Poziom nienaruszalności bezpieczeństwa w branży motoryzacyjnej

Ten artykuł jest omówieniem ASIL jako sposobu klasyfikacji zagrożeń, w szczególności w celu zapewnienia kontekstu do porównania z innymi metodami klasyfikacji zagrożeń, ryzyka, jakości lub niezawodności. Aby uzyskać dokładniejszy opis ASIL, metod jego oceny i jego roli w procesach ISO 26262, patrz ISO 26262 — Część 9: Poziom nienaruszalności bezpieczeństwa w branży motoryzacyjnej .

Automotive Safety Integrity Level (ASIL) to schemat klasyfikacji ryzyka zdefiniowany w normie ISO 26262 — Bezpieczeństwo funkcjonalne pojazdów drogowych. Jest to adaptacja poziomu nienaruszalności bezpieczeństwa (SIL) stosowanego w normie IEC 61508 dla przemysłu motoryzacyjnego. Klasyfikacja ta pomaga określić wymagania bezpieczeństwa niezbędne do zachowania zgodności z normą ISO 26262. ASIL ustala się, przeprowadzając analizę ryzyka potencjalnego zagrożenia, przyglądając się dotkliwości, narażeniu i sterowalności scenariusza eksploatacji pojazdu. Z kolei cel bezpieczeństwa dla tego zagrożenia zawiera wymagania ASIL.

Norma wyróżnia cztery ASIL: ASIL A, ASIL B, ASIL C, ASIL D. ASIL D określa najwyższe wymagania dotyczące integralności produktu, a ASIL A najniższe. Zagrożenia zidentyfikowane jako QM (patrz poniżej ) nie narzucają żadnych wymogów bezpieczeństwa.

Analiza zagrożeń i ocena ryzyka

Ze względu na odniesienie do SIL i ponieważ ASIL obejmuje 4 poziomy zagrożenia z piątym poziomem bezpiecznym, w opisach ASIL często porównuje się jego poziomy odpowiednio z poziomami SIL i poziomami gwarancji projektu DO- 178C .

Określenie ASIL jest wynikiem analizy zagrożeń i oceny ryzyka . W kontekście ISO 26262 zagrożenie jest oceniane na podstawie względnego wpływu niebezpiecznych skutków związanych z systemem, skorygowanego o względne prawdopodobieństwo wystąpienia zagrożenia przejawiającego te skutki. Oznacza to, że każde zagrożenie jest oceniane pod kątem ciężkości możliwych obrażeń w kontekście tego, przez jaki czas pojazd jest narażony na możliwość wystąpienia zagrożenia (patrz definicja narażenia ISO26262), a także względnego prawdopodobieństwa, że ​​typowy kierowca może zapobiegać kontuzjom (patrz definicje dotkliwości i możliwości kontroli ISO26262 ).

Krótko mówiąc, ASIL odnosi się zarówno do ryzyka, jak i do wymagań zależnych od ryzyka (standardowe podejście do minimalnego ryzyka dla danego ryzyka). Podczas gdy ryzyko można ogólnie wyrazić jako

${\ Displaystyle {\ tekst {Ryzyko}} = ({\ tekst {oczekiwana strata w przypadku wypadku}}) \ razy ({\ text{prawdopodobieństwo wystąpienia wypadku}})}$

Lub

${\ Displaystyle {\ tekst {ryzyko}} = {\ tekst {dotkliwość}} \ razy ({\ tekst {narażenie}} \ razy {\ tekst {prawdopodobieństwo}})}$

ASIL można podobnie wyrazić jako

${\ Displaystyle {\ tekst {ASIL}} = {\ tekst {Silność}} \ razy ({\ tekst {Narażenie}} \ razy {\ tekst {Sterowalność}})}$

ilustrujący rolę narażenia i możliwości kontroli w ustalaniu względnego prawdopodobieństwa, które w połączeniu z dotkliwością tworzy wyraz ryzyka.

