功能安全開(kāi)發(fā)標(biāo)準(zhǔn)ISO 26262

ISO 26262 規(guī)定了功能安全開(kāi)發(fā)流程（從規(guī)范一直到生產(chǎn)發(fā)布），汽車(chē) OEM 和供應(yīng)商必須遵循并記錄（合規(guī)性），以使其設(shè)備有資格在商用（乘用）車(chē)輛內(nèi)運(yùn)行。它概述了一個(gè)風(fēng)險(xiǎn)分類(lèi)系統(tǒng)（汽車(chē)安全完整性等級(jí)，簡(jiǎn)稱(chēng) ASIL），旨在減少電氣和電子 （E/E） 系統(tǒng)故障行為可能造成的危險(xiǎn)。

ISO（國(guó)際標(biāo)準(zhǔn)化組織）與國(guó)際電工委員會(huì) （IEC） 密切合作。ISO 26262 規(guī)范于 2011 年正式發(fā)布，是對(duì) IEC 61508 的改編，IEC 61508 是 E/E 系統(tǒng)的通用功能安全標(biāo)準(zhǔn)。

ISO 26262 與其他汽車(chē)標(biāo)準(zhǔn)有何不同？

ISO 26262 是針對(duì)道路車(chē)輛電氣和電子系統(tǒng)開(kāi)發(fā)的國(guó)際功能安全標(biāo)準(zhǔn)。它定義了將事故風(fēng)險(xiǎn)降至最低并確保汽車(chē)零部件在正確的時(shí)間正確執(zhí)行其預(yù)期功能的指導(dǎo)方針。它還提供了一種特定于汽車(chē)的方法，用于確定稱(chēng)為 ASIL 的風(fēng)險(xiǎn)等級(jí)。

AEC-Q100 是確保汽車(chē)中使用的電子部件安全的標(biāo)準(zhǔn)。汽車(chē)行業(yè)使用它來(lái)檢查和測(cè)試這些零件。它側(cè)重于可靠性，特別是汽車(chē)應(yīng)用中集成電路的壓力測(cè)試。ISO 26262 是一個(gè)類(lèi)似的標(biāo)準(zhǔn)，但適用于制造汽車(chē)電子系統(tǒng)的整個(gè)過(guò)程。AEC-Q100 側(cè)重于測(cè)試單個(gè)部件，而 ISO 26262 涵蓋整個(gè)過(guò)程。

汽車(chē)工程師協(xié)會(huì) （SAE） 是一個(gè)致力于改進(jìn)運(yùn)輸技術(shù)的專(zhuān)業(yè)組織。他們?yōu)槠?chē)、飛機(jī)和卡車(chē)行業(yè)創(chuàng)建指南。他們還定義了 SAE J3061、車(chē)輛自動(dòng)駕駛級(jí)別以及最近的汽車(chē)測(cè)試標(biāo)準(zhǔn)中的網(wǎng)絡(luò)安全最佳實(shí)踐。ISO 26262 只是汽車(chē)電子系統(tǒng)安全的一項(xiàng)具體規(guī)則，而 SAE 為運(yùn)輸技術(shù)制定了許多指導(dǎo)方針。

MISRA（汽車(chē)工業(yè)可靠性協(xié)會(huì)）是一套在汽車(chē)嵌入式系統(tǒng)中安全可靠地使用 C 編程語(yǔ)言的指南。這些指南由英國(guó)汽車(chē)工業(yè)研究協(xié)會(huì)制定。它們側(cè)重于為汽車(chē)行業(yè)安全可靠的編碼實(shí)踐提供指南，而 ISO 26262 則為整個(gè)系統(tǒng)的功能安全提供了全面的方法。

ISO 26262 如何運(yùn)作？

ISO 26262 提供了一個(gè)管理和降低與電氣和/或電子系統(tǒng)相關(guān)的風(fēng)險(xiǎn)的流程，它基于安全生命周期的概念，其中包括以下階段：

• 規(guī)劃。在此階段，定義系統(tǒng)的安全要求，并制定安全計(jì)劃。

• 分析。在此階段，對(duì)系統(tǒng)進(jìn)行分析以識(shí)別危險(xiǎn)和潛在的故障模式。

• 設(shè)計(jì)和實(shí)施。在此階段，系統(tǒng)的設(shè)計(jì)和實(shí)施旨在滿足規(guī)劃階段定義的安全要求，并消除或減輕分析階段確定的危害。

