- Este artículo es una discusión de ASIL como un medio de clasificar peligros, particularmente para proporcionar un contexto para la comparación con otros métodos de clasificación de peligros, riesgo, calidad o confiabilidad. Para obtener una descripción más detallada de ASIL, los métodos de su evaluación y sus funciones dentro de los procesos de ISO 26262, consulte ISO 26262 - Parte 9: Nivel de integridad de la seguridad automotriz .
El nivel de integridad de la seguridad automotriz (ASIL) es un esquema de clasificación de riesgos definido por la norma ISO 26262 - Seguridad funcional para vehículos de carretera. Esta es una adaptación del nivel de integridad de seguridad (SIL) utilizado en IEC 61508 para la industria automotriz. Esta clasificación ayuda a definir los requisitos de seguridad necesarios para estar en línea con la norma ISO 26262. El ASIL se establece mediante la realización de un análisis de riesgo de un peligro potencial al observar la gravedad, la exposición y la controlabilidad del escenario operativo del vehículo. El objetivo de seguridad para ese peligro, a su vez, conlleva los requisitos de ASIL.
Hay cuatro ASIL identificados por el estándar: ASIL A, ASIL B, ASIL C, ASIL D. ASIL D dicta los requisitos de integridad más altos en el producto y ASIL A los más bajos. [1] Los peligros que se identifican como QM no imponen ningún requisito de seguridad.
Análisis de peligros y evaluación de riesgos
Debido a la referencia a SIL y debido a que ASIL incorpora 4 niveles de peligro con un quinto nivel no peligroso, es común en las descripciones de ASIL comparar sus niveles con los niveles de SIL y los niveles de garantía de diseño DO-178C , respectivamente.
La determinación de ASIL es el resultado del análisis de peligros y la evaluación de riesgos . [2] En el contexto de la norma ISO 26262, un peligro se evalúa en función del impacto relativo de los efectos peligrosos relacionados con un sistema, ajustado a las probabilidades relativas de que el peligro manifieste esos efectos. Es decir, cada peligro se evalúa en términos de la gravedad de las posibles lesiones dentro del contexto de cuánto tiempo un vehículo está expuesto a la posibilidad de que ocurra el peligro (consulte la definición de exposición ISO262 ), así como la probabilidad relativa de que un conductor típico puede actuar para prevenir la lesión (consulte las definiciones ISO262 de gravedad y controlabilidad ). [3]
En resumen, ASIL se refiere tanto al riesgo como a los requisitos dependientes del riesgo (tratamiento estándar de riesgo mínimo para un riesgo determinado). Considerando que el riesgo puede expresarse generalmente como
o
ASIL puede expresarse de manera similar como
ilustrando el papel de la exposición y la controlabilidad en el establecimiento de la probabilidad relativa, que se combina con la gravedad para formar una expresión de riesgo.
Niveles
El rango de ASIL desde ASIL D, que representa el grado más alto de peligro automotriz y el grado más alto de rigor aplicado en la garantía de los requisitos de seguridad resultantes, hasta QM, que representa una aplicación sin peligros automotrices y, por lo tanto, sin requisitos de seguridad para manejar bajo la norma ISO 26262. procesos de seguridad. Los niveles intermedios son simplemente un rango de grados intermedios de peligro y grados de seguridad requeridos.
ASIL D
ASIL D , una abreviatura de Automotive Safety Integrity Level D , se refiere a la clasificación más alta de peligro inicial (riesgo de lesión) definida en ISO 26262 y al nivel más estricto de medidas de seguridad de ese estándar para evitar un riesgo residual irrazonable. [2] En particular, ASIL D representa un potencial potencial de lesiones graves que amenazan la vida o la muerte en caso de un mal funcionamiento y requiere el más alto nivel de garantía de que los objetivos de seguridad dependientes son suficientes y se han logrado. [2]
ASIL D es digno de mención, no solo por el riesgo elevado que representa y el rigor excepcional requerido en el desarrollo, sino porque los proveedores de software, electrónicos y eléctricos automotrices afirman que sus productos han sido certificados o acreditados de otra manera ante ASIL D, [9] [10] [11] [12] facilitan el desarrollo a ASIL D, [13] o son adecuados o apoyan el desarrollo de elementos para ASIL D. [14] [15] [16] Cualquier producto que cumpla con ASIL D Los requisitos también cumplirían con cualquier nivel inferior.
