高风险等级，需要最严格的安全控制。

分类基于三个关键因素：

• 严谨求真 – 故障造成的潜在危害，
• 曝光 – 运行状况发生的频率，
• 可控性 – 驾驶员或系统防止伤害的能力。

这些因素的每种组合都通过称为危害分析和风险评估 (HARA) 的过程确定适当的 ASIL 级别。

汽车安全完整性等级详细分类：A、B、C、D

A级

• 风险等级：最低
• 严谨求真：轻伤或轻微伤害
• 曝光：偶尔
• 可控性：驾驶员可轻松控制
• 应用：非关键系统（例如信息娱乐警告）

B级

• 风险等级： 中等
• 严谨求真：可能造成中度伤害
• 曝光：可能频繁
• 可控性：一般可控
• 应用：动力转向辅助、后视摄像头系统

C级

• 风险等级：高
• 严谨求真：可能造成严重伤害
• 曝光：可能或经常
• 可控性：难以控制
• 应用：车道保持系统、自适应巡航控制

D级

• 风险等级： 最高
• 严谨求真：危及生命或致命的伤害
• 曝光：非常频繁或连续
• 可控性：难以或无法控制
• 应用：制动系统、安全气囊展开、自动驾驶功能

ASIL A 与 ASIL D 比较：风险严重性、暴露度和可控性

ASIL D 系统经过最严格的开发流程，包括深入测试、冗余设计和全面的安全验证，以符合 ISO 26262 功能安全指南。相比之下，ASIL A 系统所需的工作量较少，但仍必须满足基准安全保证。

ASIL风险评估与判定

什么是 ASIL 风险评估？

ASIL 风险评估是 ISO 26262 功能安全标准定义的结构化流程，用于确定特定车辆功能的相应汽车安全完整性等级 (ASIL)。该流程评估潜在系统故障带来的风险，并根据评估的风险指导安全目标的制定。

该评估使用称为 HARA（危害分析和风险评估）的正式分析将每个功能分类为 ASIL A、B、C 或 D，以确保系统设计符合所需的安全严谨性。

如何确定 ASIL 等级：分步说明

确定正确的 ASIL 分类涉及以下结构化步骤：

1. 识别功能和潜在危险
   • 定义正在分析的系统或组件。
   • 识别所有潜在故障或危险情况。
2. 定义作战情况
   • 评估该功能在什么驾驶条件下运行（速度、道路类型、天气）。
3. 评估严重程度（S）
   • 估计失败的潜在后果。
   • 范围从 S1（轻伤）到 S3（危及生命或致命伤）。
4. 评估暴露（E）
   • 确定操作条件发生的频率。
   • 范围从 E1（非常低）到 E4（高概率）。
5. 评估可控性（C）
   • 判断驾驶员或系统避免危险的能力。
   • 范围从 C1（易于控制）到 C3（无法控制）。
6. 分配 ASIL 等级
   • 根据严重性、暴露性和可控性的组合，如果风险较低，则分配 ASIL 等级（A-D）或 QM（质量管理）。
7. 定义安全目标和要求
   • 将完整性等级结果转化为系统开发的具体安全目标和技术安全要求。

什么是 HARA（危害分析和风险评估）？

HARA 是危险分析和风险评估的缩写，是 ISO 26262 中用于评估和分类与汽车系统相关的风险的基础方法。

通过 HARA，对每个已识别的危险进行分析：

• 严重程度（S） – 故障对人类安全的影响
• 曝光度（E） – 发生驾驶情况的可能性
• 可控性（C） – 驾驶员/系统避免伤害的能力

HARA 矩阵映射这些输入以确定适当的 ASIL 级别，然后通知所有下游安全活动。

ASIL 因素解析：严重性、暴露性、可控性

这三个变量构成了汽车安全完整性等级确定的基础，使团队能够在整个产品开发生命周期中应用正确级别的功能安全保证。

功能安全和 ASIL 合规性

基于ASIL等级的功能安全要求

ISO 26262 标准定义的功能安全确保汽车系统即使在出现故障的情况下也能安全运行。每个 ASIL 等级（A 至 D）都引入了不同程度的安全完整性要求，其中 ASIL D 要求最严格的流程和控制。

汽车安全完整性等级越高，开发活动就必须越严格，包括：

• 系统性错误预防
• 稳健设计技术
• 验证和确认程序
• 容错和诊断覆盖率

这确保了功能安全与每个功能相关的潜在风险成比例地实现。

安全目标和安全要求

安全目标是基于 ASIL 风险评估 (HARA) 得出的顶级功能安全目标。这些目标是系统级目标，旨在预防或减轻危险事件。

然后将每个安全目标分解为功能安全要求（FSR）和技术安全要求（TSR），并分配到系统组件和架构中。

例如：

• 安全目标： 防止意外加速
• 功能安全要求： 监控油门输入的合理性
• 技术安全要求： 传感器冗余和信号比较

每个要求都带有分配给原始安全目标的 ASIL 级别，从而在整个系统层次结构中强制执行适当的开发严谨性。

汽车系统和零部件的 ASIL 合规性

ASIL 合规性意味着将整个产品开发过程与 ISO 26262 中针对特定 ASIL 分类概述的实践、活动和文档保持一致。

合规性的关键方面包括：

• 危害分析与风险评估（HARA）
• ASIL分解和分配
• 安全机制的开发（例如故障保护装置、看门狗）
• 验证和确认活动（测试、模拟）
• 创建安全案例和支持文档

