Why
在功能安全中,一个非常重要的概念是功能安全的分解。如何合理的实现功能安全高等级往下分解是个要非常小心的事情。这里面有一些注意事项要关注到,否则会导致误分解等。
What
什么是ASIL分解?
ISO 26262 中给出的设计过程中的 ASIL 调整方法被称为「ASIL 分解」。
控制系统的Safety goal和ASIL等级确定以后,从Safety goal可以推导出功能安全需求。功能安全需求继承了安全目标的ASIL等级。如果一个安全需求可以分解为两个安全需求,那么原来安全需求的ASIL等级可以分解到这两个安全需求上。
ASIL分解
How
ASIL分解原则:
ASIL分解原则
ASIL的分解可以在功能安全活动的多个阶段进行,比如概念设计、系统设计、硬件设计和软件设计阶段。而且ASIL分解可以分多次进行,比如ASIL D=ASIL C(D)+ASIL A(D),其中ASIL C(D)还可以继续分解为ASIL B(D)+ASIL A(D)。
证明ASIL分解的有效性
一个ASIL C分解的例子如下图示:
ASIL分解
证明如下:
5.0E-4 = 5.0E-1 * 1.0E-3
SIL(5.0E-4) = SIL(5.0E-1) + SIL(1.0E-3)
SIL C = SIL A + SIL B
「ASIL分解」常见误区
误区1:不了解ASIL分解的目的
误区1
误区2:认为ASIl分解能够改变随机性失效度量指标
误区2
误区3:认为检测机制就是ASIL分解
误区3
误区4:无法区分安全冗余与功能冗余
误区4
误区5:即使是安全冗余也不一定可以分解
误区5
误区6:过早的做了ASIL分解,实际实施时不对应
误区6
How Good
通过ASIL分解,有如下好处:
- 增加一个逻辑简单的安全监控电路,避免对以往设计的改动;
- 使用已有的低安全等级组件组合,完成高级版安全功能。
通过ASIL分解,降低了设计难度,有利于解决工程设计中的两个难点问题:“现有技术方案升级”和“成本极具上升”。
参考文档
1、TUV ASIL分解及常见误区.pdf
2、ISO 26262 -9.pdf
