一、核心定义:什么是 ISO 26262 与 ASIL?
✅正确定义
ISO 26262:是针对道路车辆电子电气系统(E/E systems)的功能安全标准,适用于整车厂及其一级/二级供应商。
它不是元件认证标准,而是系统级安全开发流程规范。
ASIL(Automotive Safety Integrity Level):是 ISO 26262 中定义的安全完整性等级,根据危害严重度(S)、暴露概率(E)、可控性(C)三个维度评估得出,分为:
ASIL-A(最低)
ASIL-B
ASIL-C
ASIL-D(最高)
QM(Quality Management,无安全要求)
🔍关键澄清:
“MLCC 通过 ASIL-D 认证”是错误说法。
正确表述应为:“该 MLCC 经测试验证,可用于开发符合ASIL-D 要求的 ECU 系统。”
二、ASIL-B vs ASIL-D:技术要求对比(基于 ISO 26262 第5、8、10章)
评估维度 |
ASIL-B |
ASIL-D |
差距倍数 |
单点故障指标(SPFM) |
≥90% |
≥99% |
容错能力高10倍 |
潜在故障指标(LFM) |
≥60% |
≥90% |
潜在风险控制强1.5倍 |
随机硬件失效概率(PMHF) |
≤10⁻⁶ /h |
≤10⁻⁸ /h |
失效概率低100倍 |
诊断覆盖率(DC) |
≥60% |
≥90% |
故障检出率更高 |
开发流程要求 |
V模型+基础FMEA |
完整V模型+FTA+FMEDA+安全机制设计 |
流程复杂度高3倍 |
💡通俗理解:
ASIL-B:允许每百万小时出现1次危险失效(如车灯失灵)
ASIL-D:要求每亿小时不超过1次危险失效(如制动失灵)
三、对被动元件(如 MLCC)的实际影响
虽然 ISO 26262 不直接认证元件,但系统开发商必须确保所有元件满足对应 ASIL 等级的可靠性要求。具体体现为:
1. 可靠性测试要求升级
测试项目 |
ASIL-B 典型要求 |
ASIL-D 典型要求 |
温度循环(TC) |
-40℃ ↔ +125℃, 1000 cycles |
-40℃ ↔ +150℃, 2000+ cycles |
高温高湿偏压(THB) |
85℃/85%RH, 1000h |
125℃/85%RH, 2000h |
振动测试 |
10g, 2h |
20g, 4h+ |
FIT 率(Failure in Time) |
≤100 FIT |
≤10 FIT(甚至 ≤5 FIT) |
📌注:FIT = 每 10⁹器件小时的失效次数。
ASIL-D 要求 MLCC 在极端条件下仍保持超低失效率。
2. 需提供功能安全支持文档
供应商必须提供:
FMEDA 报告(Failure Modes, Effects, and Diagnostic Analysis)
FMEA 报告
安全机制说明(如冗余设计、自检电路)
长期可靠性数据(HTOL, ELFR)
⚠️现实案例(2025年):风华高科、三星电机可提供 AEC-Q200 报告,但无法提供 FMEDA 或 ASIL-D 级FIT 数据,因此不能用于 ASIL-C/D 系统。
四、哪些系统需要 ASIL-B?哪些需要 ASIL-D?
汽车子系统 |
典型 ASIL 等级 |
原因 |
电动助力转向(EPS) |
ASIL-D |
失效可能导致失控 |
电子制动系统(EBS) |
ASIL-D |
直接关系人身安全 |
ADAS 感知融合模块 |
ASIL-D |
错误感知引发碰撞 |
电池管理系统(BMS) |
ASIL-B ~ ASIL-C |
过充/过放有风险,但可控 |
车身控制模块(BCM) |
ASIL-A ~ QM |
车窗、门锁等非安全关键 |
车载信息娱乐系统(IVI) |
QM |
无安全影响 |
✅采购建议:
若你的 ECU 用于制动、转向、自动驾驶感知 → 必须选用支持 ASIL-D 的元件
若用于空调、照明、普通BMS → ASIL-B 元件足够且更具成本优势
五、如何验证供应商是否真正支持 ASIL-B/D?
不要轻信宣传册!请强制要求以下文件:
文件类型 |
ASIL-B |
ASIL-D |
验证要点 |
AEC-Q200 报告 |
必须 |
必须 |
基础车规门槛 |
FIT 率报告(第三方) |
≤100 FIT |
≤10 FIT |
查看测试条件与样本量 |
FMEDA 报告 |
推荐 |
强制 |
是否包含安全机制分析 |
应用案例证明 |
如比亚迪 BMS |
如特斯拉 HW4.0 |
要求提供量产车型与批次号 |
功能安全流程证书 |
ISO 26262 开发流程认证(如 TÜV) |
必须提供 |
查验认证机构与范围 |
🚫警惕话术:
“我们的产品符合 ASIL-D 要求” → 要求出示测试报告编号
“正在开发 ASIL-D 产品” → 问清量产时间与客户验证状态
六、行业现状(2025年)
厂商 |
ASIL-B 支持 |
ASIL-D 支持 |
代表产品 |
村田(Murata) |
✅ |
✅ |
GRM系列(ASIL-D级MLCC) |
TDK |
✅ |
✅(部分) |
CGA系列 |
国巨(YAGEO) |
✅ |
❌(仅宣称,无量产验证) |
AC系列 |
三星电机(SEMCO) |
✅ |
❌ |
CL系列(仅AEC-Q200 |
风华高科 |
✅(有限) |
❌ |
FH系列 |
📊市场事实:
特斯拉、奔驰、丰田 L3+自动驾驶系统 100% 采用 村田或 TDK 的 ASIL-D 级 MLCC
无任何中国或韩国厂商 的 MLCC 被用于 ASIL-D 系统(截至 2025 年Q3)
七、总结:关键行动指南
角色 |
行动建议 |
系统工程师 |
在HARA分析中明确ASIL等级,并将元件可靠性要求写入 BOM 规范 |
采购经理 |
要求供应商提供 FIT 报告 + FMEDA + 应用案例,拒绝“口头承诺 |
元件选型 |
- ASIL-D 场景:只选村田/ TDK |
国产替代 |
风华高科等厂商短期内无法突破ASIL-D,聚焦 ASIL-B/BMS 市场更现实 |
✅终极结论:
ISO 26262 ASIL-D 不是“可选项”,而是智能电动汽车安全系统的“准入门票”。
选择错误的元件,不仅会导致项目延期,更可能引发致命安全事故与巨额召回。
备注:以上数据来源于网络,如有影响请告知删除。喜欢的朋友可以点个关注点个赞😀