ISO26262标准是从电子、电气及可编程器件功能安全基本标准IEC61508派生出来的,ISO26262标准主要定位在汽车行业中特定的电气器件、电子设备、可编程电子器件等专门用于汽车控制领域的部件和系统,它旨在提高汽车E/E功能安全性能。
有关功能安全,最初的国际标准是国际电工委员会(IEC)1998年公告的IEC61508,针对一般工业领域的电机/电子/可程式电子(Electrical/Electronic/ProgrammableElectronic,E/E/PE)相关系统之功能安全评估与管控方法加以规范,而车电系统与一般工业用E/E系统有着一些差异,如成本考量或可靠度要求等,因此在2011年公告专属车辆领域之国际标准ISO26262,其适用于3.5吨以下客车(M类)所装载之车电系统,本标准使得研发专案清楚定义功能安全相关系统、硬体与软体所应遵循的共同目标,并明确标示系统达成的安全门槛,可作为保安设计之产品开发资料。
基本概念
安全(safety):不存在不可接受的风险
风险(risk):该伤害严重性和出现伤害概率的组合Risk=sxf
伤害(harm):对人身的损伤,乃至死亡;对人身体健康的损害;对环境的重大破坏
功能安全:不存在不可接受的E/E系统故障造成的风险
安全功能:保证E/E/PE系统的安全而实现的功能
安全完整性:安全功能执行的可靠性
ISO26262的适用范围
适用于安装在批量生产净重不超过3.5吨乘用车上的电子电气系统
不涉及特殊用途车辆,比如残疾人车、消防车等
涉及由E/E安全相关以及这些系统之间的相互作用的故障行为引起的危险
不涉及E/E系统的标称性能
ISO26262框架结构 ISO26262标准内容 ISO26262涵盖车辆整个生命周期,称为安全生命周期(SafetyLifecycle),由管理、开发、生产、经营、维修至报废皆有相应的要求,本标准包含十个章节,计有Part1名词解释(Vocabulary)、Part2功能安全管理(ManagementofFunctionalSafety)、Part3概念阶段(ConceptPhase)、Part4产品开发在系统层级(ProductDevelopmentattheSystemLevel)、Part5产品开发在硬体层级(ProductDevelopmentattheHardwareLevel)、Part6产品开发在软体层级(ProductDevelopmentattheSoftwareLevel)、Part7生产与操作(ProductionandOperation)、Part8支援流程(SupportingProcesses)、Part9车辆安全完整性等级导向与安全导向分析(AutomotiveSafetyIntegrityLevel-orientedandSafety-orientedAnalyses)、Part10ISO26262指南。
ISO26262采行所谓车辆安全完整性等级(ASIL)的指标来评估车电系统符合之功能安全程度,使得研发专案清楚定义功能安全相关系统、硬体与软体所应遵循之共同目标,明确标示ASIL可作为产品开发之安全目标。
ASIL由严重度(Severity)、暴露机率(ProbabilityofExposure)与可控度(Controllability)决定,等级分为QM(QualityManagement)与ASILA至D五种,QM等级无须适用ISO26262,比照一般车辆产业品质管理系统ISO/TS16949要求即可,而ASIL等级愈高,系统功能安全要求愈多,故ASILD设计开发的安全考量最严密。
产品安全生命周期 车辆产品的安全议题,要包含功能导向与品质导向之开发活动与工作产品,ISO26262正是清楚定义研发专案的功能安全相关系统、硬体与软体所应完成之开发活动与工作产品,形成产品的安全生命周期之各个阶段(图1),完整标准架构即成为车辆开发模型(V-model)。
安全生命周期分为概念阶段、产品开发与生产交付后等三阶段,由综合说明之功能安全管理起始,往下就是大V-model开始之概念阶段,接续是产品开发在系统层级、产品开发在硬体层级、产品开发在软体层级与结束之生产与操作,其间产品开发在系统层级包含产品开发在硬体层级与产品开发在软体层级两章,形成系统、子系统的阶层架构,而软、硬体开发又各成一小V-model,两者并有相互关联,确保系统开发是软硬兼顾。
项目-Item 定义: 一个系统,或系统组合来执行一个功能,让系统能符合ISO 26262的要求
安全生命周期初始化
危害分析和风险评估
危害分析与风险评估(HazardAnalysisandRiskAssessment,HARA)是指车辆因电子电机系统故障所产生的风险,如非预期加速、非预期减速或燃烧/爆炸等,透过故障所生风险之严重度(S)、暴露机率(E)与可控度(C)三项参数,分析车辆安全完整性等级(ASIL),共有五阶段度量(QM、A、B、C、D)之整车层级安全目标(SafetyGoal),自ASILA开始,必须采取额外之风险降低措施,而ASILD表示最高之潜在风险。
功能安全概念(FunctionalSafetyConcept,FSC)是依据HARA所得高层之安全目标(安全目标可能与数个危害相关,也可能数个安全目标与一个危害相关),规范系统之功能安全需求(FunctionalSafetyRequirements,FSR),并推导功能安全参数(包含安全状态、容许故障时间等),加以配置至相关元件的活动。
技术安全概念阶段,由系统工程师完成技术安全需求(TechnicalSafetyRequirements,TSR),再交开发工程师制定软/硬体技术安全需求之规格,进入VModel的设计与整合测试阶段。
培训安排