功能安全開(kāi)發(fā)標準ISO 26262

ISO 26262 規定了功能安全開(kāi)發(fā)流程（從規范一直到生產(chǎn)發(fā)布），汽車(chē) OEM 和供應商必須遵循并記錄（合規性），以使其設備有資格在商用（乘用）車(chē)輛內運行。它概述了一個(gè)風(fēng)險分類(lèi)系統（汽車(chē)安全完整性等級，簡(jiǎn)稱(chēng) ASIL），旨在減少電氣和電子 （E/E） 系統故障行為可能造成的危險。

ISO（國際標準化組織）與國際電工委員會(huì ) （IEC） 密切合作。ISO 26262 規范于 2011 年正式發(fā)布，是對 IEC 61508 的改編，IEC 61508 是 E/E 系統的通用功能安全標準。

ISO 26262 與其他汽車(chē)標準有何不同？

ISO 26262 是針對道路車(chē)輛電氣和電子系統開(kāi)發(fā)的國際功能安全標準。它定義了將事故風(fēng)險降至最低并確保汽車(chē)零部件在正確的時(shí)間正確執行其預期功能的指導方針。它還提供了一種特定于汽車(chē)的方法，用于確定稱(chēng)為 ASIL 的風(fēng)險等級。

AEC-Q100 是確保汽車(chē)中使用的電子部件安全的標準。汽車(chē)行業(yè)使用它來(lái)檢查和測試這些零件。它側重于可靠性，特別是汽車(chē)應用中集成電路的壓力測試。ISO 26262 是一個(gè)類(lèi)似的標準，但適用于制造汽車(chē)電子系統的整個(gè)過(guò)程。AEC-Q100 側重于測試單個(gè)部件，而 ISO 26262 涵蓋整個(gè)過(guò)程。

汽車(chē)工程師協(xié)會(huì ) （SAE） 是一個(gè)致力于改進(jìn)運輸技術(shù)的專(zhuān)業(yè)組織。他們?yōu)槠?chē)、飛機和卡車(chē)行業(yè)創(chuàng )建指南。他們還定義了 SAE J3061、車(chē)輛自動(dòng)駕駛級別以及最近的汽車(chē)測試標準中的網(wǎng)絡(luò )安全最佳實(shí)踐。ISO 26262 只是汽車(chē)電子系統安全的一項具體規則，而 SAE 為運輸技術(shù)制定了許多指導方針。

MISRA（汽車(chē)工業(yè)可靠性協(xié)會(huì )）是一套在汽車(chē)嵌入式系統中安全可靠地使用 C 編程語(yǔ)言的指南。這些指南由英國汽車(chē)工業(yè)研究協(xié)會(huì )制定。它們側重于為汽車(chē)行業(yè)安全可靠的編碼實(shí)踐提供指南，而 ISO 26262 則為整個(gè)系統的功能安全提供了全面的方法。

ISO 26262 如何運作？

ISO 26262 提供了一個(gè)管理和降低與電氣和/或電子系統相關(guān)的風(fēng)險的流程，它基于安全生命周期的概念，其中包括以下階段：

• 規劃。在此階段，定義系統的安全要求，并制定安全計劃。

• 分析。在此階段，對系統進(jìn)行分析以識別危險和潛在的故障模式。

• 設計和實(shí)施。在此階段，系統的設計和實(shí)施旨在滿(mǎn)足規劃階段定義的安全要求，并消除或減輕分析階段確定的危害。

• 驗證。在此階段，對系統進(jìn)行測試，以確保其符合安全要求，并且已消除或減輕任何危險。

• 驗證。在此階段，系統在其預期環(huán)境中進(jìn)行測試，以確保其按預期運行。

• 生產(chǎn)、運營(yíng)和退役。 在此階段，將保持安全要求并停用系統。

ISO 26262 還規定了必須生成的文件以及可在安全生命周期的每個(gè)階段使用的工具。

ISO 26262 是如何演變的？

2018 年，ISO 26262 進(jìn)行了重大更新，增加了兩個(gè)新標準：半導體和摩托車(chē)、卡車(chē)和公共汽車(chē)的要求。添加了有關(guān)基于模型的開(kāi)發(fā)、軟件安全分析、相關(guān)故障分析、容錯等方面的指南。

ISO 26262 的汽車(chē)安全完整性等級 （ASIL） 基于三個(gè)變量：嚴重性、暴露概率和駕駛員的可控性。由于 ISO 26262 假設有人在駕駛車(chē)輛，因此它與全自動(dòng)駕駛汽車(chē)沒(méi)有直接關(guān)系。但是，隨著(zhù)汽車(chē)行業(yè)的路線(xiàn)圖上了全車(chē)自動(dòng)駕駛，功能安全仍然是關(guān)鍵任務(wù)，ISO 26262 標準將繼續發(fā)展。

ISO 26262 面臨的挑戰是什么？

實(shí)施 ISO 26262 的一些挑戰包括：

1. 復雜性。該標準非常詳細，涵蓋的主題范圍很廣，因此很難完全理解和實(shí)施。

2. 時(shí)間和成本。滿(mǎn)足標準要求可能非常耗時(shí)且成本高昂，并且可能需要對現有開(kāi)發(fā)流程進(jìn)行重大更改。

3. 測試和驗證。 確保系統滿(mǎn)足標準要求可能具有挑戰性，因為它可能需要大量的測試和驗證。

4. 風(fēng)險評估。 識別和評估潛在的危害和風(fēng)險可能很困難，尤其是在復雜的系統中。

5. 溯源。 在整個(gè)開(kāi)發(fā)過(guò)程中保持需求和設計決策的可追溯性可能很困難，尤其是在大型復雜項目中。

6. 工具支持?？赡苋狈藴誓承┓矫娴墓ぞ咧С?，因此難以完全自動(dòng)化合規性流程。

7. 專(zhuān)門(mén)知識。擁有完全實(shí)施該標準所需的專(zhuān)業(yè)知識和資源可能是一項挑戰，因為它需要功能安全和汽車(chē)系統的專(zhuān)業(yè)知識。

ISO 26262 有哪些好處？

采用 ISO 26262 有助于確保從開(kāi)發(fā)過(guò)程的一開(kāi)始就考慮汽車(chē)部件的安全性。它提供了一個(gè)全面的框架，用于管理汽車(chē)部件整個(gè)生命周期（從初始風(fēng)險評估到最終退役）的安全。通過(guò)遵循 ISO 26262，汽車(chē)制造商可以確保其供應商符合安全標準，從而防止在生產(chǎn)過(guò)程中出現代價(jià)高昂的問(wèn)題。

該標準考慮了汽車(chē)電子系統中硬件和軟件集成日益增強的趨勢。它為硬件和軟件的并行開(kāi)發(fā)和測試提供了詳細的指南，認識到必須將它們一起測試才能實(shí)現最佳安全性。這確保了系統的所有方面都得到考慮和測試，從而促進(jìn)了更全面、更徹底的功能安全方法。

是否需要 ISO 26262？

ISO 26262 不是法律要求的，但許多汽車(chē)制造商和供應商都遵循它，以表明他們對安全的承諾并提高其產(chǎn)品安全性。有時(shí)，客戶(hù)和監管機構可能會(huì )要求他們證明他們遵循標準。但即使不是必需的，它仍然被認為是一種良好的做法，遵循它可以提高汽車(chē)電子系統的安全性，并向客戶(hù)、監管機構和最終用戶(hù)展示公司對安全的承諾。