ASIL分解是功能安全系统设计的必要阶段，这部分工作做不好，开发复杂度、零部件成本都是难以接受的。这部分内容，我也刚刚接触，正好写篇文章理一理思路。什么是

ASIL分解是功能安全系统设计的必要阶段，这部分工作做不好，开发复杂度、零部件成本都是难以接受的。这部分内容，我也刚刚接触，正好写篇文章理一理思路。

控制系统的Safety goal和ASIL等级确定以后，从Safety goal可以推导出功能安全需求。功能安全需求继承了安全目标的ASIL等级。如果一个安全需求可以分解为两个安全需求，那么原来安全需求的ASIL等级可以分解到这两个安全需求上。

这个分解的结果是需求ASIL等级下降，但本质是功能安全需求的分解，最终都是实现相同ASIL等级的安全目标。下图给出了ASIL分解的原则，分解后的ASIL等级后面括号里是指明原始安全需求的ASIL等级，因为集成和需求的验证仍然依据原始的ASIL等级。ASIL的分解可以在功能安全活动的多个阶段进行，比如概念设计、系统设计、硬件设计和软件设计阶段。而且ASIL分解可以分多次进行，比如ASIL D=ASIL C(D)+ASIL A(D),其中ASIL C(D)还可以继续分解为ASIL B(D)+ASIL A(D)。

如果上面的分解过程是正确的，可以导出更新后的控制系统架构如下图所示。第一个控制器充当网关角色，作为唯一输入源。如果Primary co

ntroller CAN接收失效，两个控制器的的输入都是有误的。会产生共因失效，这在功能安全要求里是不被允许的(ISO26262第九章)。

考虑了共因失效的影响，在做ASIL分解的时候，最重要的要求是子系统的独立性，如果不能满足独立性的要求，冗余单元要按照原来的ASIL等级开发。修正后的系统架构图如下所示。

<THE USES AND ABUSES OF ASIL DECOMPOSITION IN ISO26262> ,MIRA Limited UK, D.D Ward

汽车测试网-创办于2008年，报道汽车测试技术与产品、趋势、动态等 联系邮箱 marketing#auto-testing.net (把#改成@)