Nivel de integridad de la seguridad automotriz

Norma de evaluación de riesgos

El nivel de integridad de seguridad automotriz (ASIL) es un esquema de clasificación de riesgos definido por la norma ISO 26262 - Seguridad funcional para vehículos de carretera. Se trata de una adaptación del nivel de integridad de seguridad (SIL) utilizado en IEC 61508 para la industria automotriz. Esta clasificación ayuda a definir los requisitos de seguridad necesarios para cumplir con la norma ISO 26262. El ASIL se establece realizando un análisis de riesgos de un peligro potencial observando la gravedad, la exposición y la capacidad de control del escenario operativo del vehículo. El objetivo de seguridad para ese peligro a su vez conlleva los requisitos del ASIL.

La norma identifica cuatro ASIL: ASIL A, ASIL B, ASIL C y ASIL D. ASIL D establece los requisitos de integridad más altos para el producto y ASIL A, los más bajos. ^[1] Los peligros identificados como QM ( ver a continuación ) no establecen ningún requisito de seguridad.

Análisis de peligros y evaluación de riesgos

Debido a la referencia a SIL y debido a que el ASIL incorpora 4 niveles de peligro con un quinto nivel no peligroso, es común en las descripciones de ASIL comparar sus niveles con los niveles SIL y los niveles de garantía de diseño DO-178C , respectivamente.

La determinación del ASIL es el resultado del análisis de peligros y la evaluación de riesgos . ^[2] En el contexto de la norma ISO 26262, un peligro se evalúa en función del impacto relativo de los efectos peligrosos relacionados con un sistema, ajustados en función de las probabilidades relativas de que el peligro manifieste esos efectos. Es decir, cada peligro se evalúa en términos de la gravedad de las posibles lesiones en el contexto de cuánto tiempo está expuesto un vehículo a la posibilidad de que ocurra el peligro (consulte la definición de exposición de la norma ISO26262 ), así como la probabilidad relativa de que un conductor típico pueda actuar para prevenir la lesión (consulte las definiciones de gravedad y controlabilidad de la norma ISO26262 ). ^[3]

En resumen, ASIL se refiere tanto al riesgo como a los requisitos dependientes del riesgo (tratamiento estándar de riesgo mínimo para un riesgo determinado). Mientras que el riesgo puede expresarse generalmente como

${\displaystyle {\text{Risk}}=({\text{expected loss in case of the accident}})\times ({\text{probability of the accident occurring}})}$

o

${\displaystyle {\text{Risk}}={\text{Severity}}\times ({\text{Exposure}}\times {\text{Likelihood}})}$^{[4] [5]}

ASIL puede expresarse de manera similar como

${\displaystyle {\text{ASIL}}={\text{Severity}}\times ({\text{Exposure}}\times {\text{Controllability}})}$^{[6] [7] [8]}

ilustrando el papel de la Exposición y la Controlabilidad en el establecimiento de la probabilidad relativa, que se combina con la Severidad para formar una expresión de riesgo.

Niveles

La gama ASIL va desde ASIL D, que representa el mayor grado de riesgo para la automoción y el mayor grado de rigor aplicado para garantizar los requisitos de seguridad resultantes, hasta QM, que representa la aplicación sin riesgos para la automoción y, por lo tanto, sin requisitos de seguridad que gestionar según los procesos de seguridad ISO 26262. Los niveles intermedios son simplemente una gama de grados intermedios de riesgo y grados de garantía requeridos.

ASIL D

ASIL D , abreviatura de Automotive Safety Integrity Level D (nivel de integridad de seguridad automotriz D) , se refiere a la clasificación más alta de peligro inicial (riesgo de lesión) definida en la norma ISO 26262 y al nivel más estricto de medidas de seguridad de esa norma que se debe aplicar para evitar un riesgo residual irrazonable. ^[2] En particular, ASIL D representa el potencial probable de lesiones graves que pongan en peligro la vida o sean fatales en caso de un mal funcionamiento y requiere el nivel más alto de garantía de que los objetivos de seguridad dependientes son suficientes y se han logrado. ^[2] Un ejemplo de peligro peligroso que justifica el nivel ASIL D es la pérdida de frenado en todas las ruedas. ^[9]

ASIL D es digno de mención, no solo por el riesgo elevado que representa y el rigor excepcional requerido en el desarrollo, sino porque los proveedores de software, productos electrónicos y eléctricos para automoción afirman que sus productos han sido certificados o acreditados de otra manera para ASIL D, ^{[10] [11] [12] [13]} facilitan el desarrollo para ASIL D, ^[14] o son de otra manera adecuados o respaldan el desarrollo de artículos para ASIL D. ^{[15] [16] [17]} Cualquier producto capaz de cumplir con los requisitos de ASIL D también cumpliría con cualquier nivel inferior.

