汽車技術的新革命不僅即將到來，而且已經到來。從電動汽車的迅速普及到自動駕駛汽車，汽車從機械系統的時代迅速發展。出于各種原因，這些進步令人興奮和受歡迎，但它們給從擋風玻璃雨刷器到微芯片再到內置攝像頭的所有開發人員帶來了越來越多的挑戰和考慮。隨著駕駛員越來越依賴使從 A 點到 B 點更輕松、更有趣的系統，他們還需要確保這些系統安全可靠。

在這種新的汽車現實中，遵守安全準則從未像現在這樣重要。隨著開發人員和制造商努力實現 ISO 26262 合規性，他們必須了解汽車安全完整性等級 （ASIL），才能知道要應用什么級別的嚴格性。

什么是 ASIL？

ASIL 代表 Automotive Safety Integrity Level，是道路車輛功能安全的風險分類系統。ASIL 由 ISO 26262 標準第 9 部分定義，并改編自 IEC 61508 中發布的安全完整性等級 （SIL） 指南。

雖然遵守 ISO 26262 不是強制性的，但它是行業內最先進的做法，而 ASIL 是該標準的關鍵部分。ASIL 根據產品失敗時對人造成傷害的風險來確定產品開發過程的嚴格程度。通過根據各種因素對每個組件、模塊或系統進行全面的安全評估，團隊可以對發生故障時的風險和結果做出合理的預期，并實施緩解措施來降低風險。

ASIL 是在全面的危害分析和風險評估 （HARA） 后確定的。工程師或開發人員在評估每個組件或系統時，會關注該組件或系統的潛在故障所帶來的風險和危害。系統出現故障的可能性有多大？如果失敗了怎么辦？駕駛員可以在不受傷的情況下補償或管理故障嗎？發生故障時是否有可能發生傷害，如果是，傷害會有多嚴重？一旦危害分析和風險評估完成，團隊就可以分配 ASIL。

有哪些不同的 ASIL？

ASIL 將危害分為四個級別之一，表示為 A 到 D，第五個附加級別用于非危險系統或組件。ASIL D 代表最高風險級別，而 ASIL A 代表最低風險級別。附加級別 QM 代表質量管理，表示僅需要標準質量管理合規性的非危險物品。

一般來說，防抱死制動器或安全氣囊等系統需要 ASIL D 分類，因為在這些系統中與故障相關的風險最高。另一方面，尾燈等系統只需要 ASIL A 分類;雖然尾燈肯定有安全組件，但大多數駕駛員可以減輕這些風險，而且潛在的傷害嚴重程度通常并不高。

哪些因素決定了 ASIL？

要確定 ASIL，開發人員和工程師會考慮三個因素：

• 嚴重程度（危險事件造成的傷害的潛在嚴重程度）

• 暴露（可能導致受傷的情況的頻率）

• 可控性（駕駛員可以采取行動防止受傷的可能性）

在這三個因素中，每個因素都有以數字表示的附加級別：

嚴厲

S0：無傷

S1：輕至中度損傷

S2：重度至危及生命的損傷（可能存活）

S3：危及生命（生存不確定）至致命傷害

暴露

E0：極不可能

E1：概率非常低

E2：低概率

E3：中等概率

E4：高概率（在大多數作條件下都可能發生傷害）

操縱

C0：一般可控

C1：簡單可控

C2：通常可控（大多數駕駛員可以采取行動以防止受傷）

C3：難以控制或無法控制

相關文章：ISO 26262 對汽車開發的影響

如何選擇我的 ASIL？

為了確定 ASIL，開發團隊應對每個系統、模塊或組件進行全面的危害分析和風險評估 （HARA）。此評估的目的是識別所有可能導致危險或故障的故障，并評估與這些故障相關的風險。任何旨在使任何產品符合 ISO 26262 標準的制造商都應進行 HARA 并分配 ASIL 。

