2011年，汽车电子功能安全标准ISO 26262正式发布，该标准已经在汽车电子功能安全领域广泛应用。为了更好地适应不断更新地技术需求，ISO 26262于2018年正式改版。本文介绍ISO 26262国际标准第二版的情况。

改版主要原因如下：

• 第一版ISO 26262经验的累积；

• 适用范围向其他种类车辆的拓展；

• 半导体层面功能安全的引入；

• Fail-operational（失效可操作）系统的引入。

本文概要：

• ISO 26262 第二版进展情况

• 定义

• 功能安全管理

• 危险分析与风险评估

• 系统、硬件及软件级别要求

• 支持程序

• 摩托车、卡车及客车的要求

• 半导体类指南

• 总结

什么是ISO26262

•  ISO26262是从电子、电气及可编程器件功能安全基本标准IEC 61508派生出来的，以满足公路车辆电子电器系统的特殊需求。

  – 明确汽车产品的功能安全生命周期

  
  

• 针对安全相关系统（包含电气、电子与软件零部件），适用于安全生命周期内所有活动事项

  
  

• 范围

  –  除了摩托自行车之外的量产道路车辆

  
  

• 不适用于特殊车辆的电子电气系统

  –  比如，为残障驾驶员设计的车辆

ISO 26262进展情况

• ISO 26262的发展基于

– TC 22 / SC 32 / WG 08

– 由14个正式成员组成

• 第一版于2011年11月发布。

• 由于汽车功能安全准则的重要性及紧迫性，对第一版的审查于三年内完成（每个ISO规则审定通常需要五年

• 第二版于2018年底发布。

ISO26262术语涉及安全性、不合理风险、风险、严重度、暴露率、危险、及可控性

关于ISO 26262

• 关注电子电气安全相关系统故障产生的潜在危险

–  就设计意图事项出现的故障或意外状况

–  硬件随机失效及系统故障

–  包括电子电气安全相关系统间的交互行为

• 对应汽车产品生命周期

–  开发、验证以及生产发布 VS 开发、安装、试车及IEC61508验证

• 分布式开发支持

–  例如主机厂与供应商间的分工

• 包括风险评估内的“可控性”

安全情景

1. 提供明确、全面、合理的论据（由工作产品开发证据支持），主要指在特定操作环境中系统足够安全。

   
   

2. “安全性论据”主要指如何解释、分配、分解安全要求等，通过工作产品的支持证据来实现。

   
   

   工作产品指的是按照ISO26262标准要求生成的文档。

功能安全管理

• 与功能安全有关的规划、协调以及记录活动

• 执行针对安全生命周期内所有阶段的管理方案，包括：

–  综合安全管理

–  依托项目的安全管理

–  针对生产、操作、服务及拆解的安全管理

危险分析和风险评估

• 项目定义

 - 车辆，车辆系统或车辆功能

 - 功能概念和操作模式; 运营和环境限制因素，法律和适用标准的要求，预期行为，故障的后果

• 情况分析和危险识别

 - “识别项目可能发生的导致危险的意外行为。”

• 车辆使用

• 环境条件

• 可预见的驾驶员使用和滥用情况

• 车辆系统之间的交互行为

针对每个识别出的危险情景，评估严重度 (Severity) 、 暴露率(Exposure)和可控性(Controllability)。

运用严重度、暴露率及可控性来设定ASIL。

功能安全要求

系统级要求

技术安全概念

- 技术安全要求

- 细化功能安全要求，定义检测故障和缓解或控制故障的机制（延续ASIL）

- 定义系统架构设计

硬件级别的要求

• 技术安全概念的硬件实现涉及对硬件要求的识别

• 根据系统架构设计，将技术安全要求下达给硬件元件

• 通过使用情况检查系统架构设计的适用性

- 评估单一故障指标和潜在故障指标。 两个指标都具有目标值，具体取决于正在执行要求的ASIL，或

- 评估违反安全目标的概率。 仍取决于安全目标的ASIL。

软件级别的要求

• 软件安全要求源自技术安全概念和系统架构设计规范（延续ASIL）

• 软件架构设计能够满足其对应的ASIL软件安全要求，以及

• 软件架构设计支持正在开发中的软件执行和验证。

  
  

 - 软件单元设计

 - 执行和验证

 - 软件集成和验证

 - 测试生成的嵌入式软件。

集成、测试与验证

• 安全目标验证适用于车辆集成项目。

• 验证计划内容包括符合通过/失败标准的各安全目标测试程序。

车辆生产、操作、服务及退役要求

•  一些技术安全要求可解决车辆生产、操作、服务、拆解相关安全问题。

  
  

• 开发道路车辆安全相关系统生产工艺，主要包括所有与车辆操作、维修保养及退役相关的必要信息和文档。

― 任何参与安全相关系统的用户都可使用这一工艺。

• 需要制定现场监测流程。

  
  

支持程序

支持程序用于完善通用安全要求以保持一致性。

支持过程：

• 分布式开发包括接口开发

• 安全要求规范及管理

• 配置管理

• 变更管理

• 验证

• 文档管理

• 软件工具使用保密

• 软件构件的合格性

• 硬件构件评估

• 使用证据证明

• 使用ISO26262标准范围外的应用程序

• 未按照ISO26262标准开发的安全系统的集成

摩托车安全要求

•  第2-9部分的要求适用于摩托车，但还需要制定特殊要求。

  -第12部分的要求取代其他部分相应要求。

  
  

• 特殊要求主要适用于摩托车危险分析和风险评估以及摩托车S/E/C参数确定，主要包括：

  -摩托车安全完整性等级（MSIL）介绍

  -MSIL与汽车安全完整性等级（ASIL）的映射

  -映射后分配给ASIL的安全目标。  

卡车与客车安全要求

• 同摩托车一样，第2-9部分的要求适用于卡车和客车。

• 所有T&B特殊安全要求在任何情况下都包含在该标准范围内。

• 其他安全要求还包括：

-功能性安全管理（支持过程）

-危险分析及风险评估

-系统级验证环境

-生产、操作、服务及退役要求

半导体类指南

•  ISO26262标准延伸包括汽车半导体类指南（见信息部分）

• 半导体元件开发可作为：

-按照第5部分要求进行安全分析的一部分

-独立安全单元（SEooC）开发，基于集成验证假设条件开发

• 半导体元件指南

• 半导体技术指南

作为二级汽车供应商的半导体公司，必须满足其原始设备制造商和一级客户提出的各项苛刻要求。他们必须证明，交付给客户的集成电路和系统的开发遵循或已经遵循其所用软件工具的合理设计、验证和验证流程。