《ISO26262《道路车辆功能安全》》由会员分享,可在线阅读,更多相关《ISO26262《道路车辆功能安全》(6页珍藏版)》请在金锄头文库上搜索。
1、ISO 26262 道路车辆 功能安全标准简要介绍ISO 26262 (Road vehicles- Functional safety)道路车辆功能安全系列标准于 2011年 11 月 15 日正式颁布,该标准的目的在于提高汽车电子、电气产品的功 能安全,在产品的研发流程和管理流程中,预先分析和评估潜在的危害和风险, 通过实施科学的安全技术措施、 规范和方法来降低风险, 利用软、 硬件系统化的 测试、验证和确认方法, 使电子、 电气产品的安全功能在安全生命周期内满足汽 车安全完整性等级的要求, 提升系统或产品的可靠性, 避免过当设计而增加成本 以及避免因系统失效、 随机硬件失效、 设计缺陷所
2、带来的风险, 使电子系统的安 全功能在各种严酷条件下保持正常运作,确保驾乘人员及路人的安全。该系列标准适用于安装在最大总质量为 3.5 吨的量产乘用车上的与安全相关 的电子电气系统(包括电子、电气和软件组件) 。该标准所涵盖的范围广泛,几 乎所涉及到了所有与功能安全相关的汽车电子、 电气产品,包括传统汽车和新能 源汽车。该系列标准:提出了一个汽车安全生命周期概念(管理、开发、生产、运行、维护、 停用); 提出了一个专用于汽车的基于风险分析的方法,以确定汽车安全完整性 等级( ASIL:Automotive Safety Integrity Level); 利用汽车安全完整性等级来制定相应的规范
3、和措施以避免不合理的残余 风险; 提出了验证和确认方法的规范以确保达到可接受的安全完整性等级; 提出了与供应商相关的规范要求。功能安全受开发过程(包括规范要求、设计、应用、集成、验证、确认和配 置)、生产过程和管理过程的影响。ISO 26262 系列标准由以下十部分组成:第 1 部分 术语规定了 ISO26262系列标准所应用的术语、定义和缩略语,如功能安全、功 能安全要求、 安全目标、生命周期、 评估、汽车安全完整性等级、 开发接口协议、 嵌入式软件、 软件组件、 软件工具、 软件单元、 失效、失效模式、 失效率、故障、 故障模式、危险分析和风险评估、潜在故障、单点失效、单点故障、多点故障、
4、 随机硬件失效、系统故障、系统失效、瞬态故障、安全验证等。第 2 部分 功能安全管理规定了车辆功能安全管理的要求,包括整体安全管理组织方面的要求,在安 全生命周期内(包括概念阶段、 产品开发及产品发布后的生产) 的管理活动要求 第 3 部分 概念阶段规定了概念阶段的要求,包括:项目定义 项目与环境和其它项目间的依赖性和相互关系。安全生命周期的启动找出新项目的开发和对现有项目的修改间的差异,定义安全生命周期活动。 危险分析和风险评估识别危险并对其进行分类,制定预防或减轻危险事件相关的安全目标,避免 不合理的风险。功能安全概念从安全目标中导出功能安全要求,并将功能安全要求分配给项目的初步架构 单元
5、或外部措施。功能安全概念包含安全措施及安全机制第 4 部分 系统层产品开发规定了系统级产品开发的要求。包括 : 启动产品系统级开发的要求在系统开发的各个子阶段确定和规划功能安全活动,也包括在第八部分中描 述的必要的支持过程技术安全要求规范定义技术安全要求规范可以完善功能安全概念,包括功能概念和初步架构设 想;通过分析来验证是否技术安全要求满足功能安全要求 技术安全概念、系统设计系统设计和技术安全概念需满足功能要求和技术安全要求规范;验证系统设计和技术安全概念满足技术安全要求规范项目集成和测试包含 3个阶段。第 1个阶段是项目中每个单元的软硬件集成,第 2 个阶段是 组成项目的所有单元的集成,
