SO 26262 是汽车业使用的功能性安全标准，其标题为「道路车辆－功能性安全」。

遵循此一标准对于汽车产品开发非常重要。 OEM 代工、其供应商、汽车零件开发商都必须遵循此一标准。

在此，我们剖析 ISO 26262 以及 ASIL（汽车安全完整性等级），和开发团队的遵循标准指南。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

ISO 26262 功能性安全综览

ISO 26262 是以风险为基础的安全标准，来自于 IEC 61508。适用于车辆生产的电机及／或电子系统，其中包括驾驶辅助、动力和车辆动态控制系统。

ISO 26262 涵盖整个开发流程的功能性安全层面：

需求规范 (Requirements specification)
设计 (Design)
执行 (Implementation)
整合 (Integration)
验证 (Verification)
认可 (Configuration)
ISO 26262 的重要性

ISO 26262 旨在整个汽车设备与系统的使用寿命期间，保证安全。

每个阶段都有特定步骤的要求，这保证了从最早的概念到车辆废用为止的安全。

遵循此一标准，可避免或控制系统性故障，您也会察觉或控制随机的硬体故障（或您可以减少故障的影响）。

ISO 26262 架构

ISO 26262 由十个章节组成 :

Part 1：词汇 (Vocabulary)
Part 2：功能性安全管理 (Management of functional safety)
Part 3：概念阶段 (Concept Phase)
Part 4：系统层级的产品开发 (Product development at the system level)
Part 5：硬体层级的产品开发 (Product development at the hardware level)
Part 6：软体层级的产品开发 (Product development at the software level)
Part 7：生产与操作 (Production and operation)
Part 8：支援流程 (Supporting processes)
Part 9：ASIL 导向与安全导向分析 (ASIL-oriented and safety-oriented analysis)
Part 10：ISO 26262 方针 (Guideline on ISO 26262)


ISO 26262 第六部分(Part 6) 对软体开发商而言是最重要的，其内容详述开发商必须遵守以确保每一个元件安全的步骤。

Part 6 包括几个表格，定义为了达到对此标准的遵循而必须考虑的方法。

ISO 26262 工具资格

任何使用在车辆开发上的工具必须为合格工具。 ISO 26262 第八部分 (Part 8) 提供工具资格指南。


该部分规定了以下项目：

软体工具合格计画。
软体工具文件存档计画。
软体工具分级计画。
软体工具合格报告。
某些工具比其他工具更容易合格—附带合规性证书，让合格流程更为简单。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

什么是 ASIL（汽车安全完整性等级）？

ASIL — 汽车安全完整性等级— 是 ISO 26262 的关键要素。 ASIL 用于测量特定系统元件的风险。系统愈复杂，系统性故障和随机硬体故障的风险就愈高。


ASIL 值从 A 到 D 分为四种。 ASIL A 风险等级最低，ASIL D 最高，所以 ASIL D 的遵循要求会比 ASIL A 更严格。

在判断 ASIL 时，还有第五个选择：QM（品质管理）。这用于注解该项元件无须安全规定。 （但能够遵循以改善产品品质通常是件好事。）

如何判断 ASIL

ASIL 由三个因素决定：严重性、曝险可能性、可控制性。

严重性

严重性测量一项系统故障的伤害有多严重，伤害包括人身与财产。


严重性分为四个等级：

S0：没有伤害。
S1：轻至中度伤害。
S2：重度至有生命危险（可能存活）伤害。
S3：有生命危险（不一定存活）至致死伤害。
曝险可能性

曝险是特定故障会导致安全危险的状况可能性。


每一种状况的可能性按五分制排行：

E0：非常不可能。
E1：可能性极低（只在很罕见的操作状况下会发生伤害）。
E2：可能性低。
E3：可能性中。
E4：可能性高（大部分操作状况下都会出现伤害）。
可控制性

可控制性是测量发生危险状况时可避免伤害的可能性。此一状况可能是因为驾驶人的行动或外部因素所导致。


危险状况的可控制性以四分制排行：

C0：一般而言可以控制。
C1：可以简单控制。
C2：通常可以控制（大部分驾驶人可采取行动避免伤害）。
C3：难以控制或无法控制。
判断 ASIL

一旦判断了严重性、可能性、可控制性，就可以决定 ASIL。第三部分表格四（ISO 26262-3）对此提供了指引。

根据严重性、曝险、可控制性，使用这份表格判断 ASIL。



 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

ISO 26262 软体合规性指南

无论是开发传统汽车元件（如积体电路）或虚拟元件（如车辆虚拟机），遵循 ISO 26262 都十分重要，务必在整个软体开发生命周期都遵循此一标准。

但对开发团队而言，遵循可能有困难。系统与程式代码库日益复杂，造成软体的验证和批准有所困难。

以下说明如何将此变得简单。

建立需求规范可追溯性

满足合规性并证明已经达成，是很无聊琐碎的过程。您必须将所有规范做成文件并能追溯到其他工具上，包括测试、问题及程式源码等。





原文出处：What is ISO26262? And Overview