Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO 26262-10:2018 道路车辆——功能安全——第10部分:ISO 26262指南
汽车功能安全实施完全指南——HARA示例、故障分类、安全案例开发与ASIL分解指导
一、ISO 26262-10:2018 指南概述
ISO 26262-10:2018 作为整个ISO 26262系列的指导性文件,为核心概念的有效实施提供了必要的说明、示例和解释。与标准的规范性部分不同,第10部分不包含要求,而是阐明其他部分中定义的概念的原理和实际应用。该标准对于理解”为什么”要这样做至关重要,帮助工程师在剪裁标准以适应具体应用以及准备功能安全评估时做出明智的决策。
2018第二版相比2011版大幅扩展了指南内容。关键新增内容包括:针对不同车辆类型的危险分析和风险评估(HARA)详细示例、用于硬件评估的全面故障分类流程图、安全案例开发指南,以及故障容错时间间隔与紧急运行容忍度之间关系的解释。标准还提供了对安全流程要求结构的关键解读,帮助工程师理解要求如何从安全目标通过功能安全概念流向技术安全要求。
第10部分应作为规范性部分的补充阅读材料,而非独立文档。用它来理解要求背后的”为什么”——这一背景知识在针对特定应用进行剪裁以及准备功能安全评估时具有无可估量的价值。
| 主题领域 | 提供的指导 | 相关规范性部分 |
|---|---|---|
| 关键概念(第4条) | 项目vs系统vs要素,故障/错误/失效递进,FTTI时序模型 | ISO 26262-1, ISO 26262-4 |
| 安全管理(第5条) | 确认措施、安全案例生命周期、功能安全评估示例 | ISO 26262-2 |
| 概念阶段(第6条) | HARA示例、可控性观察、外部措施、安全目标组合 | ISO 26262-3 |
| 硬件开发(第8条) | 故障分类流程、残余故障率评估、单点故障度量 | ISO 26262-5 |
| 软件开发(第9条) | 软件安全分析方法、基于模型的开发指导 | ISO 26262-6 |
| ASIL剪裁(第10条) | ASIL分解示例、要素共存准则 | ISO 26262-9 |
二、关键概念澄清与工程意义
第10部分最有价值的贡献之一是对故障、错误和失效之间关系的澄清(第4.3条)。标准解释了故障是可能导致错误的缺陷,而错误可导致失效。理解这一递进关系对于设计安全机制至关重要:在故障导致错误之前检测故障,在错误导致失效之前检测错误,或在失效导致危险事件之前缓解失效。
时序模型(第4.4条)为将FTTI与其他时序约束关联提供了实用指导。第10部分展示了一个示例控制系统时序模型,说明了FTTI如何与故障检测时间、故障反应时间和紧急运行间隔相关联。该指导对于定义安全机制时序要求的工程师至关重要,因为它阐明了故障发生时间与系统达到安全状态的必要时间之间的关系。
第10部分指出的一个常见误解:FTTI不等于故障检测时间。FTTI涵盖了从故障发生到危险事件可能发生的整个时期。安全机制必须在此时窗内完成检测、反应并达到安全状态。工程师常常错误地将整个FTTI分配给检测,导致反应时间不足。
硬件故障分类流程图(第8.1.8条)是另一项重大贡献。它提供了一个逐步决策树,用于将故障分类为安全故障、单点故障、残余故障、检测到的双点故障、感知到的双点故障或潜伏双点故障。每种分类直接影响单点故障度量(SPFM)和潜伏故障度量(LFM)的计算。理解这一流程对于执行定量安全分析的硬件工程师至关重要。
三、评估准备的实用工程指导
第10部分提供了关于准备功能安全评估的广泛指导(第5.2.2条)。它描述了ASIL D评估的典型议程,并解释了证据应如何结构化。评估涵盖:安全文化和管理流程、安全生命周期和工作成果、技术安全概念、硬件和软件开发证据以及安全案例的完整性。
实用建议:使用第10部分中的示例作为你自己工作成果的模板。其中提供的HARA示例、时序图和故障分类流程是评估员认可和接受的成熟方法。适配而非重新发明可降低评估风险。
关于安全案例的指导(第5.3条)解释了目标结构化符号(GSN)方法,并强调安全案例是由证据支持的论证,而不仅仅是文档的集合。第10部分建议在整个开发生命周期中增量式地开发安全案例,每个阶段生成必要的论证要素和支持证据。这种方法确保最终的安全案例全面且连贯,而不是最后一刻的拼凑。
避免将安全案例视为文档编制工作的常见陷阱。第10部分强调安全案例必须是一个结构化的论证,展示每个安全目标如何得到满足。如果无法在没有文档的情况下清晰地阐述论证,那么该安全案例可能无法经受严格的评估审查。
外部措施(第6.4条)是第10部分提供有价值澄清的另一个领域。标准解释了不属于项目范畴的措施(如驾驶员警告、整车级制动系统)如何在安全论证中获得认可。然而,使用外部措施的条件非常严格:它们必须可识别、可靠,并且其有效性必须在特定车辆环境中得到验证。
常见问题解答
问1:ISO 26262-10是强制性要求吗?
不是。ISO 26262-10是标准的信息性(指南)部分,不包含规范性要求。然而,其解释和示例代表了ISO技术委员会的共识理解,因此遵循其指导可显著提高功能安全评估成功的可能性。
不是。ISO 26262-10是标准的信息性(指南)部分,不包含规范性要求。然而,其解释和示例代表了ISO技术委员会的共识理解,因此遵循其指导可显著提高功能安全评估成功的可能性。
问2:故障分类流程图在实践中如何使用?
第8.1.8条中的流程图提供了一种对每个硬件故障进行分类的系统方法。工程师应将其应用于硬件失效模式分析中识别的每个故障。该分类决定故障是否对SPFM、LFM或PMHF计算有贡献。自动化工具可以实现此流程,但出于完整性考虑,建议对关键故障进行手动应用。
第8.1.8条中的流程图提供了一种对每个硬件故障进行分类的系统方法。工程师应将其应用于硬件失效模式分析中识别的每个故障。该分类决定故障是否对SPFM、LFM或PMHF计算有贡献。自动化工具可以实现此流程,但出于完整性考虑,建议对关键故障进行手动应用。
问3:应用ISO 26262-10指导时最常见的错误是什么?
最常见的错误是将示例视为完整解决方案而非示例说明。例如,第6条中的HARA示例为清晰起见进行了简化,并未涵盖示例功能的所有可能危险。工程师必须针对其特定项目执行完整的HARA,仅将示例用作方法论指导。
最常见的错误是将示例视为完整解决方案而非示例说明。例如,第6条中的HARA示例为清晰起见进行了简化,并未涵盖示例功能的所有可能危险。工程师必须针对其特定项目执行完整的HARA,仅将示例用作方法论指导。
问4:第10部分如何处理功能安全与网络安全的关系?
第10部分认识到安全与安全的融合,并解释网络安全漏洞可能导致安全违规。指南建议协调的安全与安全工程流程、共享的危险/威胁分析,以及将安全机制视为潜在的安全机制,或者在它们失效时视为潜在的安全违规源。
第10部分认识到安全与安全的融合,并解释网络安全漏洞可能导致安全违规。指南建议协调的安全与安全工程流程、共享的危险/威胁分析,以及将安全机制视为潜在的安全机制,或者在它们失效时视为潜在的安全违规源。