在 HARA 期間，團隊分配上圖確定的嚴重性、暴露和可控性級別。在這些類別中確定這些級別后，團隊可以使用下表得出 ASIL ：

請注意： 雖然本指南通?？梢詭椭R別 ASIL，但它不應作為正式的 ASIL 確定。

ASIL 分類有哪些示例？

盡管不同的 ASIL 分類存在一定程度的主觀性，但一些系統和組件的分類相當一致。以下是一些示例：

ASIL D：安全氣囊、防抱死制動、電動助力轉向

ASIL C：自適應巡航控制、電池管理、懸架

ASIL B：剎車燈、后視攝像頭、組合儀表

ASIL A：尾燈、加熱和冷卻、車身控制單元

QM：GPS/導航系統、衛星/數字無線電、連接性（USB、HDMI、藍牙）

即使在這些示例中，不同型號、制造商或風險評估之間也可能存在差異。例如，根據其他因素，“發動機管理”風險可能是 ASIL C 或 D，而各種動力總成系統和風險可能在 ASIL B 和 ASIL D 之間有所不同。評估風險和分配級別需要考慮許多因素。

此外，ASIL 可能會發生變化。例如，OEM（原始設備制造商）可以確定某個組件的 ASIL B 級別，但一旦該組件與其他系統集成，該級別可能會隨著額外的危害分析和風險評估而提高或降低。

ASIL 面臨哪些挑戰？

盡管上圖顯示了如何根據嚴重性、風險和可控性級別得出 ASIL，但分配這些級別涉及一定程度的主觀性。例如，道路狀況、環境因素、交通密度、駕駛員能力和接觸可能性都可能有很大差異。在寬闊、空曠、干燥的道路上駕駛車輛的駕駛員可能比在暴雨期間在交通繁忙的道路上駕駛的駕駛員更有可能控制危險事件。ASIL 分類系統取決于對“通?！薄ⅰ翱赡堋焙汀翱赡堋钡仍~的主觀解釋，這涉及工程師和開發人員在一定程度上受過教育的判斷。確定 ASIL 級別的另一個挑戰是，在沒有進行全面的危害分析和風險評估的情況下，根據過去的級別分配做出假設的誘惑。例如，如果系統之前被指定為 ASIL 級別 B，則可能很容易假設其當前級別應該相同。但是，系統的改進或與其他系統的集成可能會改變級別。如果 GPS 系統現在與攝像頭設備或其他一些智能技術集成，那么這種新的集成可能會提高或降低 ASIL 級別。

最后，沒有正確保存良好文檔記錄或跟蹤要求的團隊可能會得出不準確的 ASIL，甚至完全忽視風險。當文檔和需求沒有得到徹底跟蹤時，團隊可能會錯過關鍵的功能安全風險。需求跟蹤和可追溯性不僅對于符合 ISO 26262 至關重要，而且對于徹底準確地評估和降低風險的實際市場需求也至關重要。

ASIL 如何影響產品開發？

一旦制定了系統的 ASIL，ISO 26262 就定義了基于 ASIL 所需的不同嚴格級別。例如，對于 ASIL A 和 B，信息表示法足以滿足捕獲要求。這通常意味著需求是用自然語言編寫的，并用簡單的數字進行擴充，以消除關鍵概念的文盲。對于 ASIL C 和 D，建議使用更半正式的表示法。需求通常仍然用自然語言編寫，但隨后會開發系統模型以更準確地描述行為。開發這些模型需要團隊中的額外專業知識，但可以提高文檔的準確性并降低溝通不暢的風險。開發更高 ASIL 系統的團隊通常需要額外的專業知識以及專門的軟件工具來支持該過程。

ASIL 是如何演變的？

汽車工程師協會 （SAE） 于 2015 年發布了 J2980，為評估嚴重性、暴露和可控性提供了額外的指導。此外，J2980 本身和 ISO 26262 都在 2018 年進行了更新。

隨著 AI（人工智能）、自動駕駛功能以及通過 IoT（物聯網）集成到外部系統等汽車技術的進步，可控性的概念提出了特殊的挑戰。目前，“可控性”主要是指人類車輛駕駛員，但隨著汽車獨立反應的能力越來越強，評估可控性的標準可能會發生變化。隨著功能越來越多地補償駕駛員錯誤，汽車變得越來越安全和智能，從而降低了導致嚴重傷害或死亡的危險的可能性。然而，與此同時，對外部系統的訪問可能會引入網絡漏洞，使 ASIL 的考慮變得復雜。

網絡安全漏洞可能會導致安全考慮，就像硬件故障一樣。因此，團隊現在開始一起分析系統的安全性。ISO 21434 特別提出了與 ISO 26262 相配合的建議，以支持這一過程。