ISO 26262

ISO 26262国际标准，名为《道路车辆功能安全》，是功能安全的国际标准，是针对装设在量产道路车辆（非机动车除外）的电子电气系统，由国际标准化组织（ISO）在2011年发布第一版，在2018年更版。

标准简介

功能安全特性是每个汽车产业产品开发阶段中不可缺少的一部分。包括规格订定、设计、实现、整合、验证、确认以及产品上市等阶段。ISO 26262是功能安全标准IEC 61508针对汽车电子电气系统所修订的标准，其中定义车用设备的机能安全，包括所有汽车电子电气安全相关系统的完整生命周期。

第一版（ISO 26262:2011）在2011年11月11日发布，是针对安装在总重不超过3.5吨量产汽车上的电子电气系统。第二版（ISO 26262:2018）在2018年12月发布，将范围延伸到非机动车以外的所有路上载具^[1]。

此标准的目是在解决车辆内电子电气系统误动作所造成的可能危害。虽然标准的标题是《道路车辆功能安全》，但此标准是和电子电气系统的功能安全有关，包括整个系统，也包括系统中的各部分。

此标准和其母标准IEC 61508类似，都是以风险为基础的安全标准，会针对有危害操作情形的风险进行定性评估，并且定义安全对策来避免或控制系统性失效，侦测或控制随机性的硬件失效，并减少其影响。

ISO 26262的目的：

• 提供车用产品安全生命周期（管理、开发、生产、运行、维修、退役），并在各个阶段可以订制需要的活动。
• 包括整个开发过程的机能安全层面（包括需求规格、设计、实现、整合、验证、确认及组态等活动）
• 提供针对车用，以风险为基础的风险确认方式（车辆安全完整性等级，ASIL）
• 用ASIL来确认，若要达到可接受的残余风险（英语：residual risk），应该要满足哪些安全需求。
• 提供验证和确认方式的需求，以确保已达到足够，且可以接受的安全性^[2]

ISO 26262的章节

ISO 26262:2018分为12个章节，其中10个章节是规范（Part 1-9以及Part 12），Part 10和Part 11是指南：

1. 名词解释（Vocabulary）
2. 功能安全管理（Management of functional safety）
3. 概念阶段（Concept phase）
4. 产品开发：系统层级（Product development at the system level）
5. 产品开发：硬件层级（Product development at the hardware level）
6. 产品开发：软件层级（Product development at the software level）
7. 生产、运行、维护和除役（Production, operation, service and decommissioning）
8. 支援过程（Supporting processes）
9. 车辆安全完整性等级导向与安全导向分析（Automotive Safety Integrity Level-oriented and safety-oriented analyses）
10. ISO 26262 指南（Guideline on ISO 26262）
11. 将 ISO 26262 应用在半导体上的指南（Guidelines on application of ISO 26262 to semiconductors）
12. 摩托车应用（Adaptation of ISO 26262 for motorcycles）

上一版ISO 26262:2011只有10个章节，没有ISO 26262:2018的11, 12章节，第7章节名称只有“生产和运行”（Production and operation）

Part 1：名词解释

此章节列出了在应用标准中的词语、定义和缩写（专案词汇表）^[1] 特别重要的是对于“故障”（fault）、“错误”（error）及“失效”（failure）的定义，因为这些词语是此标准定义功能安全流程的关键^[3]，特别是故障可能会放大，成为错误，而错误最终可能会导致失效^[1]。所产生“误动作”（malfunction）会造成“危害”，也就表示失去安全功能。

项目（item）

此标准中，“项目”是关键的词语。项目是指可以适用ISO 26262安全生命周期（英语：Safety Life Cycle），在车辆层级实现某机能（或某机能的部分）的特定系统（或系统组合）。“项目”是在此流程中最高的识别对象，也是此标准下，特定产品安全开发的起点

