道路车辆功能安全标准-ISO26262

ISO26262是基于IEC 61508（由国际电工委员会发布的“电气/电子/可编程电子安全相关系统的功能安全”，即Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems (E/E/PE, or E/E/PES））适配而来的道路车辆功能安全方面的标准，在2011年正式发布，最新版本在2018年发布。

最新的2018版包含12个部分（2011版本只有10个部分）：

Part 1 名词解释（Vocabulary）

Part 2 功能安全管理（Management of functional safety）

Part 3 概念阶段（Concept phase）

Part 4 产品开发：系统层级（Product development at the system level）

Part 5 产品开发：硬件层级（Product development at the hardware level）

Part 6 产品开发：软件层级（Product development at the software level）

Part 7 生产与运行（Production and operation）

Part 8 支援过程（Supporting processes）

Part 9 车辆安全完整性等级导向与安全导向分析（Automotive Safety Integrity Level-oriented and safety-oriented analyses）

Part 10 ISO 26262 指南（Guideline on ISO 26262）

Part 11 ISO26262应用于半导体指南(Guidelines on application of ISO 26262 to semiconductors)

Part 12 ISO26262应用于摩托的适配(Adaptation of ISO 26262 for motorcycles)

ISO26262包括一个或多个电子电气系统并且安装于不超过3.5吨的乘用车；不应用于安装在特殊目的的的车辆上的电子电气系统，比如残 疾人车辆；不应用于非安全相关的电子电气系统；不应用于非电子电气的系统，比如液压、机械等。

ISO26262贯穿于整个车辆的生命周期（概念->规范->设计->测试->验证->成品->维修->销毁），自身形成一个“安全生命周期”（包含管理、开发、生产、运营、服务、退出过程）。

车辆功能安全的要求：

在正常条件及存在故障条件下，控制设备、系统的安全功能必须都能够保证；随机失效、系统失效、级联失效、共因失效不会导致安全系统的错误功能，从而导致：

• 人的伤害或死亡

• 环境的污染

• 设备或财产的损失

安全架构：

通过一组元素相互作用，来满足安全要求 ，来满足安全要求，包括冗余、独立等概念。

开发符合ISO26262标准的产品需要符合下图所示的安全生命周期模型：

汽车领域涉及安全项目的基本流程：

多个系统或多个项目整合开发的话，需求符合下面流程：

车辆安全完整性等级ASIL：

ASIL等级的定义是为了对失效后带来的风险进行评估和量化以达到安全目标，其全称是Automotive Safety Integration Level–汽车安全完整性等级。这个概念来源于IEC61508，其通过失效概率的方式定义了安全完整性等级（SIL）。但是在汽车界只有硬件随机失效可以通过统计数字评估失效概率，软件失效却难以量化，因此26262根据汽车的特点定义了ASIL。     ASIL的评定一般是在产品概念设计阶段对系统进行危害分析和风险评估，识别出系统的危害，如果系统的安全风险越大，对应的安全要求级别就越高，其具有的ASIL的等级也越高。ASIL分为QM，A、B、C、D五个等级，ASIL D是最高的汽车安全完整性等级，对功能安全的要求最高。

硬件开发要注意各种失效模式的处理：

软件开发需要采用V模型，每个阶段皆可测可控：

安全分析与论证方法：

ISO26262认证流程，找第三方能做ISO26262评估的公司来进行评估并发证：