汽车功能安全(ISO 26262)系列: 你真的了解ASIL等级分解吗(上)

ASIL等级无疑是汽车功能安全最重要的概念之一，它是相关项潜在危害的风险量化指标，共包含四个等级，即A，B，C，D，和QM，其中A是最低的安全等级，D是最高的安全等级，ASIL等级越高，危害的风险越大，QM为符合正常质量管理即可。

ASIL分解本质是充分冗余，冗余的本质就是独立性，所以独立性是ASIL等级分解的前提，所谓的独立性就是分解后的两个需求，即不存在级联失效，也没有共因失效的问题。

ASIL等级贯穿整个相关项的开发，最初作为安全目标SG的安全属性要求，随着从概念，到系统，再到硬件和软件的开发，ASIL等级由后续每个安全要求来继承。

从本质上来讲，ASIL安全等级的高低直接决定了系统的安全性要求的高低，ASIL 等级越高，意味着为实现相应的安全需求，需要付出更高的代价，需要遵循更严格的开发流程，更高的硬件概率化度量指标，这会直接导致开发成本的增加、开发周期的延长，甚至有时候有时候因为技术原因，无法满足相应的ASIL等级。

为此，ISO 26262提出了在满足安全目标的前提下，通过对ASIL等级进行合理地分解，进而降低ASIL等级的要求。

如下图所示，这里需要注意免于干扰(FFI) 和ASIL等级分解独立性原则(Independence)区别:

• FFI: 要避免在两个或者更多要素之间由于级联失效而导致的违反功能安全要求。

• ASIL等级分解独立性: 除保证无级联失效外，还需要保证无共因失效问题，所以独立性要求更为广泛，需要通过相关失效分析(DFA，Dependent Failure Analysis)证明。

证明两个分解元素之间的独立性的复杂程度取决于分解的应用场合。如果它应用于系统/ECU层面，需要考虑的参数可能包括HW连接器、电源、PCB电路、时钟源等，分析所有这些因素并得出不存在依赖性的结论，本身就会成为一个小型项目。对于软件或硬件层级的分析，一般分析对象没有这么复杂，所以可以采用安全分析方法直接确定是相关要素否独立。

为了方便理解和记忆，所有形式的ASIL分解可以利用以下简单的数学公式进行描述：

ASIL D (X) 利用4代替;

那么分解后的ASIL等级数值必须等于分解之前的的等级数值，即ASIL 分解 #1 (X) + ASIL 分解#2 (X) = ASIL#3 X。

ASIL D = ASIL B (D) + ASIL B (D) ，相当于4=2+2;

ASIL C = ASIL C (C) + QM (C)，相当于3=3+0;

虽然在ASIL分解可能性表格中，每个ASIL等级均被分解为两个较低，或自身+QM的ASIL等级，但实际上， 它们只是最根本的ASIL分解形式，只要满足ASIL分解前提，我们可以将ASIL等级无穷级分解。

例如，对于ASIL D = ASIL C (D) + ASIL A (D)，分解后的两个部分，如果依然满足分解前提，那我们可以将其中C和A的部分，根据ASIL C和A的分解可能性，进行进一步的分解，直至不能分解为止。

所以，上表中所列的分解形式，只是所有分解形式中最少且最基本的分解可能性，依据这些分解形式我们可以拓展到其他所有可能的三个或以上的分解形式中。

例如：ASIL C = ASIL A (C) + ASIL A (C) + ASIL A (C)，相当于3 = 1 + 1 + 1;

但不管哪个ASIL等级，理论上只有进行无穷分解，分解后的要素才能最终全部趋于QM，且它们之类的独立性必须保证，这一般很难实现。