单元（element）

一个系统、一个元件（其中包括硬件零件，也可能包括软件单元）、单一的硬件零件或单一的软件单元（software unit），也就是系统中可以独立识别以及使用的部分

故障（Fault）

会让单元或是项目无法使用的异常条件

错误（Error）

有关计算到、观察到或量测到的值或是条件，和真实的、规范的或理论正确的值或是条件之间的差异

失效（Failure）

说明一个单元或是项目因为故障影响而没有预期行为的情形

容错（Fault Tolerance）

在有一个故障或是多个故障的情形下，可以实现所规范机能的能力

误动作行为（Malfunctioning Behaviour）

相对于项目的设计预期，项目的失效或是非预期行为

危害（Hazard）

因为项目误动作行为，可能会造成损害（harm，身体受伤或健康受损）的潜在来源

机能安全（Functional Safety）

没有因为电机／电子系统的误动作行为，而造成不合理危害的风险

ISO 26262:2011版和其他的机能安全标准不同，也和2018年改版后的内容不同。ISO 26262:2011没有明确定到容错，因为其中假定不可能理解系统内的所有故障^[4]

ISO 26262没有使用IEC 61508中的“安全失效分数”（Safe failure fraction），改用“单点故障度量”（single point faults metric）和“潜在故障度量”（latent faults metric）^[5]。

Part 2：功能安全管理

ISO 26262提供汽车应用的功能安全标准，定义整个组织的安全管理标准，以及针对车用产品开发和生产安全生命周期的标准^[6][7][8][9]。下一章叙述的ISO 26262安全生命周期是以此处列出的安全管理概念来运作^[1]：

危害事件（Hazardous Event）

危害事件是指车辆层级的危害以及车辆运作条件的组合，而且若驾驶没有及时采取行动，可能会造成事故的事件

安全目标（Safety Goal）

安全目标是指指定为系统的最上层安全需求，目的是要降低一个或多个危害事件的风险，到可以容许的程度

车辆安全完整性等级（Automotive Safety Integrity Level）

车辆安全完整性等级（ASIL）代表特定车辆针对某一安全目标，以风险为基础的分类，也包括标准中为了达到此一目标，需要有的验证和确认

安全需求（Safety Requirement）

安全需求包括了所有的安全目标，也包括从安全目标分解的所有需求，以及分配给硬件或软件元件的所有最低级别机能以及技术安全需求

Parts 3-7：从概念设计到设计制造的安全生命周期

ISO 26262安全生命周期中的程序会识别及评估危害（安全风险）、为了降低风险到可允许的程度，建立对应的安全需求、针对安全需求进行管理和追踪，产出合理的保证资料，说明在产品中已实现这些安全需求。安全相关的流程可能会整合到传统的品质系统需求生命周期，也可能会和此系统并行^[10][11]：

1. 识别项目（item，特定的车用系统产品），以及定义其最上层的系统功能需求。
2. 识别项目的全面风险事件（hazardous events）
3. 针对一个风险事件，定义其ASIL（可参考Part 9）
4. 针对风险事件决定其安全目标（safety goal），其中也包括风险事件的ASIL。
5. 针对汽车层级的功能安全概念（functional safety concept），定义可以确保安全目标的系统架构。
6. 将安全目标再拆解为细部的安全需求（safety requirements）
   （一般而言，每一个安全需求都会使用上层安全需求或安全目标的ASIL。不过因为实际情形的限制，可能会将一个安全需求拆解为数个ASIL较低，但有冗余机能的安全需求，由独立的冗余元件来实现）。
7. 安全需求会分配到各架构组件（architectural components），可能是子系统、硬件组件、软件组件
   （一般而言，每一个组件都需要考虑分配到安全需求的ASIL等级，依其标准和程序进行，若有多个等级，以最高的为准）
8. 依分配的安全需求以及机能需求开发架构组件，并且确认符合对应需求。

Part 8：支持流程

ISO 26262中有定义一些在安全生命周期中在各阶段都持续进行的支持性流程，这个是整合性的流程，也提供了为了支持通用流程目标需额外考虑的事项。

• 受控制的企业界面，可以下达目标、需求和控制方式给分散式开发（英语：distributed development）中的所有供应商。
• 明确的标示安全需求以及在生命周期中的相关管理方式。
• 工作文档的配置管理，有正式唯一的识别方式，可以重现配置，可以建立各工作文档和配置变更之间的可追踪性
• 正式的变更控制，包括变更影响的管理，目的是要确保识别到的缺陷已移除，在产品变更时不会导入危害。
• 工作文档验证的规划、控制以及报告，验证可以是评审、分析及测试，也包括各来源识别到缺陷的回归分析。
• 计划性的识别及管理在安全生命周期中，所有有助于机能安全以及安全评估持续管理的工程文档（文件）
• 软件工具（计划使用以及实际使用的工具）的合格性审查
• 以往开发的软件及硬件模组，要整合到目前开发ASIL等级的合格性审查
• 用服务历史证据来证实某项目若要用在指定的ASIL等级，已有足够的安全性。

