Nivel de integridad de seguridad automotriz

Estándar de evaluación de riesgos

El Nivel de Integridad de Seguridad Automotriz (ASIL) es un esquema de clasificación de riesgos definido por la norma ISO 26262 - Seguridad funcional para vehículos de carretera. Esta es una adaptación del nivel de integridad de seguridad (SIL) utilizado en IEC 61508 para la industria automotriz. Esta clasificación ayuda a definir los requisitos de seguridad necesarios para estar en línea con la norma ISO 26262. El ASIL se establece realizando un análisis de riesgo de un peligro potencial observando la gravedad, exposición y controlabilidad del escenario operativo del vehículo. El objetivo de seguridad para ese peligro a su vez conlleva los requisitos de ASIL.

Hay cuatro ASIL identificadas por el estándar: ASIL A, ASIL B, ASIL C, ASIL D. ASIL D dicta los requisitos de integridad más altos para el producto y ASIL A los más bajos. ^[1] Los peligros identificados como QM ( ver más abajo ) no imponen ningún requisito de seguridad.

Análisis de peligros y evaluación de riesgos

Debido a la referencia a SIL y debido a que ASIL incorpora 4 niveles de peligro con un quinto nivel no peligroso, es común en las descripciones de ASIL comparar sus niveles con los niveles SIL y los niveles de garantía de diseño DO-178C , respectivamente.

La determinación de ASIL es el resultado del análisis de peligros y la evaluación de riesgos . ^[2] En el contexto de la norma ISO 26262, un peligro se evalúa en función del impacto relativo de los efectos peligrosos relacionados con un sistema, ajustado a las probabilidades relativas de que el peligro manifieste esos efectos. Es decir, cada peligro se evalúa en términos de gravedad de posibles lesiones dentro del contexto de la cantidad de tiempo que un vehículo está expuesto a la posibilidad de que ocurra el peligro (consulte la definición de exposición ISO26262 ), así como la probabilidad relativa de que un conductor típico puede actuar para prevenir la lesión (consulte las definiciones de gravedad y controlabilidad de ISO26262 ). ^[3]

En resumen, ASIL se refiere tanto al riesgo como a los requisitos dependientes del riesgo (tratamiento estándar de riesgo mínimo para un riesgo determinado). Considerando que el riesgo puede expresarse generalmente como

${\displaystyle {\text{Risk}}=({\text{expected loss in case of the accident}})\times ({\text{probability of the accident occurring}})}$

o

${\displaystyle {\text{Risk}}={\text{Severity}}\times ({\text{Exposure}}\times {\text{Likelihood}})}$^{[4] [5]}

ASIL puede expresarse de manera similar como

${\displaystyle {\text{ASIL}}={\text{Severity}}\times ({\text{Exposure}}\times {\text{Controllability}})}$^{[6] [7] [8]}

que ilustra el papel de la exposición y la controlabilidad en el establecimiento de la probabilidad relativa, que se combina con la gravedad para formar una expresión de riesgo.

Niveles

La gama ASIL va desde ASIL D, que representa el mayor grado de riesgo para la automoción y el mayor grado de rigor aplicado en el aseguramiento de los requisitos de seguridad resultantes, hasta QM, que representa una aplicación sin riesgos para la automoción y, por tanto, sin requisitos de seguridad que gestionar según la norma ISO 26262. procesos de seguridad. Los niveles intermedios son simplemente una gama de grados intermedios de peligro y grados de seguridad requeridos.

ASIL D

ASIL D , una abreviatura de Nivel de integridad de seguridad automotriz D , se refiere a la clasificación más alta de peligro inicial (riesgo de lesiones) definida en ISO 26262 y al nivel más estricto de medidas de seguridad de esa norma que se deben aplicar para evitar un riesgo residual irrazonable. ^[2] En particular, ASIL D representa un potencial potencial de lesiones mortales o que ponen en peligro la vida grave en caso de un mal funcionamiento y requiere el más alto nivel de garantía de que los objetivos de seguridad dependientes son suficientes y se han logrado. ^[2] Un ejemplo de peligro peligroso que justifica el nivel ASIL D es la pérdida de frenado en todas las ruedas. ^[9]

ASIL D es digno de mención, no solo por el elevado riesgo que representa y el rigor excepcional requerido en el desarrollo, sino porque los proveedores de software, electrónica y electricidad para automóviles afirman que sus productos han sido certificados o acreditados de otro modo según ASIL D, ^{[10] [11] [12] [13]} facilitan el desarrollo para ASIL D, ^[14] o son adecuados o apoyan el desarrollo de elementos para ASIL D. ^{[15] [16] [17]} Cualquier producto capaz de cumplir con ASIL D Los requisitos también cumplirían con cualquier nivel inferior.

