Уровень целостности автомобильной безопасности - Automotive Safety Integrity Level

В этой статье обсуждается УПБА как средство классификации опасностей, в частности, чтобы предоставить контекст для сравнения с другими методами классификации опасностей, риска, качества или надежности. Для более подробного описания ASIL, методов его оценки и его ролей в процессах ISO 26262 см. ISO 26262 - Часть 9: Уровень целостности автомобильной безопасности.

Уровень целостности автомобильной безопасности (ASIL) - это схема классификации рисков, определяемая ISO 26262 - Стандарт функциональной безопасности дорожных транспортных средств. Это адаптация Уровень полноты безопасности (SIL) используется в IEC 61508 для автомобильной промышленности. Эта классификация помогает определить требования безопасности, необходимые для соответствия стандарту ISO 26262. УПБА устанавливается путем выполнения анализа риска потенциальной опасности с учетом серьезности, подверженности и управляемости сценария эксплуатации транспортного средства. Цель безопасности для этой опасности, в свою очередь, соответствует требованиям ASIL.

Стандарт определяет четыре значения ASIL: ASIL A, ASIL B, ASIL C, ASIL D. ASIL D определяет самые высокие требования к целостности продукта, а ASIL A - самые низкие.[1] Опасности которые обозначены как QM (видеть ниже ) не диктуют никаких требований безопасности.

Анализ опасностей и оценка рисков

Из-за ссылки на SIL и поскольку ASIL включает 4 уровня опасности с 5-м безопасным уровнем, в описаниях ASIL принято сравнивать его уровни с уровнями SIL и Уровни гарантии проектирования по DO-178C, соответственно.

Определение ASIL является результатом анализ опасностей и оценка рисков.[2] В контексте ISO 26262 опасность оценивается на основе относительного воздействия опасных эффектов, связанных с системой, с поправкой на относительную вероятность опасности, проявляющей эти эффекты. То есть каждая опасность оценивается с точки зрения серьезности возможных травм в контексте того, сколько времени транспортное средство подвергается возможности возникновения опасности (см. Определение ISO262: контакт ), а также относительную вероятность того, что типичный водитель сможет предотвратить травму (см. определения ISO262 суровость и управляемость ).[3]

Короче говоря, ASIL относится как к риску, так и к требованиям, зависящим от риска (стандартная обработка минимального риска для данного риска). Тогда как риск обычно можно выразить как

или же

[4][5]

УПБА можно аналогичным образом выразить как

[6][7][8]

иллюстрирует роль подверженности и управляемости в установлении относительной вероятности, которая в сочетании с серьезностью формирует выражение риска.

Уровни

Диапазон значений ASIL - от ASIL D, представляющего наивысшую степень автомобильной опасности и высочайшую степень строгости, применяемой при обеспечении результирующих требований безопасности, до QM, представляющего применение без автомобильных опасностей и, следовательно, без требований безопасности для управления в рамках ISO 26262 процессы безопасности. Промежуточные уровни - это просто диапазон промежуточных степеней опасности и требуемых степеней уверенности.

ASIL D

ASIL D, сокращение от Уровень целостности автомобильной безопасности D, относится к высшей классификации исходной опасности (риска травмы), определенной в ISO 26262 и к самому строгому уровню мер безопасности этого стандарта, который должен применяться во избежание необоснованного остаточного риска.[2] В частности, УПБА D представляет собой вероятный потенциал для серьезной опасной для жизни или смертельной травмы в случае неисправности и требует наивысшего уровня уверенности в том, что зависимые цели безопасности достаточны и были достигнуты.[2]

ASIL D заслуживает внимания не только из-за повышенного риска, который он представляет, и исключительной строгости, необходимой при разработке, но и потому, что поставщики автомобильного электрооборудования, электроники и программного обеспечения заявляют, что их продукты были сертифицированы или иным образом аккредитованы в ASIL D,[9][10][11][12] облегчить разработку до ASIL D,[13] или иным образом подходят или поддерживают разработку элементов для ASIL D.[14][15][16] Любой продукт, способный соответствовать требованиям ASIL D, также будет соответствовать любому более низкому уровню.

