一文读懂 | 智能网联汽车：安全目标、安全状态及ASIL等级的分解

在功能安全的世界里，我们不指望系统永远不出错(这不可能)，我们只要求：出错时，系统能回到一个没有不合理风险的状态。这就引出了功能安全需求的两块基石：安全目标与安全状态。顺着这两块基石往下走，还有一个能帮Tier1供应商大幅降低开发成本的利器——ASIL分解。如何为每个存在ASIL等级的危害事件制定安全目标，并明确安全状态？本文带你一文看懂。

安全目标与安全状态

安全目标是相关项顶层安全要求。安全目标概念通过功能目标的形式进行表述，而非技术方案。一个安全目标可能与多个危害相关，多个安全目标也可能共同应对某一个危害。例如，巡航控制系统的安全目标为“车辆制动时巡航控制被停用”。

安全状态是一种没有不合理风险的相关项的运行模式。安全状态不是期望的状态。 例如，车辆处于静止状态就是一种安全状态，但它不是期望的状态（如正常行驶）

案例解析：电子驻车系统（EPB）

以电子驻车系统为例：功能异常为非预期驻车激活，发生在高速、弯道、低附着力路面等运行条件下。对应的安全目标是避免非预期驻车激活，安全状态则为解除驻车制动，允许车辆继续行驶。通过这一案例，可以直观理解安全目标与安全状态在实际系统中的应用。

安全目标与安全状态

功能安全需求与ASIL分配

定义安全目标与安全状态之后，便可结合初始架构假设导出功能安全需求，它针对的是设计中可能妨碍安全目标达成的各类缺陷，是连接顶层安全目标与具体技术实现的桥梁。功能安全需求导出后，需为其分配ASIL等级，遵循三项基本原则：继承、最高等级、分解。其中，分解是降低开发成本、提升工程可行性的关键手段。

功能安全需求的导出

ASIL分解的原理与实践

ASIL分解的原理是：将一个高等级的安全需求拆分为两个冗余且充分独立的安全需求。只有当两者同时失效才会导致系统失效，因此拆分后的每个需求可被分配相对较低的ASIL等级。需要强调的是，能够进行分解的前提是架构要素必须充分独立，这需要通过独立性分析来验证。

以胎压监测系统为例：若仅依赖单一传感器，其安全等级可能被评为ASIL D。采用双传感器冗余设计后，可将ASIL D分解为ASIL C(D)和ASIL A(D)，在满足功能安全要求的同时有效降低实现难度。分解完成后，初始ASIL等级须在括号内标注，且认可措施、硬件指标评估、背离安全目标的概率分析，以及集成和相关测试活动，仍需按初始ASIL等级执行。

ASIL分解方案

随着智能网联汽车加速落地，ISO 21434已成为行业又一核心准入标准。为帮助从业者系统掌握这一标准，Intertek将于近期开设专题公开课：

ISO 21434 道路车辆网络安全标准理解与实施公开课

• 时间：【5月27-29日 09:00-17:00】
• 价格：【7500元/人】
• 报名方式：扫描下方二维码报名