Уровень целостности автомобильной безопасности

Уровень полноты автомобильной безопасности (ASIL) — это схема классификации рисков, определенная стандартом ISO 26262 — Функциональная безопасность дорожных транспортных средств. Это адаптация уровня полноты безопасности (SIL), используемого в стандарте IEC 61508 для автомобильной промышленности. Эта классификация помогает определить требования безопасности, необходимые для соответствия стандарту ISO 26262. УПБА устанавливается путем проведения анализа риска потенциальной опасности с учетом серьезности, подверженности и управляемости сценария эксплуатации транспортного средства. Цель безопасности для этой опасности, в свою очередь, соответствует требованиям УПБА.

Стандарт определяет четыре уровня ASIL: ASIL A, ASIL B, ASIL C, ASIL D. ASIL D устанавливает самые высокие требования к целостности продукта, а ASIL A — самые низкие. ^[1] Опасности , которые идентифицируются как QM ( см . ниже ) не диктуют никаких требований безопасности.

Из-за ссылки на SIL и того, что ASIL включает 4 уровня опасности с 5-м неопасным уровнем, в описаниях ASIL принято сравнивать его уровни с уровнями SIL и уровнями обеспечения проектирования DO-178C соответственно.

Определение УПБА является результатом анализа опасностей и оценки рисков . ^[2] В контексте ISO 26262 опасность оценивается на основе относительного воздействия опасных эффектов, связанных с системой, с поправкой на относительную вероятность опасности, проявляющей эти эффекты. То есть каждая опасность оценивается с точки зрения серьезности возможных травм в контексте того, сколько времени транспортное средство подвергается возможности возникновения опасности (см. определение воздействия ISO26262 ), а также относительной вероятности того, что типичный водитель может действовать для предотвращения травм (см. определения тяжести и управляемости ISO26262 ). ^[3]

Короче говоря, ASIL относится как к риску, так и к требованиям, зависящим от риска (стандартная обработка минимального риска для данного риска). Принимая во внимание, что риск обычно может быть выражен как

${\displaystyle {\text{Risk}}=({\text{expected loss in case of the accident}})\times ({\text{probability of the accident occurring}})}$

или

${\displaystyle {\text{Risk}}={\text{Severity}}\times ({\text{Exposure}}\times {\text{Likelihood}})}$^{[4] [5]}

ASIL может быть аналогичным образом выражен как

${\displaystyle {\text{ASIL}}={\text{Severity}}\times ({\text{Exposure}}\times {\text{Controllability}})}$^{[6] [7] [8]}

иллюстрирующая роль подверженности и управляемости в установлении относительной вероятности, которая в сочетании с серьезностью образует выражение риска.

Диапазон значений ASIL варьируется от ASIL D, представляющего высшую степень автомобильной опасности и высочайшую степень строгости, применяемую при обеспечении соответствия результирующим требованиям безопасности, до QM, представляющего применение без автомобильных опасностей и, следовательно, без требований безопасности, которые необходимо соблюдать в соответствии с ISO 26262. процессы безопасности. Промежуточные уровни представляют собой просто диапазон промежуточных степеней опасности и требуемых степеней уверенности.

ASIL D , аббревиатура уровня полноты автомобильной безопасности D , относится к высшей классификации начальной опасности (риска травм), определенной в стандарте ISO 26262, и к самому строгому уровню мер безопасности этого стандарта, который следует применять для предотвращения необоснованного остаточного риска. ^[2] В частности, УПБА D представляет собой вероятную возможность получения серьезной угрозы для жизни или смертельной травмы в случае неисправности и требует высочайшего уровня уверенности в том, что соответствующие цели безопасности достаточны и достигнуты. ^[2] Примером опасной опасности, требующей уровня ASIL D, является потеря торможения всех колес. ^[9]

ASIL D заслуживает внимания не только из-за повышенного риска, который он представляет, и исключительной строгости, необходимой при разработке, но и потому, что поставщики автомобильного электрооборудования, электроники и программного обеспечения заявляют, что их продукция сертифицирована или иным образом аккредитована по ASIL D. ^{[10] [11] [12] [13]} облегчить переход на уровень ASIL D, ^[14] или иным образом подходят или поддерживают разработку элементов УПБА D. ^{[15] [16] [17]} Любой продукт, способный соответствовать требованиям ASIL D, будет также соответствовать любому более низкому уровню.

