什么是ISO26262?
20 世纪 90 年代,德国、美国相继颁布了功能安全相关标准(DINV 19250 和ISAS 84.01),在此基础之上,国际电工协会(IEC)于 2000 年颁布了关于电子、电气和可编程电子系统 (E/E/PE)的功能安全国际标准IEC 61508.IEC 61508 一经颁布就得到了广泛采用,在它的基础上,各个工业应用领域的标准也陆续出台。
然而,起源于过程工业领域的IEC 61508并不完全适用于汽车工业,例如:它没有考虑汽车工业的分布式开发模式;它定义了一个与汽车工业不同的生命周期(测试在产品发布后进行);它的量化要求(如失效率)没有考虑大规模批量生产的情况。随着安全相关的电子电气系统在汽车上的广泛应用,汽车工业对电子电气系统功能安全标准的需求也越来越迫切。因此,国际标准化组织(ISO)在IEC 61508 的基础上,制定了专门针对汽车电子电气系统的功能安全标准,即ISO 26262.
ISO 26262是IEC 61508在道路车辆的电子电气系统领域的应用。该标准于2005年起动制订工作,在2009年9月发布了草稿,并在2011年9月正式发布。
ISO26262的范围是:
1)针对质量小于3.5吨的批产轿车上安装的安全相关系统,系统包含一个或多个电子电气系统;
2)针对电子电气安全相关系统故障时产生的可能危险。不针对电击、起火、烟雾、发热、辐射、毒性、易燃、放射性、腐蚀、能量释放及其他类似危险,除非是直接由电子电气安全相关系统的故障导致;
3)针对ISO26262发布之后的系统。
ISO26262应用
很多国外整车厂(戴姆勒·克莱斯勒,宝马,奥迪等)和零部件供应商(德国博世,大陆集团,德尔福等)参与了制订ISO 26262标准。同时,由于ISO 26262对开发工具提出了要求,因此也得到了汽车领域开发工具供应商的积极响应,比如德国ETAS集团就宣称将对用于软件开发的ASCET、INCA等产品按ISO 26262要求进行分类和验证。
在欧洲,通常由整车厂或主机厂负责车辆的功能安全,定义安全目标,因为OEM可以站在系统集成的角度看到所有系统之间的联系。整车厂或主机厂进行风险分析,并提供安全目标、安全状态和容错时间,而供应商则根据安全目标实现安全概念,最后整车厂或主机厂进行检查。
ISO26262的结构
如图所示,ISO 26262共分为10个部分:
第1部分为词汇表,解释了标准中使用的术语以及容易混淆的概念;
第2部分描述了功能安全的管理的要求;
第3部分到第7部分是ISO 26262的核心部分,定义了一个完整的安全生命周期,并定义了相应的要求;
第8部分为支持ISO 26262的流程,比如配置管理、变更管理等;
第9部分解释了面向ASIL和面向安全的分析如何进行;
第10部分提供了ISO 26262的指导书。ISO 26262总共包含了600多个要求和150多个工作产品。
相对于IEC61508.ISO 26262提供了:
1)汽车安全生命周期(从概念,到产品开发,再到生产、使用和维修,直到最后报废);
2)汽车领域中决定风险等级的方法——汽车安全完整性等级(ASIL),并使用ASIL来定义安全要求;
3)认可和证明方法来保证有效达到了合理的安全等级。
如图所示,ISO26262以V模型作为产品开发各阶段的参考流程模型。
ISO 26262的V模型开发
