ISO26262中的ASIL等级确定与分解(EPB案例)

合集下载

ASIL分解的要点

ASIL分解的要点Why在功能安全中，一个非常重要的概念是功能安全的分解。

如何合理的实现功能安全高等级往下分解是个要非常小心的事情。

这里面有一些注意事项要关注到，否则会导致误分解等。

What什么是ASIL分解？ISO 26262 中给出的设计过程中的ASIL调整方法被称为「ASIL 分解」。

控制系统的Safety goal和ASIL等级确定以后，从Safety goal 可以推导出功能安全需求。

功能安全需求继承了安全目标的ASIL等级。

如果一个安全需求可以分解为两个安全需求，那么原来安全需求的ASIL等级可以分解到这两个安全需求上。

ASIL分解HowASIL分解原则：ASIL分解原则ASIL的分解可以在功能安全活动的多个阶段进行，比如概念设计、系统设计、硬件设计和软件设计阶段。

而且ASIL分解可以分多次进行，比如ASIL D=ASIL C(D)+ASIL A(D),其中ASIL C(D)还可以继续分解为ASIL B(D)+ASIL A(D)。

证明ASIL分解的有效性一个ASIL C分解的例子如下图示：ASIL分解证明如下：5.0E-4 = 5.0E-1 * 1.0E-3SIL(5.0E-4) = SIL(5.0E-1) + SIL(1.0E-3)SIL C = SIL A + SIL B「ASIL分解」常见误区误区1：不了解ASIL分解的目的误区1误区2：认为ASIl分解能够改变随机性失效度量指标误区2误区3：认为检测机制就是ASIL分解误区3误区4：无法区分安全冗余与功能冗余误区4误区5：即使是安全冗余也不一定可以分解误区5误区6：过早的做了ASIL分解，实际实施时不对应误区6How Good通过ASIL分解，有如下好处：•增加一个逻辑简单的安全监控电路，避免对以往设计的改动；•使用已有的低安全等级组件组合，完成高级版安全功能。

通过ASIL分解，降低了设计难度，有利于解决工程设计中的两个难点问题：“现有技术方案升级”和“成本极具上升”。

ISO-26262中的ASIL等级确定与分解

ISO26262中的ASIL等级确定与分解1.引言汽车上电子/电气系统（E/E）数量不断的增加，一些高端豪华轿车上有多达70多个ECU （ElectronicControlUnit电子控制单元），其中安全气囊系统、制动系统、底盘控制系统、发动机控制系统以及线控系统等都是安全相关系统。

当系统出现故障的时候，系统必须转入安全状态或者转换到降级模式，避免系统功能失效而导致人员伤亡。

失效可能是由于规范错误(比如安全需求不完整)、人为原因的错误(比如：软件bug)、环境的影响(比如：电磁干扰)等等原因引起的。

为了实现汽车上电子/电气系统的功能安全设计，道路车辆功能安全标准ISO26262[1]于20KK年正式发布，为开发汽车安全相关系统提供了指南，该标准的基础是适用于任何行业的电子/电气/可编程电子系统的功能安全标准IEC61508[2]。

ISO26262标准中对系统做功能安全设计时，前期重要的一个步骤是对系统进行危害分析和风险评估，识别出系统的危害并且对危害的风险等级——ASIL等级（AutomotiveSafetyIntegrationLevel，汽车安全完整性等级）进行评估。

ASIL有四个等级，分别为A，B，C，D，其中A是最低的等级，D是最高的等级。

然后，针对每种危害确定至少一个安全目标，安全目标是系统的最高级别的安全需求，由安全目标导出系统级别的安全需求，再将安全需求分配到硬件和软件。

ASIL等级决定了对系统安全性的要求，ASIL 等级越高，对系统的安全性要求越高，为实现安全付出的代价越高，意味着硬件的诊断覆盖率越高，开发流程越严格，相应的开发成本增加、开发周期延长，技术要求严格。

