一   不適用ASIL分解的情況：共因失效

共因失效是ASIL分解設(shè)計(jì)中需要特別警惕的問(wèn)題，要求在冗余設(shè)計(jì)時(shí)采取多樣化、隔離、獨(dú)立性等措施，確保冗余機(jī)制的真正有效性。

1. 同構(gòu)冗余：

如果冗余設(shè)計(jì)中采用完全相同的硬件、軟件或設(shè)計(jì)（同構(gòu)冗余），這可能引入共模態(tài)故障風(fēng)險(xiǎn)。

當(dāng)所有冗余元素共享相同的設(shè)計(jì)缺陷時(shí)，一個(gè)共同的外部因素（如特定的電磁干擾、硬件批次缺陷）可能同時(shí)影響所有冗余單元，導(dǎo)致所有冗余失效，無(wú)法達(dá)到預(yù)期的故障安全效果。

2. 未滿足“充分獨(dú)立”原則：

在設(shè)計(jì)冗余系統(tǒng)時(shí)，如果冗余組件之間缺乏充分的物理或邏輯獨(dú)立性，如共用電源、共用總線、共享數(shù)據(jù)總線、相似的編程邏輯等，都可能引入共因失效。

這些設(shè)計(jì)上的聯(lián)系可能導(dǎo)致一個(gè)故障同時(shí)影響冗余部分，降低了冗余度的有效性，不滿足ASIL-D或-C等級(jí)要求的獨(dú)立性。

解決方法及注意點(diǎn)：

?多樣性設(shè)計(jì)：引入不同供應(yīng)商、技術(shù)、架構(gòu)、軟件編程語(yǔ)言或算法，確保即使在面對(duì)相同外部影響時(shí)，不會(huì)同時(shí)失效。

?物理隔離：確保冗余組件物理上分離，獨(dú)立的電源、通信線路、冷卻系統(tǒng)，減少共因失效機(jī)會(huì)。

?邏輯獨(dú)立：在軟件和控制邏輯上設(shè)計(jì)獨(dú)立的決策樹(shù)，即使一個(gè)分支錯(cuò)誤，其他冗余分支能獨(dú)立判斷。

?監(jiān)控與診斷：實(shí)現(xiàn)冗余組件間的健康狀態(tài)監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)和隔離失效，避免影響擴(kuò)展。

?定期評(píng)估：風(fēng)發(fā)后分析，持續(xù)監(jiān)控冗余設(shè)計(jì)的有效性，及時(shí)調(diào)整，避免共因失效模式。

二   不適用ASIL分解的情況：級(jí)聯(lián)失效

在進(jìn)行ASIL分解時(shí)，設(shè)計(jì)多通道架構(gòu)是確保冗余度和提高系統(tǒng)安全性的常見(jiàn)方法。然而，不當(dāng)?shù)脑O(shè)計(jì)可能會(huì)引入級(jí)聯(lián)失效，特別是在用來(lái)確保通道選擇或切換的要素中，這可能不滿足"充分獨(dú)立"的要求，導(dǎo)致不適用ASIL分解的情況。

1. 通道選擇邏輯的共因失效：

如果用于決定哪個(gè)通道激活或切換的邏輯（如主備選通路選擇器或故障檢測(cè)機(jī)制）與通道本身共享設(shè)計(jì)、供電或存在共因，則一個(gè)故障可能同時(shí)影響通道選擇邏輯和兩個(gè)或多個(gè)通道，導(dǎo)致級(jí)聯(lián)失效。這違背了ASIL-D或-C等級(jí)中要求的獨(dú)立性原則。

2. 軟件依賴性問(wèn)題：

在軟件控制的通道切換邏輯中，如果多個(gè)通道的控制邏輯高度耦合并在同一軟件模塊，一個(gè)軟件bug或硬件錯(cuò)誤可能同時(shí)影響所有通道，造成不滿足獨(dú)立性要求。

3. 物理和電氣/機(jī)械共因：

如果通道間的物理連接、供電線路或機(jī)械結(jié)構(gòu)過(guò)于緊密，共用同一個(gè)物理因素（如電磁干擾、物理?yè)p壞）可能同時(shí)影響多個(gè)通道，降低冗余度。

4. 診斷與監(jiān)控不足：

缺乏獨(dú)立的故障診斷與監(jiān)控機(jī)制，導(dǎo)致不能準(zhǔn)確區(qū)分或隔離單個(gè)通道的故障，影響切換決策，降低整體系統(tǒng)的安全完整性。

