一、ASIL等级分解:把安全目标拆开来看
ASIL等级分解,说白了就是“分而治之”。
我在做ADAS项目时,经常遇到这种情况:一个传感器要满足ASIL D的要求,但单个传感器根本做不到。怎么办?拆!
ISO 26262允许我们把一个高ASIL等级的安全目标,分解成多个独立要素来实现。每个要素承担一部分安全责任,等级可以降低。
1.1 分解的核心原则
分解不是随便拆的。我总结了几条铁律:
- 独立性:分解后的要素必须相互独立。一个失效,不能影响另一个。
- 冗余性:至少两个要素共同实现原安全目标。
- 覆盖性:所有分解后的ASIL等级加起来,要“覆盖”原等级。
举个例子:ASIL D可以分解为:
- ASIL D(D) = ASIL C(D) + ASIL A(D) —— 两个要素,一个C级,一个A级
- ASIL D(D) = ASIL B(D) + ASIL B(D) —— 两个要素,都是B级
- ASIL D(D) = ASIL D(D) + ASIL QM(D) —— 一个保持D级,另一个QM即可
嗯,这里要注意:QM(D)的意思是“对ASIL D没有安全贡献”,说白了就是打酱油的。但实际项目中,我很少用这种分解方式,风险太大。
1.2 分解的数学逻辑
为什么会这样分解?其实背后是概率论。
两个独立通道同时失效的概率,等于各自失效概率的乘积。如果每个通道的失效率都降低了,整体失效率自然就达标了。
我记得有一次评审,一个年轻工程师问:“老师,ASIL B + ASIL B 真的能等于 ASIL D吗?”
我的回答是:“理论上可以,但前提是——两个B级通道必须真正独立。我在项目里见过所谓的‘独立’通道,共用同一个电源、同一个时钟源...那叫独立吗?那叫自欺欺人。”
二、传感器ASIL等级分配:怎么分才合理?
传感器ASIL等级分配,是功能安全设计的第一步。分配错了,后面全白干。
2.1 分配的基本思路
我个人习惯按三步走:
- 识别安全目标:传感器在系统中承担什么安全功能?
- 确定ASIL等级:根据危害分析和风险评估(HARA)结果
- 分解与分配:把ASIL等级分解到传感器内部各模块
避坑指南:我曾经遇到一个项目,把ASIL D直接分配给了一个超声波传感器。结果传感器供应商说“做不到”。后来我们做了分解,把部分安全责任转移到执行器端,问题就解决了。
2.2 传感器内部模块的分配
一个典型的传感器,内部包含:
- 感知单元(如摄像头CMOS、雷达天线)
- 处理单元(如DSP、MCU)
- 通信单元(如CAN、以太网)
- 电源管理
每个模块的ASIL等级可以不同。比如:
| 模块 | 原ASIL等级 | 分解后ASIL等级 | 说明 |
|---|---|---|---|
| 感知单元 | ASIL D | ASIL B(D) | 通过冗余设计降低 |
| 处理单元 | ASIL D | ASIL B(D) | 双核锁步实现 |
| 通信单元 | ASIL D | ASIL C(D) | CRC+超时检测 |
| 电源管理 | ASIL D | ASIL D | 无法分解,保持原级 |
你想想看,电源管理为什么不能分解?因为它一旦失效,整个传感器都断电。没有冗余通道可以兜底。
三、安全机制对ASIL的贡献:别小看这些“保险”
安全机制,就是传感器里的“保险丝”。它们能检测故障、控制故障,从而降低ASIL等级要求。
3.1 安全机制的分类
我习惯把安全机制分成三类:
- 检测机制:发现故障(如看门狗、CRC校验)
- 控制机制:限制危害(如降级模式、安全状态切换)
- 冗余机制:提供备份(如双通道、三模冗余)
关键概念:安全机制的“诊断覆盖率”(DC)决定了它能降低多少ASIL等级。
- DC < 60%:基本没有贡献
- 60% ≤ DC < 90%:中等贡献
- 90% ≤ DC < 99%:高贡献
- DC ≥ 99%:极高贡献
3.2 安全机制如何影响ASIL
举个例子。一个ASIL D的摄像头,如果加了以下安全机制:
- 帧完整性校验(CRC)—— DC 90%
- 看门狗定时器 —— DC 90%
- 双核锁步 —— DC 99%
这三个机制加起来,可以把处理单元的ASIL要求从D降到B。为什么?因为故障被检测到的概率很高,残余风险很低。
注意:安全机制本身也会失效!我见过一个项目,看门狗定时器用的是内部RC振荡器,结果振荡器漂移了,看门狗提前复位。这叫“共因失效”,在设计时必须考虑。
3.3 安全机制的量化评估
ISO 26262要求我们量化安全机制的效果。常用的指标有:
- SPFM(单点故障度量):衡量单点故障被覆盖的比例
- LFM(潜伏故障度量):衡量潜伏故障被检测的比例
- PMHF(随机硬件失效率):单位时间内的故障概率
我个人的经验是:SPFM和LFM做到90%以上,PMHF做到10 FIT以下,基本就能满足ASIL D的要求。
但别死磕数字。有一次我评审一个项目,对方把PMHF算到了0.1 FIT,但用的全是理想化假设。我说:“你算得再漂亮,实际跑起来该出问题还是出问题。安全机制的关键不是算得准,而是设计得对。”
四、知识体系总览
下面这张图,是我自己总结的本章知识体系。你一看就明白了。
这张图把本章的三个核心内容串起来了。你仔细看,分解原则是基础,等级分配是方法,安全机制是工具。三者缺一不可。
我的建议:刚开始做传感器功能安全设计时,别急着定ASIL等级。先把安全目标搞清楚,再考虑分解和分配。我见过太多项目,一上来就“我们要ASIL D”,结果后面发现根本实现不了,又回头改。浪费时间。
好了,这一章就到这里。记住:ASIL等级分解不是目的,降低风险才是。安全机制也不是越多越好,合适才是关键。
公众号:蓝海资料掘金营,微信deep3321