技术干货 | 聊一聊功能安全中的ASIL 等级

ASIL（Automotive Safety Integrity Level，汽车安全完整性等级）作为 ISO 26262 功能安全标准的核心评估指标，采用A、B、C、D的分级体系（D级为最高风险等级）。通常在项目开发初期概念阶段就要根据相关项的功能进行失效分析，从而确定ASIL等级，以量化的方法平衡该项目开发时的安全与成本。

一、ASIL等级定义

ASIL等级的确定基于三个主要因素S（Severity，严重性）、E（Exposure，暴露概率）、C（Controllability，可控性） 评估风险参数，再分配相应失效下的ASIL等级。

● 严重性（Severity, S）：衡量故障可能导致的伤害或损伤的严重程度。

● 暴露率（Exposure, E）：衡量人员在特定操作条件下暴露于危险中的可能性。

● 可控性（Controllability, C）：衡量驾驶员或其他涉险人员避免事故或伤害的可能性。

二、ASIL等级确定步骤

图1 ASIL等级确定流程

其中S、E、C 的评估顺序可以调整。

表1 严重度等级S

表2 暴露概率等级

表3 可控性等级

通过一套组合拳，确定严重性、暴露度和可控性三维风险参数量化分析后，即可依据风险矩阵确定ASIL等级，以下表格提供了相关的参考。

表4 ASIL等级确定

三、ASIL等级与FMEA

实际项目开发过程中，已有的FMEA流程和ASIL等级确定步骤有何关系？危害分析与风险评估（HARA）的步骤与FMEA较为详细，应如何结合并进行融合？

其实ASIL等级的确定方法HARA与FMEA中前几个步骤很相似，两者均属于安全分析方法，我理解它们可以在系统安全工程中相互补充，二者分别通过风险量化和失效分析的方式协同工作，共同支撑产品的安全设计。ASIL 的确定弥补了FMEA在侧重单一失效模式、缺乏系统性风险评估方面的不足，同样ASIL等级的确定可以系统性地量化风险，确保高风险场景被优先处理。

针对两者交集部分，例如，S严重度或严重性的确定，可以充分考虑双方对失效模式的分析方法，同时分别关注安全合规性与其他法规符合性要求；又例如，在暴露概率E与发生概率O的评估中，需明确其评分准则的对应关系等。

具体整合建议如下

● 通过ASIL确定FMEA范围，在项目初期进行ASIL等级确定后，针对高等级的ASIL，如C、D，需要开展更深入的FMEA，如硬件FMEA、软件FMEA等；

● 针对新版FMEA，可以结合ASIL中S/E/C的评估准则，参考补充FMEA中的S/O/D评分说明；

● FMEA中输出的纠正措施需要与相应的ASIL等级要求一致，例如ASIL D需要故障注入测试，在FMEA的纠正措施中就不能只有简单的测试措施；

●ASIL等级适当地修订AP值，针对新版FMEA，虽然AP的评分已经比老版更加注重了高风险项的处理，但是针对自动驾驶感知系统的某些功能失效，例如未识别前方行人，在FMEA中需要确保该失效是高优先级；

●FMEA是ASIL的具体实践类工具，可以在FMEA中适当增加安全目标、ASIL等级、诊断覆盖率等信息，提供具体的实施方案。

四、注意事项

基于ISO 26262标准，ASIL等级由危害事件的三个属性（S/E/C）决定。当对这三个属性进行准确评估后，即可确定ASIL等级。但需注意，ISO 26262仅提供方法论框架，实际应用中需通过多部门协同、充分沟通及集体决策确定较为合理的ASIL等级。

ASIL等级反映产品安全底线要求，与产品实际安全水平无必然关联。高等级ASIL表明产品可能会带来比较高的安全风险，需在全生命周期内实施更严格的开发流程和管理规范，需要按照标准满足更为严苛的技术和管理要求。

广电计量功能安全培训课程

▶ 道路功能安全概览（0.01元即可学习）

▶功能安全管理（199元）

▶聊一聊功能安全概念的开发（199元）

▶如何基于功能安全系统级的开发与验证（199元）

▶如何进行基于功能安全硬件级开发与验证（199元）

▶如何进行基于功能安全软件级开发与验证（199元）

更多功能安全课程：

ISO 26262功能安全基础培训

ISO 26262 功能安全中级工程师培训（工信部备案资质）

ISO 26262 功能安全内审员培训

功能安全相关技术服务：

ISO 26262 功能安全流程搭建技术服务

ISO 26262 功能安全产品开发技术服务