广告
功能安全: ASIL分解的使用和误用
2019-05-31 23:44:06· 来源:混合动力系统攻城狮
ASIL分解是功能安全系统设计的必要阶段,这部分工作做不好,开发复杂度、零部件成本都是难以接受的。这部分内容,我也刚刚接触,正好写篇文章理一理思路。什么是
ASIL分解是功能安全系统设计的必要阶段,这部分工作做不好,开发复杂度、零部件成本都是难以接受的。这部分内容,我也刚刚接触,正好写篇文章理一理思路。
什么是ASIL分解?
控制系统的Safety goal和ASIL等级确定以后,从Safety goal可以推导出功能安全需求。功能安全需求继承了安全目标的ASIL等级。如果一个安全需求可以分解为两个安全需求,那么原来安全需求的ASIL等级可以分解到这两个安全需求上。
这个分解的结果是需求ASIL等级下降,但本质是功能安全需求的分解,最终都是实现相同ASIL等级的安全目标。下图给出了ASIL分解的原则,分解后的ASIL等级后面括号里是指明原始安全需求的ASIL等级,因为集成和需求的验证仍然依据原始的ASIL等级。ASIL的分解可以在功能安全活动的多个阶段进行,比如概念设计、系统设计、硬件设计和软件设计阶段。而且ASIL分解可以分多次进行,比如ASIL D=ASIL C(D)+ASIL A(D),其中ASIL C(D)还可以继续分解为ASIL B(D)+ASIL A(D)。
“ASIL”分解误用案例
电子转向锁系统(Electronic steering lock)
该系统的功能安全目标如下表所示。
由功能安全目标导出的功能安全需求和需求分解如下图所示。
如果上面的分解过程是正确的,可以导出更新后的控制系统架构如下图所示。第一个控制器充当网关角色,作为唯一输入源。如果Primary controller CAN接收失效,两个控制器的的输入都是有误的。会产生共因失效,这在功能安全要求里是不被允许的(ISO26262第九章)。
考虑了共因失效的影响,在做ASIL分解的时候,最重要的要求是子系统的独立性,如果不能满足独立性的要求,冗余单元要按照原来的ASIL等级开发。修正后的系统架构图如下所示。
“ASIL”分解常见误区
误区1:不了解ASIL分解的目的
误区2:认为ASIl分解能够改变随机性失效度量指标
误区3:认为检测机制就是ASIL分解
误区4:无法区分安全冗余与功能冗余
误区5:即使是安全冗余也不一定可以分解
误区6:过早的做了ASIL分解,实际实施时不对应
参考资料:
<THE USES AND ABUSES OF ASIL DECOMPOSITION IN ISO26262> ,MIRA Limited UK, D.D Ward
《ASIL分解与常见误区》-TÜV RheinLand, Jemmy Bian.
广告
最新资讯
-
国外Rivian和Lucid被认为是特斯拉劲敌,而
2024-05-03 09:26
-
干货丨燃料电池低温特性测试——冷冻解冻循
2024-05-03 09:25
-
特斯拉放弃“一体化压铸”
2024-05-03 08:58
-
纯电动汽车电驱动系统功能安全技术全方位解
2024-05-03 08:54
-
动力电池行业离职率飙升
2024-05-02 17:19
广告
广告
