Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO 26262-9:2018 道路车辆功能安全 — ASIL 导向与安全导向分析
汽车功能安全中 ASIL 分解、共存准则、相依故障分析和安全分析的全面指南
一、ASIL 导向与安全分析概述
ISO 26262-9:2018 是 ISO 26262 功能安全标准系列的关键组成部分,涵盖了用于管理汽车安全完整性等级(ASIL)和执行安全分析的分析方法和技术。该部分提供了 ASIL 分解的结构化框架、不同 ASIL 元素共存准则、相依故障分析(DFA)以及全面安全分析(包括 FMEA、FTA、HAZOP 和马尔可夫建模)。
ISO 26262-9 在 ISO 26262 系列中是独特的,因为它专注于分析推理而非过程管理。掌握这部分内容对于需要有说服力地论证安全目标在要求的完整性等级下得以实现的安全工程师至关重要。
该标准涉及四个相互关联的领域,每个领域建立在前一个的基础上:ASIL 分解允许将安全需求分配到冗余元素上;共存准则确保不同 ASIL 的元素可以在同一系统中共存而不产生干扰;相依故障分析验证分解和共存所依赖的独立性假设;安全分析为整体风险降低提供定量和定性证据。
| 分析领域 | 条款 | 解决的关键问题 | 主要方法 |
|---|---|---|---|
| ASIL 分解 | 5 | 如何在冗余元素间分配 ASIL? | ASIL 分解模式(如 D → C(D)+A(D)) |
| 元素共存准则 | 6 | 不同 ASIL 子元素能否共存于同一元素? | 无干扰分析 |
| 相依故障分析 | 7 | 元素是否真正相互独立? | 级联故障与共因故障分析 |
| 安全分析 | 8 | 安全目标是否以足够置信度达成? | FMEA、FTA、HAZOP、ETA、马尔可夫、RBD |
二、ASIL 分解与共存准则
2.1 ASIL 分解(第 5 条)
ASIL 分解是一种强大的安全需求分配技术。它允许将给定 ASIL 的安全需求分解为下一细节层面的冗余安全需求,分配给充分独立的设计元素。允许的分解模式有精确定义:
- ASIL D → ASIL C(D) + ASIL A(D),或 ASIL B(D) + ASIL B(D),或 ASIL D(D) + QM(D)
- ASIL C → ASIL B(C) + ASIL A(C),或 ASIL C(C) + QM(C)
- ASIL B → ASIL A(B) + ASIL A(B),或 ASIL B(B) + QM(B)
- ASIL A → ASIL A(A) + QM(A)
一个关键约束:硬件架构度量的评估和由随机硬件故障导致的安全目标违反评估不受 ASIL 分解的影响。这意味着即使 ASIL D 需求被分解为 ASIL B(D) + ASIL B(D),硬件度量仍必须根据 ASIL D 目标进行评估。
仅靠同质冗余——如复制相同的硬件或相同的软件——通常不足以降低 ASIL。如果没有来自相依故障分析的证据证明充分的独立性,分解后的元素继承原始 ASIL。
2.2 元素共存准则(第 6 条)
当具有不同 ASIL 的安全相关子元素(或非安全子元素)共存于同一元素中时,第 6 条提供了分析框架,用于确定它们是否可以按其各自的 ASIL 开发,而不是提升到存在的最高 ASIL。关键概念是无干扰:较低 ASIL 的子元素不得引起级联故障,从而违反分配给较高 ASIL 子元素的安全需求。这通过分析数据流、控制流、输入/输出信号和其他设计措施来证明。
三、相依故障分析
第 7 条建立了证明元素间独立性的要求——这是 ASIL 分解和共存的先决条件。分析必须同时考虑级联故障(故障从一个元素传播到另一个元素)和共因故障(单一事件导致多个元素同时故障)。
标准确定了分析人员必须评估的九类耦合因素:
- 共享资源:电源、时钟、数据总线、线束
- 共享信息输入:外部消息、传感器读数
- 环境抗扰不足:EMI、ESD、温度、振动
- 系统性耦合:共同的开发工具、相同的生产工艺
- 相同组件类型:相同微控制器、相同执行器类型
- 通信:CAN、FlexRay、微控制器间链接
