ISO 26262

ISO 26262國際標準，名為《道路車輛功能安全》，是功能安全的國際標準，是針對裝設在量產道路車輛（非機動車除外）的電子電氣系統，由國際標準化組織（ISO）在2011年發佈第一版，在2018年更版。

標準簡介

功能安全特性是每個汽車產業產品開發階段中不可缺少的一部份。包括規格訂定、設計、實現、整合、驗證、確認以及產品上市等階段。ISO 26262是功能安全標準IEC 61508針對汽車電子電氣系統所修訂的標準，其中定義車用設備的機能安全，包括所有汽車電子電氣安全相關系統的完整生命週期。

第一版（ISO 26262:2011）在2011年11月11日發佈，是針對安裝在總重不超過3.5噸量產汽車上的電子電氣系統。第二版（ISO 26262:2018）在2018年12月發佈，將範圍延伸到非機動車以外的所有路上載具^[1]。

此標準的目是在解決車輛內電子電氣系統誤動作所造成的可能危害。雖然標準的標題是《道路車輛功能安全》，但此標準是和電子電氣系統的功能安全有關，包括整個系統，也包括系統中的各部份。

此標準和其母標準IEC 61508類似，都是以風險為基礎的安全標準，會針對有危害操作情形的風險進行定性評估，並且定義安全對策來避免或控制系統性失效，偵測或控制隨機性的硬件失效，並減少其影響。

ISO 26262的目的：

• 提供車用產品安全生命周期（管理、開發、生產、運行、維修、退役），並在各個階段可以訂制需要的活動。
• 包括整個開發過程的機能安全層面（包括需求規格、設計、實現、整合、驗證、確認及組態等活動）
• 提供針對車用，以風險為基礎的風險確認方式（車輛安全完整性等級，ASIL）
• 用ASIL來確認，若要達到可接受的殘餘風險（英語：residual risk），應該要滿足哪些安全需求。
• 提供驗證和確認方式的需求，以確保已達到足夠，且可以接受的安全性^[2]

ISO 26262的章節

ISO 26262:2018分為12個章節，其中10個章節是規範（Part 1-9以及Part 12），Part 10和Part 11是指南：

1. 名詞解釋（Vocabulary）
2. 功能安全管理（Management of functional safety）
3. 概念階段（Concept phase）
4. 產品開發：系統層級（Product development at the system level）
5. 產品開發：硬件層級（Product development at the hardware level）
6. 產品開發：軟件層級（Product development at the software level）
7. 生產、運行、維護和除役（Production, operation, service and decommissioning）
8. 支援過程（Supporting processes）
9. 車輛安全完整性等級導向與安全導向分析（Automotive Safety Integrity Level-oriented and safety-oriented analyses）
10. ISO 26262 指南（Guideline on ISO 26262）
11. 將 ISO 26262 應用在半導體上的指南（Guidelines on application of ISO 26262 to semiconductors）
12. 摩托車應用（Adaptation of ISO 26262 for motorcycles）

上一版ISO 26262:2011只有10個章節，沒有ISO 26262:2018的11, 12章節，第7章節名稱只有「生產和運行」（Production and operation）

Part 1：名詞解釋

此章節列出了在應用標準中的詞語、定義和縮寫（專案詞彙表）^[1] 特別重要的是對於「故障」（fault）、「錯誤」（error）及「失效」（failure）的定義，因為這些詞語是此標準定義功能安全流程的關鍵^[3]，特別是故障可能會放大，成為錯誤，而錯誤最終可能會導致失效^[1]。所產生「誤動作」（malfunction）會造成「危害」，也就表示失去安全功能。

項目（item）

此標準中，「項目」是關鍵的詞語。項目是指可以適用ISO 26262安全生命週期（英語：Safety Life Cycle），在車輛層級實現某機能（或某機能的部份）的特定系統（或系統組合）。「項目」是在此流程中最高的識別對象，也是此標準下，特定產品安全開發的起點