ISO26262中提出了在满足安全目标的前提下降低ASIL等级的方法——ASIL分解，这样可以解决上述开发中的难点。

本文首先介绍了ISO26262标准中的危害分析和风险评估阶段中的ASIL等级确定方法，然后介绍了ASIL 分解的原则，并辅以实例进行说明。

iso26262 asil等级定义

iso26262 asil等级定义ISO 26262 ASIL等级定义ISO 26262是一种用于汽车电子系统的功能安全标准。

它定义了一套用于评估和管理汽车电子系统功能安全的方法和流程。

其中，ASIL（Automotive Safety Integrity Level）是ISO 26262标准中定义的四个等级之一，用于评估系统的安全性。

ASIL等级是根据潜在危险性、频率和可避免性来定义的。

根据ISO 26262标准的要求，将系统的功能安全从ASIL A（最低等级）到ASIL D（最高等级）进行分类。

不同等级的定义基于系统的潜在危险性和要求的安全性。

下面将对ASIL等级进行详细描述：1. ASIL A：此等级对驾驶员和其他道路用户的安全没有直接影响，因为系统没有潜在危险性。

这意味着系统的功能安全性可忽略或仅有轻微的影响。

2. ASIL B：此等级对驾驶员和其他道路用户的安全有轻微的影响。

系统的潜在危险性虽然较小，但存在一定的安全要求。

使用双重系统或强大的错误检测和纠正机制来确保安全性。

3. ASIL C：此等级对驾驶员和其他道路用户的安全具有中等影响。

系统的潜在危险性较高，并且需要采取严格的措施确保安全性。

需要更强大的硬件和软件机制来检测和纠正错误。

4. ASIL D：此等级对驾驶员和其他道路用户的安全有严重影响。

系统的潜在危险性最高，要求系统具备极高的安全性。

需要采用高度可靠的硬件和软件机制来确保功能安全，包括冗余设计、错误检测和纠正等。

通过定义这样的ASIL等级，ISO 26262标准为汽车电子系统的开发者提供了明确的标准和指导原则。

这有助于确保汽车电子系统的功能安全性，并减少潜在的危险性。

在开发过程中，开发者应该根据实际需求和系统的潜在危险性选择适当的ASIL等级，并采取相应的安全措施来满足要求。

这样可以为驾驶员和道路上的其他用户提供更安全的行驶环境。

汽车电子功能安全标准ISO26262解析（三）——硬件部分

汽车电子功能安全标准ISO26262解析（三）——硬件部分汽车电子功能安全标准ISO26262解析（三）——硬件部分原创pianpian_zct 最后发布于2017-12-29 13:09:34 阅读数13865 收藏展开1. The necessary activities and processes for the product development at the hardware level include:(1) the hardware implementation of the technical safety concept;(2) the analysis of potential hardware faults and their effects;(3) the coordination with software development.为了满足ISO26262，硬件方面需要做的工作包括：(1) 功能安全概念的硬件实现；(2) 潜在硬件失效及后果分析；(3) 与软件开发协同合作。

2. 硬件功能安全相关工作：硬件功能安全方面相关工作包括：(1) 5.5 initiation of product development at the hardware level: 启动硬件设计具体包括哪些工作包？目的是决定并计划硬件设计每个阶段的功能安全活动。

输入：完善后的项目计划、完善前的安全计划、完善后的集成测试计划输出：完善后的安全计划(2) 5.6 specification of hardware safety requirements: 定义硬件功能安全需求输入：安全计划、安全概念、系统设计说明书、硬件软件接口说明输出：硬件安全需求(包括测试和验证标准)、完善的硬件软件接口说明、硬件安全需求验证报告如何定义硬件功能安全需求，使用什么工具软件，模板如何？They are derived from the technical safety concept and system design specification.硬件功能安全需求来源于系统安全概念和系统设计文档。

