来源:汽车功能安全
ASIL 表示汽车安全性等级。这是 ISO 26262 标准针对道路车辆的功能安全性定义的风险分类系统。
ASIL 根据伤害的可能性和可接受性来确定安全要求,以使汽车零部件符合 ISO 26262。该标准将功能安全定义为“不存在由电气电子系统故障行为相关的危害引起的不合理风险”。ASIL 根据对汽车部件的危害概率和承受度,确立符合ISO 26262标准的安全要求。ISO 26262 是一个面向目标的标准,完全关注“防止伤害”。尽管 ASIL 分类面临质疑的挑战,却旨在“防止损害”,并帮助我们在冗长且经常脱节的供应链中,让无数汽车零部件达到最高安全等级。
主要优势包括:
- 制定安全要求以将风险降低到可接受的水平
- 管理并跟踪安全要求
- 确保最终产品遵循标准化安全程序
ISO 26262 确定了5种 QM、ASIL — A、B、C 和 D。QM 的含义是只要遵循标准的质量管理流程(IATF16949),无需额外的安全措施。ASIL A 代表最低程度的汽车危害,ASIL D 则代表最高程度的汽车危险。
安全气囊、防抱死制动系统和动力转向系统必须达到 ASIL D 级,这是应用于安全保障的最严苛等级,因为其失效带来的风险最高。而安全等级范围的最低等级,如后灯等部件,仅需达到 ASIL A 级即可。大灯和刹车灯通常是 ASIL B 级,而巡航控制通常是 ASIL C 级。
ASIL的确定
ASIL的等级是由以下三个因素共同决定:
- 严重度S(Severity)
- 暴露度E(probability of Exposure )
- 可控度C(Controllability)
严重度
严重度是指当危害事件发生时,相关人所受到的伤害程度。这里的相关人既包括车内的驾驶员、乘客,也包括了其他交通参与者,比如路上的行人。ISO 26262将严重度分成了S0、S1、S2和S3四个等级,严重程度随着数值递增而增大。
| 等级 | S0 | S1 | S2 | S3 |
|---|---|---|---|---|
| 描述 | 无伤害 | 轻微伤害 | 威胁生命的伤害 | 致命伤害 |
| 参考AIS等级 | AIS 0或发生AIS1-6的概率小于10% | 发生AIS1-6的概率大于10% | 发生AIS3-6的概率小于10% | 发生AIS5-6的概率小于10% |
暴露度
暴露度是指危害事件相应场景的暴露概率。ISO 26262将暴露度分为E0、E1、E2、E3和E4五个等级
| E0 | E1 | E2 | E3 | E4 |
|---|---|---|---|---|
| 不会发生 | 少于每年一次 | 一年发生几次 | 每个月发生一次或更多 | 几乎每次驾驶都发生 |
可控度
可控度是指危害事件发生时,驾驶员或其他交通参与者对危害的控制程度,或者说是避免危害的能力。ISO 26262将可控度分为C0、C1、C2和C3四个等级。需要注意的是,与严重度、暴露度不同,C的数值越大可控程度越低。
| C0 | C1 | C2 | C3 |
|---|---|---|---|
| 通常可控 | 简单可控 | 正常可控 | 很难控制或不可控 |
| 通常可控 | 平均超过99%的司机或交通参与则可避免伤害 | 平均超过90~99%的司机或交通参与则可避免伤害 | 平均少于90%的司机或交通参与则可避免伤害 |
ASIL
将前面提到的各个等级的严重度、暴露度和可控度进行组合,就得到了如下表所示的ASILA、B、C和D四个等级。
对于S/E/C和ASIL A/B/C/D的对应关系有个更直观、容易的记忆方法:
ASILA:S+E+C=7
ASILB:S+E+C=8
ASILC:S+E+C=9
ASILD:S+E+C=10
故障分析手段
故障树分析(FTA是一种自上而下的故障分析方式。从追溯失效开始,辨别出导致故障的情况或事件,从而找出导致故障的根本事件或原因。
失效模式与影响分析(FEMA)是一种自下而上的故障分析方式。对构成产品的子系统、部件逐一进行分析,找出潜在的失效模式,并分析其可能的后果,从而预先采取必要的安全措施。
声明:本文为转载文章,转载此文目的在于传递更多信息,版权归原作者所有,如不支持转载,请联系小编demi@eetrend.com删除。