單元（element）

一個系統、一個元件（其中包括硬件零件，也可能包括軟件單元）、單一的硬件零件或單一的軟件單元（software unit），也就是系統中可以獨立識別以及使用的部份

故障（Fault）

會讓單元或是項目無法使用的異常條件

錯誤（Error）

有關計算到、觀察到或量測到的值或是條件，和真實的、規範的或理論正確的值或是條件之間的差異

失效（Failure）

說明一個單元或是項目因為故障影響而沒有預期行為的情形

容錯（Fault Tolerance）

在有一個故障或是多個故障的情形下，可以實現所規範機能的能力

誤動作行為（Malfunctioning Behaviour）

相對於項目的設計預期，項目的失效或是非預期行為

危害（Hazard）

因為項目誤動作行為，可能會造成損害（harm，身體受傷或健康受損）的潛在來源

機能安全（Functional Safety）

沒有因為電機／電子系統的誤動作行為，而造成不合理危害的風險

ISO 26262:2011版和其他的機能安全標準不同，也和2018年改版後的內容不同。ISO 26262:2011沒有明確定到容錯，因為其中假定不可能理解系統內的所有故障^[4]

ISO 26262沒有使用IEC 61508中的「安全失效分數」（Safe failure fraction），改用「單點故障度量」（single point faults metric）和「潛在故障度量」（latent faults metric）^[5]。

Part 2：功能安全管理

ISO 26262提供汽車應用的功能安全標準，定義整個組織的安全管理標準，以及針對車用產品開發和生產安全生命週期的標準^[6][7][8][9]。下一章敘述的ISO 26262安全生命週期是以此處列出的安全管理概念來運作^[1]：

危害事件（Hazardous Event）

危害事件是指車輛層級的危害以及車輛運作條件的組合，而且若駕駛沒有及時採取行動，可能會造成事故的事件

安全目標（Safety Goal）

安全目標是指指定為系統的最上層安全需求，目的是要降低一個或多個危害事件的風險，到可以容許的程度

車輛安全完整性等級（Automotive Safety Integrity Level）

車輛安全完整性等級（ASIL）代表特定車輛針對某一安全目標，以風險為基礎的分類，也包括標準中為了達到此一目標，需要有的驗證和確認

安全需求（Safety Requirement）

安全需求包括了所有的安全目標，也包括從安全目標分解的所有需求，以及分配給硬件或軟件元件的所有最低級別機能以及技術安全需求

Parts 3-7：從概念設計到設計製造的安全生命週期

ISO 26262安全生命週期中的程序會識別及評估危害（安全風險）、為了降低風險到可允許的程度，建立對應的安全需求、針對安全需求進行管理和追蹤，產出合理的保證資料，說明在產品中已實現這些安全需求。安全相關的流程可能會整合到傳統的品質系統需求生命週期，也可能會和此系統並行^[10][11]：

1. 識別項目（item，特定的車用系統產品），以及定義其最上層的系統功能需求。
2. 識別項目的全面風險事件（hazardous events）
3. 針對一個風險事件，定義其ASIL（可參考Part 9）
4. 針對風險事件決定其安全目標（safety goal），其中也包括風險事件的ASIL。
5. 針對汽車層級的功能安全概念（functional safety concept），定義可以確保安全目標的系統架構。
6. 將安全目標再拆解為細部的安全需求（safety requirements）
   （一般而言，每一個安全需求都會使用上層安全需求或安全目標的ASIL。不過因為實際情形的限制，可能會將一個安全需求拆解為數個ASIL較低，但有冗餘機能的安全需求，由獨立的冗餘元件來實現）。
7. 安全需求會分配到各架構組件（architectural components），可能是子系統、硬件組件、軟件組件
   （一般而言，每一個組件都需要考慮分配到安全需求的ASIL等級，依其標準和程序進行，若有多個等級，以最高的為準）
8. 依分配的安全需求以及機能需求開發架構組件，並且確認符合對應需求。

Part 8：支持流程

ISO 26262中有定義一些在安全生命週期中在各階段都持續進行的支持性流程，這個是整合性的流程，也提供了為了支持通用流程目標需額外考慮的事項。

• 受控制的企業介面，可以下達目標、需求和控制方式給分散式開發（英語：distributed development）中的所有供應商。
• 明確的標示安全需求以及在生命週期中的相關管理方式。
• 工作文檔的配置管理，有正式唯一的識別方式，可以重現配置，可以建立各工作文檔和配置變更之間的可追蹤性
• 正式的變更控制，包括變更影響的管理，目的是要確保識別到的缺陷已移除，在產品變更時不會導入危害。
• 工作文檔驗證的規劃、控制以及報告，驗證可以是評審、分析及測試，也包括各來源識別到缺陷的回歸分析。
• 計劃性的識別及管理在安全生命週期中，所有有助於機能安全以及安全評估持續管理的工程文檔（文件）
• 軟件工具（計劃使用以及實際使用的工具）的合格性審查
• 以往開發的軟件及硬件模組，要整合到目前開發ASIL等級的合格性審查
• 用服務歷史證據來證實某項目若要用在指定的ASIL等級，已有足夠的安全性。

