ISO 26262国际标准,名为《道路车辆功能安全》,是功能安全的国际标准,是针对装设在量产道路车辆(非机动车除外)的电子电气系统,由国际标准化组织(ISO)在2011年发布第一版,在2018年更版。

标准简介

功能安全特性是每个汽车产业产品开发阶段中不可缺少的一部分。包括规格订定、设计、实现、整合、验证、确认以及产品上市等阶段。ISO 26262是功能安全标准IEC 61508针对汽车电子电气系统所修订的标准,其中定义车用设备的机能安全,包括所有汽车电子电气安全相关系统的完整生命周期。

第一版(ISO 26262:2011)在2011年11月11日发布,是针对安装在总重不超过3.5吨量产汽车上的电子电气系统。第二版(ISO 26262:2018)在2018年12月发布,将范围延伸到非机动车以外的所有路上载具[1]

此标准的目是在解决车辆内电子电气系统误动作所造成的可能危害。虽然标准的标题是《道路车辆功能安全》,但此标准是和电子电气系统的功能安全有关,包括整个系统,也包括系统中的各部分。

此标准和其母标准IEC 61508类似,都是以风险为基础的安全标准,会针对有危害操作情形的风险进行定性评估,并且定义安全对策来避免或控制系统性失效,侦测或控制随机性的硬件失效,并减少其影响。

ISO 26262的目的:

  • 提供车用产品安全生命周期(管理、开发、生产、运行、维修、退役),并在各个阶段可以订制需要的活动。
  • 包括整个开发过程的机能安全层面(包括需求规格、设计、实现、整合、验证、确认及组态等活动)
  • 提供针对车用,以风险为基础的风险确认方式(车辆安全完整性等级,ASIL)
  • 用ASIL来确认,若要达到可接受的残余风险英语residual risk,应该要满足哪些安全需求。
  • 提供验证和确认方式的需求,以确保已达到足够,且可以接受的安全性[2]

ISO 26262的章节

ISO 26262:2018分为12个章节,其中10个章节是规范(Part 1-9以及Part 12),Part 10和Part 11是指南:

  1. 名词解释(Vocabulary)
  2. 功能安全管理(Management of functional safety)
  3. 概念阶段(Concept phase)
  4. 产品开发:系统层级(Product development at the system level)
  5. 产品开发:硬件层级(Product development at the hardware level)
  6. 产品开发:软件层级(Product development at the software level)
  7. 生产、运行、维护和除役(Production, operation, service and decommissioning)
  8. 支援过程(Supporting processes)
  9. 车辆安全完整性等级导向与安全导向分析(Automotive Safety Integrity Level-oriented and safety-oriented analyses)
  10. ISO 26262 指南(Guideline on ISO 26262)
  11. 将 ISO 26262 应用在半导体上的指南(Guidelines on application of ISO 26262 to semiconductors)
  12. 摩托车应用(Adaptation of ISO 26262 for motorcycles)

上一版ISO 26262:2011只有10个章节,没有ISO 26262:2018的11, 12章节,第7章节名称只有“生产和运行”(Production and operation)

Part 1:名词解释

此章节列出了在应用标准中的词语、定义和缩写(专案词汇表)[1] 特别重要的是对于“故障”(fault)、“错误”(error)及“失效”(failure)的定义,因为这些词语是此标准定义功能安全流程的关键[3],特别是故障可能会放大,成为错误,而错误最终可能会导致失效[1]。所产生“误动作”(malfunction)会造成“危害”,也就表示失去安全功能。

