如何理解ASIL分解？

作者 |小青的風(fēng)箏

1、什么是ASIL分解？

軟件工程師可能經(jīng)常遇到這樣一個(gè)場(chǎng)景：在進(jìn)行功能安全開發(fā)時(shí)，Safety Goal的ASIL等級(jí)太高，輸入信號(hào)無(wú)法滿足要求。對(duì)于這一種情況，ISO 26262提供了一個(gè)特殊的裁剪方法以降低對(duì)功能安全需求的ASIL等級(jí)，即“ASIL分解”。

這一方法的核心點(diǎn)是通過將一條功能安全需求分解成兩條相互獨(dú)立的需求并分配到兩個(gè)及兩個(gè)以上相互獨(dú)立的元素（如軟件模塊、輸入信號(hào)等）上。由于冗余的存在，對(duì)每個(gè)分解后的相關(guān)元素的ASIL等級(jí)要求可以降低。

ASIL分解有特定的標(biāo)記方式。ISO 26262, part9第5章要求：

應(yīng)通過在括號(hào)中給出安全目標(biāo)的ASIL等級(jí)，對(duì)每個(gè)分解后的ASIL等級(jí)做標(biāo)注。

each decomposed ASIL shall be marked by giving the ASIL of the safety goal in parenthesis.

比如，如果一個(gè)ASILD的要求分解成一個(gè)ASILC的要求和一個(gè)ASIL A 的要求,則應(yīng)標(biāo)注成“ASIL C(D)”和“ASIL A(D)”。如果ASIL C(D)的要求進(jìn)一步分解成一個(gè)ASILB的要求和一個(gè)ASILA的要求,則應(yīng)使用安全目標(biāo)的ASIL等級(jí)將其標(biāo)注為“ASIL B(D)”和“ASIL A(D)”。

2、ASIL分解的原則？

而對(duì)于ASIL分解原則，在ISO 26262, part9第5章中也給出了說明，現(xiàn)總結(jié)如下。

注：以下提到的QM即“Quality Management”，表示只要按照企業(yè)質(zhì)量管理流程開發(fā)就可以滿足ISO 26262要求，沒有其他特殊功能安全要求。

1. ASIL D分解可選擇以下任意一種方式

• 一個(gè)ASIL C(D)的要求和一個(gè)ASIL A(D)的要求；或

• 一個(gè)ASIL B(D)的要求和一個(gè)ASIL B(D)的要求；或

• 一個(gè)ASIL D(D)的要求和一個(gè)QM(D)的要求。

2. ASIL C分解可選擇以下任意一種方式

• 一個(gè)ASIL B(C)的要求和一個(gè)ASIL A(C)的要求;或

• 一個(gè)ASIL C(C)的要求和一個(gè)QM(C)的要求。

3. ASIL B分解可選擇以下任意一種方式

• 一個(gè)ASIL A(B)的要求和一個(gè)ASIL A(B)的要求;或

• 一個(gè)ASIL B(B)的要求和一個(gè)QM(B)的要求。

4. 一個(gè)ASIL A 的要求不應(yīng)被進(jìn)一步分解,除非需要分解成一個(gè)ASIL A(A)的要求和一個(gè)QM(A)的要求。

ASIL分解原則，截圖來(lái)自ISO 26262-2018, part9

3、進(jìn)行ASIL分級(jí)需要滿足什么條件？

進(jìn)行ASIL分解最重要的前提是參與ASIL分解的元素間充分獨(dú)立。

ASIL分解本質(zhì)概念是冗余，冗余就要求不存在共因失效或者級(jí)聯(lián)失效導(dǎo)致互為冗余的元素同時(shí)失效。因此ISO 26262要求，對(duì)于使用ASIL分解的功能安全概念，必須要通過相關(guān)失效分析（DFA, Dependent Failure Analysis)證明分解后的相關(guān)元素間相互獨(dú)立。