Poziomy

Zakres ASIL od ASIL D, reprezentujący najwyższy stopień zagrożenia motoryzacyjnego i najwyższy stopień rygoru stosowanego w zapewnieniu wynikowych wymagań bezpieczeństwa, do QM, reprezentujący zastosowanie bez zagrożeń motoryzacyjnych, a zatem bez wymagań bezpieczeństwa, którymi należy zarządzać zgodnie z ISO 26262 procesy bezpieczeństwa. Poziomy pośrednie to po prostu zakres pośrednich stopni zagrożenia i wymaganych stopni pewności.

ASIL D

ASIL D , skrót od Automotive Safety Integrity Level D , odnosi się do najwyższej klasyfikacji początkowego zagrożenia (ryzyka urazu) określonej w normie ISO 26262 oraz do najbardziej rygorystycznego poziomu środków bezpieczeństwa tej normy, które należy zastosować w celu uniknięcia nieuzasadnionego ryzyka szczątkowego. W szczególności ASIL D przedstawia prawdopodobne potencjalne obrażenia poważnie zagrażające życiu lub śmiertelne w przypadku awarii i wymaga najwyższego poziomu pewności, że zależne cele bezpieczeństwa są wystarczające i zostały osiągnięte.

ASIL D jest godny uwagi, nie tylko ze względu na podwyższone ryzyko, jakie stanowi i wyjątkową dyscyplinę wymaganą przy opracowywaniu, ale także dlatego, że dostawcy sprzętu elektrycznego, elektronicznego i oprogramowania samochodowego twierdzą, że ich produkty zostały certyfikowane lub w inny sposób akredytowane zgodnie z ASIL D, ułatwiają rozwój w celu ASIL D lub w inny sposób są odpowiednie lub wspierają rozwój elementów do ASIL D. Każdy produkt spełniający wymagania ASIL D byłby również zgodny z każdym niższym poziomem.

QM

Odnosząc się do „ Zarządzania Jakością ”, poziom QM oznacza, że ​​wszystkie ocenione ryzyka są dopuszczalne; tak więc kontrole zapewnienia bezpieczeństwa są niepotrzebne, a standardowe procesy zarządzania jakością są wystarczające do rozwoju.

Porównanie z innymi normami dotyczącymi poziomu zagrożenia

Biorąc pod uwagę, że ASIL jest stosunkowo nowym wynalazkiem, dyskusje na temat ASIL często porównują jego poziomy z poziomami określonymi w innych dobrze ugruntowanych systemach zarządzania bezpieczeństwem lub jakością. W szczególności ASIL porównuje się z poziomami redukcji ryzyka SIL określonymi w normie IEC 61508 oraz poziomami gwarancji projektu stosowanymi w kontekście DO-178C i DO-254 . Chociaż istnieją pewne podobieństwa, ważne jest również zrozumienie różnic.

Przybliżone mapowanie międzydomenowe ASIL

Domena	Poziomy bezpieczeństwa specyficzne dla domeny
Motoryzacja ( ISO 26262 )	QM	ASIL A		ASIL B	ASIL C	ASIL D	-
Ogólne ( IEC 61508 )	-	SIL-1		SIL-2		SIL-3	SIL-4
Kolej ( CENELEC 50126/128/129)	-	SIL-1		SIL-2		SIL-3	SIL-4
Kosmos ( ECSS-Q-ST-80 )	Kategoria E	Kategoria D		Kategoria C		Kategoria B	Kategoria A
Lotnictwo: powietrznodesantowe (ED-12/ DO-178 / DO-254 )	DOŁEK	DAL-D		DAL-C		DAL-B	DAL-A
Lotnictwo: naziemne (ED-109/DO-278)	AL6	AL5		AL4	AL3	AL2	AL1
Medyczne ( IEC 62304 )	Klasa A	Klasa B				klasa C	-
Gospodarstwo domowe ( IEC 60730 )	Klasa A	Klasa B				klasa C	-
Maszyny ( ISO 13849 )	PL a	PL b	PL c	PL d		PL e	-

IEC 61508 (SIL)

ISO 26262 jest rozszerzeniem IEC 61508 . Norma IEC 61508 definiuje szeroko cytowaną klasyfikację poziomu nienaruszalności bezpieczeństwa (SIL). W przeciwieństwie do innych norm bezpieczeństwa funkcjonalnego, ISO 26262 nie zapewnia normatywnego ani informacyjnego odwzorowania ASIL na SIL; podczas gdy te dwie normy mają podobne procesy oceny zagrożeń, ASIL i SIL są obliczane z różnych perspektyw.