QM

Ссылаясь на «Менеджмент качества», уровень QM означает, что риск, связанный с опасным событием, не является необоснованным и, следовательно, не требует мер безопасности в соответствии с ISO 26262.[2]

Сравнение с другими стандартами уровня опасности

Учитывая, что ASIL является относительно недавней разработкой, при обсуждениях ASIL часто сравнивают ее уровни с уровнями, определенными в других хорошо зарекомендовавших себя системах управления безопасностью или качеством. В частности, ASIL сравнивается с уровнями снижения риска SIL, определенными в IEC 61508, и уровнями гарантии проектирования, используемыми в контексте DO-178C и DO-254. Хотя есть некоторые сходства, важно также понимать различия.

Приблизительное междоменное отображение ASIL
ДоменУровни безопасности для конкретных доменов
Автомобильная промышленность (ISO 26262 )QMASIL-AASIL-BASIL-CASIL-D-
Общий (IEC 61508 )-SIL-1SIL-2SIL-3SIL-4
Железнодорожный (CENELEC 50126/128/129)-SIL-1SIL-2SIL-3SIL-4
Космос (ECSS-Q-ST-80 )Категория EКатегория DКатегория CКатегория BКатегория А
Авиация: бортовая (ЭД-12 /DO-178 /DO-254 )ДОЛДАЛ-ДДАЛ-СДАЛ-БДАЛ-А
Авиация: наземная (ED-109 / DO-278)AL6AL5AL4AL3AL2AL1
Медицинский (IEC 62304 )Класс АКласс BКласс C-
Семья (IEC 60730 )Класс АКласс BКласс C-
Машины (ISO 13849 )PL aPL bPL cPL dPL e-

IEC 61508 (SIL)

ISO 26262 является продолжением IEC 61508.[2] IEC 61508 определяет широко используемую классификацию уровня полноты безопасности (SIL). В отличие от других стандартов функциональной безопасности, ISO 26262 не обеспечивает нормативного или информативного сопоставления УПБА с УПБ. Хотя в этих двух стандартах используются схожие процессы оценки опасностей, значения УПБА и УПБ вычисляются с разных точек. Если УПБП представляет собой качественное измерение риска, УПБ количественно определяется как вероятность или частота опасных отказов в зависимости от типа функции безопасности. В контексте IEC 61508 приложения с повышенным риском требуют большей устойчивости к опасным сбоям.

То есть для данного допустимого риска больший риск требует большего снижения риска, т. Е. Меньшего значения вероятности опасного отказа. Для функции безопасности, работающей в режиме высокой нагрузки или в непрерывном режиме, SIL 1 связан с предел вероятности опасного отказа из 10−5 в час, в то время как SIL 4 связан с предел вероятности опасного отказа из 10−9 в час.

В коммерческих публикациях показано, что ASIL D соответствует SIL 3, а ASIL A сопоставим с SIL 1.[17]

SAE ARP4761 и SAE ARP4754 (DAL)

Хотя более распространено сравнение уровней D – QM ISO 26262 с уровнями гарантии проектирования (DAL) от A до E и приписывать эти уровни DO-178C; эти DAL фактически определены и применяются через определения SAE ARP4761 и SAE ARP4754. Особенно с точки зрения управления автомобильными опасностями через Жизненный цикл безопасности, область действия ISO 26262 более сопоставима с объединенной областью применения SAE ARP4761 и SAE ARP4754. Оценка функциональной опасности (FHA) определена в ARP4761, а DAL - в ARP4754. DO-178C и DO-254 определить цели обеспечения качества проектирования, которые должны быть достигнуты для данного DAL.

