ISO 26262的關(guān)鍵組成部分ISO 26262采用分步系統(tǒng),管理功能安全,并在系統(tǒng)、硬件及軟件層面規(guī)范產(chǎn)品開發(fā)。
ISO 26262標準提供了規(guī)范及推薦做法,貫穿了產(chǎn)品從概念開發(fā)到報廢的整個開發(fā)過程。ISO 26262詳細介紹了如何為系統(tǒng)或組件指定可接受的風險等級,以及記錄總體測試過程的方法??傮w來說,ISO 26262:
定義汽車安全生命周期(管理、開發(fā)、生產(chǎn)、運行、服務(wù)、報廢),并支持在各生命周期階段中自定義必要的活動
提供基于風險的具體方法,判定汽車的風險等級(汽車安全完整性等級,簡稱ASIL)
使用ASIL指定項目的必要安全要求,以使殘余風險在可接受的范圍內(nèi)
提供驗證要求和確認方法,以確保實現(xiàn)有效且可接受的安全水平
汽車安全生命周期
ISO 26262共有10卷,用于系列量產(chǎn)車,包含針對汽車的章節(jié)。例如,ISO 26262的第7章對生產(chǎn)、運行、服務(wù)及報廢提出了明確的安全要求。

ISO 26262汽車安全生命周期描述了整個生產(chǎn)生命周期,包括對安全管理員的需求、安全計劃的制定以及確認方法的定義(包括安全檢查、審計及評估)。開發(fā)E/E系統(tǒng)及元件需要遵循這些要求。
本白皮書主要介紹生命周期的開發(fā)部分。ISO 26262的開發(fā)部分涉及了系統(tǒng)定義、系統(tǒng)設(shè)計、功能安全評估以及安全驗證。
汽車安全完整性等級(ASIL)
ASIL是ISO 26262標準的重要組成部分,在開發(fā)過程的開始階段確定。它分析系統(tǒng)的預(yù)期功能,同時指出可能的危害。ASIL提出這樣一個問題:“如果車輛發(fā)生故障,駕駛員和相關(guān)道路使用者會怎樣?”

為了評估風險,ASIL需綜合考慮暴露的可能性、駕駛員的控制能力以及發(fā)生重大事件時可能帶來的后果的嚴重程度。ASIL不管系統(tǒng)所使用的技術(shù),只關(guān)注駕駛員及其他道路使用者所受到的危害。

ASIL根據(jù)不同的安全要求分為A、B、C、D四個級別,其中D級擁有最安全的關(guān)鍵流程,測試規(guī)范最為嚴格。ISO 26262標準根據(jù)組件的ASIL級別,分別規(guī)定了最低測試要求,有助于確定測試時必須采取的方法。確定ASIL后,就決定了系統(tǒng)的安全目標,也就是確定了保證安全所需的系統(tǒng)行為。
比如,以雨刷系統(tǒng)為例。安全分析將確定喪失雨刷功能會對駕駛員的視線造成何種影響。ASIL給出指導(dǎo),選擇適當?shù)姆椒▉硎巩a(chǎn)品達到一定程度的完整性,旨在補充現(xiàn)有的安全做法。目前,汽車制造采用高安全標準,而ISO 26262旨在規(guī)范行業(yè)內(nèi)的特定做法。
返回頂部硬件組件認證硬件認證有兩個主要目的:明確部件對整體系統(tǒng)的適應(yīng)性,以及評估故障模式。基礎(chǔ)硬件組件可通過標準認證進行評估,但更復(fù)雜的部件要求通過ASIL分解及測試進行評估。硬件組件的認證通常是在一系列環(huán)境和操作條件下進行測試。接著,使用多種定量方法分析測試結(jié)果,寫入認證報告,同時隨附測試程序、假設(shè)及輸入標準。
返回頂部軟件組件認證認證軟件組件包括:確定功能要求、資源使用以及預(yù)測在故障和重載情況下的軟件行為。在實際應(yīng)用的開發(fā)階段使用認證的軟件可大幅簡化該過程。通過認證的軟件組件通常是十分優(yōu)秀的產(chǎn)品,可在項目中復(fù)用,包含庫、操作系統(tǒng)、數(shù)據(jù)庫及驅(qū)動軟件。
為了認證軟件組件,標準需要在正常操作條件下進行測試,并在系統(tǒng)中插入故障,以判定其如何應(yīng)對非正常輸入。設(shè)計階段將分析并處理軟件錯誤,如運行時和數(shù)據(jù)錯誤。