ISO 26262道路车辆功能安全体系简介

ISO 26262 要求汽车原始设备制造商和供应商必须遵循并记录功能安全开发流程（从开始制定规格直到量产发布），以使其设备具备在商用车辆（轿车）内运行的资格。该标准列出了风险分类体系（汽车安全完整性等级，ASIL），旨在降低电气电子 (E/E) 系统故障行为可能造成的危害。

ISO（国际标准组织） 与国际电工委员会 (IEC) 密切合作。ISO 26262 规范作为 IEC 61508 的改编版于 2011 年正式发布，最新版本在2018年发布，这是 E/E 系统的通用功能安全标准。 

最新的2018版包含12个部分（2011版本只有10个部分）：

Part 1 名词解释（Vocabulary）

Part 2 功能安全管理（Management of functional safety）

Part 3 概念阶段（Concept phase）

Part 4 产品开发：系统层级（Product development at the system level）

Part 5 产品开发：硬件层级（Product development at the hardware level）

Part 6 产品开发：软件层级（Product development at the software level）

Part 7 生产与运行（Production and operation）

Part 8 支援过程（Supporting processes）

Part 9 车辆安全完整性等级导向与安全导向分析（Automotive Safety Integrity Level-oriented and safety-oriented analyses）

Part 10 ISO 26262 指南（Guideline on ISO 26262）

Part 11 ISO26262应用于半导体指南(Guidelines on application of ISO 26262 to semiconductors)

Part 12 ISO26262应用于摩托的适配(Adaptation of ISO 26262 for motorcycles)

ISO26262包括一个或多个电子电气系统并且安装于不超过3.5吨的乘用车；不应用于安装在特殊目的的的车辆上的电子电气系统，比如残 疾人车辆；不应用于非安全相关的电子电气系统；不应用于非电子电气的系统，比如液压、机械等。

ISO26262贯穿于整个车辆的生命周期（概念->规范->设计->测试->验证->成品->维修->销毁），自身形成一个“安全生命周期”（包含管理、开发、生产、运营、服务、退出过程）。

ISO 26262 与其他汽车标准有何区别？

ISO 26262 侧重于功能安全 - 确保汽车零部件能够在正确的时间发挥正确的功能。其专门针对汽车提供方案，用于确定 ASIL 风险等级。

AEC-Q100（由汽车电子委员会建立）专事研究汽车应用中集成电路的可靠性，尤其是压力测试。

汽车工程师协会 (SAE) 长期以来一直为汽车发动机的马力评级提供标准，现在又确定了 SAE J3061 中网络安全的最佳实践操作。SAE 积极参与定义车辆无人驾驶等级，并于最近制定汽车测试标准。

MISRA（汽车工业软件可靠性联合会）指南侧重于安全性 - 定义在车辆控制系统中开发安全可靠的可移植软件代码的流程。

ISO 26262 如何发展而来？

2018 年，ISO 26262 经过重大更新，增加了两项新标准：针对半导体的要求，以及针对摩托车、卡车和巴士的要求。针对基于模型的 开发、软件安全分析、相关失效分析、故障容错等项目增加了指导纲要。 

ISO 26262 的汽车安全完整性等级 (ASIL) 基于三个变量：严重程度、接触概率和驾驶员可控性。ISO 26262 假定车辆有人驾驶，因此不直接涉及完全自动驾驶的车辆。但由于整车自动化已经进入汽车行业发展的路线图，功能安全仍是开发任务的重中之重，并且 ISO 26262 标准还将不断发展。

ISO 26262 标准如何确立？

• 指定词汇表（仔细定义关键术语，如“故障”与“错误”与“失效”）

• 定义各个汽车产品的安全生命周期标准概念阶段

系统级、硬件级和软件级的产品开发

生产和操作

维修和停用

• 提供用以确定风险等级的针对汽车应用的方案(ASIL)辨别并评估安全风险

确立要求将风险降低至合理水平

跟踪要求以确保在交付的产品中达到合理的安全水平

ISO 26262 面临哪些挑战？

遵守 ISO 26262 需要大量的文档和测试，可能会非常耗时。这就要求工程师对其设计软件进行工具置信水平的评估。

虽然 ISO 26262 提供了汽车安全的通用术语，但 ASIL 分类中的一些定义具备的信息参考性高于其法定性 - 为汽车零部件供应商提供了解释空间。作为回应， SAE 发布了 J2980 -  ISO 26262 ASIL 危害评级的考虑因素，为评估危害等级提供了更明确的指南。

2018 年版的 ISO 26262 包含一份扩展词汇表，其中包含更加具体的目标。

车辆安全完整性等级ASIL：

ASIL等级的定义是为了对失效后带来的风险进行评估和量化以达到安全目标，其全称是Automotive Safety Integration Level--汽车安全完整性等级。这个概念来源于IEC61508，其通过失效概率的方式定义了安全完整性等级（SIL）。但是在汽车界只有硬件随机失效可以通过统计数字评估失效概率，软件失效却难以量化，因此26262根据汽车的特点定义了ASIL。     

ASIL的评定一般是在产品概念设计阶段对系统进行危害分析和风险评估，识别出系统的危害，如果系统的安全风险越大，对应的安全要求级别就越高，其具有的ASIL的等级也越高。ASIL分为QM，A、B、C、D五个等级，ASIL D是最高的汽车安全完整性等级，对功能安全的要求最高。

ISO 26262 的优点是什么？

ISO 26262 确保从一开始就为汽车部件提供高水平的安全性。为整个汽车安全生命周期提供指南，从整体风险管理到具体部件的开发、生产、操作、维修和停用均有说明。 使用 ISO 26262，OEM 可以审核其供应链，并确保在生产过程的后期不会出现电气电子安全隐患，因为修复问题的成本更高。 

ISO 26262 说明了这样一个事实：即在越来越多的汽车电子系统中，供应商将尝试通过协力设计硬件和软件来节省开发时间。ISO 26262 委员会概述了并行硬件/软件开发和测试的广泛指南，并指出软硬件必须一起接受测试，才能达到更高安全性。 

我们的服务

知识服务：在开发过程中我们的专家与您的团队紧密合作，以满足ISO 26262的要求。这包括开展现有系统和流程的分析，确定合适的安全开发流程，以及系统概念设计的开发。我们还可以提供从IEC61508到ISO 26262转换的指导。

培训：我们为您的开发团队提供一套完整的方案。我们能够安排定制的内部培训，以满足特定的公司要求。
 

您的收益

节省时间和金钱 – 专家能够助您的开发过程顺利合规，免去昂贵和费时的返工的威胁。

最小化风险– 产品责任索赔和市场不接受您的产品的风险。

保持竞争优势 – 引领市场，满足ISO 26262标准的要求。

提高信用 – 作为优质的公司，具备对安全和质量较强的承诺。