一   不適用ASIL分解的情況：共因失效

共因失效是ASIL分解設(shè)計中需要特別警惕的問題，要求在冗余設(shè)計時采取多樣化、隔離、獨立性等措施，確保冗余機制的真正有效性。

1. 同構(gòu)冗余：

如果冗余設(shè)計中采用完全相同的硬件、軟件或設(shè)計（同構(gòu)冗余），這可能引入共模態(tài)故障風(fēng)險。

當所有冗余元素共享相同的設(shè)計缺陷時，一個共同的外部因素（如特定的電磁干擾、硬件批次缺陷）可能同時影響所有冗余單元，導(dǎo)致所有冗余失效，無法達到預(yù)期的故障安全效果。

2. 未滿足“充分獨立”原則：

在設(shè)計冗余系統(tǒng)時，如果冗余組件之間缺乏充分的物理或邏輯獨立性，如共用電源、共用總線、共享數(shù)據(jù)總線、相似的編程邏輯等，都可能引入共因失效。

這些設(shè)計上的聯(lián)系可能導(dǎo)致一個故障同時影響冗余部分，降低了冗余度的有效性，不滿足ASIL-D或-C等級要求的獨立性。

解決方法及注意點：

?多樣性設(shè)計：引入不同供應(yīng)商、技術(shù)、架構(gòu)、軟件編程語言或算法，確保即使在面對相同外部影響時，不會同時失效。

?物理隔離：確保冗余組件物理上分離，獨立的電源、通信線路、冷卻系統(tǒng)，減少共因失效機會。

?邏輯獨立：在軟件和控制邏輯上設(shè)計獨立的決策樹，即使一個分支錯誤，其他冗余分支能獨立判斷。

?監(jiān)控與診斷：實現(xiàn)冗余組件間的健康狀態(tài)監(jiān)測，及時發(fā)現(xiàn)和隔離失效，避免影響擴展。

?定期評估：風(fēng)發(fā)后分析，持續(xù)監(jiān)控冗余設(shè)計的有效性，及時調(diào)整，避免共因失效模式。

二   不適用ASIL分解的情況：級聯(lián)失效

在進行ASIL分解時，設(shè)計多通道架構(gòu)是確保冗余度和提高系統(tǒng)安全性的常見方法。然而，不當?shù)脑O(shè)計可能會引入級聯(lián)失效，特別是在用來確保通道選擇或切換的要素中，這可能不滿足"充分獨立"的要求，導(dǎo)致不適用ASIL分解的情況。

1. 通道選擇邏輯的共因失效：

如果用于決定哪個通道激活或切換的邏輯（如主備選通路選擇器或故障檢測機制）與通道本身共享設(shè)計、供電或存在共因，則一個故障可能同時影響通道選擇邏輯和兩個或多個通道，導(dǎo)致級聯(lián)失效。這違背了ASIL-D或-C等級中要求的獨立性原則。

2. 軟件依賴性問題：

在軟件控制的通道切換邏輯中，如果多個通道的控制邏輯高度耦合并在同一軟件模塊，一個軟件bug或硬件錯誤可能同時影響所有通道，造成不滿足獨立性要求。

3. 物理和電氣/機械共因：

如果通道間的物理連接、供電線路或機械結(jié)構(gòu)過于緊密，共用同一個物理因素（如電磁干擾、物理損壞）可能同時影響多個通道，降低冗余度。

4. 診斷與監(jiān)控不足：

缺乏獨立的故障診斷與監(jiān)控機制，導(dǎo)致不能準確區(qū)分或隔離單個通道的故障，影響切換決策，降低整體系統(tǒng)的安全完整性。

解決方法及注意點：

1. 獨立切換邏輯：通道選擇邏輯和故障檢測機制必須設(shè)計獨立于通道，有獨立的硬件和軟件控制，確保單點故障不影響選擇邏輯。

2. 物理隔離：實現(xiàn)物理隔離，比如獨立的電源和通信線路，減少共模態(tài)失效風(fēng)險。電氣隔離和物理防護措施如EMC電磁兼容設(shè)計。

3. 軟件冗余：軟件架構(gòu)中，通道控制應(yīng)模塊化，使用獨立的軟件設(shè)計，錯誤隔離，減少共因失效。軟件容錯設(shè)計，如模塊間通信校驗和錯誤處理。

4. 多樣化：采用不同技術(shù)或供應(yīng)商的冗余設(shè)計，比如傳感器或執(zhí)行器，減少共因失效風(fēng)險。

5. 監(jiān)測與監(jiān)控的獨立診斷：每個通道應(yīng)有獨立的健康狀態(tài)監(jiān)控和故障檢測機制，及時反饋，確保快速準確的故障響應(yīng)和隔離。

6. 監(jiān)測與監(jiān)控的故障響應(yīng)：設(shè)計安全機制，一旦檢測到故障，系統(tǒng)能迅速切換到安全狀態(tài)或降級操作模式，確保安全功能。

三   其他不適用ASIL分解的情況

在某些特定情況下，其應(yīng)用可能受到限制或不直接適用，設(shè)計者需采取靈活策略，可能遵循其他標準或簡化安全方法，確保在合理范圍內(nèi)安全，同時考慮未來升級或替換計劃。

以下是幾個例子：

1. 非安全關(guān)鍵系統(tǒng)：ASIL主要應(yīng)用于安全關(guān)鍵系統(tǒng)，如制動、轉(zhuǎn)向、氣囊等。非安全功能如音響、導(dǎo)航等，不需符合ASIL（說明：但這不意味著這些系統(tǒng)完全不考慮功能安全，它們依然要滿足基本的電器安全標準，如電磁兼容性、基本的故障檢測等，確保其正常運行不干擾關(guān)鍵系統(tǒng)，但不直接應(yīng)用ASIL等級的嚴格要求。）。

2. 遺留系統(tǒng)：已經(jīng)存在的舊系統(tǒng)或組件，尤其是未設(shè)計時未考慮ISO 26262，可能難以直接適用ASIL分解。

3. 簡單或低風(fēng)險功能：對于嚴重度低、暴露率低且可控性高的簡單功能，如車輛內(nèi)部照明，可能不需要高ASIL等級或復(fù)雜分解。

4. 特定組件：某例單一傳感器或執(zhí)行器，其故障影響有限，若已有系統(tǒng)級冗余度，單組件不必單獨進行ASIL分解。

5. 過度設(shè)計：在某些情況下，過度追求高ASIL等級可能不經(jīng)濟或?qū)嶋H，如低風(fēng)險系統(tǒng)，需合理評估避免資源浪費。

6. 技術(shù)限制：部先技術(shù)限制，如硬件、軟件能力或成本，可能阻礙實現(xiàn)特定ASIL等級要求，需平衡設(shè)計或等待技術(shù)進步。

7. 快速迭代產(chǎn)品：快速迭代產(chǎn)品周期，如初創(chuàng)硬件或原型，快速驗證市場，可能無法詳盡ASIL分解，先確?；A(chǔ)安全再迭代。