6、以形成一个完整的系统, 第 3 个阶段是项目与其它 系统的集成; 目的是集成过程的安全要一致性测试, 验证系统设计是否满足安全 要求安全确认 提供符合安全目标的证明,并且对于功能安全,功能安全概念是恰当的;证 明安全目标是正确的、完整的并且在车辆级别上被完全实现功能安全评估和产品发布第 5 部分 硬件层产品开发规定了关于产品开发硬件级的要求。包括 : 启动产品开发硬件级要求在硬件开发的各个子阶段确定和规划功能安全活动,也包括在第八部分中描 述的必要的支持过程硬件安全要求规范 定义来自技术安全概念和系统设计规范的硬件安全要求,验证硬件安全要求 与技术安全概念和系统设计规范是一致的, 详细的软硬件
7、接口规范, 在考虑设计 限制及限制对硬件的影响时,进一步细化硬件安全要求硬件设计根据系统设计规范和硬件安全要求设计硬件,验证硬件设计是否违背系统设 计规范和硬件安全要求评估硬件架构指标 评价硬件架构是否违背以故障处理等为代表的硬件架构指标要求 由于硬件随机失效而违反安全目标的评估评价违反安全目标的残余风险是否足够低的方法硬件集成和测试通过测试以确保所开发的硬件符合硬件安全要求第 6 部分 软件层产品开发规定了关于产品开发软件级的要求。包括: 启动产品开发软件级要求在软件开发的各个子阶段确定和规划功能安全活动软件安全要求规范定义来自技术安全概念和系统设计规范的软件安全要求,细化软硬件接口规 范,
8、验证软件安全要求和软硬件接口要求是否与技术安全概念和系统设计规范是 一致的软件架构设计开发软件架构以实现软件安全要求,验证软件架构设计 软件单元设计与应用根据软件架构设计和相关的软件安全要求来定义软件单元,应用软件单元, 静态验证软件单元设计和软件应用软件单元测试证明软件单元满足软件单元设计规范并且不包含不期望的功能 软件集成和测试软件单元集成,通过嵌入式软件实现软件架构设计;测试软件单元集成水平 和软件单元间的接口软件安全要求验证表明在目标环境条件下,嵌入式软件实现了软件安全要求第 7 部分 生产和运行规定了生产、运行、维护和停用的要求:生产开发并维护用于安装在道路车辆上的安全相关单元或项目
9、的生产过程,在生 产过程中由汽车生产商、供应商、二级供应商等实现功能安全 运行、维护和停用为了在车辆生命周期内实现功能安全而定义客户信息、维护和维修说明,以 及拆解说明第 8 部分 支持过程规范了支持过程的要求,包括: 在分布式开发过程中的接口描述项目或单元的分布式开发过程并分配相关的责任 安全要求规范和管理确保正确的安全要求规范,在整个安全生命周期内确保安全要求的一致性管 理配置管理确保工作产品、原则和通用条件在任何时间以一种可控方式能够被唯一识别 并再现;确保能够追溯早期版本和目前版本的联系和区别变更管理在整个安全生命周期内, 分析并控制安全相关的工作产品的变更) 、验证(确 保产品在概念
10、阶段、 开发阶段包括设计阶段和测试阶段、 生产和运行阶段满足其 要求文档为整个生命周期建立文档管理的策略,形成一个有效的、可重复的文档管理 流程软件工具资质为所应用的软件工具提供标准来确定软件工具的置信水平,提供软件工具满 足标准所规定的任务的资质证明软件组件资质提供软件组件满足重复利用的证明,重复利用具有合格资质的软件组件以避 免具有类似或相同功能的软件组件的重复开发硬件组件资质提供硬件组件满足标准要求的证明,如一般功能性能、生产一致性和环境适 应性,提供故障模式信息、故障模式分布信息、安全方面的诊断能力信息 第 9 部分 安全完整性等级导向和安全导向分析规定了汽车安全完整性等级( ASIL
11、 , Automotive Safety Integrity Level )导向和安全导向分析的要求,包括:ASIL 等级分解要求提供将安全要求分解为冗余安全要求的规则和指南,得到 ASIL 下一等级的 细节剪裁单元共存标准提供如下单元共存的标准安全相关的子单元和非安全相关的子单元具有不同 ASIL 等级的安全相关子单元相关失效分析确定任何单一事件或单一的原因,他们导致项目元素间的独立性无效,项目 元素要求要遵守它的安全目标安全分析检查故障和失效对项目和单元的功能、特性和设计的影响。安全分析还提供 导致违背安全目标或安全要求的条件和原因。 此外,安全分析还有助于识别在危 险分析和风险评估阶段未被识别的新的功能性或非功能性危险第 10 部分 指南提供了 ISO26262 的总体概述,给出了更多的解释,目的在于提高对于其它部分的理解。
