技術文章

SO 26262 是汽車業使用的功能性安全標準，其標題為「道路車輛－功能性安全」。

遵循此一標準對於汽車產品開發非常重要。OEM 代工、其供應商、汽車零件開發商都必須遵循此一標準。

在此，我們剖析 ISO 26262 以及 ASIL（汽車安全完整性等級），和開發團隊的遵循標準指南。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

ISO 26262 功能性安全綜覽

ISO 26262 是以風險為基礎的安全標準，來自於 IEC 61508。適用於車輛生產的電機及／或電子系統，其中包括駕駛輔助、動力和車輛動態控制系統。

ISO 26262 涵蓋整個開發流程的功能性安全層面：

• 需求規範 (Requirements specification)
• 設計 (Design)
• 執行 (Implementation)
• 整合 (Integration)
• 驗證 (Verification)
• 認可 (Configuration)

ISO 26262 的重要性

ISO 26262 旨在整個汽車設備與系統的使用壽命期間，保證安全。

每個階段都有特定步驟的要求，這保證了從最早的概念到車輛廢用為止的安全。

遵循此一標準，可避免或控制系統性故障，您也會察覺或控制隨機的硬體故障（或您可以減少故障的影響）。

ISO 26262 架構

ISO 26262 由十個章節組成 :

• Part 1：詞彙 (Vocabulary)
• Part 2：功能性安全管理 (Management of functional safety)
• Part 3：概念階段 (Concept Phase)
• Part 4：系統層級的產品開發 (Product development at the system level)
• Part 5：硬體層級的產品開發 (Product development at the hardware level)
• Part 6：軟體層級的產品開發 (Product development at the software level)
• Part 7：生產與操作 (Production and operation)
• Part 8：支援流程 (Supporting processes)
• Part 9：ASIL 導向與安全導向分析 (ASIL-oriented and safety-oriented analysis)
• Part 10：ISO 26262 方針 (Guideline on ISO 26262)

ISO 26262 第六部分(Part 6) 對軟體開發商而言是最重要的，其內容詳述開發商必須遵守以確保每一個元件安全的步驟。

Part 6 包括幾個表格，定義為了達到對此標準的遵循而必須考慮的方法。

ISO 26262 工具資格

任何使用在車輛開發上的工具必須為合格工具。ISO 26262 第八部分 (Part 8) 提供工具資格指南。

該部分規定了以下項目：

• 軟體工具合格計畫。
• 軟體工具文件存檔計畫。
• 軟體工具分級計畫。
• 軟體工具合格報告。

某些工具比其他工具更容易合格—附帶合規性證書，讓合格流程更為簡單。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

什麼是 ASIL（汽車安全完整性等級）？

ASIL — 汽車安全完整性等級— 是 ISO 26262 的關鍵要素。ASIL 用於測量特定系統元件的風險。系統愈複雜，系統性故障和隨機硬體故障的風險就愈高。

ASIL 值從 A 到 D 分為四種。ASIL A 風險等級最低，ASIL D 最高，所以 ASIL D 的遵循要求會比 ASIL A 更嚴格。

在判斷 ASIL 時，還有第五個選擇：QM（品質管理）。這用於註解該項元件無須安全規定。（但能夠遵循以改善產品品質通常是件好事。）

如何判斷 ASIL

ASIL 由三個因素決定：嚴重性、曝險可能性、可控制性。

嚴重性

嚴重性測量一項系統故障的傷害有多嚴重，傷害包括人身與財產。

嚴重性分為四個等級：

• S0：沒有傷害。
• S1：輕至中度傷害。
• S2：重度至有生命危險（可能存活）傷害。
• S3：有生命危險（不一定存活）至致死傷害。

曝險可能性

曝險是特定故障會導致安全危險的狀況可能性。

每一種狀況的可能性按五分制排行：

• E0：非常不可能。
• E1：可能性極低（只在很罕見的操作狀況下會發生傷害）。
• E2：可能性低。
• E3：可能性中。
• E4：可能性高（大部分操作狀況下都會出現傷害）。

可控制性

可控制性是測量發生危險狀況時可避免傷害的可能性。此一狀況可能是因為駕駛人的行動或外部因素所導致。

危險狀況的可控制性以四分制排行：

• C0：一般而言可以控制。
• C1：可以簡單控制。
• C2：通常可以控制（大部分駕駛人可採取行動避免傷害）。
• C3：難以控制或無法控制。

判斷 ASIL

一旦判斷了嚴重性、可能性、可控制性，就可以決定 ASIL。第三部分表格四（ISO 26262-3）對此提供了指引。

根據嚴重性、曝險、可控制性，使用這份表格判斷 ASIL。

 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

ISO 26262 軟體合規性指南

無論是開發傳統汽車元件（如積體電路）或虛擬元件（如車輛虛擬機），遵循 ISO 26262 都十分重要，務必在整個軟體開發生命週期都遵循此一標準。

但對開發團隊而言，遵循可能有困難。系統與程式代碼庫日益複雜，造成軟體的驗證和批准有所困難。

以下說明如何將此變得簡單。

建立需求規範可追溯性

滿足合規性並證明已經達成，是很無聊瑣碎的過程。您必須將所有規範做成文件並能追溯到其他工具上，包括測試、問題及程式源碼等。

原文出處：What is ISO26262? And Overview