目录
A 先导
A.1 文章提要
A.2 关于安全的法规
A.3 适用范围
A.4 ISO 26262的目的
A.5 ISO 26262标准的概要
A.6 功能安全设计中所涉及对象
A.7 ISO 26262- 2018与 ISO 26262-2011的文档差异性
A.8 ISO 26262-2018与 ISO 26262-2011的工作成果差异性
1 术语
1.1 安全
1.2 功能安全FS
1.3 风险
1.4 伤害
1.5 相关项
1.6 系统
1.7 组件
1.8 硬件组件
1.9 要素
1.10 架构
1.11 功能概念FC
1.12 功能安全概念FSC
1.13 功能安全要求FSR
1.14 安全状态
1.15 汽车安全完整性等级ASIL
1.16 开发接口协议DIA
1.17 分布式开发
1.18 技术安全概念TSC
1.19 技术安全要求TSR
1.20 车辆交互VC
2 功能安全实现的5个步骤
2.1 图示流程
2.2 步骤流程
本文是针对ISO 26262-2018展开,ISO 26262是以IEC 61508为基础,提供一整套方法和流程,来保证所开发的电子电气系统满足功能安全要求,通过功能安全总则、概念阶段、系统开发、软硬开发等多篇文章总结ISO 26262内容,着重于乘用车的相关内容,此篇为“功能安全总则”的总结。
SOTIF预期安全 | ISO 21448 |
EE功能安全 | ISO 26262 GB/T 34590 GB 18384 |
机械功能安全 | ISO 13849 |
V2X安全 | ISO 20077 |
信息安全 | ISO 21434 |
ISO 26262-2018适用于安装在乘用车、卡车、公共汽车、两轮机动车的一个或多个电子电气系统。
将安全风险和危害降低到可接受范围(风险和危害不可能完全被消除)
ISO 26262中共12个部分,涵盖车辆的整个生命周期,称为安全生命周期(safety lifecycle)是对管理、开发、生产、经营、维修、报废都有相应要求:
章节 | 内容 | 对应英文 |
part1 | 名词解释 | vocabulary |
part2 | 功能安全管理 | management of functional safety |
part3 | 概念阶段 | concept phase |
part4 | 产品开发在系统层面 | product development at the system level |
part5 | 产品开发在硬件层面 | product development at the hardware level |
part6 | 产品开发在软件层面 | product development at the software level |
part7 | 生产,运营,服务和报废 | production ,operation,service and decommissioning |
part8 | 支持过程 | supporting processes |
part9 | 车辆安全完整性等级导向与安全导向分析 | automotive safety integrity level(ASIL)-oriented and safety-oriented analyses |
part10 | ISO 26262指南 | guidelines on ISO 26262 |
part11 | ISO 26262对半导体器件的应用指南 | guidelines on application of ISO 26262 to semiconductors |
part12 | ISO 26262对摩托车的适用性 | adaptation of ISO 26262 for motorcycles |
汽车行业开发商 | ●主机厂 ●供应商 —系统开发:如动力控制系统 —零部件开发:电子控制器、电机、电池 —元器件开发:汽车MCU、电源芯片、通讯芯片等 |
||||||||
安全相关项目人员 | ●公司管理:产品主管、研发主管、质量主管 ●项目管理:项目经理、产品经理 ●研发人员:系统工程师、软/硬件工程师、测试工程师、质量工程师 |
||||||||
涉及相关系统 | ●驾驶辅助 ●动力系统 ●主动和被动安全
|
序号 | part | 2018 | 2011 | 备注 |
1 | 1:vocabulary | 章节目标描述更清晰 | 章节目标描述较为笼统 | 目标细化 |
2 | 总共12部分,新增: part11:ISO26262对半导体器件的应用指南 part12:ISO26262对摩托车的适用性 |
总共10个部分 | 增加2个部分 | |
3 | 适用范围: 乘用车、卡车、公共汽车、拖车和半拖车道路车辆 |
适用范围: 最大质量为3.5吨的乘用车 |
适用范围扩大 | |
4 | 增加“安全异常管理” | 无 | 管理范围扩大 | |