于此同時(shí)，ISO 26262還指出，使用同構(gòu)冗余(如通過復(fù)制設(shè)備或復(fù)制軟件)的情況下,考慮到硬件和軟件的系統(tǒng)性失效，不能降低ASIL等級(jí)，除非相關(guān)失效的分析提供了存在充分獨(dú)立性或潛在共因指向安全狀態(tài)的證據(jù)。因此，同構(gòu)冗余因缺少要素間的獨(dú)立性，通常不足以降低ASIL等級(jí)。

比如下面的例子，如果兩個(gè)輪速傳感器WSS(Wheel Speed Sensor)是同一個(gè)供應(yīng)商的同一批次的傳感器，實(shí)際上屬于同構(gòu)冗余，分解不成立。

4、ASIL分級(jí)如何降低了功能安全開發(fā)難度？

本質(zhì)上每條功能安全需求的ASIL等級(jí)屬性的背后是對(duì) 系統(tǒng)性失效和 隨機(jī)硬件失效的要求。

隨機(jī)硬件失效(random hardware failure)：在硬件要素的生命周期中，非預(yù)期發(fā)生并服從概率分布的失效。

系統(tǒng)性失效（systematic failure）：以確定的方式與某個(gè)原因相關(guān)的失效，只有對(duì)設(shè)計(jì)或生產(chǎn)流程、操作規(guī)程、文檔或其他相關(guān)因素進(jìn)行變更后才可能排除這種失效。

隨機(jī)失效與系統(tǒng)性失效

從ISO 26262的要求上看，ISO 26262對(duì)系統(tǒng)性失效和隨機(jī)硬件失效的的要求存在明顯的不同。

對(duì)系統(tǒng)性失效的要求

ISO 26262對(duì)系統(tǒng)性失效的要求存在于相關(guān)項(xiàng)的各個(gè)層級(jí)，硬件元器件層(HW part level)、軟件單元層(SW-Unit level)、組件層(component level)和系統(tǒng)層(system level)都有各自對(duì)應(yīng)的要求。而且同時(shí)上面系統(tǒng)性失效的定義可以看出，ISO 26262對(duì)系統(tǒng)性失效的要求本質(zhì)上可以理解為對(duì)設(shè)計(jì)流程和驗(yàn)證流程的要求。

層級(jí)劃分圖示

這樣一來(lái)，ASIL分解后的需求分配到組成相關(guān)項(xiàng)整體中的某個(gè)（些）元素上，對(duì)于這些元素的系統(tǒng)性失效要求降低了。

舉個(gè)軟件元素的例子，如下圖所示，分解前對(duì)軟件模塊A的要求為ASIL D。

而分解以后對(duì)軟件模塊A的要求降低為ASIL B(D)。

在分解之前，模塊A需要遵循ASIL D的要求來(lái)開發(fā)以限制系統(tǒng)性失效；而分解后只需要按照ASIL B的要求來(lái)限制系統(tǒng)性失效，從而降低了開發(fā)難度和開發(fā)成本。拿對(duì)模塊A軟件單元的測(cè)試要求來(lái)說，從下圖可以看出，ASIL B的要求比ASIL D更加寬松了。

對(duì)隨機(jī)硬件失效的要求

對(duì)隨機(jī)硬件失效而言， 我們知道ISO 26262要求從以下三個(gè)方面的指標(biāo)衡量隨機(jī)硬件失效：

• 單點(diǎn)故障度量（single-point fault metric, SPFM）

• 潛伏故障度量(Latent fault metric, LFM）

• 隨機(jī)硬件失效概率度量(Probabilistic Metric for random Hardware Failures，PMHF)

而關(guān)于ASIL分解對(duì)隨機(jī)硬件失效的影響，ISO 26262, part9明確指出：

The requirements on the evaluation of the hardware architectural metrics and the evaluation of safety goal violations due to random hardware failures in accordance with ISO 26262-5 shall remain unchanged by ASIL decomposition. （針對(duì)隨機(jī)硬件失效的要求，包括硬件架構(gòu)度量的評(píng)估和由于隨機(jī)硬件失效導(dǎo)致違背安全目標(biāo)的評(píng)估，在ASIL分解后仍保持不變。）

