ISO 26262 标准规定了道路车辆功能安全的相关要求，不同 ASIL 等级对控制器在设计、安全机制、验证确认和文档记录等方面有不同要求。高 ASIL 等级的控制器需满足更高的硬件和软件设计标准，具备更强的故障检测、诊断、容错和恢复能力，进行更严格的测试和评估，并要有更详细的文档记录和管理。

ASIL等级相关的主要参数

1. 伤害的严重性（S） ：根据危险事件发生时对所有被卷入事件中的人的伤害程度，分为 S0（无伤害）、S1（轻微或有限的伤害）、S2（严重或危及生命的伤害，可以幸存）、S3（危及生命的伤害，可能不能幸存或致命伤害）四个等级。
2. 在操作条件下暴露于危险中的可能性（E） ：考虑危险所在工况的发生概率，分为 E0（几乎不可能）、E1（可能性非常低）、E2（可能性低）、E3（中等可能性）、E4（可能性高）五个等级。需要注意的是，E0 通常用于在风险分析中一些建议性的情况，且假设了所有车上都安装了被评估的产品，如果一个危险，人员暴露其中的可能性是 E0 级，则无需考虑 ASIL 等级。
3. 危险的可控性（C） ：评估司机或者其他交通参与人员在危险事件中进行控制并减小或者避免伤害的可能性，在 ISO 26262 中，可控性被分为 C0（通常可控）、C1（简单可控）、C2（正常可控）、C3（很难控制或不可控）四个等级。需要注意的是，使用这个分级的条件是司机处于正常状态，即不疲劳、有驾照、按照交通规则行驶，当然，其中要考虑可预见的误操作和误使用。如果一个危险的可控性被评为 C0，则对其没有 ASIL 要求。

通过对危险情况的系统评估，考虑以上三个参数，即伤害的严重性、暴露于危险中的可能性和危险的可控性，来确定安全目标和 ASIL 等级。

项目安全生命周期

安全等级划分及适用场景

1. QM（与安全无关） ：表示该功能或系统与安全目标无关，不需要满足特定的安全要求。
2. ASIL A ：是最低的安全等级，对风险的容忍程度相对较高，安全措施的要求相对较低。如某些舒适性功能或辅助功能，这些功能的故障可能会导致轻微的不便或较低的伤害风险。
3. ASIL B ：比 ASIL A 的安全要求更高，对危险的控制和预防措施更为严格，需要采取更多的安全机制来降低风险。如一些与车辆控制相关的系统，其故障可能会导致一定程度的伤害，但不会危及生命。
4. ASIL C ：在 ASIL B 的基础上，进一步提高了安全要求，对风险的容忍程度更低，需要更强大的安全机制来确保系统的安全性。适用于安全风险较高的系统，如制动系统、转向系统等关键安全系统，其故障可能会导致严重伤害或危及生命。
5. ASIL D ：是最高的安全等级，对风险的容忍程度极低，要求采取最严格的安全措施，包括多重冗余、故障检测和诊断、容错和故障恢复等，以确保系统在任何情况下都能保持安全状态。如安全气囊系统、自动驾驶系统等，这些系统的故障可能会导致灾难性的后果，对生命安全构成极大威胁。

需要注意的是，具体的适用产品应根据系统的功能、故障后果以及风险评估来确定。在汽车电子系统的开发中，应根据 ASIL 等级的要求，采取相应的安全措施和设计方法，以确保系统的安全性和可靠性。

功能安全对设计的要求

1. 设计要求 ：

• 硬件设计 ：随着 ASIL 等级的提高，对控制器硬件的可靠性和安全性要求也会增加。例如，对于安全目标 ASIL（B）、C 和 D 的硬件，需要避免单点故障的有效性安全机制证据，包括保持安全状态的安全机制、安全地切换到安全状态的能力以及对残余故障的诊断覆盖率的评估等。
• 软件设计 ：高 ASIL 等级的控制器软件需要更严格的设计原则和验证方法。例如，软件体系结构应具有更高的模块化、封装性和简单化，以避免高复杂性造成的故障。同时，软件单元的设计和实现应遵循更严格的规范，包括使用特定的设计原理、避免使用某些编程语言特性等。

2. 安全机制 ：

• 故障检测和诊断 ：高 ASIL 等级的控制器需要更强大的故障检测和诊断能力，能够及时发现和识别潜在的故障，以避免违反安全目标。例如，在硬件层面，需要指定系统或要素达到安全目标的影响因素，包括每个相关的工作模式和系统定义的状态的失效和相关因素的组合；在软件层面，需要应用更多的错误检测机制，如输入输出数据范围检测、合理性检查、数据错误检测等。
• 故障容错和恢复 ：高 ASIL 等级的控制器应具备更强的故障容错和恢复能力，当故障发生时，能够确保系统保持安全状态或快速恢复到安全状态。例如，软件层面应具备静态恢复机制、故障软化、独立并联冗余等错误处理机制。

3. 验证和确认 ：

• 测试要求 ：高 ASIL 等级的控制器需要进行更全面和严格的测试，以验证其是否满足安全要求。例如，在软件单元测试和集成测试中，需要使用更多的测试方法和更高的测试覆盖率，包括语句覆盖、分支覆盖、修正条件 / 判定覆盖等。
• 评估和审核 ：高 ASIL 等级的控制器的安全评估和审核应更加细致和深入，确保其功能安全符合标准要求。例如，在功能安全评估中，需要对项目开发的每个阶段进行评估，且评估应在适当的细节层进行。

4. 文档和记录 ：

• 需求规范和管理 ：高 ASIL 等级的控制器的安全要求应更明确、详细地记录在文档中，且安全要求的管理应更加严格，包括可追溯性、完整性、一致性等方面的要求。
• 开发过程记录 ：控制器的开发过程应完整记录，包括设计决策、测试结果、变更管理等，以便于后续的审查和追溯。

总结

ISO 26262 是道路车辆功能安全的重要标准，涵盖了车辆安全相关系统的整个生命周期。其中，ASIL 等级的划分对控制器的要求产生重要影响。随着 ASIL 等级的提高，控制器在设计上需遵循更严格的原则，以确保硬件和软件的可靠性和安全性。在安全机制方面，高 ASIL 等级的控制器需要更强大的故障检测和诊断能力，以及更好的故障容错和恢复能力，以保障系统在故障发生时仍能保持安全状态或快速恢复。在验证和确认环节，高 ASIL 等级控制器需要进行更全面和严格的测试，同时接受更细致深入的评估和审核。此外，文档和记录的要求也随着 ASIL 等级的升高而更加严格，以保证控制器的开发过程和安全要求可追溯、完整且一致。总之，ASIL 等级越高，控制器的各项要求就越严格，以满足汽车电子系统对安全性和可靠性的高要求。
总之，ASIL 等级越高，控制器的各项要求就越严格，以满足汽车电子系统对安全性和可靠性的高要求。