ASIL (Automotive Safety Integrity Level) adalah skema klasifikasi risiko yang ditentukan oleh standar ISO 26262 – Keselamatan Fungsional untuk Kendaraan Jalan Raya.
Pengertian
ISO 26262 – Functional Safety for Road Vehicles standard merupakan standar yang diterbitkan oleh organisasi standardisasi dunia bernama ISO.
ISO merupakan lembaga nirlaba internasional, tujuannya adalah untuk membuat dan memperkenalkan standardisasi internasional untuk berbagai tujuan khusus.
Lebih jelas mengenai organisasi ISO dapat dibaca pada artikel lain dari standarku.com berikut :
Standar ISO 26262 merupakan adaptasi dari Safety Integrity Level (SIL) yang digunakan di IEC 61508 untuk industri otomotif.
IEC 61508 adalah standar yang diterbitkan oleh organisasi standardisasi dunia bernama IEC.
IEC adalah organisasi standardisasi internasional yang menyusun dan menerbitkan standar-standar internasional untuk seluruh bidang elektrik, elektronik dan teknologi yang terkait atau bidang teknologi elektro (electrotechnology).
Istilah IEC merupakan kependekan dari “International Electrotechnical Commission”, dalam bahasa perancis menjadi CEI (Commission électrotechnique internationale).
Lebih jelas mengenai organisasi IEC dapat dibaca pada artikel lain dari standarku.com berikut :
Klasifikasi dari SIL ini membantu menentukan persyaratan keselamatan yang diperlukan agar sejalan dengan standar ISO 26262.
ASIL dibuat dengan melakukan analisis risiko dari potensi bahaya dengan melihat Severity, Exposure, dan Controllability dari skenario pengoperasian kendaraan.
Sasaran keselamatan untuk bahaya tersebut pada akhirnya akan menghasilkan berbagai persyaratan didalam ASIL.
Ada 4 ASIL yang diidentifikasi oleh standar yaitu : ASIL A, ASIL B, ASIL C, ASIL D.
ASIL D menentukan persyaratan integritas tertinggi pada produk, sedangkan ASIL A merupakan yang terendah.
Bahaya yang diidentifikasi sebagai QM (lihat di bawah) tidak menentukan persyaratan keselamatan apa pun.
Analisis Bahaya (Hazard Analysis) dan Penilaian Risiko (Risk Assessment)
Berdasarkan referensi terhadap SIL dan karena ASIL telah menggabungkan 4 tingkat bahaya dengan tingkat ke 5 nya adalah tingkat yang tidak berbahaya.
Maka umumnya di dalam deskripsi ASIL untuk membandingkan tingkatnya dengan tingkat SIL dan DO-178C Design Assurance Levels (Tingkat Jaminan Desain).
Penentuan ASIL merupakan hasil dari analisis bahaya dan penilaian risiko.
Dalam konteks ISO 26262, bahaya dinilai berdasarkan dampak relatif dari efek berbahaya yang terkait dengan sistem.
Yang mana disesuaikan dengan kemungkinan relatif dari bahaya yang memanifestasikan efek tersebut.
Artinya, setiap bahaya dinilai dalam hal tingkat keparahan cedera yang mungkin terjadi, dalam konteks :
- Berapa banyak waktu kendaraan terkena kemungkinan bahaya terjadi, bisa dilihat dari definisi paparan ISO262
- Serta kemungkinan relatif bahwa pengemudi pada umumnya dapat bertindak untuk mencegah cedera, bisa dilihat di definisi keparahan dan pengendalian ISO262.
Singkatnya, ASIL mengacu pada risiko dan persyaratan yang bergantung pada risiko, dengan perlakuan risiko minimal standar untuk risiko tertentu.