5 | 增加“卡车、公共汽车、拖车和半拖车的相关的交互与集成” | 无 | 适用范围扩大 | |
1 | 2:功能安全管理 | 2-6:“依赖于项目的安全管理” 2-7:“生产、运行、服务和报废的安全管理” |
2-6:“概念阶段和产品开发过程中的安全管理” 2-7:“相关项生产发布后的安全管理” |
名称变更 |
2 | 2-5增加: “关于功能安全的安全异常管理” “建立功能安全和网络安全的沟通渠道” |
无 | 增加 | |
3 | 2-6增加: “基于要素的影响分析” “基于相关项的影响分析” “功能安全概念” “技术安全概念”的认可评审 |
无 | 增加 | |
4 | 增加“附录E 功能安全与网络安全潜在互动指南” | 无 | 增加 | |
5 | “生产发布”调整到2-6 | “生产发布”位于4-11 | 移动 | |
6 | “基于要素的影响分析”调整到2-6 | “基于要素的影响分析”位于3-6 | 移动 | |
7 | 无 | “附录D 验证评审概览” | 删除 | |
1 | 3:概念阶段 | 增加卡车、公共汽车、拖车和半拖车的危害分析和风险评估 | 无 | 增加 |
2 | 附录B中,增加“卡车、公共汽车、拖车和半拖车基于运行场景持续时间的暴露概率分级”和“卡车、公共汽车、拖车和半拖车基于运行场景频率的暴露概率分级” | 无 | 增加 | |
3 | 如果几个不太可能的情况组合在一起,导致暴露的可能性比E1低,则对E1&S3&C3风险矩阵组合,可以从ASIL A变为QM | E1&S3&C3风险矩阵组合,对应ASIL A | 修改 | |
4 | 工作成果“安全分析”位于2018:2-6“依赖于项目的安全管理” | 工作成果“安全分析”位于2018:3-6 | 移动 | |
1 | 4:产品开发在系统层面 | “项目计划”、“安全计划”、“相关项集成和测试计划”、“验证计划”、“功能安全评估计划”移动合并到2-6里 | 4-5 工作成功包括:“项目计划”、“安全计划”、“相关项集成和测试计划”、“验证计划”、“功能安全评估计划” | 移动 |
2 | 将2011:4-6和2011:4-7合并为2018:4-6“技术安全概念” | 4-6:“技术安全要求的定义” 4-7:“系统设计” |
合并 | |
3 | “确认计划”位于2018:2-6“依赖于项目的安全管理” | “确认计划”位于2011:4-9“安全确认” | 移动 | |
1 | 5:产品开发在硬件层面 | “安全计划”位于2018:2-6“依赖于项目的安全管理” | “安全计划”位于2011:5-5“启动硬件层面产品开发” | 移动 |
2 | 无 | 删除2011:5-附录F“比例因子的应用” | 删除 | |
3 | 增加: 2018:5-附录F“满足9.4.2目标的示例”、 2018:5-附录G“由两个系统组成的项目的PMHF预算分配示例”、 2018:5-附录H“潜在故障处理示例”
|
无 | 增加 | |
1 | 6:产品开发在软件层面 | “软件验证计划”位于2018:2-6“依赖于项目的安全管理” | “软件验证计划”位于2011:6-5“启动软件层面的产品开发” | 移动 |
2 | “软件验证报告”位于2018:6-9“软件单元测试” | “软件验证报告”位于2011:6-8“软件单元测试” | 移动 | |
3 | 扩充2018:6-附录B“基于模型开发”内容 | 2011:6-附录B“基于模型开发” | 扩充 | |
4 | 扩充2018:6-附录E“软件体系架构级安全性分析和依赖性故障分析的应用” | 无 | 增加 | |
1 | 7:生产与运行 | 将2011:7-5“生产”拆分为2018:7-5“生产、运营、服务和报废计划”和2018:7-6“生产” | “生产位于2011:7-5 | 拆分 |
1 | 8:支持过程 | 新增2018:8-15“与超出ISO26262的应用程序建立接口”,用于卡车、公共汽车、拖车和半拖车 | 无 | 新增 |
2 | 新增2018:8-16“未根据ISO26262开发的安全相关系统的集成”,用于卡车、公共汽车、拖车和半拖车 | 无 | 新增 | |
1 | 9:基于ASIL和安全的分析 | 新增2018:9-附录B“要素共存和需求分析的示例架构” | 无 | 新增 |
2 | 新增2018:9-附录C“识别相关失效的架构” | 无 | 新增 | |
1 | 10:ISO 26262指南 | 新增2018:10-12“具有安全相关可行性要求的系统开发指南” | 无 | 新增 |
2 | 新增2018:10-13“评价“所使用软件工具的置信度”” | 无 | 新增 | |
3 | 新增2018:10-14“安全相关特性指南” | 无 | 新增 | |
4 | 无 | 删除2011:10-附录A“ISO26262和微控制器” | 删除 |
ISO 26262-2018 | ISO 26262-2011 | 对比分析 | ||||