La norma ISO 26262 "recomienda encarecidamente" el uso de lenguajes de modelado semiformales para diseños ASIL D ( Stateflow y SysML ofrecen ejemplos de dichos lenguajes). ^[18] La validación ejecutable mediante prototipos o simulación es obligatoria. ^[19]

ASIL C

La pérdida de frenado solo de las ruedas traseras es menos peligrosa; este peligro está asociado con ASIL C. ^[20] Otro ejemplo de una función menos crítica que justifica la calificación ASIL C es el control de crucero . ^[21]

Para los diseños ASIL C se recomienda encarecidamente el uso de lenguajes de modelado semiformales. ^[18] La validación ejecutable mediante prototipos o simulación es obligatoria. ^[19]

ASIL B

Los ejemplos de ASIL B son los faros y las luces de freno . ^[21]

El modelado del diseño ASIL B puede basarse en lenguajes informales. ^[18] Este y otros requisitos de diferencia hacen que la diferencia de costo entre C y B sea el paso más grande entre todos los ASIL. ^[22]

ASIL A

ASIL A es la calificación más baja de seguridad funcional. Un ejemplo típico son las luces traseras (sin frenos). ^[21] Se pueden utilizar recorridos de diseño menos estrictos durante el desarrollo (los niveles más altos requieren inspecciones de diseño más formales ). ^[19]

Gestión de calidad

En cuanto a la " Gestión de la calidad ", el nivel de gestión de la calidad significa que todos los riesgos evaluados son tolerables desde una perspectiva de seguridad (incluso si el fabricante quisiera abordarlos desde una perspectiva de satisfacción del cliente, por ejemplo, asegurarse de que el vehículo arranque). Por lo tanto, los controles de garantía de seguridad son innecesarios y los procesos de gestión de la calidad estándar son suficientes para el desarrollo. ^{[23] [2]}

Descomposición

El diseño de un sistema completo según los rigurosos estándares de los niveles superiores de ASIL puede resultar complicado, por lo que la norma ISO 26262 permite la "descomposición": los subcomponentes redundantes, cada uno diseñado para un nivel ASIL inferior, se pueden combinar en un diseño de nivel ASIL superior utilizando metodologías de nivel superior. Los subcomponentes utilizados de esta manera deben contener características que permitan una integración de nivel superior. La notación que se utiliza con frecuencia para un componente de nivel X de ASIL que se puede utilizar como parte de un sistema de nivel Y de ASIL es X(Y). Por ejemplo, un componente A(B) está diseñado en el nivel de requisitos de ASIL A, pero está hecho para adaptarse a los diseños de ASIL B (este subcomponente se describe coloquialmente como "B-ready"). La norma ISO 26262 contiene múltiples ejemplos de escenarios de descomposición permitidos, por ejemplo, ASIL B = A(B) + A(B), es decir, dos subcomponentes redundantes de ASIL A B-ready se pueden combinar en un diseño de ASIL B. Los faros son un ejemplo natural de dicha descomposición: hay al menos dos de ellos, por lo que pueden diseñarse en ASIL A y combinarse en un sistema ASIL B siempre que la combinación se realice correctamente (por ejemplo, no debería introducir un punto común de fallo). ^[24]

Comparación con otros estándares de niveles de riesgo

Dado que el ASIL es un desarrollo relativamente reciente, en los debates sobre el ASIL a menudo se comparan sus niveles con los niveles definidos en otros sistemas de gestión de la seguridad o la calidad bien establecidos. En particular, el ASIL se compara con los niveles de reducción de riesgo SIL definidos en IEC 61508 y los niveles de garantía de diseño utilizados en el contexto de DO-178C y DO-254 . Si bien existen algunas similitudes, es importante comprender también las diferencias.