這個(gè)背后是因?yàn)镮SO 26262對(duì)隨機(jī)硬件失效的要求是站在將相關(guān)項(xiàng)（item）作為一個(gè)整體的角度來(lái)評(píng)估的，通過計(jì)算系統(tǒng)整體的隨機(jī)硬件失效指標(biāo)（SPFM、LFM、PMHF）來(lái)確定系統(tǒng)的Safety Goal是否滿足要求。

同時(shí)這也意味著不論是哪一個(gè)層級(jí)，對(duì)隨機(jī)硬件失效要求的ASIL等級(jí)都應(yīng)該是分解前的值。

舉個(gè)例子，駕駛員在車輛靜止時(shí)可以通過按鈕激活某舒適性功能，但是如果在車速大于10kph時(shí)錯(cuò)誤激活，有造成ASIL D危害的風(fēng)險(xiǎn)。該功能由ECU A實(shí)現(xiàn)，需要在激活該功能前正確判斷車速，當(dāng)車速高于10kph時(shí)禁止激活。

ECU A的系統(tǒng)架構(gòu)如下：

safety concept分析如下圖所示。車速計(jì)算依賴互為冗余且充分獨(dú)立的輪速傳感器和變速箱軸速傳感器。

無(wú)論對(duì)輪速和變速箱軸速的需求是下列哪一種分配：

• 輪速ASIL A(D); 變速箱軸速ASIL C(D)

• 輪速ASIL B(D); 變速箱軸速ASIL B(D)

• 輪速ASIL C(D); 變速箱軸速ASIL A(D)

對(duì)于ECU A這個(gè)整體而言，隨機(jī)硬件失效要求都要符合ISO 26262, part5中對(duì)下面三個(gè)指標(biāo)的ASIL D的要求。

• SPFM≥99%

• LFM≥90%

• PMHF＜10 FIT

上面的例子驗(yàn)證了：

無(wú)論在哪一個(gè)層級(jí)，對(duì)隨機(jī)硬件失效要求的ASIL等級(jí)都應(yīng)該是分解前的值。

但是，不同的層級(jí)ASIL等級(jí)都繼承分解前的ASIL等級(jí)，那么ASIL等級(jí)背后的要求也一樣一樣嗎？

答案是否定的。

如果我們站在組成系統(tǒng)的部件的角度，拿上面的輪速傳感器舉例，對(duì)輪速傳感器的需求是ASIL B(D)，那么對(duì)輪速傳感器的單點(diǎn)故障度量SPFM滿足分解前的ASIL D的要求。

但是，站在系統(tǒng)層的角度，只有當(dāng)輪速傳感器和變速箱軸傳感器同時(shí)發(fā)生故障時(shí)，才會(huì)導(dǎo)致功能產(chǎn)生ASIL D的危害。也就是說，輪速傳感器的單點(diǎn)故障是系統(tǒng)層的潛伏故障。此時(shí)，對(duì)輪速傳感器的單點(diǎn)故障度量SPFM的要求不是表1而是表2，要求從≥99%降低到了≥90%。

綜上，我們可以做出如下總結(jié)：

ASIL分解可以降低系統(tǒng)中不同層級(jí)的元素（如軟件、硬件等）的系統(tǒng)性失效要求ASIL分解無(wú)法降低相關(guān)項(xiàng)（item）作為一個(gè)整體的隨機(jī)硬件失效要求，即分解前后對(duì)相關(guān)項(xiàng)的SPFM、LFM和PMHF要求都不變ASIL分解可以降低相關(guān)項(xiàng)的某個(gè)component的隨機(jī)硬件失效要求，準(zhǔn)確地說是降低了對(duì)部件的SPMF和LFM的要求 （注：對(duì)PMHF是item level相關(guān)項(xiàng)層級(jí)的要求，在component層面不做考慮）