项目(item)
此标准中,“项目”是关键的词语。项目是指可以适用ISO 26262安全生命周期英语Safety Life Cycle,在车辆层级实现某机能(或某机能的部分)的特定系统(或系统组合)。“项目”是在此流程中最高的识别对象,也是此标准下,特定产品安全开发的起点
单元(element)
一个系统、一个元件(其中包括硬件零件,也可能包括软件单元)、单一的硬件零件或单一的软件单元(software unit),也就是系统中可以独立识别以及使用的部分
故障(Fault)
会让单元或是项目无法使用的异常条件
错误(Error)
有关计算到、观察到或量测到的值或是条件,和真实的、规范的或理论正确的值或是条件之间的差异
失效(Failure)
说明一个单元或是项目因为故障影响而没有预期行为的情形
容错(Fault Tolerance)
在有一个故障或是多个故障的情形下,可以实现所规范机能的能力
误动作行为(Malfunctioning Behaviour)
相对于项目的设计预期,项目的失效或是非预期行为
危害(Hazard)
因为项目误动作行为,可能会造成损害(harm,身体受伤或健康受损)的潜在来源
机能安全(Functional Safety)
没有因为电机/电子系统的误动作行为,而造成不合理危害的风险

ISO 26262:2011版和其他的机能安全标准不同,也和2018年改版后的内容不同。ISO 26262:2011没有明确定到容错,因为其中假定不可能理解系统内的所有故障[4]

ISO 26262没有使用IEC 61508中的“安全失效分数”(Safe failure fraction),改用“单点故障度量”(single point faults metric)和“潜在故障度量”(latent faults metric)[5]

Part 2:功能安全管理

ISO 26262提供汽车应用的功能安全标准,定义整个组织的安全管理标准,以及针对车用产品开发和生产安全生命周期的标准[6][7][8][9]。下一章叙述的ISO 26262安全生命周期是以此处列出的安全管理概念来运作[1]

危害事件(Hazardous Event)
危害事件是指车辆层级的危害以及车辆运作条件的组合,而且若驾驶没有及时采取行动,可能会造成事故的事件
安全目标(Safety Goal)
安全目标是指指定为系统的最上层安全需求,目的是要降低一个或多个危害事件的风险,到可以容许的程度
车辆安全完整性等级(Automotive Safety Integrity Level)
车辆安全完整性等级(ASIL)代表特定车辆针对某一安全目标,以风险为基础的分类,也包括标准中为了达到此一目标,需要有的验证和确认
安全需求(Safety Requirement)
安全需求包括了所有的安全目标,也包括从安全目标分解的所有需求,以及分配给硬件或软件元件的所有最低级别机能以及技术安全需求

Parts 3-7:从概念设计到设计制造的安全生命周期

ISO 26262安全生命周期中的程序会识别及评估危害(安全风险)、为了降低风险到可允许的程度,建立对应的安全需求、针对安全需求进行管理和追踪,产出合理的保证资料,说明在产品中已实现这些安全需求。安全相关的流程可能会整合到传统的品质系统需求生命周期,也可能会和此系统并行[10][11]

  1. 识别项目(item,特定的车用系统产品),以及定义其最上层的系统功能需求。
  2. 识别项目的全面风险事件(hazardous events)
  3. 针对一个风险事件,定义其ASIL(可参考Part 9)
  4. 针对风险事件决定其安全目标(safety goal),其中也包括风险事件的ASIL。
  5. 针对汽车层级的功能安全概念(functional safety concept),定义可以确保安全目标的系统架构。
  6. 将安全目标再拆解为细部的安全需求(safety requirements)
    (一般而言,每一个安全需求都会使用上层安全需求或安全目标的ASIL。不过因为实际情形的限制,可能会将一个安全需求拆解为数个ASIL较低,但有冗余机能的安全需求,由独立的冗余元件来实现)。
  7. 安全需求会分配到各架构组件(architectural components),可能是子系统、硬件组件、软件组件
    (一般而言,每一个组件都需要考虑分配到安全需求的ASIL等级,依其标准和程序进行,若有多个等级,以最高的为准)
  8. 依分配的安全需求以及机能需求开发架构组件,并且确认符合对应需求。

