一、ASIL等级分解:把安全目标拆开来看

ASIL等级分解,说白了就是“分而治之”。

我在做ADAS项目时,经常遇到这种情况:一个传感器要满足ASIL D的要求,但单个传感器根本做不到。怎么办?拆!

ISO 26262允许我们把一个高ASIL等级的安全目标,分解成多个独立要素来实现。每个要素承担一部分安全责任,等级可以降低。

1.1 分解的核心原则

分解不是随便拆的。我总结了几条铁律:

  • 独立性:分解后的要素必须相互独立。一个失效,不能影响另一个。
  • 冗余性:至少两个要素共同实现原安全目标。
  • 覆盖性:所有分解后的ASIL等级加起来,要“覆盖”原等级。

举个例子:ASIL D可以分解为:

  • ASIL D(D) = ASIL C(D) + ASIL A(D) —— 两个要素,一个C级,一个A级
  • ASIL D(D) = ASIL B(D) + ASIL B(D) —— 两个要素,都是B级
  • ASIL D(D) = ASIL D(D) + ASIL QM(D) —— 一个保持D级,另一个QM即可

嗯,这里要注意:QM(D)的意思是“对ASIL D没有安全贡献”,说白了就是打酱油的。但实际项目中,我很少用这种分解方式,风险太大。

1.2 分解的数学逻辑

为什么会这样分解?其实背后是概率论。

两个独立通道同时失效的概率,等于各自失效概率的乘积。如果每个通道的失效率都降低了,整体失效率自然就达标了。

我记得有一次评审,一个年轻工程师问:“老师,ASIL B + ASIL B 真的能等于 ASIL D吗?”

我的回答是:“理论上可以,但前提是——两个B级通道必须真正独立。我在项目里见过所谓的‘独立’通道,共用同一个电源、同一个时钟源...那叫独立吗?那叫自欺欺人。”

二、传感器ASIL等级分配:怎么分才合理?

传感器ASIL等级分配,是功能安全设计的第一步。分配错了,后面全白干。

2.1 分配的基本思路

我个人习惯按三步走:

  1. 识别安全目标:传感器在系统中承担什么安全功能?
  2. 确定ASIL等级:根据危害分析和风险评估(HARA)结果
  3. 分解与分配:把ASIL等级分解到传感器内部各模块

避坑指南:我曾经遇到一个项目,把ASIL D直接分配给了一个超声波传感器。结果传感器供应商说“做不到”。后来我们做了分解,把部分安全责任转移到执行器端,问题就解决了。

2.2 传感器内部模块的分配

一个典型的传感器,内部包含:

  • 感知单元(如摄像头CMOS、雷达天线)
  • 处理单元(如DSP、MCU)
  • 通信单元(如CAN、以太网)
  • 电源管理

每个模块的ASIL等级可以不同。比如:

模块 原ASIL等级 分解后ASIL等级 说明
感知单元 ASIL D ASIL B(D) 通过冗余设计降低
处理单元 ASIL D ASIL B(D) 双核锁步实现
通信单元 ASIL D ASIL C(D) CRC+超时检测
电源管理 ASIL D ASIL D 无法分解,保持原级

你想想看,电源管理为什么不能分解?因为它一旦失效,整个传感器都断电。没有冗余通道可以兜底。

三、安全机制对ASIL的贡献:别小看这些“保险”

安全机制,就是传感器里的“保险丝”。它们能检测故障、控制故障,从而降低ASIL等级要求。

3.1 安全机制的分类

我习惯把安全机制分成三类:

  • 检测机制:发现故障(如看门狗、CRC校验)
  • 控制机制:限制危害(如降级模式、安全状态切换)
  • 冗余机制:提供备份(如双通道、三模冗余)

关键概念:安全机制的“诊断覆盖率”(DC)决定了它能降低多少ASIL等级。

  • DC < 60%:基本没有贡献
  • 60% ≤ DC < 90%:中等贡献
  • 90% ≤ DC < 99%:高贡献
  • DC ≥ 99%:极高贡献

3.2 安全机制如何影响ASIL

举个例子。一个ASIL D的摄像头,如果加了以下安全机制:

  1. 帧完整性校验(CRC)—— DC 90%
  2. 看门狗定时器 —— DC 90%
  3. 双核锁步 —— DC 99%

这三个机制加起来,可以把处理单元的ASIL要求从D降到B。为什么?因为故障被检测到的概率很高,残余风险很低。

注意:安全机制本身也会失效!我见过一个项目,看门狗定时器用的是内部RC振荡器,结果振荡器漂移了,看门狗提前复位。这叫“共因失效”,在设计时必须考虑。

3.3 安全机制的量化评估

ISO 26262要求我们量化安全机制的效果。常用的指标有:

  • SPFM(单点故障度量):衡量单点故障被覆盖的比例
  • LFM(潜伏故障度量):衡量潜伏故障被检测的比例
  • PMHF(随机硬件失效率):单位时间内的故障概率

我个人的经验是:SPFM和LFM做到90%以上,PMHF做到10 FIT以下,基本就能满足ASIL D的要求。

但别死磕数字。有一次我评审一个项目,对方把PMHF算到了0.1 FIT,但用的全是理想化假设。我说:“你算得再漂亮,实际跑起来该出问题还是出问题。安全机制的关键不是算得准,而是设计得对。”

四、知识体系总览

下面这张图,是我自己总结的本章知识体系。你一看就明白了。

ASIL等级分解与传感器知识体系 ASIL等级分解与传感器 ASIL等级分解原则 独立性、冗余性、覆盖性 分解公式:D = C+A, B+B, D+QM 传感器ASIL等级分配 三步法:识别→确定→分解 模块级分配:感知/处理/通信/电源 安全机制对ASIL的贡献 检测/控制/冗余三类机制 诊断覆盖率DC决定降级幅度 核心目标:在保证安全的前提下,降低实现难度和成本

这张图把本章的三个核心内容串起来了。你仔细看,分解原则是基础,等级分配是方法,安全机制是工具。三者缺一不可。

我的建议:刚开始做传感器功能安全设计时,别急着定ASIL等级。先把安全目标搞清楚,再考虑分解和分配。我见过太多项目,一上来就“我们要ASIL D”,结果后面发现根本实现不了,又回头改。浪费时间。

好了,这一章就到这里。记住:ASIL等级分解不是目的,降低风险才是。安全机制也不是越多越好,合适才是关键。


公众号:蓝海资料掘金营,微信deep3321