ISO 26262 «настоятельно рекомендует» использовать полуформальные языки моделирования для проектов ASIL D ( Stateflow и SysML предоставляют примеры таких языков). ^[18] Выполняемая проверка с использованием прототипирования или моделирования является обязательной. ^[19]

Потеря торможения только задних колес менее опасна, эта опасность связана с УПБА C. ^[20] Еще одним примером менее критичной функции, заслуживающей рейтинга ASIL C, является круиз-контроль . ^[21]

Для проектов ASIL C настоятельно рекомендуется использовать полуформальные языки моделирования. ^[18] Выполняемая проверка с использованием прототипирования или моделирования является обязательной. ^[19]

Примерами ASIL B являются фары и стоп-сигналы . ^[21]

Моделирование проекта ASIL B может опираться на неформальные языки. ^[18] Из-за этого и других требований к различиям разница в стоимости между C и B становится самым большим шагом среди всех уровней УПБА. ^[22]

УПБА А – низший рейтинг функциональной безопасности. Типичным примером являются задние фонари (нетормозные). ^[21] менее строгие пошаговые инструкции по проектированию Во время разработки можно использовать (более высокие уровни требуют более формальных проверок проекта ). ^[19]

Что касается « Управления качеством », уровень QM означает, что все оцененные риски являются приемлемыми с точки зрения безопасности (даже если производитель может захотеть решить их с точки зрения удовлетворенности клиентов, например, убедиться, что автомобиль заводится). Таким образом, контроль обеспечения безопасности является ненужным, а для развития достаточно стандартных процессов управления качеством. ^{[23] [2]}

Проектирование всей системы в соответствии со строгими стандартами более высоких уровней УПБА может быть громоздким, поэтому ISO 26262 допускает «декомпозицию»: избыточные подкомпоненты, каждый из которых разработан для более низкого уровня УПБА, могут быть объединены в проект более высокого уровня УПБА с использованием более высокого уровня УПБА. методологии. Подкомпоненты, используемые таким образом, должны содержать функции, обеспечивающие интеграцию более высокого уровня. Часто используемое обозначение компонента уровня УПБА X, который может использоваться как часть системы уровня УПБА Y, — X(Y). Например, компонент A(B) спроектирован с учетом требований уровня ASIL A, но создан для соответствия проектам ASIL B (этот подкомпонент в просторечии описывается как «готовый к B»). ISO 26262 содержит несколько примеров разрешенных сценариев декомпозиции, например, ASIL B = A(B) + A(B), т.е. два резервных подкомпонента ASIL A, готовых к B, могут быть объединены в проект ASIL B. Фары представляют собой естественный пример такого разложения: их две, поэтому их можно спроектировать с уровнем УПБА A и объединить в систему УПББ B, если сочетание выполнено правильно (например, не должно вводить общую точку). неудачи). ^[24]

Учитывая, что ASIL является относительно недавней разработкой, при обсуждении ASIL его уровни часто сравниваются с уровнями, определенными в других хорошо зарекомендовавших себя системах управления безопасностью или качеством. В частности, уровни ASIL сравниваются с уровнями снижения риска SIL, определенными в IEC 61508, и уровнями обеспечения проектирования, используемыми в контексте DO-178C и DO-254 . Хотя есть некоторые сходства, важно также понимать различия.

