道路车辆功能安全-ISO26262标准(2)

ISO26262对E/E系统的标称性能没有要求，对这些系统的功能性性能标准也没有什么要求（例如：主被动安全系统，刹车系统，ACC等）

ISO26262主要包括以下几个部分：

Part 1：定义

Part 2：功能安全管理

Part 3：概念阶段

Part 4：产品研发：系统级

Part 5：产品研发：硬件级

Part 6：产品研发：软件级

Part 7：生产和操作

Part 8：支持过程

Part 9：基于ASIL和安全的分析

Part 10：ISO26262导则

ISO26262-2功能安全管理

ISO26262是IEC61508对E/E系统在道路车辆方面的功能安全要求的具体应用。它适用于所有提供安全相关功能的电力、电子和软件元素等组成的安全相关系统在整个生命周期内的所有活动。

那么，为什么遵照ISO26262就能设计出符合功能安全要求的产品呢？ISO26262是通过什么方式来保证产品能够符合功能安全的要求的呢？下面我们就来具体看看ISO26262在产品研发上的具体思路。

ISO26262系列标准分为10本，从ISO26262-1到ISO26262-10，分别从功能安全管理，概念，系统级研发，软硬件的研发，生产和操作等方面对产品的整个生命周期进行了规范和要求。从而使得产品在各个生命周期都比较完善的考虑了其安全功能。

一个好的产品，要靠一整套好的管理体系来实现，并可靠的生产出来。ISO26262给出了一套这样的管理方法、流程、技术手段和验证方法，称之为安全管理生命周期，框架如下：

图1 项目安全生命周期

那么各部分又有什么具体含义和措施呢？下面就来分别说明：

1、 项目定义：

项目定义，是对所研发项目的一个描述，是安全生命周期的初始化任务，其包括了

项目的功能，接口，环境条件，法规要求，危险等内容，也包括项目的其他相关功

能，系统和组件决定的接口和边界条件等。

2、 安全生命周期的初始化

基于项目定义，安全生命周期要对项目进行区分，确定是新产品研发，还是既有产

品更改。如果是既有产品更改，影响分析的结果可以用来进行安全生命周期的拼接。

3、 危险分析和风险评估

安全生命周期初始化之后，就要按照ISO26262-3的第七条款来进行危险分析和风

险评估，危险分析和风险评估的流程要考虑暴露的可能性，可控性和严重性，以便

确定项目的ASIL等级。接下来就是为每一个风险设立安全目标，并确定合适的ASIL

等级。

4、 功能安全概念

基于安全目标，功能安全概念就要考虑具体的基本架构。功能安全概念就是对定位

到每个项目元素中的功能安全要求的具体化和细化。超出边界条件的系统和其他技

术可以作为功能安全概念的一部分来考虑。对其他技术的应用和外部措施的要求不

在ISO26262考虑的范围之内。

5、 系统级产品研发

有了具体的功能安全概念之后，接下来就是按照ISO26262-4的系统级研发了。系

统级研发的过程基于技术安全要求规范的V模型。左边的分支都是系统设计和测

试，右边的分支是集成，验证，确认和功能安全评估。

6、 硬件级产品研发

基于系统的设计规范，硬件级的产品研发要遵循ISO26262-5的要求。硬件研发流

程应符合V模型概念左侧分支的硬件设计和硬件要求。硬件的集成和验证在右侧分

支。

7、 软件级产品研发

基于系统的设计规范，软件级的产品研发应遵循ISO26262-6的要求。软件研发流

程应符合V模型概念中左侧分支的软件需求规范和软件设计架构设计的要求。软件

安全需求中的软件集成和验证在右侧分支中。

8、 生产计划和操作计划

其包括：生产和操作计划，相关的需求规范，系统级产品研发的开始等。ISO26262-7

的第5条款和第6条款给出了生产和操作的具体要求。

9、 产品发布

产品发布是产品研发的最后一个子阶段，该项目也将完成，具体要求在ISO26262-4

的第11条款中。

10、 产品的操作、服务和拆解

产品的操作、服务和拆解应符合ISO26262-7的第5条款和第6条款中，对产品的

生产、操作、服务和拆解的相关要求。

11、 可控性

在危险分析和风险评估中，要考虑司机和处于危险中的其他人可以采取措施来控制

危险情况的能力。如何提供对可控性的有效性证明不在ISO26262的范围之内。

12、 外部措施

参考项目以外的，在项目定义中被描述的措施（参加ISO26262-3的第5条款），

以便减小项目的危险结果。外部危险降低措施不但可以包括附加的车载设备，如：

动态稳定控制器防爆轮胎等，也可以包括非车载装置，如：护栏，隧道消防系统等。

这些外部措施在进行危险分析和风险评估的时候应该被考虑到，但如何为这些外部

措施的有效性提供证明不在ISO26262的范围之内，除非是E/E设备。但要注意的

是，没有明确安全例证的外部措施是不完整的。

13、 其他技术

其他技术是指那些不在ISO26262范围之内的，不同于E/E技术的设备。如：机械

和液压技术。这些都要在功能安全概念的规范中加以考虑或者在制定安全要求时加

以考虑。

通过以上这些具体的生命周期的各个阶段和标准中对每个阶段所必须考虑的措施、方法和具体技术的要求，将各个阶段的要求和如何满足要求的措施都进行逐一落实，这样才能设计出、制造出满足功能安全要求的安全产品。

5.4.2 安全文化

7 组织应建立，执行和维持一个持续改进的过程，基于在：

1）从其他项目的安全生命周期执行过程中学习的经验的，包括

现场经验；

2）在以后的项目中的改进应用

ISO26262-3概念阶段

我们来具体看一下在概念阶段，ISO26262-3对于项目定义、安全生命周期初始化和危险分析和风险评估的定义和要求。

5、项目定义

首先是项目定义阶段。项目定义，也就是对要进行研发的产品进行一个定义，进行一个描述。主要有两个目的：一个是定义和描述项目；一个是对项目有一个足够的理解，以便能够很好的完成安全生命周期中定义的每一个活动。

基于以上目的，要对项目进行明确、准确、正确的定义，就需要获得一些基本信息，ISO26262中给出了一些建议如下：

1、项目信息：

a） 项目的目的和功能

b） 项目的非功能性要求，如操作要求、环境限制等

c） 法规要求（特别是法律和法规），已知的国家和国际标准等

d） 类似功能、系统或元素达到的行为

e） 对项目预期行为的构想

f） 已知的失效模式和风险在内的项目缺陷造成的潜在影响

2、项目的边界条件以及相关项目之间的接口条件：

a） 项目的所有元素

b） 项目对其他项目或项目环境元素的相关影响

c） 其他项目，元素和环境对本项目的要求

d） 在系统或者包含的元素中，对功能的定位和分配

e） 影响项目功能时，项目的运行情况

有了以上这些基本的信息，就可以对要进行的项目给出一个比较明确和具体的项目定义，明确项目的要求，从而使得对项目有一个足够的理解，能够指导后续工作，来很好的完成安全生命周期中定义的每一个活动。

6、项目的安全生命周期

那么，有了项目定义之后，就要确定项目的安全生命周期，对项目的安全生命周期进行初始化，也就是开始对项目的安全生命周期进行细化。而要进行细化，就要区 …… 此处隐藏：2591字，全部文档内容请下载后查看。喜欢就下载吧 ……