Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO 26262-1:2018 道路车辆——功能安全——第1部分:术语
汽车功能安全术语体系完全解析——ASIL、安全目标、FTTI、HARA核心概念详解
一、ISO 26262-1:2018 核心术语体系解析
ISO 26262-1:2018 是ISO 26262整个系列的基础性标准,定义了汽车功能安全领域的核心术语体系。该标准于2018年12月发布第二版,取代了2011年的第一版,在术语范围和定义精确度上均有重大扩展。作为IEC 61508在汽车行业的特定领域适配,ISO 26262系列标准针对批量生产的道路车辆(包括乘用车、卡车、客车、挂车和半挂车)中电气/电子(E/E)系统的功能安全提供了系统化的技术要求。
本标准定义了185个以上的关键术语,是理解和使用整个ISO 26262系列的必备基础。核心术语包括汽车安全完整性等级(ASIL),分为A至D四个等级,其中D代表最严格的要求。标准明确说明质量管理(QM)并非ASIL等级,而是代表标准质量流程足以管理风险的基准水平。此外,标准还定义了故障容错时间间隔(FTTI)、安全状态、安全机制、相关失效分析等关键概念。
在开发安全相关系统时,务必首先参考ISO 26262-1在团队内部建立统一的术语体系。功能安全项目中返工的常见原因之一就是团队成员对”安全目标”或”ASIL分解”等术语理解不一致。
| 术语 | 定义 | 工程意义 |
|---|---|---|
| ASIL(汽车安全完整性等级) | 四个等级(A-D),指定所需的ISO 26262要求 | 决定安全措施的严谨程度;D级要求最严格的验证 |
| 安全目标 | 每个危险事件的顶层安全要求 | 所有派生安全要求和验证目标的基础 |
| FTTI(故障容错时间间隔) | 从故障发生到危险事件发生的时间跨度 | 决定安全机制所需的反应速度 |
| ASIL分解 | 将冗余安全要求分配给具有充分独立性的要素 | 实现子要素ASIL等级的系统性降低 |
| 安全案例 | 证明安全目标已实现的基于论据的证据 | 生产放行决策的必要依据 |
| 系统性故障 | 由规范、设计或制造中的确定性原因导致的故障 | 通过流程严谨性和验证来缓解 |
| 随机硬件故障 | 由于物理机制在随机时间发生的故障 | 通过硬件架构指标和安全机制来缓解 |
二、故障—错误—失效的因果链
ISO 26262-1建立了故障(fault)、错误(error)和失效(failure)之间的因果链关系:故障是异常状态,可导致错误(偏离正确性),错误进而可导致失效(无法执行所需功能)。理解这一递进关系对于设计有效的安全机制至关重要——安全机制应在危险事件发生前打断这一链条。
一个常见的工程陷阱是混淆”容错”与”预防失效”。容错意味着系统在存在故障时仍能正确运行;预防失效意味着在设计阶段消除故障。ISO 26262-1明确指出这是两个需要不同方法处理的不同概念。
2018版引入了多项重要的新术语,反映了标准范围的扩展。”基础车辆”和”车身制造设备”等术语支持了新增的卡车、客车和商用车覆盖范围。”安全异常”管理流程被正式化,并纳入了网络安全的参考,以承认现代车辆架构中安全与安全性的日益融合。
三、工程实践中的术语应用
对于实施功能安全的工程团队而言,ISO 26262-1中的术语不仅仅是学术概念,它们具有直接的实际工程影响。在进行危险分析和风险评估(HARA)时,”暴露率”、”可控性”和”严重度”的精确定义直接决定了每个危险事件的ASIL等级。对”可控性”的理解偏差可能导致ASIL等级评定过低,从而造成安全措施不足的严重后果。
最佳实践:在开始任何功能安全工作之前,基于ISO 26262-1创建项目专用术语表,分发给所有团队成员并纳入供应商合同。这一简单步骤可避免安全审计和评估期间代价高昂的误解。
“独立性”的概念对于ASIL分解尤为重要。标准将独立性定义为要素之间不存在级联失效和共因失效。在实践中,实现独立性需要仔细考虑物理分离、电气隔离和软件多样性等因素。该词汇表为理解这些复杂的相互作用提供了基础。
切勿在没有充分分析的前提下假定独立性成立。功能安全评估中最常见的发现就是冗余要素之间的独立性不足,这通常是由于设计中忽略了共享电源、时钟源或软件库而导致的。
常见问题解答
问1:ASIL和SIL有什么区别?
SIL(安全完整性等级)定义于IEC 61508,适用于一般工业应用;ASIL是ISO 26262中定义的汽车行业专用适配版本。ASIL包含了一个额外参数——可控性——反映了驾驶员避免伤害的能力。ASIL D在严格程度上相当于SIL 3,但分解规则和目标值有所不同。
SIL(安全完整性等级)定义于IEC 61508,适用于一般工业应用;ASIL是ISO 26262中定义的汽车行业专用适配版本。ASIL包含了一个额外参数——可控性——反映了驾驶员避免伤害的能力。ASIL D在严格程度上相当于SIL 3,但分解规则和目标值有所不同。
问2:一个项目能否有多个具有不同ASIL的安全目标?
可以。一个项目可以有多个安全目标,每个目标根据相关危险事件的严重度、暴露率和可控性确定不同的ASIL。除非应用ASIL分解将要素分离,否则整个项目须按照最高的ASIL进行开发。
可以。一个项目可以有多个安全目标,每个目标根据相关危险事件的严重度、暴露率和可控性确定不同的ASIL。除非应用ASIL分解将要素分离,否则整个项目须按照最高的ASIL进行开发。
问3:QM是否被视为ASIL等级?
不是。QM明确不是ASIL等级。当危险事件被判定为风险足够低、无需ASIL要求时,标准质量管理流程即被认为足以管理风险。但QM级功能仍需记录和论证。
不是。QM明确不是ASIL等级。当危险事件被判定为风险足够低、无需ASIL要求时,标准质量管理流程即被认为足以管理风险。但QM级功能仍需记录和论证。
问4:2018版相比2011版在术语方面有哪些主要变化?
2018版新增了约50个术语,包括与卡车/客车相关的术语(基础车辆、车身制造设备)、网络安全集成、扩展的硬件故障分类以及摩托车专用适配术语。现有定义也得到了精炼,以提高跨所有12个部分的一致性和清晰度。
2018版新增了约50个术语,包括与卡车/客车相关的术语(基础车辆、车身制造设备)、网络安全集成、扩展的硬件故障分类以及摩托车专用适配术语。现有定义也得到了精炼,以提高跨所有12个部分的一致性和清晰度。