QM
Con referencia a "Gestión de la calidad", el nivel QM significa que el riesgo asociado con un evento peligroso no es irrazonable y, por lo tanto, no requiere medidas de seguridad de acuerdo con ISO 26262. [2]
Comparación con otros estándares de niveles de peligro
Dado que ASIL es un desarrollo relativamente reciente, las discusiones sobre ASIL a menudo comparan sus niveles con los niveles definidos en otros sistemas de gestión de calidad o seguridad bien establecidos. En particular, los ASIL se comparan con los niveles de reducción de riesgo SIL definidos en IEC 61508 y los Niveles de garantía de diseño utilizados en el contexto de DO-178C y DO-254 . Si bien existen algunas similitudes, es importante comprender también las diferencias.
Dominio | Niveles de seguridad específicos del dominio | ||||||
Automotriz ( ISO 26262 ) | QM | ASIL-A | ASIL-B | ASIL-C | ASIL-D | - | |
General ( IEC 61508 ) | - | SIL-1 | SIL-2 | SIL-3 | SIL-4 | ||
Ferrocarril ( CENELEC 50126/128/129) | - | SIL-1 | SIL-2 | SIL-3 | SIL-4 | ||
Espacio ( ECSS-Q-ST-80 ) | Categoría E | Categoría D | Categoría C | Categoría B | Categoría A | ||
Aviación: aerotransportada (ED-12 / DO-178 / DO-254 ) | VALLE | DAL-D | DAL-C | DAL-B | DAL-A | ||
Aviación: tierra (ED-109 / DO-278) | AL6 | AL5 | AL4 | AL3 | AL2 | AL1 | |
Médico ( IEC 62304 ) | Clase A | Clase B | Clase C | - | |||
Hogar ( IEC 60730 ) | Clase A | Clase B | Clase C | - | |||
Maquinaria ( ISO 13849 ) | PL a | PL b | PL c | PL d | PL e | - |
IEC 61508 (SIL)
ISO 26262 es una extensión de IEC 61508 . [2] IEC 61508 define una clasificación de nivel de integridad de seguridad (SIL) ampliamente referenciada. A diferencia de otras normas de seguridad funcional, ISO 26262 no proporciona un mapeo normativo ni informativo de ASIL a SIL. Si bien los dos estándares tienen procesos similares para la evaluación de peligros, ASIL y SIL se calculan desde puntos diferentes. Donde ASIL es una medida cualitativa de riesgo [ cita requerida ] , SIL se define cuantitativamente como probabilidad o frecuencia de fallas peligrosas dependiendo del tipo de función de seguridad. En el contexto de IEC 61508, las aplicaciones de mayor riesgo requieren una mayor solidez ante fallas peligrosas.
Es decir, para un Riesgo Tolerable dado, un Riesgo mayor requiere una mayor reducción del riesgo, es decir, un valor menor para la probabilidad de falla peligrosa. Para una función de seguridad que opera en alta demanda o en modo de operación continuo, SIL 1 está asociado con un límite de probabilidad de falla peligrosa de 10-5 por hora, mientras que SIL 4 está asociado con una probabilidad de límite de tasa de falla peligrosa de 10-9 por hora. .
En publicaciones comerciales, ASIL D se ha mostrado alineado con SIL 3 y ASIL A es comparable a SIL 1. [17]
SAE ARP4761 y SAE ARP4754 (DAL)
Si bien es más común comparar los niveles D a QM de ISO 26262 con los niveles de garantía de diseño (DAL) A a E y atribuir esos niveles a DO-178C; estos DAL se definen y aplican realmente a través de las definiciones de SAE ARP4761 y SAE ARP4754 . Especialmente en términos de gestión de peligros vehiculares a través de un ciclo de vida de seguridad , el alcance de ISO 26262 es más comparable al alcance combinado de SAE ARP4761 y SAE ARP4754. La evaluación de riesgos funcionales (FHA) se define en ARP4761 y las DAL se definen en ARP4754. DO-178C y DO-254 definen los objetivos de garantía de diseño que deben cumplirse para un DAL determinado.
