汽车电子autosar系列50篇(三)-AUTOSAR功能安全之ASIL分解

举报
格图洛书 发表于 2021/12/27 08:54:41 2021/12/27
【摘要】 1、 ASIL分解的目的ASIL分解的目的在ISO 26262-1中做了定义,即为使源于安全需求的冗余应用的组合,提供和安全目标或安全需求保持一致的规则。ASIL分解会得出冗余的需求并且调整后的ASILs应使用具有足够独立性的元素。 2、ASIL分解的描述ASIL分解需参考安全需求在项目冗余结构元素中的分配。这里的冗余不一定是指传统的模块冗余。例如,电节流阀安全概念可以看做包含了冗余结构元素...
1、 ASIL分解的目的
ASIL分解的目的在ISO 26262-1中做了定义,即为使源于安全需求的冗余应用的组合,提供和安全目标或安全需求保持一致的规则。ASIL分解会得出冗余的需求并且调整后的ASILs应使用具有足够独立性的元素。
图片 
2、ASIL分解的描述
ASIL分解需参考安全需求在项目冗余结构元素中的分配。这里的冗余不一定是指传统的模块冗余。例如,电节流阀安全概念可以看做包含了冗余结构元素,如:主处理器和监视处理器,两个处理器都能独立地初始化定义了的安全状态,即进入空闲模式。因为ASILs没有相应的失效率,ASIL分解可理解为降低系统失效可能性所使用的方法和措施。在这样的分解体系结构中,相关的安全目标的失效只有在两个元素同时故障的情况下才会发生ISO 26262支持的分解是:
▲     ASIL D → ASIL C(D) + ASIL A(D)
▲     ASIL D → ASIL B(D) + ASIL B(D)
▲     ASIL D → ASIL D +QM(D)
▲     ASIL C → ASIL B(C) + ASIL A(C)
▲     ASIL C → ASIL C(C) + QM(C)
▲     ASIL B → ASIL A(B) + ASIL A(B)
▲     ASIL B → ASIL B(B) + QM(B)
▲     ASIL A → ASIL A + QM (A) 
3、 ASIL分解的基本原理
IEC61508通常允许安全完整性等级指派为SIL n的系统分解为两个SIL(n-1)的元素,前提是能说明这两个SIL(n-1)元素有充分的独立性。基于ISO 26262-9第5章中近似的映射表,能明显看出以下的分解满足以上原理:
▲     ASIL D → ASIL B(D) + ASIL B(D)
▲     ASIL B → ASIL A(B) + ASIL A(B)剩下的分解是:
▲     ASIL D → ASIL C(D) + ASIL A(D)
▲     ASIL C → ASIL B(C) + ASIL A(C)。。。。。。
两个独立元素是基于以下假设:
●     两个元素是非同质的,例如彼此不是同样的复制,能够引起安全目标失效的错误是不同的错误。
●     如果安全目标失效肯定是每个项目都出现错误,例如存在多个错误。●     每个项目中技术应用的欠缺意味着相似错误存在的可能性大大增加。●     然而,由于两个元素的非同质性和ASIL的需求,存在多个错误的可能性与最初项目的原始ASIL要求是相似的。    
【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

举报
请填写举报理由
0/200