Part 8:支持流程

ISO 26262中有定义一些在安全生命周期中在各阶段都持续进行的支持性流程,这个是整合性的流程,也提供了为了支持通用流程目标需额外考虑的事项。

  • 受控制的企业界面,可以下达目标、需求和控制方式给分散式开发英语distributed development中的所有供应商。
  • 明确的标示安全需求以及在生命周期中的相关管理方式。
  • 工作文档的配置管理,有正式唯一的识别方式,可以重现配置,可以建立各工作文档和配置变更之间的可追踪性
  • 正式的变更控制,包括变更影响的管理,目的是要确保识别到的缺陷已移除,在产品变更时不会导入危害。
  • 工作文档验证的规划、控制以及报告,验证可以是评审、分析及测试,也包括各来源识别到缺陷的回归分析。
  • 计划性的识别及管理在安全生命周期中,所有有助于机能安全以及安全评估持续管理的工程文档(文件)
  • 软件工具(计划使用以及实际使用的工具)的合格性审查
  • 以往开发的软件及硬件模组,要整合到目前开发ASIL等级的合格性审查
  • 用服务历史证据来证实某项目若要用在指定的ASIL等级,已有足够的安全性。

Part 9: 车辆安全完整性等级(ASIL)导向以及安全导向的分析

车辆安全完整性等级(ASIL)是指针对车辆系统或是系统中元件,以其固有安全风险所作的抽象分级方式。ASIL分级会配合ISO 26262一起使用,来表示要预防某特定风险,需要降低风险的程度,ASIL D对应最高等级的风险,ASIL A则对应最轻微的风险。针对特定风险评估的ASIL等级也会指定给对应的安全目标,从这个安全目标衍生的安全需求也需要依此ASIL为准[12]

ASIL评估简介

要评定ASIL,需进行危害分析及风险评估,依其结果评定ASIL[13]。在ISO 26262中,危害是以对系统有害影响的相对影响程度为准,再考虑造成这些影响的危害是否容易出现。每一个危害事件都是以可能造成伤亡的严重程度,也考虑车辆暴露在此危害的相对时间长度,以及驾驶可以反应,以避免此伤亡的相对可能性来考虑[14]

ASIL评估流程

在安全生命周期的开始,会进行危害分析及风险评估,针对所有识别到的危害事件以及安全目标来评估其ASIL。

危害事件会依其可能造成的伤亡来评定其严重度(severity,简称S):

严重度分类(S)
S0 无人受伤
S1 轻度到中度伤害
S2 严重到生命危险(可能存活)的伤害
S3 危及生命到致命的伤害

风险管理除了考虑可能伤害的严重性外,也会考虑伤害发生的可能程度。针对特定危害,危害事件若不太容易发生,可视为有较低的风险。在ISO 26262的危害分析及风险评估程序中,发生伤害性危害的可能性是由以下这二项的组合而成:

暴露几率(exposure,简称E):可能会发生此伤害的运作条件,其相对的发生率
可控度(control,简称C):驾驶可以反应,避免此伤害的可能性
暴露几率分类(E)
E0 几乎不可能
E1 可能性非常低(只会在罕见的运作条件下会出现)
E2 可能性低
E3 可能性中等
E4 可能性高(大部分的运作条件下都会造成伤害)
可控度分类(C)
C0 一般而言可控
C1 可以简单控制
C2 正常而言可以控制(大部分的驾驶可以反应,以避免伤害)
C3 难以控制或不可控

在上述的分类中,ASIL D的危害事故定义为可能会危及生命到致命的伤害,在大部分的运作条件下都会造成伤害,而且驾驶难以避免伤害。ASIL D结合了上述S3, E4和C3的分类。上述分类若有任何一个从其最严重分类往下降,都会让ASIL等级离开ASIL D[15](例如,假定不可控(C3),会造成重伤(S3)的危害,若发生几率非常低(E1),需分类为ASIL A)。ASIL等级中比ASIL A更低的是ASIL QM,意思是没有安全的相关性,只需要依品管系统的要求进行即可。[13]

严重度、暴露几率、可控度的分类都是资讯性的,不是说明性的,因此有一些各车厂和供应商解读的空间,也可能会造成歧义[14][16]。因此国际汽车工程师学会(SAE)提出了J2980 – Considerations for ISO26262 ASIL Hazard Classification,提供了特定危害下,较明确可以评估严重度、暴露几率、可控度的指南[17]

相关条目

参考资料

延伸阅读

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.