Part 9: 车辆安全完整性等级（ASIL）导向以及安全导向的分析

主条目：车辆安全完整性等级

车辆安全完整性等级（ASIL）是指针对车辆系统或是系统中元件，以其固有安全风险所作的抽象分级方式。ASIL分级会配合ISO 26262一起使用，来表示要预防某特定风险，需要降低风险的程度，ASIL D对应最高等级的风险，ASIL A则对应最轻微的风险。针对特定风险评估的ASIL等级也会指定给对应的安全目标，从这个安全目标衍生的安全需求也需要依此ASIL为准^[12]。

ASIL评估简介

要评定ASIL，需进行危害分析及风险评估，依其结果评定ASIL^[13]。在ISO 26262中，危害是以对系统有害影响的相对影响程度为准，再考虑造成这些影响的危害是否容易出现。每一个危害事件都是以可能造成伤亡的严重程度，也考虑车辆暴露在此危害的相对时间长度，以及驾驶可以反应，以避免此伤亡的相对可能性来考虑^[14]。

ASIL评估流程

在安全生命周期的开始，会进行危害分析及风险评估，针对所有识别到的危害事件以及安全目标来评估其ASIL。

危害事件会依其可能造成的伤亡来评定其严重度（severity，简称S）：

严重度分类（S）

S0 无人受伤

S1 轻度到中度伤害

S2 严重到生命危险（可能存活）的伤害

S3 危及生命到致命的伤害

风险管理除了考虑可能伤害的严重性外，也会考虑伤害发生的可能程度。针对特定危害，危害事件若不太容易发生，可视为有较低的风险。在ISO 26262的危害分析及风险评估程序中，发生伤害性危害的可能性是由以下这二项的组合而成：

暴露几率（exposure，简称E）：可能会发生此伤害的运作条件，其相对的发生率

可控度（control，简称C）：驾驶可以反应，避免此伤害的可能性

暴露几率分类（E）

E0 几乎不可能

E1 可能性非常低（只会在罕见的运作条件下会出现）

E2 可能性低

E3 可能性中等

E4 可能性高（大部分的运作条件下都会造成伤害）

可控度分类（C）

C0 一般而言可控

C1 可以简单控制

C2 正常而言可以控制（大部分的驾驶可以反应，以避免伤害）

C3 难以控制或不可控

在上述的分类中，ASIL D的危害事故定义为可能会危及生命到致命的伤害，在大部分的运作条件下都会造成伤害，而且驾驶难以避免伤害。ASIL D结合了上述S3, E4和C3的分类。上述分类若有任何一个从其最严重分类往下降，都会让ASIL等级离开ASIL D^[15]（例如，假定不可控（C3），会造成重伤（S3）的危害，若发生几率非常低（E1），需分类为ASIL A）。ASIL等级中比ASIL A更低的是ASIL QM，意思是没有安全的相关性，只需要依品管系统的要求进行即可。^[13]

严重度、暴露几率、可控度的分类都是资讯性的，不是说明性的，因此有一些各车厂和供应商解读的空间，也可能会造成歧义^[14][16]。因此国际汽车工程师学会（SAE）提出了J2980 – Considerations for ISO26262 ASIL Hazard Classification，提供了特定危害下，较明确可以评估严重度、暴露几率、可控度的指南^[17] 。

相关条目

• 危害分析（英语：Hazard analysis）
• 风险评估
• V模型
• 验证及确认
• Automotive SPICE
• ARP4754（英语：ARP4754）（民用飞机及系统的指南）
• DO-178C（英语：DO-178C）（航空相关标准）
• IEC 61508（通用的工业机能安全标准）
• ISO/SAE 21434（车用的网络安全标准）
• FMEDA
• E-Gas