Part 9: 車輛安全完整性等級（ASIL）導向以及安全導向的分析

主條目：車輛安全完整性等級

車輛安全完整性等級（ASIL）是指針對車輛系統或是系統中元件，以其固有安全風險所作的抽象分級方式。ASIL分級會配合ISO 26262一起使用，來表示要預防某特定風險，需要降低風險的程度，ASIL D對應最高等級的風險，ASIL A則對應最輕微的風險。針對特定風險評估的ASIL等級也會指定給對應的安全目標，從這個安全目標衍生的安全需求也需要依此ASIL為準^[12]。

ASIL評估簡介

要評定ASIL，需進行危害分析及風險評估，依其結果評定ASIL^[13]。在ISO 26262中，危害是以對系統有害影響的相對影響程度為準，再考慮造成這些影響的危害是否容易出現。每一個危害事件都是以可能造成傷亡的嚴重程度，也考慮車輛暴露在此危害的相對時間長度，以及駕駛可以反應，以避免此傷亡的相對可能性來考慮^[14]。

ASIL評估流程

在安全生命週期的開始，會進行危害分析及風險評估，針對所有識別到的危害事件以及安全目標來評估其ASIL。

危害事件會依其可能造成的傷亡來評定其嚴重度（severity，簡稱S）：

嚴重度分類（S）

S0 無人受傷

S1 輕度到中度傷害

S2 嚴重到生命危險（可能存活）的傷害

S3 危及生命到致命的傷害

風險管理除了考慮可能傷害的嚴重性外，也會考慮傷害發生的可能程度。針對特定危害，危害事件若不太容易發生，可視為有較低的風險。在ISO 26262的危害分析及風險評估程序中，發生傷害性危害的可能性是由以下這二項的組合而成：

暴露概率（exposure，簡稱E）：可能會發生此傷害的運作條件，其相對的發生率

可控度（control，簡稱C）：駕駛可以反應，避免此傷害的可能性

暴露概率分類（E）

E0 幾乎不可能

E1 可能性非常低（只會在罕見的運作條件下會出現）

E2 可能性低

E3 可能性中等

E4 可能性高（大部份的運作條件下都會造成傷害）

可控度分類（C）

C0 一般而言可控

C1 可以簡單控制

C2 正常而言可以控制（大部份的駕駛可以反應，以避免傷害）

C3 難以控制或不可控

在上述的分類中，ASIL D的危害事故定義為可能會危及生命到致命的傷害，在大部份的運作條件下都會造成傷害，而且駕駛難以避免傷害。ASIL D結合了上述S3, E4和C3的分類。上述分類若有任何一個從其最嚴重分類往下降，都會讓ASIL等級離開ASIL D^[15]（例如，假定不可控（C3），會造成重傷（S3）的危害，若發生概率非常低（E1），需分類為ASIL A）。ASIL等級中比ASIL A更低的是ASIL QM，意思是沒有安全的相關性，只需要依品管系統的要求進行即可。^[13]

嚴重度、暴露概率、可控度的分類都是資訊性的，不是說明性的，因此有一些各車廠和供應商解讀的空間，也可能會造成歧義^[14][16]。因此國際汽車工程師學會（SAE）提出了J2980 – Considerations for ISO26262 ASIL Hazard Classification，提供了特定危害下，較明確可以評估嚴重度、暴露概率、可控度的指南^[17] 。

相關條目

• 危害分析（英語：Hazard analysis）
• 風險評估
• V模型
• 驗證及確認
• Automotive SPICE
• ARP4754（英語：ARP4754）（民用飛機及系統的指南）
• DO-178C（英語：DO-178C）（航空相關標準）
• IEC 61508（通用的工業機能安全標準）
• ISO/SAE 21434（車用的網絡安全標準）
• FMEDA
• E-Gas