ISO 26262 "recomienda encarecidamente" el uso de lenguajes de modelado semiformales para diseños ASIL D ( Stateflow y SysML proporcionan ejemplos de dichos lenguajes). ^[18] La validación ejecutable mediante prototipos o simulación es obligatoria. ^[19]

ASIL C

La pérdida de frenado solo para las ruedas traseras es menos peligrosa; este peligro está asociado con ASIL C. ^[20] Otro ejemplo de una función menos crítica que justifica la clasificación ASIL C es el control de crucero . ^[21]

Para diseños ASIL C, se recomienda encarecidamente el uso de lenguajes de modelado semiformales. ^[18] La validación ejecutable mediante prototipos o simulación es obligatoria. ^[19]

ASIL B

Ejemplos de ASIL B son los faros y las luces de freno . ^[21]

El modelado del diseño ASIL B puede basarse en lenguajes informales. ^[18] Este y otros requisitos de diferencias hacen que la diferencia de costos entre C y B sea el paso más grande en todas las ASIL. ^[22]

ASIL A

ASIL A es la calificación más baja de seguridad funcional. Un ejemplo típico son las luces traseras (sin frenos). ^[21] Se pueden utilizar recorridos de diseño menos estrictos durante el desarrollo (los niveles más altos requieren inspecciones de diseño más formales ). ^[19]

control de calidad

En referencia a la " Gestión de Calidad ", el nivel QM significa que todos los riesgos evaluados son tolerables desde una perspectiva de seguridad (incluso si el fabricante quisiera abordarlos desde una perspectiva de satisfacción del cliente, por ejemplo, asegurarse de que el vehículo arranca). Por lo tanto, los controles de garantía de seguridad son innecesarios y los procesos de gestión de calidad estándar son suficientes para el desarrollo. ^{[23] [2]}

Descomposición

Diseñar un sistema completo según los rigurosos estándares de los niveles más altos de ASIL puede ser difícil de manejar, por lo que ISO 26262 permite la "descomposición": los subcomponentes redundantes, cada uno diseñado para un nivel ASIL más bajo, se pueden combinar en un diseño de nivel ASIL más alto usando niveles más altos. metodologías. Los subcomponentes utilizados de esta manera contendrán características que permitirían una integración de nivel superior. La notación utilizada con frecuencia para un componente ASIL de nivel X que se puede utilizar como parte de un sistema ASIL de nivel Y es X(Y). Por ejemplo, un componente A(B) está diseñado según el nivel de requisitos ASIL A, pero está diseñado para adaptarse a los diseños ASIL B (este subcomponente se describe coloquialmente como "B-ready"). ISO 26262 contiene múltiples ejemplos de escenarios de descomposición permitidos, por ejemplo ASIL B = A(B) + A(B), es decir, dos subcomponentes ASIL A redundantes preparados para B se pueden combinar en un diseño ASIL B. Los faros proporcionan un ejemplo natural de tal descomposición: hay dos de ellos, por lo que pueden diseñarse en ASIL A y combinarse en un sistema ASIL B, siempre que la combinación se haga correctamente (por ejemplo, no debe introducir un punto común del fracaso). ^[24]

Comparación con otros estándares de niveles de peligro

Dado que ASIL es un desarrollo relativamente reciente, las discusiones sobre ASIL a menudo comparan sus niveles con niveles definidos en otros sistemas de gestión de calidad o seguridad bien establecidos. En particular, los ASIL se comparan con los niveles de reducción de riesgos SIL definidos en IEC 61508 y los niveles de garantía de diseño utilizados en el contexto de DO-178C y DO-254 . Si bien existen algunas similitudes, es importante comprender también las diferencias.