• 驗(yàn)證。在此階段，對(duì)系統(tǒng)進(jìn)行測(cè)試，以確保其符合安全要求，并且已消除或減輕任何危險(xiǎn)。

• 驗(yàn)證。在此階段，系統(tǒng)在其預(yù)期環(huán)境中進(jìn)行測(cè)試，以確保其按預(yù)期運(yùn)行。

• 生產(chǎn)、運(yùn)營(yíng)和退役。 在此階段，將保持安全要求并停用系統(tǒng)。

ISO 26262 還規(guī)定了必須生成的文件以及可在安全生命周期的每個(gè)階段使用的工具。

ISO 26262 是如何演變的？

2018 年，ISO 26262 進(jìn)行了重大更新，增加了兩個(gè)新標(biāo)準(zhǔn)：半導(dǎo)體和摩托車(chē)、卡車(chē)和公共汽車(chē)的要求。添加了有關(guān)基于模型的開(kāi)發(fā)、軟件安全分析、相關(guān)故障分析、容錯(cuò)等方面的指南。

ISO 26262 的汽車(chē)安全完整性等級(jí) （ASIL） 基于三個(gè)變量：嚴(yán)重性、暴露概率和駕駛員的可控性。由于 ISO 26262 假設(shè)有人在駕駛車(chē)輛，因此它與全自動(dòng)駕駛汽車(chē)沒(méi)有直接關(guān)系。但是，隨著汽車(chē)行業(yè)的路線圖上了全車(chē)自動(dòng)駕駛，功能安全仍然是關(guān)鍵任務(wù)，ISO 26262 標(biāo)準(zhǔn)將繼續(xù)發(fā)展。

ISO 26262 面臨的挑戰(zhàn)是什么？

實(shí)施 ISO 26262 的一些挑戰(zhàn)包括：

1. 復(fù)雜性。該標(biāo)準(zhǔn)非常詳細(xì)，涵蓋的主題范圍很廣，因此很難完全理解和實(shí)施。

2. 時(shí)間和成本。滿足標(biāo)準(zhǔn)要求可能非常耗時(shí)且成本高昂，并且可能需要對(duì)現(xiàn)有開(kāi)發(fā)流程進(jìn)行重大更改。

3. 測(cè)試和驗(yàn)證。 確保系統(tǒng)滿足標(biāo)準(zhǔn)要求可能具有挑戰(zhàn)性，因?yàn)樗赡苄枰罅康臏y(cè)試和驗(yàn)證。

4. 風(fēng)險(xiǎn)評(píng)估。 識(shí)別和評(píng)估潛在的危害和風(fēng)險(xiǎn)可能很困難，尤其是在復(fù)雜的系統(tǒng)中。

5. 溯源。 在整個(gè)開(kāi)發(fā)過(guò)程中保持需求和設(shè)計(jì)決策的可追溯性可能很困難，尤其是在大型復(fù)雜項(xiàng)目中。

6. 工具支持。可能缺乏對(duì)標(biāo)準(zhǔn)某些方面的工具支持，因此難以完全自動(dòng)化合規(guī)性流程。

7. 專(zhuān)門(mén)知識(shí)。擁有完全實(shí)施該標(biāo)準(zhǔn)所需的專(zhuān)業(yè)知識(shí)和資源可能是一項(xiàng)挑戰(zhàn)，因?yàn)樗枰δ馨踩推?chē)系統(tǒng)的專(zhuān)業(yè)知識(shí)。

ISO 26262 有哪些好處？

采用 ISO 26262 有助于確保從開(kāi)發(fā)過(guò)程的一開(kāi)始就考慮汽車(chē)部件的安全性。它提供了一個(gè)全面的框架，用于管理汽車(chē)部件整個(gè)生命周期（從初始風(fēng)險(xiǎn)評(píng)估到最終退役）的安全。通過(guò)遵循 ISO 26262，汽車(chē)制造商可以確保其供應(yīng)商符合安全標(biāo)準(zhǔn)，從而防止在生產(chǎn)過(guò)程中出現(xiàn)代價(jià)高昂的問(wèn)題。

該標(biāo)準(zhǔn)考慮了汽車(chē)電子系統(tǒng)中硬件和軟件集成日益增強(qiáng)的趨勢(shì)。它為硬件和軟件的并行開(kāi)發(fā)和測(cè)試提供了詳細(xì)的指南，認(rèn)識(shí)到必須將它們一起測(cè)試才能實(shí)現(xiàn)最佳安全性。這確保了系統(tǒng)的所有方面都得到考慮和測(cè)試，從而促進(jìn)了更全面、更徹底的功能安全方法。

是否需要 ISO 26262？

ISO 26262 不是法律要求的，但許多汽車(chē)制造商和供應(yīng)商都遵循它，以表明他們對(duì)安全的承諾并提高其產(chǎn)品安全性。有時(shí)，客戶和監(jiān)管機(jī)構(gòu)可能會(huì)要求他們證明他們遵循標(biāo)準(zhǔn)。但即使不是必需的，它仍然被認(rèn)為是一種良好的做法，遵循它可以提高汽車(chē)電子系統(tǒng)的安全性，并向客戶、監(jiān)管機(jī)構(gòu)和最終用戶展示公司對(duì)安全的承諾。