Skip to content
Inovasense
← Späť na slovník Standards

SIL / ASIL (Úrovne bezpečnostnej integrity)

SIL a ASIL sú klasıfikačné schémy rizík pre hardvér a softvér, ktoré definújú požadovanú úroveň bezpečnostnej integrity systémow.

Ak zlyhajú inteligentné hodinky a vymažú denné počítadlo krokov, je to nepríjemnosť. Ak však zlyhá nemocničná infúzna pumpa a podá smrteľnú dávku lieku, alebo elektronický brzdový systém auta zlyhá na diaľnici — ide o katastrofu.

Aby inžiniersky svet zachytil tento obrovský rozdiel v miere rizika, spolieha sa na prísne formálne bezpečnostné štandardy. Dvoma najvýznamnejšími sú SIL (Safety Integrity Level), odvodený z všeobecnej normy funkčnej bezpečnosti IEC 61508, a ASIL (Automotive Safety Integrity Level), odvodený z automobilovej normy ISO 26262.

Schopnosť navrhnúť produkt spĺňajúci tieto úrovne je jednou z intelektuálne najnáročnejších (a najdrahších) disciplín v hardvérovom inžinierstve.

Čo sú SIL a ASIL?

SIL a ASIL nie sú fyzické certifikáty hardvéru — sú to klasifikácie znižovania rizika. Odpovedajú na otázku: „Ak tento konkrétny hardvérový alebo softvérový komponent zlyhá, aká je pravdepodobnosť, že niekto zomrie — a aká prísnosť návrhu je teda potrebná?”

Klasifikačná matica ASIL (od A po D)

V automobilovej norme (ISO 26262) sa riziko hodnotí na základe troch faktorov:

  1. Závažnosť (S): Ak zlyhanie spôsobí nehodu, aké ťažké sú zranenia?
  2. Expozícia (E): Ako často sa vozidlo nachádza v situácii, kde by zlyhanie mohlo nastať?
  3. Kontrolovateľnosť (C): Môže vodič rozumne zabrániť nehode pri zlyhaní systému?

Kombináciou týchto faktorov vzniká matica, ktorá každej funkcii priradí úroveň ASIL:

  • QM (Quality Management): Žiadne bezpečnostné riziko (napr. pokazí sa autorádio). Postačujú štandardné inžinierske postupy.
  • ASIL A: Veľmi nízke riziko (napr. prestanú svietiť zadné obrysové svetlá).
  • ASIL B / C: Stredné až vysoké riziko (napr. zamrzne prístrojový panel, zlyhajú asistenčné systémy ADAS).
  • ASIL D: Extrémne, priamo život ohrozujúce riziko (napr. zablokuje sa elektronické riadenie, zlyhajú brzdy ABS).

Analogicky priemyselná norma (IEC 61508) používa SIL 1 až SIL 4, kde SIL 4 je najprísnejší (bežne pri železničnej signalizácii alebo riadení jadrových elektrární).

Inžinierský proces pre ASIL-D / SIL 3

Ak architekt Inovasense určí, že riadiaca doska musí spĺňať ASIL-D, celý vývojový proces V-Modelu sa drasticky mení oproti bežnej spotrebnej elektronike:

  1. Redundancia (Lockstep Processing): ASIL-D systém sa nemôže spoliehať na jediné jadro MCU. Predpisujeme Dual-Core Lockstep (DCLS) mikrokontroléry (napr. NXP S32 alebo TI Hercules). Tieto čipy obsahujú dve identické CPU jadrá bežiace rovnaký kód, vzájomne posunuté o jeden hodinový cyklus. Hardvérový komparátor okamžite kontroluje výstupy oboch jadier. Ak kozmické žiarenie prevrátí bit v jednom jadre a výstupy sa rozídu, hardvér okamžite spustí bezpečné odstavenie.
  2. ECC pamäť: Každý bajt RAM a Flash musí byť chránený Error-Correcting Code (ECC) na detekciu a opravu poškodenia pamäte za behu.
  3. Sledovateľnosť (Traceability): Každý riadok C/C++ kódu musí sledovateľne odkazovať na konkrétnu softvérovú požiadavku, ktorá odkazuje na systémovú požiadavku.
  4. Analýza módov zlyhania (FMEA/FMEDA): Inžinieri matematicky modelujú každý odpor, kondenzátor a kremíkovú stopu na PCB, aby vypočítali presnú pravdepodobnosť zlyhania za 10 rokov — celkový FIT rate dosky musí zostať pod prísnym limitom normy.

Súvisiace pojmy

V-MODEL DO-254 CE-MARKING