IEC 61508 (SIL)

La norma ISO 26262 es una extensión de la norma IEC 61508. ^[2] La norma IEC 61508 define una clasificación de nivel de integridad de seguridad (SIL) ampliamente referenciada. A diferencia de otras normas de seguridad funcional, la norma ISO 26262 no proporciona una correlación normativa ni informativa entre ASIL y SIL; si bien las dos normas tienen procesos similares para la evaluación de riesgos, ASIL y SIL se calculan desde perspectivas diferentes. ^[25]

• Un ASIL ISO 26262 es una declaración cualitativa de riesgo evaluado, evaluado en términos de tres parámetros de riesgo de una manera cualitativa que deja espacio para la interpretación. ^{[26] [27] [28] [29] [30] [31]}

• Por otra parte, la norma IEC 61508 SIL emplea medidas cuantitativas de probabilidad objetivo o frecuencia ^[27] de fallas peligrosas dependiendo del tipo de función de seguridad. ^[32]

En el contexto de la norma IEC 61508, las aplicaciones de mayor riesgo requieren una mayor robustez ante fallos peligrosos:

${\displaystyle {\text{probability of failure}}<{{\text{Tolerable Risk}} \over {\text{Risk}}}}$

Es decir, para un Riesgo Tolerable dado, un Riesgo mayor requiere una mayor reducción del riesgo, es decir, un valor objetivo de diseño menor para una mayor probabilidad de falla peligrosa. Para una función de seguridad que opera en modo de operación continuo o de alta demanda, SIL 1 se asocia con un límite de probabilidad de falla peligrosa de 10 ⁻⁵ por hora, mientras que SIL 4 se asocia con un límite de tasa de probabilidad de falla peligrosa de 10 ⁻⁹ por hora.

En publicaciones comerciales, se ha ilustrado que ASIL D se alinea con SIL 3 y se compara ASIL A con SIL 1. ^[33]

SAE ARP4761 y SAE ARP4754 (DAL)

Si bien es más común comparar los niveles D a QM de la ISO 26262 con los niveles de garantía de diseño (DAL) A a E y atribuir esos niveles a la DO-178C; estos DAL en realidad se definen y aplican a través de las definiciones de SAE ARP4761 y SAE ARP4754 . Especialmente en términos de la gestión de peligros vehiculares a través de un ciclo de vida de seguridad , el alcance de la ISO 26262 es más comparable al alcance combinado de SAE ARP4761 y SAE ARP4754. La evaluación de peligros funcionales (FHA) se define en ARP4761 y los DAL se definen en ARP4754. La DO-178C y la DO-254 definen los objetivos de garantía de diseño que se deben lograr para un DAL determinado.

A diferencia de SIL, tanto ASIL como DAL son enunciados que miden el grado de peligro. DAL E es el equivalente ARP4754 de QM; en ambas clasificaciones los peligros son insignificantes y no se requiere gestión de la seguridad. En el otro extremo, DAL A y ASIL D representan los niveles más altos de riesgo abordados por las respectivas normas, pero no abordan el mismo nivel de peligro. Mientras que ASIL D abarca como máximo los peligros de una furgoneta de pasajeros cargada, DAL A incluye los peligros mayores de las aeronaves grandes cargadas con combustible y pasajeros. Las publicaciones pueden ilustrar ASIL D como equivalente a DAL B, a DAL A o como un nivel intermedio.