В отличие от SIL, ASIL и DAL являются заявлениями, измеряющими степень опасности. DAL E является эквивалентом QM в формате ARP4754; в обеих классификациях опасности незначительны, и управление безопасностью не требуется. С другой стороны, DAL A и ASIL D представляют наивысшие уровни риска, предусмотренные соответствующими стандартами, но они не относятся к одному и тому же уровню опасности. В то время как ASIL D включает в себя максимум опасностей, связанных с загруженным пассажирским фургоном, DAL A включает в себя большие опасности больших самолетов, загруженных топливом и пассажирами. Публикации могут иллюстрировать ASIL D как эквивалент DAL B, DAL A или как промежуточный уровень.

Связанные стандарты

Смотрите также

Рекомендации

  1. ^ http://www.ni.com/white-paper/13647/en/#toc2 Официальный документ National Instruments по стандарту функциональной безопасности ISO 26262
  2. ^ а б c d е ISO 26262-3: 2011 (en) Транспорт дорожный - Функциональная безопасность - Часть 3: Фаза концепции. Международная организация по стандартизации.
  3. ^ Хоббс, Крис; Ли, Патрик (9 июля 2013 г.). Понимание ASIL ISO 26262. Электронный дизайн. Встроенные технологии. Группа Пентон Электроникс.
  4. ^ Кинни, Г. Ф .; Вирут, А. Д. (июнь 1976 г.). Практический анализ рисков для управления безопасностью. Чайна-Лейк, Калифорния: Центр военно-морского оружия. Оценка риска для некоторой потенциально опасной ситуации выражается численно как произведение трех факторов: ...
  5. ^ Крис Ван дер Круиссен, Рекомендации по оценке рисков (лист 4, метод Кинни) (PDF), Economie, Федеральное правительство Бельгии
  6. ^ Стив Хартли; Ирири Ибарра; Гунвант Дхадьялла (2011), Функциональная безопасность и диагностика гибридных автомобилей («Серьезность x воздействие x управляемость = ASIL») (PDF), стр. лист 8
  7. ^ Интеллектуальная и компактная система управления аккумуляторными батареями для полностью электрических транспортных средств (лист 9), STMicroelectronics[постоянная мертвая ссылка ]
  8. ^ Микроконтроллеры безопасности Hercules ™ - 1-дневный семинар по безопасности MCU (лист 25), Texas Instruments, Texas Instruments, 2013 г.
  9. ^ "Пресс-релиз: Микроконтроллер Freescale Qorivva - первый автомобильный микроконтроллер, получивший сертификат стандарта функциональной безопасности ISO 26262". Freescale Semiconductor. 6 сентября 2012 г. Архивировано с оригинал 16 февраля 2014 г.. Получено 23 января, 2015.
  10. ^ «Исследования в области программирования сертифицированы по ISO 26262 - ASIL D». Программные исследования. 25 июля 2013 г.. Получено 25 апреля, 2017.
  11. ^ «Сертифицированные инструменты для функциональной безопасности (« Сертифицировано для разработки программного обеспечения до… ASIL D… »)». IAR Systems. Получено 6 августа, 2013.
  12. ^ «Пресс-релиз: Vector является первым поставщиком, который поставил операционную систему AUTOSAR, сертифицированную ASIL-D» (PDF). Вектор. 2013-02-18. Получено 6 августа, 2013.
  13. ^ «Пакеты SafeTI ™ Design для приложений функциональной безопасности». Инструменты Техаса. Получено 6 августа, 2013.
  14. ^ «Renesas Electronics представляет серию микроконтроллеров V850 4-го поколения (… разработанных для приложений с высочайшими требованиями функциональной безопасности (ASIL D / SIL3))». Renesas Electronics. 4 ноября 2010 г.. Получено 6 августа, 2013.
  15. ^ «Микроконтроллеры способствуют разработке систем, соответствующих стандарту ISO 26262 ASIL D». ТОМАСНЕТ. 6 сентября 2012 г.. Получено 6 августа, 2013.
  16. ^ Микроконтроллеры безопасности ARM® CortexTM-R4 (лист 3) (PDF), Встроенное оборудование серии Vision, Электроника Arrow
  17. ^ Фреч, Маркус; Йозеф Мислингер (2012). «Семинар по функциональной безопасности и однодневный семинар по HerculesTM». Стрелка роуд-шоу: 63.