A diferencia de SIL, tanto ASIL como DAL son declaraciones que miden el grado de peligro. DAL E es el equivalente ARP4754 de QM; en ambas clasificaciones los peligros son insignificantes y no se requiere una gestión de la seguridad. En el otro extremo, DAL A y ASIL D representan los niveles más altos de riesgo abordados por las normas respectivas, pero no abordan el mismo nivel de peligro. Mientras que ASIL D abarca a lo sumo los peligros de una camioneta de pasajeros cargada, DAL A incluye los mayores peligros de los aviones grandes cargados con combustible y pasajeros. Las publicaciones pueden ilustrar ASIL D como equivalente a DAL B, a DAL A o como un nivel intermedio.
Estándares asociados
- ISO 26262
- SAE J2980
Ver también
- ARP4761
- ARP4754
- DO-178C
- DO-254
- IEC 61508
Referencias
- ^ http://www.ni.com/white-paper/13647/en/#toc2 Informe técnico de National Instruments sobre la norma de seguridad funcional ISO 26262
- ^ a b c d e ISO 26262-3: 2011 (en) Vehículos de carretera - Seguridad funcional - Parte 3: Fase conceptual . Organización Internacional de Normalización.
- ^ Hobbs, Chris; Lee, Patrick (9 de julio de 2013). Comprensión de los ASIL ISO 26262 . Diseño Electrónico . Tecnologías integradas. Penton Electronics Group.
- ^ Kinney, GF; Wiruth, AD (junio de 1976). Análisis práctico de riesgos para la gestión de la seguridad . China Lake, California: Centro de Armas Navales.
La puntuación de riesgo para alguna situación potencialmente peligrosa se da numéricamente como el producto de tres factores: ...
- ^ Chris Van der Cruyssen, Directrices para la evaluación de riesgos (hoja 4, método de Kinney) (PDF) , economía, Gobierno federal belga
- ^ Steve Hartley; Ireri Ibarra; Gunwant Dhadyalla (2011), Seguridad funcional y diagnóstico de vehículos híbridos ("Severidad x Exposición x Controlabilidad = ASIL") (PDF) , págs. Hoja 8
- ^ Sistema de gestión de celdas de batería inteligente y compacto para vehículos totalmente eléctricos (hoja 9) , STMicroelectronics[ enlace muerto permanente ]
- ^ Microcontroladores de seguridad Hercules ™ - Taller de MCU de seguridad de 1 día (hoja 25) , Texas Instruments, Texas Instruments, 2013
- ^ "Comunicado de prensa: el microcontrolador Freescale Qorivva es el primer MCU automotriz en recibir la certificación del estándar de seguridad funcional ISO 26262" . Semiconductor de Freescale. 6 de septiembre de 2012. Archivado desde el original el 16 de febrero de 2014 . Consultado el 23 de enero de 2015 .
- ^ "Investigación en Programación certificada según ISO 26262 - ASIL D" . Investigación en programación. 25 de julio de 2013 . Consultado el 25 de abril de 2017 .
- ^ "Herramientas certificadas para la seguridad funcional (" Certificadas para el desarrollo de software hasta ... ASIL D ... ")" . Sistemas IAR . Consultado el 6 de agosto de 2013 .
- ^ "Comunicado de prensa: Vector es el primer proveedor en entregar un sistema operativo AUTOSAR certificado por ASIL-D" (PDF) . Vector. 2013-02-18 . Consultado el 6 de agosto de 2013 .
- ^ "Paquetes de diseño SafeTI ™ para aplicaciones de seguridad funcional" . Texas Instruments . Consultado el 6 de agosto de 2013 .
- ^ "Renesas Electronics presenta la serie de microcontroladores V850 de cuarta generación (... desarrollado para aplicaciones con los más altos requisitos de seguridad funcional (ASIL D / SIL3))" . Electrónica Renesas. 4 de noviembre de 2010 . Consultado el 6 de agosto de 2013 .
- ^ "Los microcontroladores fomentan el diseño de sistemas compatible con ISO 26262 ASIL D" . THOMASNET. 6 de septiembre de 2012 . Consultado el 6 de agosto de 2013 .
- ^ Microcontroladores de seguridad ARM® CortexTM-R4 (hoja 3) (PDF) , Vision Series Embedded, Arrow Electronics
- ^ Frech, Marcus; Josef Mieslinger (2012). "Seminario de seguridad funcional y taller HerculesTM de 1 día". Arrow Roadshow : 63.