解決方法及注意點(diǎn)：

1. 獨(dú)立切換邏輯：通道選擇邏輯和故障檢測(cè)機(jī)制必須設(shè)計(jì)獨(dú)立于通道，有獨(dú)立的硬件和軟件控制，確保單點(diǎn)故障不影響選擇邏輯。

2. 物理隔離：實(shí)現(xiàn)物理隔離，比如獨(dú)立的電源和通信線路，減少共模態(tài)失效風(fēng)險(xiǎn)。電氣隔離和物理防護(hù)措施如EMC電磁兼容設(shè)計(jì)。

3. 軟件冗余：軟件架構(gòu)中，通道控制應(yīng)模塊化，使用獨(dú)立的軟件設(shè)計(jì)，錯(cuò)誤隔離，減少共因失效。軟件容錯(cuò)設(shè)計(jì)，如模塊間通信校驗(yàn)和錯(cuò)誤處理。

4. 多樣化：采用不同技術(shù)或供應(yīng)商的冗余設(shè)計(jì)，比如傳感器或執(zhí)行器，減少共因失效風(fēng)險(xiǎn)。

5. 監(jiān)測(cè)與監(jiān)控的獨(dú)立診斷：每個(gè)通道應(yīng)有獨(dú)立的健康狀態(tài)監(jiān)控和故障檢測(cè)機(jī)制，及時(shí)反饋，確?？焖贉?zhǔn)確的故障響應(yīng)和隔離。

6. 監(jiān)測(cè)與監(jiān)控的故障響應(yīng)：設(shè)計(jì)安全機(jī)制，一旦檢測(cè)到故障，系統(tǒng)能迅速切換到安全狀態(tài)或降級(jí)操作模式，確保安全功能。

三   其他不適用ASIL分解的情況

在某些特定情況下，其應(yīng)用可能受到限制或不直接適用，設(shè)計(jì)者需采取靈活策略，可能遵循其他標(biāo)準(zhǔn)或簡(jiǎn)化安全方法，確保在合理范圍內(nèi)安全，同時(shí)考慮未來(lái)升級(jí)或替換計(jì)劃。

以下是幾個(gè)例子：

1. 非安全關(guān)鍵系統(tǒng)：ASIL主要應(yīng)用于安全關(guān)鍵系統(tǒng)，如制動(dòng)、轉(zhuǎn)向、氣囊等。非安全功能如音響、導(dǎo)航等，不需符合ASIL（說(shuō)明：但這不意味著這些系統(tǒng)完全不考慮功能安全，它們依然要滿足基本的電器安全標(biāo)準(zhǔn)，如電磁兼容性、基本的故障檢測(cè)等，確保其正常運(yùn)行不干擾關(guān)鍵系統(tǒng)，但不直接應(yīng)用ASIL等級(jí)的嚴(yán)格要求。）。

2. 遺留系統(tǒng)：已經(jīng)存在的舊系統(tǒng)或組件，尤其是未設(shè)計(jì)時(shí)未考慮ISO 26262，可能難以直接適用ASIL分解。

3. 簡(jiǎn)單或低風(fēng)險(xiǎn)功能：對(duì)于嚴(yán)重度低、暴露率低且可控性高的簡(jiǎn)單功能，如車輛內(nèi)部照明，可能不需要高ASIL等級(jí)或復(fù)雜分解。

4. 特定組件：某例單一傳感器或執(zhí)行器，其故障影響有限，若已有系統(tǒng)級(jí)冗余度，單組件不必單獨(dú)進(jìn)行ASIL分解。

5. 過(guò)度設(shè)計(jì)：在某些情況下，過(guò)度追求高ASIL等級(jí)可能不經(jīng)濟(jì)或?qū)嶋H，如低風(fēng)險(xiǎn)系統(tǒng)，需合理評(píng)估避免資源浪費(fèi)。

6. 技術(shù)限制：部先技術(shù)限制，如硬件、軟件能力或成本，可能阻礙實(shí)現(xiàn)特定ASIL等級(jí)要求，需平衡設(shè)計(jì)或等待技術(shù)進(jìn)步。

7. 快速迭代產(chǎn)品：快速迭代產(chǎn)品周期，如初創(chuàng)硬件或原型，快速驗(yàn)證市場(chǎng)，可能無(wú)法詳盡ASIL分解，先確?；A(chǔ)安全再迭代。