汽车电子autosar系列50篇(三)-AUTOSAR功能安全之ASIL分解
举报
格图洛书
发表于 2021/12/27 08:54:41
2021/12/27
【摘要】 1、 ASIL分解的目的ASIL分解的目的在ISO 26262-1中做了定义,即为使源于安全需求的冗余应用的组合,提供和安全目标或安全需求保持一致的规则。ASIL分解会得出冗余的需求并且调整后的ASILs应使用具有足够独立性的元素。 2、ASIL分解的描述ASIL分解需参考安全需求在项目冗余结构元素中的分配。这里的冗余不一定是指传统的模块冗余。例如,电节流阀安全概念可以看做包含了冗余结构元素...
ASIL分解的目的在ISO 26262-1中做了定义,即为使源于安全需求的冗余应用的组合,提供和安全目标或安全需求保持一致的规则。ASIL分解会得出冗余的需求并且调整后的ASILs应使用具有足够独立性的元素。
ASIL分解需参考安全需求在项目冗余结构元素中的分配。这里的冗余不一定是指传统的模块冗余。例如,电节流阀安全概念可以看做包含了冗余结构元素,如:主处理器和监视处理器,两个处理器都能独立地初始化定义了的安全状态,即进入空闲模式。因为ASILs没有相应的失效率,ASIL分解可理解为降低系统失效可能性所使用的方法和措施。在这样的分解体系结构中,相关的安全目标的失效只有在两个元素同时故障的情况下才会发生ISO 26262支持的分解是:
▲ ASIL D → ASIL C(D) + ASIL A(D)
▲ ASIL D → ASIL B(D) + ASIL B(D)
▲ ASIL C → ASIL B(C) + ASIL A(C)
▲ ASIL C → ASIL C(C) + QM(C)
▲ ASIL B → ASIL A(B) + ASIL A(B)
▲ ASIL B → ASIL B(B) + QM(B)
▲ ASIL A → ASIL A + QM (A)
IEC61508通常允许安全完整性等级指派为SIL n的系统分解为两个SIL(n-1)的元素,前提是能说明这两个SIL(n-1)元素有充分的独立性。基于ISO 26262-9第5章中近似的映射表,能明显看出以下的分解满足以上原理:
▲ ASIL D → ASIL B(D) + ASIL B(D)
▲ ASIL B → ASIL A(B) + ASIL A(B)剩下的分解是:
▲ ASIL D → ASIL C(D) + ASIL A(D)
▲ ASIL C → ASIL B(C) + ASIL A(C)。。。。。。
● 两个元素是非同质的,例如彼此不是同样的复制,能够引起安全目标失效的错误是不同的错误。
● 如果安全目标失效肯定是每个项目都出现错误,例如存在多个错误。● 每个项目中技术应用的欠缺意味着相似错误存在的可能性大大增加。● 然而,由于两个元素的非同质性和ASIL的需求,存在多个错误的可能性与最初项目的原始ASIL要求是相似的。
推荐
【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
评论(0)