part2:功能安全管理 | part2:功能安全管理 | |||||
章节 | 名称 | 具体内容 | 章节 | 名称 | 具体内容 | |
2-5 | 整体安全管理 | 5.5.4已确认的安全异常报告 | 2-5 | 整体安全管理 | / | 增加一个工作成果 |
2-6 | 依赖项目的安全管理 | 6.5.1相关项层面的影响分析 | 2-6 | 概念阶段和产品开发过程中的安全管理 | 6.5.2项目计划 | ①增加2个分析成果 ②删除项目计划成果 ③原内容调整,具体见文档差异分析 |
6.5.2要素层面上的影响分析 | ||||||
2-7 | 生产、运营、服务和报废方面的安全管理 | 7.5.1关于生产、运营、服务和报废的安全管理证据 | 2-7 | 相关项生产发布后的安全管理 | 7.5现场监控的证据 | 章节内容调整,具体见文档差异分析 |
part3:概念阶段 | part3:概念阶段 | 分析 | ||||
/ | / | / | 3-6 | 安全生命周期启动 | 6.5.1 影响分析 | 删除旧版章节 |
6.5.2 安全计划 | ||||||
3-6 | 危害分析和风险评估 | / | 3-7 | 危害分析和风险评估 | 7.5.2 安全目标 | 删除旧版里的安全目标成果 |
part4:产品开发在系统层面 | part4:产品开发在系统层面 | 分析 | ||||
4-5 | 系统级产品开发概览 | / | 4-5 | 启动系统层面产品开发 | 5.5.1项目计划 5.5.2安全计划 5.5.3相关项集成和测试计划 5.5.4确认计划 5.5.5功能安全评估计划 |
删除旧版工作成果 |
4-6 | 技术安全概念 | / | 4-6 | 技术安全要求的定义 | 6.5.2系统验证报告 | ①旧版第6,7章内容合并到第6章 ②删除旧版3项工作成果 ③新增1项工作成果 |
/ | 6.5.3确认计划 | |||||
6.5.6系统架构设计,软硬件接口规范、生产、运行、服务和报废的需求规范和技术安全概念的验证报告 | 4-7 | 系统设计 | 7.5.5系统验证报告 | |||
4-7 | 系统与相关项的集成与测试 | 无 | 4-8 | 相关项集成和测试 | 8.5.1相关项集成和测试计划 | 删除旧版的集成和测试计划成果 |
4-8 | 安全确认 | 8.5.1包括安全确认环境描述的安全确认规范 | 4-9 | 安全确认 | 9.5.1确认计划 | ①旧版第9、10章内容合并到新版第8章 ②删除旧版第11章 ③删除旧版确认计划 ④新版新增1项确认规范成果 |
9.5.2确认报告 | ||||||
8.5.2安全确认报告 | 4-10 | 功能安全评估 | 10.5.1功能安全评估报告 | |||
/ | 4-11 | 生产发布 | 11.5.1生产发布报告 | |||
part5:产品开发在硬件层面 | part5:产品开发在硬件层面 | 分析 | ||||
/ | / | / | 5-5 | 启动硬件层面产品开发 | 5.5安全计划 | 删除旧版章节 |
5-10 | 硬件集成和测试 | 10.5.1硬件集成和验证规范 | 5-10 | 硬件集成和测试 | / | 新版新增1项工作成果 |
part6:产品开发在软件层面 | part6:产品开发在软件层面 | 分析 | ||||
6-5 | 软件级产品开发概览 | 5.5.1软件开发环境文档 | 6-5 | 启动软件层面产品开发 | 5.5.1安全计划 5.5.2软件验证计划 5.5.3模型语言和编程语言的设计和编码指南 5.5.4工具应用指南 |
①删除旧版工作成果 ②新版新增1项工作成果 |
6-7 | 软件架构设计 | / | 6-7 | 软件架构设计 | 7.5.2安全计划 7.5.3软件安全需求规范 |
删除旧版2项工作成果 |
6-8 | 软件单元设计和实现 | / | 6-8 | 软件单元设计和实现 | 8.5.3软件验证报告 | 删除旧版1项工作成果 |
6-9 | 软件单元测试 | / | 6-9 | 软件单元测试 | 9.5.1软件验证计划 | 删除旧版1项工作成果 |
6-10 | 软件集成和测试 | / | 6-10 | 软件集成和测试 | 10.5.1软件验证计划 | 删除旧版1项工作成果 |
6-11 | 软件安全要求验证 | / | 6-11 | 嵌入式软件测试 | 11.5.1软件验证计划 | 删除旧版1项工作成果 |
6-附录C | 软件配置 | / | 6-附录C | 软件配置 | C.5.3安全计划 | ①删除旧版2项工作成果 ②新版新增2项工作成果 |
C.5.6软件验证计划 | ||||||
C.5.8软件架构设计规范 | / | |||||
C.5.9软件开发环境文档 | ||||||
part7:生产与运行 | part7:生产与运行 | 分析 | ||||
7-5 | 生产、运行、服务和报废计划 | 5.5.10救援服务说明的安全相关内容 | / | / | / | 新版新增1项工作成果 |