Sedangkan risiko secara umum dapat dinyatakan dengan rumus atau formula berikut :
Risiko (Risk) = (Perkiraan kerugian per kasus kecelakaan) x (Peluang terjadinya kecelakaan)
Atau dengan rumus atau formula :
Risk = Severity x (Exposure x Likelihood)
Dalam bahasa indonesia :
Risiko = Keparahan x (Paparan x Keseringan)
Sedangkan ASIL dapat dijadikan rumus atau formula yang serupa berikut :
ASIL = Severity x (Exposure x Controlability)
ASIL = Keparahan x (Paparan x Keterkendalian)
Rumusan diatas menggambarkan peran Paparan dan Keterkendalian dalam menetapkan probabilitas relatif, yang dikombinasikan dengan Keparahan untuk membentuk ekspresi risiko.
Tingkatan (Levels)
Rentang ASIL dari ASIL D, mewakili tingkat bahaya otomotif tertinggi dan tingkat ketelitian tertinggi yang diterapkan dalam jaminan persyaratan keselamatan yang dihasilkan pada QM.
Yang mewakili aplikasi tanpa bahaya otomotif, dan oleh karena itu tidak ada persyaratan keselamatan untuk dikelola berdasarkan proses keselamatan ISO 26262.
Tingkat intervensi hanyalah kisaran tingkat bahaya menengah dan tingkat jaminan yang diperlukan.
ASIL D
ASIL D adalah singkatan dari Automotive Safety Integrity Level D.
Tingkat ini mengacu pada :
- Klasifikasi tertinggi dari bahaya awal (risiko cedera) yang ditentukan dalam ISO 26262.
- Serta ke tingkat tindakan keselamatan paling ketat dalam standar yang diterapkan untuk menghindari risiko lain yang tidak masuk akal.
Secara khusus, ASIL D mewakili :
- Kemungkinan potensi cedera parah yang mengancam jiwa atau fatal jika terjadi malfungsi.
- Serta memerlukan tingkat jaminan tertinggi bahwa tujuan keselamatan yang bergantung sudah cukup dan telah tercapai.
ASIL D perlu diperhatikan, tidak hanya karena peningkatan risiko yang diwakilinya dan ketelitian luar biasa yang diperlukan dalam pengembangan.
Akan tetapi juga karena pemasok listrik, elektronik, dan perangkat lunak otomotif membuat klaim bahwa produk mereka telah disertifikasi atau diakreditasi untuk ASIL D.
Sehingga hal ini akan memudahkan pengembangan ke ASIL D, atau sebaliknya cocok atau mendukung pengembangan item ke ASIL D.
Setiap produk yang dapat memenuhi persyaratan ASIL D juga akan sesuai untuk seluruh tingkatan yang lebih rendah.
QM
Istilah QM ini mengacu pada Quality Management (Manajemen Mutu).
Tingkat QM berarti bahwa risiko yang terkait dengan peristiwa berbahaya tidak masuk akal dan oleh karena itu tidak memerlukan tindakan keselamatan sesuai dengan ISO 26262.
Perbandingan dengan Standar Tingkat Bahaya Lainnya
Mengingat ASIL adalah perkembangan yang relatif baru, diskusi tentang ASIL sering membandingkan levelnya dengan level yang ditentukan dalam sistem manajemen keselamatan atau kualitas yang sudah mapan.
Secara khusus, ASIL dibandingkan dengan tingkat pengurangan risiko SIL yang ditentukan dalam IEC 61508 dan Tingkat Jaminan Desain yang digunakan dalam konteks DO-178C dan DO-254.
Meskipun ada beberapa kesamaan, penting juga untuk memahami perbedaannya.
Tabel Perkiraan pemetaan lintas-domain dari ASIL :
| Domain | Domain-Specific Safety Levels | ||||||
| Automotive (ISO 26262) | QM | ASIL-A | ASIL-B | ASIL-C | ASIL-D | – | |
| General (IEC 61508) | – | SIL-1 | SIL-2 | SIL-3 | SIL-4 | ||
| Railway (CENELEC 50126/128/129) | – | SIL-1 | SIL-2 | SIL-3 | SIL-4 | ||
| Space (ECSS-Q-ST-80) | Category E | Category D | Category C | Category B | Category A | ||
| Aviation: airborne (ED-12/DO-178/DO-254) | DAL-E | DAL-D | DAL-C | DAL-B | DAL-A | ||
| Aviation: ground (ED-109/DO-278) | AL6 | AL5 | AL4 | AL3 | AL2 | AL1 | |
| Medical (IEC 62304) | Class A | Class B | Class C | – | |||
| Household (IEC 60730) | Class A | Class B | Class C | – | |||
| Machinery (ISO 13849) | PL a | PL b | PL c | PL d | PL e | – | |
IEC 61508 (SIL)
ISO 26262 merupakan perpanjangan dari IEC 61508.
