2.3.2 ASIL

ISO 26262标准根据安全风险程度将系统或系统某组成部分确定划分为由A到D的安全需求等级，即汽车安全完整性等级（Automotive Safety Integrity Level,ASIL），其中D级为最高等级，需要最严格的安全需求。伴随着ASIL的增加，针对系统硬件和软件开发流程的要求也随之提高。对系统供应商而言，除了需要满足现有的高质量要求外，还必须满足这些因为安全等级增加而提出的更高的要求。

ASIL是三维的，涉及包括严重性、暴露率及可控性在内的三个变量。暴露率共有五级：“不可思议低概率”至“高概率”（E0~E4）。严重性有四级：“无伤害”至“威胁生命的伤害（生存不确定）、致命伤害”（S0~S3）。可控性是指驾驶人的可控性，而非车辆电子系统的可控性，共有四级：“大体可控”至“控制困难或无法控制”。

ASIL是ISO 26262标准的关键部分。ASIL是在开发过程的开始阶段确定的。需要根据可能的危害，分析系统的预期功能。ASIL提出这样一个问题：“如果车辆发生故障，驾驶人和相关行人会怎样？”

为了评估风险，ASIL需综合考虑暴露的可能性、驾驶人的控制能力及关键事件发生时的严重性。ASIL不处理系统所使用的技术，而只关注对驾驶人及其他行人造成的危害。

例如，以刮水器为例。安全分析将确定刮水器丧失功能会对驾驶人的视线造成何种影响。ASIL指导如何选择适当的方法，以达到一定程度的产品完整性。目前，汽车制造采用高安全标准，ISO 26262旨在规范行业内的特定做法。