基于iso26262的商用车车身电控系统功能安全设计

严重程度 s o 无损害 S1 轻度和中度损害 S2 严重损害（有生存的可能） S3 致命的损害
暴露概率 E0 不可信的 E1 非常低的槪率 E2 低概率的 E3 中等概率的 E4 高概率的
可控制性 C0 —般可控制 C 1 简单可控制 C2 正常可控制 C3 难可不能控制
《重型汽 -< 车》
光、远光灯控制，昼间行驶灯控制，门求，故对雨刮高速
灯控制，制动灯、倒车灯控制，倒车蜂功能定义为 ASIL
主CPU
辅CPU
鸣器控制，雨刮喷淋控制，雨刮高、低 B ，其他为 QM。
图 2 车身控制器工作概图
速控制以及间歇控制。 2 . 2 危害分析和风险评估
车身控制系统主要功能是辅助驾驶
作也是其研究的重点。它接受开关和传出，雨需要保证
感器的信息，转换为控制器可以识别的雨刮正常工作。鉴
信号，同时加以存储和运算，最终输出于雨刮低速、雨刮
可以执行的命令。
间歇和雨刮高速在
车身控制器有以下功能：危机报警紧急情况下，可以
灯控制，左右转向灯控制，位置灯、近只用高速来满足要
型
歇控制以及喷淋控制）为例，介绍评估
表 4 车身控制系统功能安全等级
现，例如电磁干扰情况下，主 C P U 多
汽
过程。雨刮系统工作方式如图1 所示，
功能
功能安全等级
次重启，仍无法正常工作，辅 C PU 会
馈工作状态（区别于喂狗）给辅 CPU
于 IS0 2 6 2 6 2 所要求的功能安全开发。
根据上述案例，评估出车身控制系进行监测。若正常工作，辅 C P U 只会

汽车功能安全ISO26262 ASIL分解经验

Function 3 (ASIL z)
17 February 2011
A HW/SW element inherits the ASIL from the highest ASIL function running on it
Experience with ASIL Decomposition
3
Lowering the ASIL
• In this case, the ASIL associated with the hardware or software component is inherited from the function with the highest ASIL
Function 1 (ASIL x) Function 2 (ASIL y)
7
Industrial Scenario
17 February 2011
Experience with ASIL Decomposition
8
Problem Description
• Consider a function F which, upon input from a combination of sensors S1, S2, ... Sn issues an activation command to actuator M (“Motor”)
4
Valid Combinations
Table of valid combinations for ASIL decomposition
17 February 2011
Experience with ASIL Decomposition
5
ASIL Decomposition Basics

ISO26262中的ASIL等级确定与分解(EPB案例)

ISO26262中的ASIL等级确定与分解(EPB案例)ISO 26262中的ASIL等级确定与分解1. 引言汽车上电子/电气系统（E/E）数量不断的增加，一些高端豪华轿车上有多达70多个ECU（Electronic Control Unit电子控制单元），其中安全气囊系统、制动系统、底盘控制系统、发动机控制系统以及线控系统等都是安全相关系统。

当系统出现故障的时候，系统必须转入安全状态或者转换到降级模式，避免系统功能失效而导致人员伤亡。

失效可能是由于规范错误(比如安全需求不完整)、人为原因的错误(比如：软件bug)、环境的影响( 比如：电磁干扰)等等原因引起的。

为了实现汽车上电子/电气系统的功能安全设计，道路车辆功能安全标准ISO 26262[1]于2011年正式发布，为开发汽车安全相关系统提供了指南，该标准的基础是适用于任何行业的电子/电气/可编程电子系统的功能安全标准IEC 61508[2]。

ISO 26262标准中对系统做功能安全设计时，前期重要的一个步骤是对系统进行危害分析和风险评估，识别出系统的危害并且对危害的风险等级——ASIL等级（Automotive Safety Integration Level，汽车安全完整性等级）进行评估。

