ISO 26262 道路车辆功能安全

1. 标准定位与目标：

是什么？

 ISO 26262 是一项国际性的功能安全标准，专门为道路车辆上包含电气/电子系统的量产乘用车（以及卡车、巴士和摩托车）而制定。

核心目标： 确保由电气/电子系统故障行为引起的风险（可能导致人身伤害或死亡）被降低到可接受的水平。它关注的是避免或控制系统故障导致的危害。

基础： 基于更通用的功能安全标准 IEC 61508，但针对汽车行业的特定需求、流程和技术进行了调整和扩展。

2. 核心概念：

功能安全：避免由电气/电子系统故障行为引起的不合理风险。它与机械安全、信息安全（如 ISO/SAE 21434）等相辅相成。

危害： 由系统故障行为导致的潜在伤害源（如意外加速、制动失灵、安全气囊误爆）。

安全目标： 最高层级的安全要求，针对特定危害场景定义，明确需要达到的安全状态（如“防止非预期加速”）。

汽车安全完整性等级： 这是 ISO 26262 的核心创新和基石。

ASIL： 用于量化特定危害相关的风险严重程度。它基于三个因素：**严重度 (Severity)**、**暴露概率 (Exposure)** 和 **可控性 (Controllability)**。

等级： ASIL A（最低要求）到 ASIL D（最高要求）。等级越高，意味着危害的潜在后果越严重、发生频率越高或驾驶员越难控制，因此需要更严格的安全要求和措施。

安全状态： 当检测到故障时，系统应达到的一种可预测的操作模式（如关闭特定功能、进入跛行模式），该模式本身不会引发危害。

容错时间间隔：从发生可能导致危害的故障到该危害实际发生之间的最大时间窗口。安全机制必须在此时间内检测到故障并将系统带入安全状态。

3. 生命周期管理（V模型）：

ISO 26262 采用 V 模型框架，覆盖从概念到退役的整个产品生命周期：

概念阶段：

   项目定义（功能、边界）。

   危害分析与风险评估 (HARA)： 识别危害事件，确定 ASIL 等级，导出**安全目标**。

   功能安全概念：定义实现安全目标的整体策略（如监控、冗余、降级）。

   系统层面开发：

   技术安全要求：将功能安全概念转化为具体技术要求。

    系统架构设计：设计满足安全要求的系统结构。

    系统安全分析：验证设计满足要求（如FTA）。

硬件层面开发：

    硬件安全要求 - 硬件设计

     硬件架构指标计算： 评估设计的有效性（单点故障度量、潜伏故障度量、随机硬件故障概率目标）。

     软件层面开发：

     软件架构设计、单元设计、实现。

     严格的编码规范、测试策略（单元测试、集成测试、背靠背测试、模型测试等）。

    生产、运行、服务和退役：

    定义生产和运维流程，确保功能安全在生产和服务中得到维护（如配置管理、追溯性、诊断接口）。

4. 关键技术与措施：

安全机制： 用于检测、控制或缓解故障的特定技术或措施（如看门狗定时器、冗余传感器/执行器、合理性检查、内存保护单元、纠错码）。

诊断覆盖率： 衡量安全机制检测特定类型故障的能力。

故障容错： 系统在存在故障时仍能继续提供所需功能或安全地进入降级模式的能力（通常通过冗余实现）。

独立性： 确保安全机制与其监控的功能在设计和实现上足够独立，避免共因故障。

5. 标准的价值与影响：

降低风险： 系统性地降低由E/E系统故障引起的安全风险，保护乘员、行人和其他道路使用者。

行业共识： 为汽车供应链（OEM、Tier1、Tier2）提供了统一的功能安全语言、流程和要求，促进协作和产品集成。

合规性： 已成为全球主流汽车市场（欧洲、北美、中国等）事实上的强制性要求或强有力证据，是新车准入的关键考量。

质量提升： 严格的开发流程和分析方法有助于提升整体系统设计的质量和可靠性。

成本节约： 通过早期识别和解决安全问题，避免后期昂贵的召回。