IEC 61508 (SIL)

ISO 26262 es una extensión de IEC 61508 . ^[2] IEC 61508 define una clasificación de nivel de integridad de seguridad (SIL) ampliamente citada. A diferencia de otros estándares de seguridad funcional, ISO 26262 no proporciona un mapeo normativo ni informativo de ASIL a SIL; Si bien los dos estándares tienen procesos similares para la evaluación de peligros, ASIL y SIL se calculan desde perspectivas diferentes. ^[25]

• Una ASIL ISO 26262 es una declaración cualitativa de riesgo evaluado, evaluado en términos de tres parámetros de riesgo de una manera cualitativa que deja espacio a la interpretación. ^{[26] [27] [28] [29] [30] [31]}

• Por otro lado, el SIL IEC 61508 emplea medidas cuantitativas de probabilidad objetivo o frecuencia ^[27] de fallas peligrosas dependiendo del tipo de función de seguridad. ^[32]

En el contexto de IEC 61508, las aplicaciones de mayor riesgo requieren una mayor robustez ante fallos peligrosos:

${\displaystyle {\text{probability of failure}}<{{\text{Tolerable Risk}} \over {\text{Risk}}}}$

Es decir, para un riesgo tolerable determinado, un riesgo mayor requiere una mayor reducción del riesgo, es decir, un valor objetivo de diseño más pequeño para una mayor probabilidad de falla peligrosa. Para una función de seguridad que opera en modo de operación continuo o de alta demanda, SIL 1 está asociado con un límite de probabilidad de falla peligrosa de 10 ⁻⁵ por hora, mientras que SIL 4 está asociado con un límite de probabilidad de falla peligrosa de 10 ⁻⁹ por hora .

En publicaciones comerciales, se ha ilustrado que ASIL D se alinea con SIL 3 y ASIL A se compara con SIL 1. ^[33]

SAE ARP4761 y SAE ARP4754 (DAL)

Si bien es más común comparar los niveles D a QM de ISO 26262 con los niveles de garantía de diseño (DAL) A a E y atribuir esos niveles a DO-178C; Estos DAL en realidad se definen y aplican a través de las definiciones de SAE ARP4761 y SAE ARP4754 . Especialmente en términos de gestión de riesgos vehiculares a través de un ciclo de vida de seguridad , el alcance de ISO 26262 es más comparable al alcance combinado de SAE ARP4761 y SAE ARP4754. La evaluación de riesgos funcionales (FHA) se define en ARP4761 y las DAL se definen en ARP4754. DO-178C y DO-254 definen los objetivos de garantía de diseño que deben lograrse para un DAL determinado.

A diferencia de SIL, tanto ASIL como DAL son declaraciones que miden el grado de peligro. DAL E es el equivalente ARP4754 de QM; en ambas clasificaciones los peligros son insignificantes y no se requiere gestión de seguridad. En el otro extremo, DAL A y ASIL D representan los niveles más altos de riesgo abordados por las normas respectivas, pero no abordan el mismo nivel de peligro. Mientras que ASIL D abarca como máximo los peligros de una camioneta de pasajeros cargada, DAL A incluye los mayores peligros de aviones grandes cargados con combustible y pasajeros. Las publicaciones pueden ilustrar ASIL D como equivalente a DAL B, DAL A o como un nivel intermedio.