ASIL有四个等级，分别为A，B，C，D，其中A是最低的等级，D是最高的等级。

ASIL等级决定了对系统安全性的要求，ASIL等级越高，对系统的安全性要求越高，为实现安全付出的代价越高，意味着硬件的诊断覆盖率越高，开发流程越严格，相应的开发成本增加、开发周期延长，技术要求严格。

ISO 26262中提出了在满足安全目标的前提下降低ASIL等级的方法——ASIL分解，这样可以解决上述开发中的难点。

本文首先介绍了ISO 26262标准中的危害分析和风险评估阶段中的ASIL等级确定方法，然后介绍了ASIL分解的原则，并辅以实例进行说明。

iso26262 代码覆盖率等级

iso26262 代码覆盖率等级
（原创实用版）
目录
1.Iso26262 概述
2.代码覆盖率的定义
3.Iso26262 的代码覆盖率等级
4.各个等级的含义和应用
5.总结
正文
1.Iso26262 概述
Iso26262 是国际标准，主要针对汽车电子产品和系统的功能安全。

它的全称是“道路车辆 - 功能安全 - 电控系统用软件的 ISO26262”，主要目的是确保汽车电子产品和系统的安全。

2.代码覆盖率的定义
代码覆盖率是指软件测试中，测试用例覆盖软件代码的比例。

通常情况下，代码覆盖率越高，软件的质量和稳定性越有保障。

3.Iso26262 的代码覆盖率等级
根据 Iso26262 标准，代码覆盖率被分为了不同的等级，分别是：- ASIL A: 级别最高的安全等级，要求代码覆盖率达到 100%。

- ASIL B: 要求代码覆盖率达到 70%。

- ASIL C: 要求代码覆盖率达到 60%。

- ASIL D: 要求代码覆盖率达到 30%。

4.各个等级的含义和应用
各个等级的含义和应用主要取决于软件的功能和安全需求。

例如，对于关键的安全功能，如汽车的制动系统，代码覆盖率需要达到最高的 ASIL A 级别。

而对于一些非关键的功能，如车载娱乐系统，代码覆盖率可能只需要达到 ASIL D 级别。

5.总结
总的来说，Iso26262 的代码覆盖率等级是确保汽车电子产品和系统安全的重要标准。

iso26262 asil等级定义(二)

iso26262 asil等级定义(二)ISO26262 ASIL等级定义ISO26262是一种安全相关电子系统的国际标准，适用于汽车行业。

该标准规定了ASIL（Automotive Safety Integrity Level）等级的定义，用于评估汽车电子系统的安全性能。

ASIL等级的定义基于对潜在危险源和可接受风险的分析，旨在确保汽车电子系统能够提供足够的安全保护。

ASIL等级定义•ASIL A：要求最低，对人身安全造成的风险较低，但仍然需要满足ISO26262的技术要求。

•ASIL B：对人身安全造成的风险较低，但要求相比ASIL A更严格，需要更高的技术要求。

•ASIL C：对人身安全造成的风险较高，要求相比ASIL B更严格，需要更高的技术要求。

•ASIL D：对人身安全造成的风险最高，要求最严格，需要最高的技术要求。

ASIL等级理由ASIL等级的定义是为了确保汽车电子系统的安全性能，尤其是在发生故障或事故时能够提供足够的保护。

不同的ASIL等级对应着不同的风险水平和安全要求，有助于制造商和开发人员在设计和开发过程中采取适当的措施，以降低潜在风险并提高系统的安全性。

ASIL等级定义考虑了人身安全的重要性，通过区分不同等级，可以使制造商和开发人员在设计和开发过程中更加专注于风险评估和缓解措施的建立，从而提高整个系统的安全性能。

书籍简介《ISO 26262: Functional Safety in Automotive – Embedded Software Engineering Handbook》是一本针对ISO26262的著作，专注于嵌入式软件工程方面。

该书详细介绍了ISO26262标准和ASIL等级定义，并提供了实用的指导和方法，以帮助开发人员在设计和开发过程中满足ISO26262的要求。

该书涵盖了从概念阶段到系统设计和软件开发的各个阶段，通过实例和案例分析，指导读者如何应用ISO26262标准和ASIL等级定义，以及如何构建可靠和安全的嵌入式软件系统。

