作者: 吴丹丹、Luki
在汽车功能安全领域里,你可能经常会听到 ASIL 这个定义,很多人以为 ASIL 等级越高,就代表这个系统越安全,其实这是一个理解误区 ,今天我们就来聊聊到底什么是 ASIL 等级,其实它代表的是风险等级,这是不是有点颠覆了你的认知呢。
ASIL 的全称是 Automotive Safety Integration level, 翻译过来就是汽车安全完整性等级。 ASIL 分为 A 、 B 、 C 、 D 四个等级, A 是最低, D 是最高。但它可不是简单的 「 安全排行榜 」 ,而是 通过严重度 S 、暴露度 E 、可控性 C 三个维度,给汽车系统的潜在危害打分,用以评估这个危害的风险程度。
其中,严重度就是指这个危害事件所造成的伤害或损失的程度,它分为 S0,S1,S2,S3 四个等级, S0 代表没有伤害, S3 代表伤害最严重。
暴露度就是指这个危害事件发生的可能性,它分为 E0,E1,E2,E3,E4 五个等级, E0 代表可能性最低,几乎不可能发生, E4 代表发生的可能性最高。
可控性是指危害发生时驾驶员或其他人员可能对它的挽救难度,它分为 C0,C1,C2,C3 四个等级, C0 代表可控性最高,通过人为操作完全可以挽救危害事件的发生, C3 代表可控性最低,危害发生时,难以进行控制和挽救。
对于汽车系统中的某一个危害事件,通过评估它的严重度 S 、暴露度 E 和可控性 C 就可以通过查表确定它对应的 ASIL 等级了。其中 QM 代表没有安全风险。
因为 ASIL 代表的是风险等级,风险等级越高的系统,就需要做出更多的安全防护措施来降低风险,避免危害事件的发生,所以这可能是很多人误认为 ASIL 等级越高越安全的原因。 实际 ASIL 等级高并不是说它更安全,而是说明它需要实现更多的安全措施才能将风险控制在可接受的水平。
此外,说到 ASIL 等级,你会发现它常常和安全目标绑定在一起,这又是怎么回事呢?因为为了避免一个危害事件的发生,就需要制定相应的安全目标,所以针对这个危害所制定的安全目标会继承这个 ASIL ,用来表征这个安全目标所对应的风险。因此, ASIL 是用来定义危害或者安全目标的一个属性,而不是一个系统、一个零部件的属性。 如果有人和你说,某个系统是 ASILD 的,这种说法其实是错误的,既不严谨,也不科学。但是现实中,大家却经常这么说,遇到这种情况,你可以粗略理解为在这个系统可能产生的危害中,最高风险等级是 ASILD ,除此之外,系统中也可能还包含 ASILA , ASILB 或 ASILC 的危害。
下面我们举一个例子,以自动紧急制动系统 AEB 为例,带你具象化理解一下如何定义 ASIL 等级。假设车辆在高速上行驶,经过对自动紧急制动系统开展危害分析,其中有一个危害是系统产生非预期制动,也就是误制动,这种情况下,可能导致后方车辆来不及刹车,与本车发生碰撞,对人员造成严重伤害,所以严重度可以定义为 S3 ;如果后方车辆保持正常的安全距离,碰撞事故就不会发生,所以危害可能发生的场景是后方车辆跟随超车的情况,这种场景发生的可能性相对较低,所以暴露度定义为 E2 ;一旦发生误制动,在高速行驶且车距较近的状态下,前车突然发生制动,后车驾驶员很难或几乎不能控制车辆避免碰撞事故,所以可控性定义为 C3 ,经过查表可知,非预期制动危害的严重度 S3 、暴露度 E2 、可控制 C3 所对应的风险等级为 ASILB ,其对应的安全目标为自动紧急制动系统应避免非预期制动,所以这是一个 ASILB 的安全目标。
危害
自动紧急制动系统 AEB 产生非预期制动
严重度 S
S3
暴露度 E
E2
可控性 C
C3
安全目标
自动紧急制动系统 AEB 应避免非预期制动
ASIL
ASILB
经过以上的讲解和示例,相信你现在能够明白啦, ASIL 不是说 「 这个系统绝对安全 」 ,而是告诉我们 「 这个风险有多高,需要投入多少精力去应对 」 。就像医生看病,感冒流鼻涕开点药可能就行了,要是心脏有问题就得全力以赴去治疗。同样,通过 ASIL 的定义和划分,明确不同系统的风险差异,车企可以把安全资源精准分配到最需要的地方,比如刹车、转向这些关键系统,以此达到更高的 ASIL 等级。
下次看到 ASIL 等级,别再纠结谁高谁低啦,它其实是在告诉你: 「 这个系统的风险我们评估过,并且需要实现相应的安全措施。 」 关注 ASIL ,不是追求数字高低,而是衡量风险的大小,以及评估对安全的投入程度。毕竟,真正的安全,藏在每个风险评估的细节里。
