汽车安全标准ISO-26262以及等级ASIL

1.什么是ISO 26262

为了保证即使出现部分电子器件故障，汽车系统也能在短期（故障容错时间内）内安全进行，2011年11月，ISO（International Organization for Standardization，国际标准化组织）正式发布ISO 26262，这是 E/E 系统的通用功能安全标准，为开发汽车安全相关系统提供了指南。

ISO 26262 要求汽车原始设备制造商和供应商必须遵循并记录功能安全开发流程（从开始制定规格直到量产发布），以使其设备具备在商用车辆（轿车）内运行的资格。该标准列出了风险分类体系（汽车安全完整性等级，ASIL），旨在降低电气电子 (E/E) 系统故障行为可能造成的危害。

2018 年，ISO 26262 经过重大更新，增加了两项新标准：针对半导体的要求，以及针对摩托车、卡车和巴士的要求。针对基于模型的 开发、软件安全分析、相关失效分析、故障容错等项目增加了指导纲要; ISO 26262 标准还将不断发展.

1.1 ISO 26262 与其他汽车标准区别:

ISO 26262 侧重于功能安全 - 确保汽车零部件能够在正确的时间发挥正确的功能。其专门针对汽车提供方案，用于确定 ASIL 风险等级。

AEC-Q100（由汽车电子委员会建立）专事研究汽车应用中集成电路的可靠性，尤其是压力测试。 汽车工程师协会 (SAE) 长期以来一直为汽车发动机的马力评级提供标准，现在又确定了 SAE J3061 中网络安全的最佳实践操作。SAE 积极参与定义车辆无人驾驶等级，并于最近制定汽车测试标准。

MISRA（汽车工业软件可靠性联合会）指南侧重于安全性 - 定义在车辆控制系统中开发安全可靠的可移植软件代码的流程。

2. 什么是ASIL 

ASIL (Automotive Safety Integration Level，汽车安全完整性等级)表示汽车安全性等级。这是 ISO 26262 标准针对道路车辆的功能安全性定义的风险分类系统。

ISO 26262标准对E/E系统做功能安全设计时，一个重要的步骤是对ASIL等级进行评估。

ISO 26262确定了ASIL有四个等级，分别为A、B、C、D，其中 A 是最低等级，D是最高等级。

安全气囊、防抱死制动系统和动力转向系统必须达到 ASIL D 级，这是应用于安全保障的最严苛等级，因为其失效带来的风险最高。而安全等级范围的最低等级，如后灯等部件，仅需达到 ASIL A 级即可。大灯和刹车灯通常是 ASIL B 级，而巡航控制通常是 ASIL C 级

3.ASIL如何划分 

ASIL四个等级划分主要依据如下三个指标：

• 严重程度：危险事件所导致伤害或损失的潜在严重性（Severity of failure，S）
• 暴露率   ：在操作条件下，人员暴露于危险当中的可能性，涉及场景的出现频率以及持续时间(Probability of Exposure，E)
• 可控性：驾驶员或其他涉险人员能够避免事故或伤害的可能性(Controllability，C)