汽车ISO26262标准对汽车安全相关系统研发的要求简述

公
公司安全经理
司
级
别
调度
反馈
业务
业务部门 1
部门
安全经理
级
别
项
目
级
别
项目 1
安全经理
业务部门 2 安全经理
理队项抽目取从安安全全经团
项目 2 安全经理
业务部门 3 安全经理
项目 3 安全经理
图 1：功能安全管理组织架构（来自 ISO26262 功能安全标准建议）
ISO26262 标准还对各级安全经理的具体工作职能联系和区分作了详尽的描述，以及详细的安全活动内容和安全流程也有详尽阐述，这里不作赘述。
方法
ASIL
A
B
C
D
1
FTA
○
+
++
++
2
FMEA
+++
注：++含义为必须覆盖；+含义为推荐；○含义为不强制也不反对，后面表格中++/+/○这些符号含义与此处定义相同，后面不再分别
作出解释。
对于 ASIL 等级为 B，C，D 的情况，应提供证据或论证，证明安全机制避免单点故障和多点故障的有效性，安全论证包括以下方面内容：一是应评估诊断覆盖率；二是应提供证明，证明安全机制具有保持安全状态或安全地切换到安全状态的能力
11、硬件设计开发----硬件安全需求规范拟订
硬件在开发之前，需要制定一份完整的硬件安全需求规范，该规范需要考虑：一是认证和测试；二是安全机制，通过硬件安全机制，能够控制硬件单元内部失效以及能够承受单元外部失效以及能够检测和示意外部故障以及可以匹配其它单元的安全要求；三是硬件量化要求指标，它包含硬件架构指标要求和随机硬件故障指标要求。根据系统级规范和硬件安全要求进行硬件设计，硬件设计包括硬件架构设计和硬件详细设计。硬件架构设计应表示出所有硬件组件及彼此间的关联，应实现规定的硬件安全要求，应能通过硬件架构设计追溯到规定的硬件安全要求。硬件详细设计是指在电气原理图级别上的设计，应表示出组成硬件组件的电子元器件之间的相互关联。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

ISO 26262中的ASIL等级确定与分解1. 引言汽车上电子/电气系统（E/E）数量不断的增加，一些高端豪华轿车上有多达70多个ECU（Electronic Control Unit电子控制单元），其中安全气囊系统、制动系统、底盘控制系统、发动机控制系统以及线控系统等都是安全相关系统。

当系统出现故障的时候，系统必须转入安全状态或者转换到降级模式，避免系统功能失效而导致人员伤亡。

失效可能是由于规范错误(比如安全需求不完整)、人为原因的错误(比如：软件bug)、环境的影响( 比如：电磁干扰)等等原因引起的。

ISO 26262标准中对系统做功能安全设计时，前期重要的一个步骤是对系统进行危害分析和风险评估，识别出系统的危害并且对危害的风险等级——ASIL等级（Automotive Safety Integration Level，汽车安全完整性等级）进行评估。

ASIL有四个等级，分别为A，B，C，D，其中A是最低的等级，D是最高的等级。

ASIL等级决定了对系统安全性的要求，ASIL等级越高，对系统的安全性要求越高，为实现安全付出的代价越高，意味着硬件的诊断覆盖率越高，开发流程越严格，相应的开发成本增加、开发周期延长，技术要求严格。

ISO 26262中提出了在满足安全目标的前提下降低ASIL等级的方法——ASIL分解，这样可以解决上述开发中的难点。

本文首先介绍了ISO 26262标准中的危害分析和风险评估阶段中的ASIL等级确定方法，然后介绍了ASIL分解的原则，并辅以实例进行说明。

2. 危害分析和风险评估依据ISO 26262标准进行功能安全设计时，首先识别系统的功能，并分析其所有可能的功能故障（Malfunction），可采用的分析方法有HAZOP，FMEA、头脑风暴等。