Estándares asociados

• ISO 26262
• SAE J2980

Ver también

• Precisión ASIL
• ARP4761
• ARP4754
• DO-178C
• DO-254
• CEI 61508

Referencias

1. http://www.ni.com/white-paper/13647/en/#toc2 Libro blanco de National Instruments sobre la norma de seguridad funcional ISO 26262
2. ISO 26262-3:2011 (en) Vehículos de carretera. Seguridad funcional. Parte 3: Fase de concepto. Organización Internacional de Normalización.
3. Hobbs, Chris; Lee, Patrick (9 de julio de 2013). Comprensión de las ASIL ISO 26262. Tecnologías integradas. Grupo de electrónica Penton. {{cite book}}: |magazine=ignorado ( ayuda )
4. Kinney, GF; Wiruth, AD (junio de 1976). Análisis Práctico de Riesgos para la Gestión de la Seguridad. China Lake, California: Centro de Armas Navales. La puntuación de riesgo para alguna situación potencialmente peligrosa se da numéricamente como el producto de tres factores: ...
5. Chris Van der Cruyssen, Directrices de evaluación de riesgos (hoja 4, método Kinney) (PDF) , economía, Gobierno federal belga
6. Steve Hartley; Ireri Ibarra; Gunwant Dhadyalla (2011), Seguridad funcional y diagnóstico de vehículos híbridos ("Severidad x Exposición x Controlabilidad = ASIL") (PDF) , págs. hoja 8
7. Sistema de gestión de celdas de batería inteligente y compacto para vehículos totalmente eléctricos (hoja 9), STMicroelectronics^{[ enlace muerto permanente ]}
8. Microcontroladores de seguridad Hercules ™: taller de MCU de seguridad de 1 día (hoja 25) , Texas Instruments, Texas Instruments, 2013
9. Pimentel 2019, pag. 88.
10. "Comunicado de prensa: El microcontrolador Freescale Qorivva es la primera MCU automotriz en recibir la certificación de estándar de seguridad funcional ISO 26262". Semiconductores de escala libre. 6 de septiembre de 2012. Archivado desde el original el 16 de febrero de 2014 . Consultado el 23 de enero de 2015 .
11. "Investigación en programación certificada según ISO 26262 - ASIL D". Investigación de programación. 25 de julio de 2013 . Consultado el 25 de abril de 2017 .
12. "Herramientas certificadas para seguridad funcional ("Certificadas para desarrollo de software hasta... ASIL D...")". Sistemas IAR . Consultado el 6 de agosto de 2013 .
13. "Comunicado de prensa: Vector es el primer proveedor en ofrecer un sistema operativo AUTOSAR certificado ASIL-D" (PDF) . Vector. 2013-02-18 . Consultado el 6 de agosto de 2013 .
14. "Paquetes de diseño SafeTI™ para aplicaciones de seguridad funcional". Instrumentos Texas . Consultado el 6 de agosto de 2013 .
15. "Renesas Electronics presenta la serie de microcontroladores V850 de cuarta generación (... desarrollados para aplicaciones con los más altos requisitos de seguridad funcional (ASIL D/SIL3))". Electrónica Renesas. 4 de noviembre de 2010 . Consultado el 6 de agosto de 2013 .
16. "Los microcontroladores fomentan el diseño de sistemas compatibles con ISO 26262 ASIL D". TOMASNET. 6 de septiembre de 2012 . Consultado el 6 de agosto de 2013 .
17. Microcontroladores de seguridad ARM® CortexTM-R4 (hoja 3) (PDF) , serie Vision integrada, Arrow Electronics
18. Nakagawa y Antonino 2023, pag. 91.
19. Nakagawa y Antonino 2023, pag. 90.
20. Pimentel 2019, pag. 86.
21. Xie y col. 2023, pág. 4.
22. Pimentel 2019, pag. 89.
23. "Una guía para los niveles de integridad de la seguridad automotriz (ASIL)". jamasoftware.com . Consultado el 13 de diciembre de 2022 . El nivel adicional, QM, significa Gestión de Calidad y denota artículos no peligrosos que solo requieren el cumplimiento de la gestión de calidad estándar.
24. Frigerio, Vermeulen y Goossens 2019.
25. "Estándar IEC 61508". ldra.com Cumplimiento de estándares . LDRA . Consultado el 13 de diciembre de 2022 . Otras variaciones incluyen el uso de "ASIL" (Niveles de integridad de seguridad automotriz) que se derivan de manera diferente, siendo ASIL una medida cualitativa de riesgo.
