El Nivel de Integridad de Seguridad Automotriz (ASIL) es un esquema de clasificación de riesgos definido por la norma ISO 26262 - Seguridad funcional para vehículos de carretera. Esta es una adaptación del nivel de integridad de seguridad (SIL) utilizado en IEC 61508 para la industria automotriz. Esta clasificación ayuda a definir los requisitos de seguridad necesarios para estar en línea con la norma ISO 26262. El ASIL se establece realizando un análisis de riesgo de un peligro potencial observando la gravedad, exposición y controlabilidad del escenario operativo del vehículo. El objetivo de seguridad para ese peligro a su vez conlleva los requisitos de ASIL.
Hay cuatro ASIL identificadas por el estándar: ASIL A, ASIL B, ASIL C, ASIL D. ASIL D dicta los requisitos de integridad más altos para el producto y ASIL A los más bajos. [1] Los peligros identificados como QM ( ) no imponen ningún requisito de seguridad.
Debido a la referencia a SIL y debido a que ASIL incorpora 4 niveles de peligro con un quinto nivel no peligroso, es común en las descripciones de ASIL comparar sus niveles con los niveles SIL y los niveles de garantía de diseño DO-178C , respectivamente.
La determinación de ASIL es el resultado del análisis de peligros y la evaluación de riesgos . [2] En el contexto de la norma ISO 26262, un peligro se evalúa en función del impacto relativo de los efectos peligrosos relacionados con un sistema, ajustado a las probabilidades relativas de que el peligro manifieste esos efectos. Es decir, cada peligro se evalúa en términos de gravedad de posibles lesiones dentro del contexto de la cantidad de tiempo que un vehículo está expuesto a la posibilidad de que ocurra el peligro (consulte la definición de exposición ISO26262 ), así como la probabilidad relativa de que un conductor típico puede actuar para prevenir la lesión (consulte las definiciones de gravedad y controlabilidad de ISO26262 ). [3]
En resumen, ASIL se refiere tanto al riesgo como a los requisitos dependientes del riesgo (tratamiento estándar de riesgo mínimo para un riesgo determinado). Considerando que el riesgo puede expresarse generalmente como
o
ASIL puede expresarse de manera similar como
que ilustra el papel de la exposición y la controlabilidad en el establecimiento de la probabilidad relativa, que se combina con la gravedad para formar una expresión de riesgo.
La gama ASIL va desde ASIL D, que representa el mayor grado de riesgo para la automoción y el mayor grado de rigor aplicado en el aseguramiento de los requisitos de seguridad resultantes, hasta QM, que representa una aplicación sin riesgos para la automoción y, por tanto, sin requisitos de seguridad que gestionar según la norma ISO 26262. procesos de seguridad. Los niveles intermedios son simplemente una gama de grados intermedios de peligro y grados de seguridad requeridos.
ASIL D , una abreviatura de Nivel de integridad de seguridad automotriz D , se refiere a la clasificación más alta de peligro inicial (riesgo de lesiones) definida en ISO 26262 y al nivel más estricto de medidas de seguridad de esa norma que se deben aplicar para evitar un riesgo residual irrazonable. [2] En particular, ASIL D representa un potencial potencial de lesiones mortales o que ponen en peligro la vida grave en caso de un mal funcionamiento y requiere el más alto nivel de garantía de que los objetivos de seguridad dependientes son suficientes y se han logrado. [2] Un ejemplo de peligro peligroso que justifica el nivel ASIL D es la pérdida de frenado en todas las ruedas. [9]
ASIL D es digno de mención, no solo por el elevado riesgo que representa y el rigor excepcional requerido en el desarrollo, sino porque los proveedores de software, electrónica y electricidad para automóviles afirman que sus productos han sido certificados o acreditados de otro modo según ASIL D, [10] [11] [12] [13] facilitan el desarrollo para ASIL D, [14] o son adecuados o apoyan el desarrollo de elementos para ASIL D. [15] [16] [17] Cualquier producto capaz de cumplir con ASIL D Los requisitos también cumplirían con cualquier nivel inferior.