所有组件（硬件、软件和机械）必须证明符合指定的汽车安全完整性等级，才可被视为可安全用于生产车辆。

对电子控制单元 (ECU) 和系统设计的影响

电子控制单元 (ECU) 在执行安全关键功能方面发挥着核心作用，因此它们直接受到汽车安全完整性等级分类的影响。

ASIL 通过以下方式影响 ECU 设计：

• 冗余：更高的 ASIL 级别需要冗余处理器、内存或通信路径
• 诊断：纳入错误检测和容错机制
• 分区：将安全关键软件与非关键任务隔离
• 开发过程：增强质量保证、可追溯性和生命周期文档
• 元件选择：优先选择经过 ASIL 认证或具备 ASIL 功能的微控制器

精心设计的系统从架构阶段就考虑 ASIL，以优化合规性、成本和可靠性。

Visure 要求 ALM 平台满足 ASIL 合规性

确保复杂汽车系统符合 ASIL 标准需要强大的工具，这些工具能够支持端到端功能安全并符合 ISO 26262 标准。Visure 需求 ALM 平台专为应对 ASIL 驱动型开发挑战而构建，提供全面的解决方案，用于管理整个生命周期内的安全需求、风险评估、可追溯性和验证。

Visure 的 ASIL 合规性关键功能

• ASIL-Ready 需求管理 – Visure 对所有安全相关需求进行集中控制，确保它们得到清晰定义、分类并与相应的 ASIL 等级保持一致。团队可以在统一平台内同时管理功能安全需求和技术安全需求。
• 综合 HARA 和风险评估支持 – Visure 通过风险矩阵、严重程度-暴露-可控性评分以及将危害与安全目标和 ASIL 分类直接联系起来，支持 HARA 流程（危害分析和风险评估），从而促进准确且可审计的 ASIL 风险评估。
• 完整的端到端可追溯性 – 从安全目标到系统需求、测试用例和验证结果，Visure 支持双向可追溯性——这是 ISO 26262 功能安全合规性的核心要求。可追溯性视图可确保对所有汽车安全完整性等级进行全面覆盖和影响分析。
• 符合 ASIL 标准的工作流程和模板 – Visure 预置了符合 ASIL 标准的 ISO 26262 模板、表单和工作流程。这些内容可以根据您组织的安全生命周期进行定制，并可在不同项目之间重复使用，从而提高一致性并缩短审计准备时间。
• 自动化 ASIL 文档和报告 – 生成实时 ASIL 特定文档，例如安全计划、安全需求规范 (SRS)、验证与确认报告以及安全案例。这确保评估、审计和认证报告的透明性。
• 人工智能驱动的需求质量援助—— Visure 集成了 AI 功能，可帮助识别编写不当或含糊不清的安全需求，从而提高质量并符合 ASIL 编写标准。这对于最大限度地降低开发过程中的安全风险至关重要。

为什么选择 Visure 进行 ASIL 项目？

• 从概念到生产均符合 ISO 26262 标准
• 优化工程和安全团队之间的协作
• 简化文档和安全审计
• 通过早期错误检测实现更快的风险缓解
• 提供与 MATLAB、Simulink、Polarion 等工具集成的灵活性

无论您开发的是 ASIL D 级制动系统还是 QM 分类下的信息娱乐界面，Visure requirements ALM 平台都能为您提供有效实现功能安全和合规性所需的控制、可见性和严谨性。

结语

在当今不断发展的汽车领域，ASIL（汽车安全完整性等级）在确保日益复杂的系统的功能安全方面发挥着至关重要的作用。ASIL 植根于 ISO 26262 标准，提供了一个结构化的框架，用于识别风险、定义安全要求并确保关键汽车部件即使在故障条件下也能可靠运行。

理解并实施 ASIL 等级（A 至 D）有助于开发团队系统地管理风险、定义适当的安全目标，并使系统架构与所需的安全完整性保持一致。从初始 HARA 评估到可追溯性和合规性验证，ASIL 有助于预防可能导致危及生命情况的危险故障。

随着汽车系统日益智能化和自动化，对强大的合规流程和工具的需求也空前高涨。Visure 需求 ALM 平台应运而生，提供集成的 AI 驱动解决方案，简化风险管理实施，增强可追溯性，并确保完全符合 ISO 26262 标准。

立即开始 Visure Requirements ALM Platform 14 天免费试用 并体验正确的工具如何改变您的 ASIL 需求管理、安全文档和功能安全生命周期。