ISO26262 - 汽車功能安全標準

SO 26262 是汽車業使用的功能性安全標準,其標題為「道路車輛-功能性安全」。

遵循此一標準對於汽車產品開發非常重要。OEM 代工、其供應商、汽車零件開發商都必須遵循此一標準。

在此,我們剖析 ISO 26262 以及 ASIL(汽車安全完整性等級),和開發團隊的遵循標準指南。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

ISO 26262 功能性安全綜覽

ISO 26262 是以風險為基礎的安全標準,來自於 IEC 61508。適用於車輛生產的電機及/或電子系統,其中包括駕駛輔助、動力和車輛動態控制系統。

ISO 26262 涵蓋整個開發流程的功能性安全層面:

  • 需求規範 (Requirements specification)
  • 設計 (Design)
  • 執行 (Implementation)
  • 整合 (Integration)
  • 驗證 (Verification)
  • 認可 (Configuration)

ISO 26262 的重要性

ISO 26262 旨在整個汽車設備與系統的使用壽命期間,保證安全。

每個階段都有特定步驟的要求,這保證了從最早的概念到車輛廢用為止的安全。

遵循此一標準,可避免或控制系統性故障,您也會察覺或控制隨機的硬體故障(或您可以減少故障的影響)。

ISO 26262 架構

ISO 26262 由十個章節組成 :

  • Part 1:詞彙 (Vocabulary)
  • Part 2:功能性安全管理 (Management of functional safety)
  • Part 3:概念階段 (Concept Phase)
  • Part 4:系統層級的產品開發 (Product development at the system level)
  • Part 5:硬體層級的產品開發 (Product development at the hardware level)
  • Part 6:軟體層級的產品開發 (Product development at the software level)
  • Part 7:生產與操作 (Production and operation)
  • Part 8:支援流程 (Supporting processes)
  • Part 9:ASIL 導向與安全導向分析 (ASIL-oriented and safety-oriented analysis)
  • Part 10:ISO 26262 方針 (Guideline on ISO 26262)


ISO 26262 第六部分(Part 6) 對軟體開發商而言是最重要的,其內容詳述開發商必須遵守以確保每一個元件安全的步驟。

Part 6 包括幾個表格,定義為了達到對此標準的遵循而必須考慮的方法。

ISO 26262 工具資格

任何使用在車輛開發上的工具必須為合格工具。ISO 26262 第八部分 (Part 8) 提供工具資格指南。


該部分規定了以下項目:

  • 軟體工具合格計畫。
  • 軟體工具文件存檔計畫。
  • 軟體工具分級計畫。
  • 軟體工具合格報告。

某些工具比其他工具更容易合格—附帶合規性證書,讓合格流程更為簡單。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

什麼是 ASIL(汽車安全完整性等級)?

ASIL — 汽車安全完整性等級— 是 ISO 26262 的關鍵要素。ASIL 用於測量特定系統元件的風險。系統愈複雜,系統性故障和隨機硬體故障的風險就愈高。


ASIL 值從 A 到 D 分為四種。ASIL A 風險等級最低,ASIL D 最高,所以 ASIL D 的遵循要求會比 ASIL A 更嚴格。

在判斷 ASIL 時,還有第五個選擇:QM(品質管理)。這用於註解該項元件無須安全規定。(但能夠遵循以改善產品品質通常是件好事。)

如何判斷 ASIL

ASIL 由三個因素決定:嚴重性、曝險可能性、可控制性。

嚴重性

嚴重性測量一項系統故障的傷害有多嚴重,傷害包括人身與財產。


嚴重性分為四個等級:

  • S0:沒有傷害。
  • S1:輕至中度傷害。
  • S2:重度至有生命危險(可能存活)傷害。
  • S3:有生命危險(不一定存活)至致死傷害。

曝險可能性

曝險是特定故障會導致安全危險的狀況可能性。


每一種狀況的可能性按五分制排行:

  • E0:非常不可能。
  • E1:可能性極低(只在很罕見的操作狀況下會發生傷害)。
  • E2:可能性低。
  • E3:可能性中。
  • E4:可能性高(大部分操作狀況下都會出現傷害)。

可控制性

可控制性是測量發生危險狀況時可避免傷害的可能性。此一狀況可能是因為駕駛人的行動或外部因素所導致。


危險狀況的可控制性以四分制排行:

  • C0:一般而言可以控制。
  • C1:可以簡單控制。
  • C2:通常可以控制(大部分駕駛人可採取行動避免傷害)。
  • C3:難以控制或無法控制。

判斷 ASIL

一旦判斷了嚴重性、可能性、可控制性,就可以決定 ASIL。第三部分表格四(ISO 26262-3)對此提供了指引。

根據嚴重性、曝險、可控制性,使用這份表格判斷 ASIL。

 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

ISO 26262 軟體合規性指南

無論是開發傳統汽車元件(如積體電路)或虛擬元件(如車輛虛擬機),遵循 ISO 26262 都十分重要,務必在整個軟體開發生命週期都遵循此一標準。

但對開發團隊而言,遵循可能有困難。系統與程式代碼庫日益複雜,造成軟體的驗證和批准有所困難。

以下說明如何將此變得簡單。

建立需求規範可追溯性

滿足合規性並證明已經達成,是很無聊瑣碎的過程。您必須將所有規範做成文件並能追溯到其他工具上,包括測試、問題及程式源碼等。



原文出處:What is ISO26262? And Overview