本文最后更新于 2026年6月18日。
在安全气囊系统中,虽然核心的点火控制(SRS ECU)必须达到 ASIL D,但并非系统中所有的功能和组件都需要维持最高等级。
根据 ISO 26262 的风险评估(S-E-C 矩阵),ASIL B 通常分配给那些“失效后不会直接导致致命后果,或驾驶员/乘客有一定概率能够通过其他方式规避风险”的功能。
以下是安全气囊算法及相关系统中常见的 ASIL B 场景:
1. 乘员监测与分类系统 (Occupant Detection & Classification)
这是 ASIL B 最典型的应用场景。
-
功能: 通过座椅压力传感器或摄像头识别副驾驶位是成人、小孩、儿童座椅还是空置。
-
失效模式: 错误地将成人识别为小孩,导致碰撞时气囊未起爆。
-
定级理由: 虽然这会导致气囊失效,但它属于“二级安全策略”。法律规定儿童座椅应朝后放置且通常建议关闭气囊。由于其场景的特定性和乘员约束状态的多样性,行业内常将其定义为 ASIL B。
- 注:有些主机厂为了严苛起见会定为 ASIL C,但 ASIL B 是基础要求。
2. 状态显示与报警功能 (Warning & Telltale)
-
功能: 仪表盘上的气囊故障灯(SRS Warning Lamp)或“乘客气囊关闭”指示灯(PAD Lamp)。
-
失效模式: 系统有故障但灯不亮(隐性故障),或者正常情况下灯乱亮。
-
定级理由: 报警灯失效本身不会直接导致碰撞伤害,它只是丧失了“告知风险”的能力。驾驶员在灯光自检失败后仍有意识去维修,因此风险等级较低,通常定为 ASIL B。
3. 部分预紧安全带逻辑 (Reversible Pre-tensioner)
-
功能: 基于雷达或摄像头信号(主动安全),在碰撞发生前几百毫秒收紧安全带(可逆式)。
-
失效模式: 在没有碰撞风险时意外收紧安全带。
-
定级理由: 虽然会惊吓驾驶员,但因为安全带是可逆的,不会像气囊起爆那样产生爆炸力和物理冲击,不会直接造成严重身体损伤(Severity 较低),通常定为 ASIL B。
4. 外部传感器数据传输 (Satellite Sensors)
虽然主算法是 ASIL D,但某些辅助传感器的链路可能被定义为 ASIL B:
-
场景: 位于保险杠处的低速行人保护碰撞传感器(Pedestrian Protection)。
-
理由: 如果失效,仅影响行人气囊(外置)或引擎盖弹起。由于其保护对象在车外且场景特定,其完整性要求有时低于车内乘员保护,可能被定为 ASIL B。
5. 标定参数的非关键部分 (Non-critical Calibration)
-
场景: 算法中用于日志记录、售后诊断数据(EDR 记录)的相关逻辑。
-
理由: 这些数据在碰撞发生后才起到作用(事故分析),不参与实时的点火决策,因此不需要 ASIL D,ASIL B 甚至 QM(质量管理等级)即可满足。
ASIL D 与 ASIL B 的开发差异对比
| 特性 | ASIL D (核心点火算法) | ASIL B (乘员识别/报警灯) |
|---|---|---|
| 冗余要求 | 必须有硬件或软件异构冗余 (Safing Path) | 通常单路逻辑加校验即可 |
| 软件测试 | 100% MC/DC 语句及分支覆盖 | 100% 语句及结构覆盖 |
| 故障容错 | 必须具备单点故障容错能力 | 具备故障检测和安全状态告知即可 |
| 开发成本 | 极高(严格的代码审计和形式化验证) | 适中(标准 V 模型流程) |
总结
在气囊控制器的 D-FMEA 中,你会发现一个有趣的现象:信号输入端(如简单的开关信号)和信息输出端(如指示灯)往往是 ASIL B;而中间的逻辑决策(Logic)和执行端(Firing)必须是 ASIL D。