參考資料

1. ISO 26262-1:2018(en) Road vehicles — Functional safety — Part 1: Vocabulary. International Standardization Organization. [2015-02-05]. （原始內容存檔於2016-06-17）.
2. "ISO 26262 Software Compliance: Achieving Functional Safety in the Automotive Industry" （頁面存檔備份，存於互聯網檔案館） white paper by Parasoft
3. ISO 26262-1:2018(en) Road vehicles — Functional safety — Part 10: Guidelines on ISO 26262. International Standardization Organization. [2015-02-05]. （原始內容存檔於2016-06-17）.
4. Greb, Karl; Seely, Anthony. Design of Microcontrollers for Safety Critical Operation (ISO 26262 Key Differences from IEC 61508) (PDF). ARMtechcon. 2009. （原始內容 (PDF)存檔於2015-09-06）.
5. Boercsoek, J.; Schwarz, M.; Ugljesa, E.; Holub, P.; Hayek, A. High-Availability Controller Concept for Steering Systems: The Degradable Safety Controller (PDF). Recent Researches in Circuits, Systems, Communications and Computers. WSEAS: 222–228. 2011 [2016-04-17]. （原始內容 (PDF)存檔於2016-03-04）.
6. ISO 26262-2:2011, "Management of functional safety" (Abstract)
7. Greb, Karl. Functional Safety and ISO 26262 (PDF). The Applied Power Electronics Conference and Exposition, Industry Sessions. APEC: 9. 2012.^{[失效連結]}
8. Blanquart, Jean-Paul; Astruc, Jean-Marc; Baufreton, Philippe; Boulanger, Jean-Louis; Delseny, Hervé; Gassino, Jean; Ladier, Gérard; Ledinot, Emmanuel; Leeman, Michel; Machrouh, Joseph; Quéré, Philippe; Ricque, Bertrand. Criticality categories across safety standards in different domains (PDF). ERTS2 Congress. Embedded Real Time Software and Systems: 3–4. 2012. （原始內容 (PDF)存檔於2016-04-17）.
9. ISO 26262-10:2012(E), "Guideline on ISO 26262", pp. 2-3.
10. Min Koo Lee; Sung-Hoon Hong; Dong-Chun Kim; Hyuck Moo Kwon. Incorporating ISO 26262 Development Process in DFSS (PDF). Proceedings of the Asia Pacific Industrial Engineering & Management Systems Conference. 2012: 1128 ( Figure 2) [2013-08-01]. （原始內容 (PDF)存檔於2013-09-15）.
11. Juergen Belz. The ISO 26262 Safety Lifecycle. 2011-07-28. （原始內容存檔於2014-02-23）.
12. Glossary, V2.5.0 (PDF). AUTOSAR. : 19 [2014-02-16]. （原始內容 (PDF)存檔於2014-02-22）.
13. ISO 26262-3:2011(en) Road vehicles — Functional safety — Part 3: Concept phase. International Standardization Organization. [2015-02-05]. （原始內容存檔於2016-06-17）.
14. Hobbs, Chris; Lee, Patrick. Understanding ISO 26262 ASILs. Electronic Design. Embedded Technologies (Penton Electronics Group). 2013-07-09 [2021-05-04]. （原始內容存檔於2021-05-06）. 參數|magazine=與模板{{cite book}}不匹配（建議改用{{cite magazine}}或|work=） (幫助)
15. Martínez LH, Khursheed S, Reddy SM. LFSR generation for high test coverage and low hardware overhead. IET Computers & Digital Techniques. 2019 Aug 21.UoL repository （頁面存檔備份，存於互聯網檔案館）
16. Van Eikema Hommes, Dr. Qi. Assessment of the ISO 26262 Standard, "Road Vehicles – Functional Safety" (PDF). SAE 2012 Government/Industry Meeting. John A. Volpe National Transportation System Center: SAE: 9. 2012 [2021-05-04]. （原始內容 (PDF)存檔於2017-08-29）.
17. J2980 - Considerations for ISO 26262 ASIL Hazard Classification. SAE International. （原始內容存檔於2018-10-26）.

• ISO 26262-1:2011(en) (Road vehicles — Functional safety — Part 1: Vocabulary)（頁面存檔備份，存於互聯網檔案館）

延伸閱讀

• ISO 26262系統功能安全設計標準介紹 [1]（頁面存檔備份，存於互聯網檔案館）
• ISO 26262功能安全與CMMI-DEV流程整合 [2]（頁面存檔備份，存於互聯網檔案館）