26. Paul Chomicz (27 al 28 de agosto de 2018). "Lenguaje natural controlado para análisis de peligros y evaluación de riesgos". Actas del Sexto Taller Internacional, CNL 2018 . Lenguaje Natural Controlado. Maynooth, condado de Kildare, Irlanda. pag. 42 . Consultado el 14 de diciembre de 2022 . La norma ISO 26262 define los tres parámetros de riesgo de forma cualitativa que deja margen a la interpretación.
27. Perallos, Asier; Hernández-Jayo, Unai; Onieva, Enrique; García-Zuazola, Ignacio, eds. (2011). "Análisis de riesgos de ciberseguridad para sistemas de transporte inteligentes y redes a bordo de vehículos". Sistemas de transporte inteligentes: tecnologías y aplicaciones. Wiley. págs.87, 95. ISBN 9781118894767. Consultado el 13 de diciembre de 2022 . La principal diferencia entre ISO ASIL y IEC 61508 SIL es que estos últimos emplean medidas cuantitativas de probabilidad de objetivos, mientras que los ASIL se basan en medidas cualitativas. .... En las directrices MISRA e ISO 262 esta posibilidad se tiene en cuenta mediante una medida cualitativa conocida como 'controlabilidad'.
28. Peter Björkman (2011). Evaluación probabilística de seguridad mediante técnicas de análisis cuantitativo: aplicación en la industria automotriz pesada (PDF) . Universidad de Upsala . Consultado el 13 de diciembre de 2022 . En el ámbito de la seguridad funcional, normas como la ISO 26262 evalúan la seguridad centrándose principalmente en técnicas de evaluación cualitativa ...
29. Conceptos y análisis de riesgos para un sistema de pelotón de carreteras cooperativo y automatizado. Computación confiable - Talleres EDCC 2020. Munich, Alemania. 7 de septiembre de 2020. págs. 200–214 . Consultado el 14 de diciembre de 2022 . Estos [métodos cuantitativos] establecen una frecuencia máxima de ocurrencia, en lugar de un objetivo de integridad principalmente cualitativo como en ISO 26262.
30. "Conceptos y análisis de riesgos para un sistema de pelotón de carreteras cooperativo y automatizado". Procedimientos . Computación confiable - Talleres EDCC 2020. Munich, Alemania. 7 de septiembre de 2020. págs.200214 . Consultado el 14 de diciembre de 2022 . Estos establecen una frecuencia máxima de ocurrencia, en lugar de un objetivo de integridad principalmente cualitativo como en ISO 26262.
31. Bernhard Kaiser (9 de marzo de 2016). "Seguridad funcional de los sistemas de monitorización de cámaras". En Anestis Tersis (ed.). Manual de sistemas de monitorización de cámara: tecnología de reemplazo de espejos automotrices basada en ISO 16505. Visión y realidad aumentadas. pag. 525.ISBN​ 9783319296111. Consultado el 14 de diciembre de 2022 . ...entonces el requisito mínimo de la norma ISO 26262 con respecto a los análisis de seguridad es realizar un análisis cualitativo (es decir, no es necesario calcular con probabilidades de fallo...
32. "Estándar IEC 61508". ldra.com Cumplimiento de estándares . LDRA . Consultado el 13 de diciembre de 2022 . La derivación del SIL se trata con más detalle en la parte 5 del estándar [61508], "Ejemplos de métodos para la determinación de niveles de integridad de seguridad", que explica diferentes enfoques cuantitativos para la derivación de SIL.
33. Francés, Marco; José Mieslinger (2012). "Seminario de seguridad funcional y taller HerculesTM de 1 día". Gira itinerante de flechas : 63.

Fuentes

• Pimentel, J. (2019). El papel de la ISO 26262. Seguridad de los vehículos automatizados. SAE Internacional. ISBN 978-0-7680-0275-1. Consultado el 28 de julio de 2023 .
• Xie, G.; Zhang, Y.; Li, R.; Li, K.; Li, K. (2023). Seguridad Funcional para Sistemas Embebidos. Prensa CRC. ISBN 978-1-000-88131-8. Consultado el 28 de julio de 2023 .
• Frigerio, Alejandro; Vermeulen, Bart; Goossens, Kees (2019). Descomposición ASIL a nivel de componentes para arquitecturas automotrices . 2019 49.a Conferencia Internacional Anual IEEE/IFIP sobre Talleres de Redes y Sistemas Confiables (DSN-W). IEEE. doi :10.1109/dsn-w.2019.00021.
• Nakagawa, EY; Antonino, PO (2023). Arquitecturas de referencia para dominios críticos: usos e impactos industriales. Publicaciones internacionales Springer. ISBN 978-3-031-16957-1. Consultado el 28 de julio de 2023 .