参考资料

1. ISO 26262-1:2018(en) Road vehicles — Functional safety — Part 1: Vocabulary. International Standardization Organization. [2015-02-05]. （原始内容存档于2016-06-17）.
2. "ISO 26262 Software Compliance: Achieving Functional Safety in the Automotive Industry" （页面存档备份，存于互联网档案馆） white paper by Parasoft
3. ISO 26262-1:2018(en) Road vehicles — Functional safety — Part 10: Guidelines on ISO 26262. International Standardization Organization. [2015-02-05]. （原始内容存档于2016-06-17）.
4. Greb, Karl; Seely, Anthony. Design of Microcontrollers for Safety Critical Operation (ISO 26262 Key Differences from IEC 61508) (PDF). ARMtechcon. 2009. （原始内容 (PDF)存档于2015-09-06）.
5. Boercsoek, J.; Schwarz, M.; Ugljesa, E.; Holub, P.; Hayek, A. High-Availability Controller Concept for Steering Systems: The Degradable Safety Controller (PDF). Recent Researches in Circuits, Systems, Communications and Computers. WSEAS: 222–228. 2011 [2016-04-17]. （原始内容 (PDF)存档于2016-03-04）.
6. ISO 26262-2:2011, "Management of functional safety" (Abstract)
7. Greb, Karl. Functional Safety and ISO 26262 (PDF). The Applied Power Electronics Conference and Exposition, Industry Sessions. APEC: 9. 2012.^{[失效链接]}
8. Blanquart, Jean-Paul; Astruc, Jean-Marc; Baufreton, Philippe; Boulanger, Jean-Louis; Delseny, Hervé; Gassino, Jean; Ladier, Gérard; Ledinot, Emmanuel; Leeman, Michel; Machrouh, Joseph; Quéré, Philippe; Ricque, Bertrand. Criticality categories across safety standards in different domains (PDF). ERTS2 Congress. Embedded Real Time Software and Systems: 3–4. 2012. （原始内容 (PDF)存档于2016-04-17）.
9. ISO 26262-10:2012(E), "Guideline on ISO 26262", pp. 2-3.
10. Min Koo Lee; Sung-Hoon Hong; Dong-Chun Kim; Hyuck Moo Kwon. Incorporating ISO 26262 Development Process in DFSS (PDF). Proceedings of the Asia Pacific Industrial Engineering & Management Systems Conference. 2012: 1128 ( Figure 2) [2013-08-01]. （原始内容 (PDF)存档于2013-09-15）.
11. Juergen Belz. The ISO 26262 Safety Lifecycle. 2011-07-28. （原始内容存档于2014-02-23）.
12. Glossary, V2.5.0 (PDF). AUTOSAR. : 19 [2014-02-16]. （原始内容 (PDF)存档于2014-02-22）.
13. ISO 26262-3:2011(en) Road vehicles — Functional safety — Part 3: Concept phase. International Standardization Organization. [2015-02-05]. （原始内容存档于2016-06-17）.
14. Hobbs, Chris; Lee, Patrick. Understanding ISO 26262 ASILs. Electronic Design. Embedded Technologies (Penton Electronics Group). 2013-07-09 [2021-05-04]. （原始内容存档于2021-05-06）. 参数|magazine=与模板{{cite book}}不匹配（建议改用{{cite magazine}}或|work=） (帮助)
15. Martínez LH, Khursheed S, Reddy SM. LFSR generation for high test coverage and low hardware overhead. IET Computers & Digital Techniques. 2019 Aug 21.UoL repository （页面存档备份，存于互联网档案馆）
16. Van Eikema Hommes, Dr. Qi. Assessment of the ISO 26262 Standard, "Road Vehicles – Functional Safety" (PDF). SAE 2012 Government/Industry Meeting. John A. Volpe National Transportation System Center: SAE: 9. 2012 [2021-05-04]. （原始内容 (PDF)存档于2017-08-29）.
17. J2980 - Considerations for ISO 26262 ASIL Hazard Classification. SAE International. （原始内容存档于2018-10-26）.

• ISO 26262-1:2011(en) (Road vehicles — Functional safety — Part 1: Vocabulary)（页面存档备份，存于互联网档案馆）

延伸阅读

• ISO 26262系统功能安全设计标准介绍 [1]（页面存档备份，存于互联网档案馆）
• ISO 26262功能安全与CMMI-DEV流程整合 [2]（页面存档备份，存于互联网档案馆）