如果在系统开发的各个阶段发现在本阶段没有识别出来的故障，都要回到这个阶段，进行更新。

功能故障在特定的驾驶场景下，才会造成伤亡事件，比如近光灯系统，其中一个功能故障就是灯非预期熄灭，如果在漆黑的夜晚行驶在山路上，驾驶员看不清道路状况，可能会掉入悬崖，造成车毁人亡；如果此功能故障发生在白天就不会产生任何的影响。

所以进行功能故障分析后，要进行情景分析，识别与此故障相关的驾驶情景，比如：高速公路超车、车库停车等。

分析驾驶情景建议从公路类型：比如国道、城市道路、乡村道路等；路面情况：比如湿滑路面、冰雪路面、干燥路面；车辆状态：比如转向、超车、制动、加速等；环境条件：比如：风雪交加、夜晚、隧道灯；交通状况：拥堵、顺畅、红绿灯等；人员情况：不如乘客、路人等几个方面去考虑。

功能故障和驾驶场景的组合叫做危害事件（hazard event），危害事件确定后，根据三个因子——严重度（Severity）、暴露率（Exposure）和可控性（Controllability）评估危害事件的风险级别——ASIL等级。

其中严重度是指对驾驶员、乘员、或者行人等涉险人员的伤害程度；暴露率是指人员暴露在系统的失效能够造成危害的场景中的概率；可控性是指驾驶员或其他涉险人员能够避免事故或伤害的可能性。

这三个因子的分类在表1中给出。

表1 严重度、暴露率、可控性分类ASIL等级的确定基于这三个影响因子，表2中给出了ASIL的确定方法，其中D代表最高等级，A 代表最低等级，QM表示质量管理（Quality Management），表示按照质量管理体系开发系统或功能就足够了，不用考虑任何安全相关的设计。

确定了危害的ASIL等级后，为每个危害确定至少一个安全目标，作为功能和技术安全需求的基础。

表2 ASIL等级确定下面以EPB（Electrical Park Brake）系统为例介绍如何进行危害分析和风险评估。

EPB较传统的驻车制动器，除了驻车功能，还有动态起步辅助功能、紧急制动功能以及自动驻车功能等。

这里我们以驻车功能为例，当驻车时，驾驶员通过按钮或其它方式发出制动请求，EPB系统在汽车的后轮上施加制动力，以防止车非预期滑行。

该系统的危害有：非预期制动失效、非预期制动启动。

相同的危害在不同的场景下的风险是不一样的，所以我们要对不同的驾驶场景进行分析。

为了简化问题，这里我们仅对”非预期制动失效”这种功能故障进行风险评估。

表3给出了EPB风险评估表，在该表中我们考虑的驾驶场景是车停在斜坡上，驾驶员不在车上。

如果驾驶员在车上的话，驾驶员可通过踩刹车控制汽车滑行，可控性增加，那么所评估的ASIL等级会比表中的ASIL D低，但是对于同一个安全目标，如果评估的ASIL等级不同的话，要选择ASIL等级最高的那个。

表3 EPB风险评估通过以上分析，得出EPB系统的安全目标为：防止制动失效，ASIL等级为D。

3. ASIL分解原则通过上节介绍的危害分析和风险评估，我们得出系统的安全目标和相应的ASIL等级，从安全目标可以推导出开发阶段的安全需求，安全需求继承安全目标的ASIL等级。

如果一个安全需求分解为两个冗余的安全需求，那么原来的安全需求的ASIL等级可以分解到两个冗余的安全需求上。

因为只有当两个安全需求同时不满足时，才导致系统的失效，所以冗余安全需求的ASIL等级可以比原始的安全需求的ASIL等级低。

ISO 26262标准的第9章给出了ASIL分解的原则，如图1所示。

分解后的ASIL等级后面括号里是指明原始需求的ASIL等级，比如ASIL D等级分解为ASIL C(D)和ASILA(D)等，因为集成和需求的验证仍然依据其原始的ASIL等级。