ISO 26262 "recomienda encarecidamente" el uso de lenguajes de modelado semiformales para diseños ASIL D ( Stateflow y SysML proporcionan ejemplos de dichos lenguajes). [18] La validación ejecutable mediante prototipos o simulación es obligatoria. [19]
La pérdida de frenado solo para las ruedas traseras es menos peligrosa; este peligro está asociado con ASIL C. [20] Otro ejemplo de una función menos crítica que justifica la clasificación ASIL C es el control de crucero . [21]
Para diseños ASIL C, se recomienda encarecidamente el uso de lenguajes de modelado semiformales. [18] La validación ejecutable mediante prototipos o simulación es obligatoria. [19]
Ejemplos de ASIL B son los faros y las luces de freno . [21]
El modelado del diseño ASIL B puede basarse en lenguajes informales. [18] Este y otros requisitos de diferencias hacen que la diferencia de costos entre C y B sea el paso más grande en todas las ASIL. [22]
ASIL A es la calificación más baja de seguridad funcional. Un ejemplo típico son las luces traseras (sin frenos). [21] Se pueden utilizar recorridos de diseño menos estrictos durante el desarrollo (los niveles más altos requieren inspecciones de diseño más formales ). [19]
En referencia a la " Gestión de Calidad ", el nivel QM significa que todos los riesgos evaluados son tolerables desde una perspectiva de seguridad (incluso si el fabricante quisiera abordarlos desde una perspectiva de satisfacción del cliente, por ejemplo, asegurarse de que el vehículo arranca). Por lo tanto, los controles de garantía de seguridad son innecesarios y los procesos de gestión de calidad estándar son suficientes para el desarrollo. [23] [2]
Diseñar un sistema completo según los rigurosos estándares de los niveles más altos de ASIL puede ser difícil de manejar, por lo que ISO 26262 permite la "descomposición": los subcomponentes redundantes, cada uno diseñado para un nivel ASIL más bajo, se pueden combinar en un diseño de nivel ASIL más alto usando niveles más altos. metodologías. Los subcomponentes utilizados de esta manera contendrán características que permitirían una integración de nivel superior. La notación utilizada con frecuencia para un componente ASIL de nivel X que se puede utilizar como parte de un sistema ASIL de nivel Y es X(Y). Por ejemplo, un componente A(B) está diseñado según el nivel de requisitos ASIL A, pero está diseñado para adaptarse a los diseños ASIL B (este subcomponente se describe coloquialmente como "B-ready"). ISO 26262 contiene múltiples ejemplos de escenarios de descomposición permitidos, por ejemplo ASIL B = A(B) + A(B), es decir, dos subcomponentes ASIL A redundantes preparados para B se pueden combinar en un diseño ASIL B. Los faros proporcionan un ejemplo natural de tal descomposición: hay dos de ellos, por lo que pueden diseñarse en ASIL A y combinarse en un sistema ASIL B, siempre que la combinación se haga correctamente (por ejemplo, no debe introducir un punto común del fracaso). [24]
Dado que ASIL es un desarrollo relativamente reciente, las discusiones sobre ASIL a menudo comparan sus niveles con niveles definidos en otros sistemas de gestión de calidad o seguridad bien establecidos. En particular, los ASIL se comparan con los niveles de reducción de riesgos SIL definidos en IEC 61508 y los niveles de garantía de diseño utilizados en el contexto de DO-178C y DO-254 . Si bien existen algunas similitudes, es importante comprender también las diferencias.