ISO 26262 является расширением IEC 61508 . ^[2] IEC 61508 определяет широко используемую классификацию уровня полноты безопасности (SIL). В отличие от других стандартов функциональной безопасности, ISO 26262 не обеспечивает нормативного или информативного сопоставления уровней ASIL и SIL; хотя оба стандарта имеют схожие процессы оценки опасностей, значения ASIL и SIL рассчитываются с разных точек зрения. ^[25]

• ASIL ISO 26262 представляет собой качественную формулировку оцененного риска, оцененного с точки зрения трех параметров риска качественным способом, который оставляет место для интерпретации. ^{[26] [27] [28] [29] [30] [31]}

• С другой стороны, IEC 61508 SIL использует количественные показатели целевой вероятности или частоты. ^[27] опасных отказов в зависимости от типа функции безопасности. ^[32]

В контексте IEC 61508 приложения с повышенным риском требуют большей устойчивости к опасным сбоям:

${\displaystyle {\text{probability of failure}}<{{\text{Tolerable Risk}} \over {\text{Risk}}}}$

То есть для данного допустимого риска больший риск требует большего снижения риска, т. е. меньшего проектного целевого значения для большей вероятности опасного отказа. Для функции безопасности, работающей в режиме высокой нагрузки или в непрерывном режиме, SIL 1 связан с вероятностью опасного отказа, равной 10. ⁻⁵ в час, в то время как SIL 4 связан с вероятностью предельной частоты опасных отказов 10 ⁻⁹ в час.

В коммерческих публикациях показано, что уровень ASIL D соответствует уровню SIL 3, а уровень ASIL A сравнивается с уровнем SIL 1. ^[33]

Хотя чаще сравнивают уровни ISO 26262 от D до QM с уровнями обеспечения проектирования (DAL) от A до E и приписывают эти уровни DO-178C; эти DAL фактически определяются и применяются посредством определений SAE ARP4761 и SAE ARP4754 . особенно с точки зрения управления транспортными опасностями в течение жизненного цикла безопасности Область применения ISO 26262 более сопоставима с объединенной областью действия SAE ARP4761 и SAE ARP4754, . Оценка функциональной опасности (FHA) определена в ARP4761, а DAL — в ARP4754. DO-178C и DO-254 определяют цели обеспечения безопасности проектирования, которые должны быть достигнуты для данного DAL.

В отличие от SIL, и ASIL, и DAL являются показателями, измеряющими степень опасности. DAL E — это эквивалент QM в ARP4754; в обеих классификациях опасности незначительны, и управление безопасностью не требуется. С другой стороны, DAL A и ASIL D представляют собой самые высокие уровни риска, предусмотренные соответствующими стандартами, но они не учитывают одинаковый уровень опасности. В то время как ASIL D охватывает в основном опасности загруженного пассажирского фургона, DAL A включает в себя более серьезные опасности, связанные с большими воздушными судами, загруженными топливом и пассажирами. Публикации могут иллюстрировать УПБА D как эквивалент DAL B, DAL A или как промежуточный уровень.

• ИСО 26262
• САЭ Дж2980

• Точность ASIL
• ARP4761
• ARP4754
• ДО-178С
• ДО-254
• МЭК 61508

• Пиментел, Дж. (2019). Роль ISO 26262 . Автоматизированная безопасность транспортных средств. САЭ Интернешнл. ISBN  978-0-7680-0275-1 . Проверено 28 июля 2023 г.
• Се, Г.; Чжан, Ю.; Ли, Р.; Ли, К.; Ли, К. (2023). Функциональная безопасность встраиваемых систем . ЦРК Пресс. ISBN  978-1-000-88131-8 . Проверено 28 июля 2023 г.
• Фриджерио, Алессандро; Вермюлен, Барт; Гуссенс, Кес (2019). Декомпозиция ASIL на уровне компонентов для автомобильных архитектур . 2019 г. 49-я ежегодная Международная конференция IEEE/IFIP по надежным системам и сетям (DSN-W). IEEE. дои : 10.1109/dsn-w.2019.00021 .
• Накагава, EY; Антонино, ПО (2023). Эталонные архитектуры для критических областей: промышленное использование и влияние . Международное издательство Спрингер. ISBN  978-3-031-16957-1 . Проверено 28 июля 2023 г.