功能安全ISO 26262系统阶段开发ASIL等级

那具体如果确定一个组件的ASIL等级呢？

系统架构中的组件的ASIL等级源于分配到组件的TSR的ASIL等级，具体来讲，应该满足以下约束:

1、组件应该继承分配给它的所有TSR中的最高的ASIL等级，作为系统组件开发ASIL等级。

2、如果一个组件由多个子部件构成，且分配给子部件的TSR对应的ASIL等级(包括QM)不同，则每个子部件应该按照以下两个原则之一进行开发:

所有子部件分别按照所有TSR中最高的ASIL等级。

如果各子部件满足要素共存或免于干扰原则，即FFI(Freedom From Interference)，则各子部件按各自ASIL等级开发。

这里需要注意免于干扰(FFI) 和ASIL等级分解独立性原则(Independence)区别:

FFI: 要避免在两个或者更多要素之间由于级联失效而导致的违反功能安全要求。

ASIL等级分解独立性: 除保证无级联失效外，还需要保证无共因失效问题。所以独立性要求更为广泛，需要通过相关失效分析(DFA)证明。

那为什么FFI只要求避免级联失效，而ASIL分解独立性要求，除避免级联失效外，还要求避免共因失效呢？

二者需要解决的问题不同: 

FFI旨在解决不同ASIL等级(包括QM)组件共存的问题，需要对不同ASIL等级组件进行有效隔离，防止低ASIL等级组件故障蔓延或者影响到其他高ASIL等级组件，即防止串联失效，这属于级联关系的失效。

共因失效，即共同外部因素错误导致的组件失效，可以简单理解为并联失效。不管组件之间是否进行了隔离，只要有共同的外部错误输入，涉及的组件一定会出现故障，所以共因失效和FFI无关。

ASIL分解旨在，在保证原有安全性的情况下，将高ASIL等级需求分解成两个独立的低ASIL等级需求，一般这两个低ASIL等级需求会分配至两个不同组件，由此降低组件开发难度。

那怎么才能用低ASIL等级实现原有安全需求呢？

独立性，说白了是强调不一起发生故障，两个组件只有即不发生串联失效，也不发生并联失效的情况下，才可以保证不一起出现故障。

FFI是后续软件功能安全开发重要的内容，和控制器基础软件相关，ISO 26262中定义了以下几种要素干扰情况:

执行和时序(Timing &Execution)干扰

内存(Memory)干扰

信息交换(Exchange of information)干扰

华菱咨询成立至今，我们的咨询师团队已经为5000多家企事业单位提供各项咨询及培训服务，并获得了客户及业界的一致好评，欢迎您选择、体验华菱咨询的优质服务。

华菱咨询位于中国长三角、珠三角、京津冀和西南地区地区，成立于 2001 年,专注于标准体系咨询、产品认证咨询、企业管理项目咨询以及相关教育训练的顾问公司。公司已在北京、上海、杭州、广州、深圳、合肥、江西、西安设立了分支机构。

华菱咨询服务将通过变革的思想，快速的实施及降低风险来为客户提供增值服务。帮助客户构想、开拓、实施及运营关键性业务。

版权声明：

1.本公众号所发布内容，凡未注明“原创”等字样的均来源于网络善意转载，版权归原作者所有！

2.除本平台独家和原创，其他内容非本平台立场，不构成投资建议。

3.如千辛万苦未找到原作者或原始出处，请理解并联系我们。

4.文中部分图片源于网络。

5.本公众号发布此文出于传播消息之目的，如有侵权，联系删除。

华菱咨询深圳官网：http://www.hlemc-sz.com/

华菱咨询苏州官网：http://www.hlemc.com/

若还有其他问题，可直接在平台私信联系我们，我们会第一时间与您取得联系,感谢支持。