ISO 26262 es una extensión de IEC 61508 . [2] IEC 61508 define una clasificación de nivel de integridad de seguridad (SIL) ampliamente citada. A diferencia de otros estándares de seguridad funcional, ISO 26262 no proporciona un mapeo normativo ni informativo de ASIL a SIL; Si bien los dos estándares tienen procesos similares para la evaluación de peligros, ASIL y SIL se calculan desde perspectivas diferentes. [25]
En el contexto de IEC 61508, las aplicaciones de mayor riesgo requieren una mayor robustez ante fallos peligrosos:
Es decir, para un riesgo tolerable determinado, un riesgo mayor requiere una mayor reducción del riesgo, es decir, un valor objetivo de diseño más pequeño para una mayor probabilidad de falla peligrosa. Para una función de seguridad que opera en modo de operación continuo o de alta demanda, SIL 1 está asociado con un límite de probabilidad de falla peligrosa de 10 −5 por hora, mientras que SIL 4 está asociado con un límite de probabilidad de falla peligrosa de 10 −9 por hora .
En publicaciones comerciales, se ha ilustrado que ASIL D se alinea con SIL 3 y ASIL A se compara con SIL 1. [33]
Si bien es más común comparar los niveles D a QM de ISO 26262 con los niveles de garantía de diseño (DAL) A a E y atribuir esos niveles a DO-178C; Estos DAL en realidad se definen y aplican a través de las definiciones de SAE ARP4761 y SAE ARP4754 . Especialmente en términos de gestión de riesgos vehiculares a través de un ciclo de vida de seguridad , el alcance de ISO 26262 es más comparable al alcance combinado de SAE ARP4761 y SAE ARP4754. La evaluación de riesgos funcionales (FHA) se define en ARP4761 y las DAL se definen en ARP4754. DO-178C y DO-254 definen los objetivos de garantía de diseño que deben lograrse para un DAL determinado.
A diferencia de SIL, tanto ASIL como DAL son declaraciones que miden el grado de peligro. DAL E es el equivalente ARP4754 de QM; en ambas clasificaciones los peligros son insignificantes y no se requiere gestión de seguridad. En el otro extremo, DAL A y ASIL D representan los niveles más altos de riesgo abordados por las normas respectivas, pero no abordan el mismo nivel de peligro. Mientras que ASIL D abarca como máximo los peligros de una camioneta de pasajeros cargada, DAL A incluye los mayores peligros de aviones grandes cargados con combustible y pasajeros. Las publicaciones pueden ilustrar ASIL D como equivalente a DAL B, DAL A o como un nivel intermedio.
{{cite book}}
: |magazine=
ignorado ( ayuda )La puntuación de riesgo para alguna situación potencialmente peligrosa se da numéricamente como el producto de tres factores: ...
El nivel adicional, QM, significa Gestión de Calidad y denota artículos no peligrosos que solo requieren el cumplimiento de la gestión de calidad estándar.
Otras variaciones incluyen el uso de "ASIL" (Niveles de integridad de seguridad automotriz) que se derivan de manera diferente, siendo ASIL una
medida cualitativa
de riesgo.
La norma ISO 26262
define los tres parámetros de riesgo de forma cualitativa que deja margen a la interpretación.
La principal diferencia entre ISO ASIL y IEC 61508 SIL es que estos últimos emplean medidas cuantitativas de probabilidad de objetivos, mientras que los ASIL se basan en medidas cualitativas. .... En las directrices MISRA e ISO 262 esta posibilidad se tiene en cuenta mediante una medida cualitativa conocida como 'controlabilidad'.
En el ámbito de la seguridad funcional, normas como la ISO 26262 evalúan la seguridad centrándose principalmente en técnicas
de evaluación cualitativa
...
Estos [métodos cuantitativos] establecen una frecuencia máxima de ocurrencia, en lugar de un objetivo de integridad principalmente cualitativo como en ISO 26262.
Estos establecen una frecuencia máxima de ocurrencia, en lugar de un objetivo de integridad principalmente cualitativo como en ISO 26262.
...entonces el requisito mínimo de la norma ISO 26262 con respecto a los análisis de seguridad es realizar un análisis cualitativo (es decir, no es necesario calcular con probabilidades de fallo...
La derivación del SIL se trata con más detalle en la parte 5 del estándar [61508], "Ejemplos de métodos para la determinación de niveles de integridad de seguridad", que explica diferentes enfoques
cuantitativos
para la derivación de SIL.