part8:支持过程 | part8:支持过程 | 分析 | ||||
8-12 | 软件组件的鉴定 | 12.5.3软件组件质量验证报告 | 8-12 | 软件组件的鉴定 | 12.5.3安全计划 | ①删除旧版1项工作成果 ②新版新增1项工作成果 |
8-14 | 在用证明 | / | 8-14 | 在用证明 | 14.5.1安全计划 | 删除旧版1项工作成果 |
8-15 | 与超出ISO26262范围的应用程序的接口 | 15.5.1基本车辆制造商或供应商指南 | / |
/ | / | 新版增加章节内容 |
8-16 | 未按ISO26262开发的安全相关系统的集成 | 16.5.1安全理由 | / | / | / |
safety,风险降到可接受范围,即认为是安全
functional safety,不存在由电子电气系统的功能异常表现引起的危害而导致不合理的风险
risk,伤害的严重性和出现伤害的概率的组合:Risk=严重度*概率
harm,对人身的损害或对人健康的损害
不考虑对物的影响
item,实现整车基本功能的系统或一组系统
system,一组元素,至少包括传感器、控制器、执行器,如ABS系统、制动系统等
component,非系统级别的元素,在逻辑上可分离的单元,如速度传感器、雨量光传感器
hardware part,不能再进一步划分的硬件,如电阻、电容、MCU等
element,系统或系统的一部分,包含组件、硬件、软件或软件单元
architecture,相关项、功能、系统或要素的结构的表征,用于识别结构模块及其边界和接口,并包括硬件和软件要素的要求分配
functional concept,为实现预期的表现所必须的各功能及其交互的定义
functional safety concept,为实现安全目标,定义功能安全要求及相关信息,并将要分配到架构要素上,以及定义要素之间的必要交互
functional safety requirement,定义了独立于具体实现方式的安全行为或独立于具体实现方式的安全措施,包括安全相关的属性
safety state,没有不合理风险的相关项的运行模式
automotive safety integrity level,分A/B/C/D四个等级,每一个等级定义了相关项或要素的必要的要求和安全措施,以避免不合理的残余风险,D最严格,A等级最低
development interface agreement,客户与供应商间的协议,协议规定了双方在相关活动中各自承担的责任,应提供给对方的证据或工作成果
distribute development,在客户和供应商之间分配整个相关项、要素或子系统开发责任的相关项或要素的开发
Technical safety concept,制定技术安全需求,满足功能安全要求的系统架构
Technical safety requirement,满足安全目标SG或功能安全需求FSR,由功能安全需求FSR在技术层面派生出的可实施的安全需求
vehicle capability
Step1: 明确产品是否需要功能安全? |
●先定义产品,产品需要综合单件成本、制造难度、可靠性要求等来明确产品的功能,再从功能明确是否需要功能安全: ①、功能失效会导致危害事件? ②、功能丧失会导致危害事件? ③、危害分析和风险评估来证明需要ASIL。 |
||||||||||||||||||||||||
Step2: 构建安全管理组织架构和项目团队 |
①项目团队: —开发团队与审核团队要独立
②构建管理组织架构: —制定流程制度、为安全工作的协调和监控提供框架
|
||||||||||||||||||||||||
Step3:确定需要考虑的危害事件 | ①通过系统的危害分析和风险评估,确定需要考虑的危害事件: 例如:高速路行驶时 -安全气囊意外弹开; -制动系统失效,无制动力输出 -... ②根据危害分析和风险评估确定ASIL等级。 ③对每个可识别的危害事件,定义相应的安全目标(safety goal) 例如安全目标:车辆正常行驶时,安全气囊不能弹开 |
||||||||||||||||||||||||
Step4:进行系统、软硬件设计和开发 | ①根据安全目标,做出功能安全概念(functional safety concept),安全概念包括: -系统基本架构; -达到并保持安全的技术措施。 ②根据安全概念,进行系统层技术安全概念(technical safety concept)、软硬件的设计和开发; ③开发中,采取必要的安全措施和验证活动。 |
||||||||||||||||||||||||
Step5:验证 | ①通过安全确认的手段和方法,确保所开发的项目满足分配的安全目标; ②产品生产导入、销售。 |
————————————————————————
参考资料:
iso26262之2018版与2011版主要内容对比与分析…_汽车功能安全-商业新知