IEC 61508 mendefinisikan klasifikasi Safety Integrity Level (SIL) yang direferensikan secara luas.
Tidak seperti standar keselamatan fungsional lainnya, ISO 26262 tidak memberikan pemetaan normatif atau informatif dari ASIL ke SIL.
Sementara kedua standar memiliki proses yang serupa untuk penilaian bahaya, ASIL dan SIL dihitung dari titik yang berbeda.
Dimana ASIL adalah pengukuran kualitatif risiko, SIL secara kuantitatif didefinisikan sebagai probabilitas atau frekuensi kegagalan berbahaya tergantung pada jenis fungsi keselamatan.
Dalam konteks IEC 61508, aplikasi berisiko tinggi memerlukan ketahanan yang lebih besar terhadap kegagalan berbahaya.
Artinya, untuk Risiko yang Dapat Ditoleransi, Risiko yang lebih besar memerlukan pengurangan risiko yang lebih besar.
Yaitu nilai probabilitas kegagalan berbahaya yang lebih kecil.
Untuk fungsi keselamatan yang beroperasi dalam permintaan tinggi atau mode operasi berkelanjutan, maka :
- SIL 1 dikaitkan dengan probabilitas batas kegagalan berbahaya 10−5 per jam
- sedangkan SIL 4 dikaitkan dengan probabilitas batas tingkat kegagalan berbahaya 10−9 per jam .
Dalam publikasi komersial :
- ASIL D telah ditunjukkan sejajar dengan SIL 3
- ASIL A sebanding dengan SIL 1
SAE ARP4761 dan SAE ARP4754 (DAL)
Meskipun pada umumnya yang dibandingkan adalah ISO 26262 Level D hingga QM terhadap Design Assurance Levels (DAL) A hingga E dan menganggap level tersebut sebagai DO-178C.
DAL ini sebenarnya didefinisikan dan diterapkan melalui definisi SAE ARP4761 dan SAE ARP4754.
Khususnya dalam hal pengelolaan bahaya kendaraan melalui Safety Life Cycle, cakupan ISO 26262 lebih sebanding dengan cakupan gabungan SAE ARP4761 dan SAE ARP4754.
Penilaian Bahaya Fungsional (FHA) didefinisikan dalam ARP4761 dan DAL didefinisikan dalam ARP4754.
DO-178C dan DO-254 menentukan tujuan jaminan desain yang harus dicapai untuk DAL yang diberikan.
Tidak seperti SIL, kasus ASIL dan DAL adalah pernyataan yang mengukur tingkat bahaya.
DAL E adalah setara ARP4754 dari QM; di kedua klasifikasi bahaya dapat diabaikan dan manajemen keselamatan tidak diperlukan.
Di sisi lain, DAL A dan ASIL D mewakili tingkat risiko tertinggi yang ditangani oleh standar masing-masing, tetapi mereka tidak mengatasi tingkat bahaya yang sama.
Sementara ASIL D mencakup paling banyak bahaya dari van penumpang yang dimuat, DAL A mencakup bahaya yang lebih besar dari pesawat besar yang memuat bahan bakar dan penumpang.
Beberapa publikasi mungkin menggambarkan ASIL D sebagai standar yang setara dengan DAL B, DAL A, atau sebagai tingkat menengah.
Demikian artikel dari standarku.com mengenai Standar ASIL, Automotive Safety Integrity Level.
Mohon saran dari pembaca untuk kelengkapan isi artikel ini, silahkan saran tersebut dapat disampaikan melalui kolom komentar.
Baca artikel lain :
Sumber referensi :