- 非预期接口:串扰、内存泄漏、热耦合
第 7 条中的相依故障分析框架,加上附录 C 的耦合因素检查表,提供了整个 ISO 26262 系列中最实用的工具之一。当系统应用时,它能揭示传统设计评审中经常遗漏的隐藏依赖关系。
四、安全分析
4.1 定性与定量方法
第 8 条提供了安全分析的总体框架,安全分析服务于多个目的:识别新危害、验证安全概念、支持安全措施定义以及为安全案例提供证据。标准区分了:
- 定性分析:FMEA(系统、设计、过程)、FTA、HAZOP、ETA——用于识别故障模式及其原因而不量化概率。
- 定量分析:定量 FMEA/FTA、马尔可夫模型、可靠性框图——用于评估硬件架构度量和由随机硬件故障导致安全目标违反的概率。
4.2 分析方法分类
安全分析进一步按方法论分类:归纳法(自底向上,从原因到结果)包括 FMEA 和 ETA;演绎法(自顶向下,从结果到原因)包括 FTA 和 RBD。标准明确建议结合使用归纳和演绎方法以实现全面覆盖。
对于单点故障和潜伏故障覆盖,分析方法必须能够识别多点故障。分析的深度和严格程度必须与 ASIL 相称——更高的 ASIL 要求更彻底的分析、更广泛的故障模型和更强的结果验证。
五、ISO 26262-9 实施的工程设计要点
- DFA 作为设计工具:不要将相依故障分析仅仅视为文档工作,应将其融入架构设计阶段。在详细设计承诺做出之前,对候选架构进行早期 DFA 评审可以发现耦合问题。
- ASIL 分解策略:对于安全关键系统,优先选择 ASIL B(D) + ASIL B(D)——它在提供均衡冗余的同时,不会制造过弱的链路(QM 分配的元素在实践中往往难以控制)。
- 无干扰证据:对于软件共存,考虑内存分区(MPU/MMU 基础)、时间触发调度和独立堆栈监控作为证据措施。硬件共存通常依赖于物理隔离、电气隔离和独立电压域。
- 检查表驱动 DFA:基于附录 C 制定公司特定的 DFA 检查表,并补充现场退货和以往评估中的经验教训。这可以制度化知识并确保跨项目的一致性。
- 定量分析工具化:投资支持自动割集分析、共因故障建模(带 beta 因子估计)以及与硬件故障率数据库(IEC 62380、SN 29500)无缝连接的集成 FMEA/FTA 工具。
六、常见问题
问:ASIL 分解是否可以递归应用?
答:可以。第 5.4.8 条明确允许多步分解。例如,ASIL D 需求可分解为 ASIL C(D) + ASIL A(D),然后 ASIL C(D) 需求可进一步分解为 ASIL B(D) + ASIL A(D)。
答:可以。第 5.4.8 条明确允许多步分解。例如,ASIL D 需求可分解为 ASIL C(D) + ASIL A(D),然后 ASIL C(D) 需求可进一步分解为 ASIL B(D) + ASIL A(D)。
问:无干扰和相依故障分析之间有什么关系?
答:无干扰是相依故障分析的一个子集,专门关注级联故障(而非共因故障)。如图 3 所示,无干扰仅处理级联故障,而独立性要求同时不存在级联故障和共因故障。
答:无干扰是相依故障分析的一个子集,专门关注级联故障(而非共因故障)。如图 3 所示,无干扰仅处理级联故障,而独立性要求同时不存在级联故障和共因故障。
问:何时应执行定量安全分析?
答:当需要评估硬件架构度量和由随机硬件故障导致的安全目标违反概率时(按 ISO 26262-5 第 8 条和第 9 条),需要执行定量分析(第 8.4.10 条)。它们补充定性分析,但不替代定性分析。
答:当需要评估硬件架构度量和由随机硬件故障导致的安全目标违反概率时(按 ISO 26262-5 第 8 条和第 9 条),需要执行定量分析(第 8.4.10 条)。它们补充定性分析,但不替代定性分析。
问:ASIL A 系统能否使用 QM 组件而不进行共存分析?
答:如果通过无干扰分析证明 QM 组件不能干扰 ASIL A 安全功能,则不需要 ASIL 升级。否则,QM 组件必须至少按照 ASIL A 要求开发。
答:如果通过无干扰分析证明 QM 组件不能干扰 ASIL A 安全功能,则不需要 ASIL 升级。否则,QM 组件必须至少按照 ASIL A 要求开发。