Normas asociadas

• ISO 26262
• SAE J2980

Véase también

• Precisión de ASIL
• ARP4761
• ARP4754
• DO-178C
• DO-254
• IEC 61508

Referencias

1. http://www.ni.com/white-paper/13647/en/#toc2 Libro blanco de National Instruments sobre la norma de seguridad funcional ISO 26262
2. ISO 26262-3:2011(en) Vehículos de carretera — Seguridad funcional — Parte 3: Fase de concepto. Organización Internacional de Normalización.
3. Hobbs, Chris; Lee, Patrick (9 de julio de 2013). Comprensión de los ASIL según la norma ISO 26262. Tecnologías integradas. Penton Electronics Group. {{cite book}}: |magazine=ignorado ( ayuda )
4. Kinney, GF; Wiruth, AD (junio de 1976). Análisis práctico de riesgos para la gestión de la seguridad. China Lake, California: Naval Weapons Center. La puntuación de riesgo para una situación potencialmente peligrosa se da numéricamente como el producto de tres factores: ...
5. Chris Van der Cruyssen, Directrices de evaluación de riesgos (hoja 4, método Kinney) (PDF) , economie, Gobierno Federal Belga
6. Steve Hartley; Ireri Ibarra; Gunwant Dhadyalla (2011), Seguridad funcional y diagnóstico de vehículos híbridos ("Severidad x Exposición x Capacidad de control = ASIL") (PDF) , pp. hoja 8
7. Sistema de gestión de celdas de batería inteligente y compacto para vehículos totalmente eléctricos (Hoja 9), STMicroelectronics^{[ enlace muerto permanente ]}
8. Microcontroladores de seguridad Hercules™: taller de 1 día sobre microcontroladores de seguridad (hoja 25) , Texas Instruments, Texas Instruments, 2013
9. Pimentel 2019, pág. 88.
10. "Comunicado de prensa: el microcontrolador Qorivva de Freescale es el primer microcontrolador automotriz en recibir la certificación de la norma de seguridad funcional ISO 26262". Freescale Semiconductor. 6 de septiembre de 2012. Archivado desde el original el 16 de febrero de 2014. Consultado el 23 de enero de 2015 .
11. "Investigación en programación certificada según ISO 26262 - ASIL D". Investigación en programación. 25 de julio de 2013. Consultado el 25 de abril de 2017 .
12. «Herramientas certificadas para seguridad funcional («Certified for software development up… ASIL D…»)». IAR Systems . Consultado el 6 de agosto de 2013 .
13. "Comunicado de prensa: Vector es el primer proveedor en ofrecer un sistema operativo AUTOSAR certificado por ASIL-D" (PDF) . Vector. 2013-02-18 . Consultado el 6 de agosto de 2013 .
14. "Paquetes de diseño SafeTI™ para aplicaciones de seguridad funcional". Texas Instruments . Consultado el 6 de agosto de 2013 .
15. "Renesas Electronics presenta la serie de microcontroladores V850 de cuarta generación (… desarrollados para aplicaciones con los más altos requisitos de seguridad funcional (ASIL D/SIL3))". Renesas Electronics. 4 de noviembre de 2010. Consultado el 6 de agosto de 2013 .
16. "Los microcontroladores fomentan el diseño de sistemas conforme a la norma ISO 26262 ASIL D". THOMASNET. 6 de septiembre de 2012. Consultado el 6 de agosto de 2013 .
17. Microcontroladores de seguridad ARM® CortexTM-R4 (hoja 3) (PDF) , Vision Series Embedded, Arrow Electronics
18. Nakagawa y Antonino 2023, pag. 91.
19. Nakagawa y Antonino 2023, pag. 90.
20. Pimentel 2019, pág. 86.
21. Xie y otros, 2023, pág. 4.
22. Pimentel 2019, pág. 89.
23. "Guía de niveles de integridad de seguridad automotriz (ASIL)". jamasoftware.com . Consultado el 13 de diciembre de 2022 . El nivel adicional, QM, significa Gestión de calidad y denota elementos no peligrosos que solo requieren el cumplimiento de la gestión de calidad estándar.
24. Frigerio, Vermeulen y Goossens 2019.
25. "Norma IEC 61508". ldra.com Cumplimiento de normas . LDRA . Consultado el 13 de diciembre de 2022 . Otras variaciones incluyen el uso de "ASIL" (niveles de integridad de seguridad automotriz) que se derivan de manera diferente, siendo ASIL una medida cualitativa del riesgo.