ASIL 分解可以在安全生命周期的多个阶段进行，比如功能安全概念、系统设计、硬件设计、软件设计阶段。

而且ASIL等级可以分多次进行，比如ASIL D等级分为ASIL C(D)和ASILA(D)，ASIL C(D)还可以继续分解为ASIL B(D)和ASIL A(D )。

但是ASIL 分解的一个最重要的要求就是独立性，如果不能满足独立性要求的话，冗余单元要按照原来的ASIL等级开发。

所谓的独立性就冗余单元之间不应发生从属失效（Dependent Failure），从属失效分为共因失效（Common Cause Failure）和级联失效(Cascading Failure) 两种。

共因失效是指两个单元因为共同的原因失效，比如软件复制冗余，冗余单元会因为同一个软件bug导致两者都失效，为了避免该共因失效，我们采用多种软件设计方法。

级联失效是指一个单元失效导致另一个单元的失效，比如一个软件组件的功能出现故障，写入另一个软件组件RAM中，导致另一个软件组件的功能失效，为了控制该级联失效，我们采用内存管理单元，可以探测到非法写入RAM的情况。

图1 ASIL分解原理图下面以一个例子介绍ASIL 分解的过程。

假设功能F，其输入信号为S1，S2，S3，这三个信号分别测量不同的物理量，是相互独立的，经过ECU内部的逻辑运算后，发送触发信息给执行器Actuator，功能F的架构示意图如图2所示。

假设经过危害分析和风险评估后，功能F的ASIL等级为ASIL D，安全目标为避免非预期触发执行器。

那么功能F的各个部分继承ASIL等级，即传感器、ECU、执行器都需要按照ASIL D 等级开发，如图3所示。

图2 功能F架构示意图图3 ASIL等级在功能F架构上的分配图经过进一步的分析发现，当速度V>阈值时，非预期触发执行器，才能造成危险。

那么我们在功能F 的架构中，加入一个安全机制，安全机制的功能是当检测到速度V大于阈值时，不允许触发执行器。

那么功能F的架构变为如图4所示。

图4 加入安全机制后的架构功能F和安全机制是冗余安全需求，同时来满足安全目标，因此可以将功能F原来的ASIL等级在这两个需求上进行分解，分解为ASIL D(D)和QM(D)，分解后的ASIL等级如图5所示。

图5 ASIL分解后架构示意图原来的传感器S1、S2、S3按照QM开发，速度传感器按照ASIL D开发，ECU里面的软件，原来的逻辑按QM开发，安全机制的逻辑按照ASIL D开发，不同ASIL等级的软件存在于一个ECU内，为了保证软件之间的独立性，保证两者之间不相互影响，需要考虑内存保护机制，合适的调度属性来保证存储空间和CPU时间的独立性，这样会增加软件开发的很多成本。

那么我们进一步采取硬件上的分离来保证独立性，我们选择一个成本很低的简单的芯片（比如PGA, Programmable Gate Array）来运行安全机制中的软件（如图6所示）。

需要注意的是PGA要使用独立的电源和时钟。

图6 改进的ASIL分解后架构示意图经过分解后，按照ASIL D开发的功能逻辑简单，使得开发变得简单，整体成本也得以降低。

4. 结论本文以EPB为例介绍了ISO 26262标准中安全目标及其ASIL等级确定的方法，安全目标的ASIL 等级被开发阶段安全需求继承，如果安全需求的ASIL等级高，那么需要进行ASIL分解以降低ASIL等级，本文以实例介绍了ASIL分解的原则和步骤。

ASIL分解并没有在ISO 26262中被强制要求执行，但是我们可以通过对系统进行分析、进而对系统架构进行调整，实现ASIL分解，可以解决因ASIL等级高而带来的开发成本、开发周期和技术要求等方面的问题。