• Norma ISO 26262 ASIL jest jakościowym stwierdzeniem oszacowanego ryzyka, ocenianego pod względem trzech parametrów ryzyka w sposób jakościowy, który pozostawia miejsce na interpretację.

• Z drugiej strony norma IEC 61508 SIL wykorzystuje ilościowe miary docelowego prawdopodobieństwa lub częstotliwości niebezpiecznych awarii w zależności od typu funkcji bezpieczeństwa.

W kontekście normy IEC 61508 aplikacje o wyższym ryzyku wymagają większej odporności na niebezpieczne awarie:

${\ Displaystyle {\ tekst {prawdopodobieństwo niepowodzenia} < {{\ tekst {Dopuszczalne ryzyko}} \ ponad {\ tekst {Ryzyko}}}}$

Oznacza to, że dla danego dopuszczalnego ryzyka większe ryzyko wymaga większej redukcji ryzyka, tj. mniejszej projektowej wartości docelowej dla większego prawdopodobieństwa niebezpiecznej awarii. W przypadku funkcji bezpieczeństwa ^{działającej} w trybie dużego zapotrzebowania lub pracy ciągłej, SIL 1 jest powiązany z limitem prawdopodobieństwa wystąpienia niebezpiecznej awarii ^wynoszącym 10-5 na godzinę, podczas gdy SIL 4 jest związany z limitem prawdopodobieństwa wystąpienia niebezpiecznej awarii wynoszącym 10-9 na godzinę .

W publikacjach komercyjnych pokazano, że ASIL D jest zgodny z SIL 3, a ASIL A jest porównywany z SIL 1.

SAE ARP4761 i SAE ARP4754 (DAL)

Chociaż bardziej powszechne jest porównywanie poziomów od D do QM normy ISO 26262 z poziomami gwarancji projektu (DAL) od A do E i przypisywanie tych poziomów DO-178C; te DAL są faktycznie zdefiniowane i stosowane poprzez definicje SAE ARP4761 i SAE ARP4754 . Zwłaszcza w zakresie zarządzania zagrożeniami dla pojazdów w całym cyklu życia bezpieczeństwa zakres ISO 26262 jest bardziej porównywalny z połączonym zakresem SAE ARP4761 i SAE ARP4754. Ocena zagrożeń funkcjonalnych (FHA) jest zdefiniowana w ARP4761, a DAL są zdefiniowane w ARP4754. Dokumenty DO-178C i DO-254 określają cele zapewnienia bezpieczeństwa projektu, które muszą zostać osiągnięte dla danego DAL.

W przeciwieństwie do SIL, zarówno ASIL, jak i DAL są stwierdzeniami mierzącymi stopień zagrożenia. DAL E jest odpowiednikiem QM ARP4754; w obu klasyfikacjach zagrożenia są znikome, a zarządzanie bezpieczeństwem nie jest wymagane. Z drugiej strony DAL A i ASIL D reprezentują najwyższe poziomy ryzyka objęte odpowiednimi normami, ale nie odnoszą się do tego samego poziomu zagrożenia. Podczas gdy ASIL D obejmuje co najwyżej zagrożenia związane z załadowaną furgonetką pasażerską, DAL A obejmuje większe zagrożenia związane z dużymi samolotami załadowanymi paliwem i pasażerami. Publikacje mogą ilustrować ASIL D jako odpowiednik DAL B, DAL A lub jako poziom średniozaawansowany.

Powiązane normy

• ISO 26262
• SAE J2980

Zobacz też

• ARP4761
• ARP4754
• DO-178C
• DO-254
• IEC61508