26. Paul Chomicz (27-28 de agosto de 2018). "Lenguaje natural controlado para análisis de peligros y evaluación de riesgos". Actas del Sexto Taller Internacional, CNL 2018. Lenguaje natural controlado. Maynooth, Co. Kildare, Irlanda. pág. 42. Consultado el 14 de diciembre de 2022. La norma ISO 26262 define los tres parámetros de riesgo de una manera cualitativa que deja espacio a la interpretación.
27. Perallos, Asier; Hernandez-Jayo, Unai; Onieva, Enrique; Garcia-Zuazola, Ignacio, eds. (2011). "Análisis de riesgos de ciberseguridad para sistemas de transporte inteligentes y redes a bordo de vehículos". Sistemas de transporte inteligentes: tecnologías y aplicaciones. Wiley. pp. 87, 95. ISBN 9781118894767. Recuperado el 13 de diciembre de 2022. La principal diferencia entre los ASIL de ISO y los SIL de IEC 61508 es que estos últimos emplean medidas cuantitativas de probabilidad de objetivo, mientras que los ASIL se basan en medidas cualitativas. .... En las directrices MISRA e ISO 262, esta posibilidad se tiene en cuenta mediante una medida cualitativa conocida como "controlabilidad".
28. Peter Björkman (2011). Evaluación probabilística de la seguridad mediante técnicas de análisis cuantitativo: aplicación en la industria automotriz pesada (PDF) . Universidad de Uppsala . Consultado el 13 de diciembre de 2022 . En el área de seguridad funcional, normas como la ISO 26262 evalúan la seguridad centrándose principalmente en técnicas de evaluación cualitativa ...
29. Conceptos y análisis de riesgos para un sistema cooperativo y automatizado de conducción en pelotón de vehículos en autopistas. Dependable Computing - Talleres EDCC 2020. Múnich, Alemania. 7 de septiembre de 2020. págs. 200–214 . Consultado el 14 de diciembre de 2022. Estos [métodos cuantitativos] establecen una frecuencia máxima de ocurrencia, en lugar de un objetivo de integridad principalmente cualitativo como en la norma ISO 26262.
30. "Conceptos y análisis de riesgos para un sistema cooperativo y automatizado de conducción en pelotón en autopistas". Actas . Dependable Computing - Talleres EDCC 2020. Múnich, Alemania. 7 de septiembre de 2020. págs. 200 214 . Consultado el 14 de diciembre de 2022 . En ellos se establece una frecuencia máxima de ocurrencia, en lugar de un objetivo de integridad principalmente cualitativo como en la norma ISO 26262.
31. Bernhard Kaiser (9 de marzo de 2016). "Seguridad funcional de los sistemas de monitorización con cámara". En Anestis Tersis (ed.). Manual de sistemas de monitorización con cámara: la tecnología de sustitución de espejos para automóviles basada en la norma ISO 16505. Visión aumentada y realidad. p. 525. ISBN 9783319296111. Recuperado el 14 de diciembre de 2022. ...entonces el requisito mínimo de la norma ISO 26262 con respecto a los análisis de seguridad es realizar un análisis cualitativo (es decir, no es necesario calcular con probabilidades de falla....
32. "Norma IEC 61508". ldra.com Cumplimiento de normas . LDRA . Consultado el 13 de diciembre de 2022 . La derivación del SIL se trata con más detalle en la parte 5 de la norma [61508], "Ejemplos de métodos para la determinación de los niveles de integridad de seguridad", que explica diferentes enfoques cuantitativos para la derivación de los SIL.
33. Frech, Marcus; Josef Mieslinger (2012). "Seminario sobre seguridad funcional y taller de un día sobre HerculesTM". Arrow Roadshow : 63.

Fuentes

• Pimentel, J. (2019). El papel de la norma ISO 26262. Seguridad de vehículos automatizados. SAE International. ISBN 978-0-7680-0275-1. Consultado el 28 de julio de 2023 .
• Xie, G.; Zhang, Y.; Li, R.; Li, K.; Li, K. (2023). Seguridad funcional para sistemas integrados. CRC Press. ISBN 978-1-000-88131-8. Consultado el 28 de julio de 2023 .
• Frigerio, Alessandro; Vermeulen, Bart; Goossens, Kees (2019). Descomposición ASIL a nivel de componentes para arquitecturas automotrices . 2019 49.° Congreso internacional anual IEEE/IFIP sobre sistemas y redes confiables (DSN-W). IEEE. doi :10.1109/dsn-w.2019.00021.
• Nakagawa, EY; Antonino, PO (2023). Arquitecturas de referencia para dominios críticos: usos industriales e impactos. Springer International Publishing. ISBN 978-3-031-16957-1. Consultado el 28 de julio de 2023 .