ISO 26262系列文章之——1功能安全总则

A 先导

A.1 文章提要

本文是针对ISO 26262-2018展开，ISO 26262是以IEC 61508为基础，提供一整套方法和流程，来保证所开发的电子电气系统满足功能安全要求，通过功能安全总则、概念阶段、系统开发、软硬开发等多篇文章总结ISO 26262内容，着重于乘用车的相关内容，此篇为“功能安全总则”的总结。

A.2 关于安全的法规

SOTIF预期安全ISO 21448EE功能安全
ISO 26262

GB/T 34590

GB 18384
机械功能安全ISO 13849V2X安全ISO 20077信息安全ISO 21434

A.3 适用范围

ISO 26262-2018适用于安装在乘用车、卡车、公共汽车、两轮机动车的一个或多个电子电气系统。

A.4 ISO 26262的目的

将安全风险和危害降低到可接受范围（风险和危害不可能完全被消除）

A.5 ISO 26262标准的概要

ISO 26262中共12个章节，涵盖车辆的整个生命周期，称为安全生命周期（safety lifecycle）是对管理、开发、生产、经营、维修、报废都有响应要求：
章节内容对应英文part1名词解释vocabularypart2功能安全管理management of functional safetypart3概念阶段concept phasepart4产品开发在系统层级product development at the system levelpart5产品开发在硬件层级product development at the hardware levelpart6产品开发在软件层级product development at the software levelpart7生产与操作production and operationpart8支持流程supporting processespart9车辆安全完整性等级导向与安全导向分析automotive safety integrity level-oriented and safety-oriented analysespart10ISO 26262指南guidelines on ISO 26262part11ISO 26262对半导体器件的应用指南guidelines on application of ISO 26262 to semiconductorspart12ISO 26262对摩托车的适用性adaptation of ISO 26262 for motorcycles

A.6 功能安全设计中所涉及对象

汽车行业开发商
●主机厂

●供应商

—系统开发：如动力控制系统

—零部件开发：电子控制器、电机、电池

—元器件开发：汽车MCU、电源芯片、通讯芯片等
安全相关项目人员
●公司管理：产品主管、研发主管、质量主管

●项目管理：项目经理、产品经理

●研发人员：系统工程师、软/硬件工程师、测试工程师、质量工程师
涉及相关系统
●驾驶辅助

●动力系统

●主动和被动安全
动力系统
●发动机控制EMS

●自动变速箱控制TCU

●动力电池控制BMS

●动力电机控制MCU

●整车控制器VCU

●三合一控制CDU

●.....
底盘系统
●ABS

●车身稳定系统SEC

●自适应悬架系统

●牵引力控制系统TCS

●紧急制动辅助系统AEBS

●电动助力转向系统EPS

●泊车系统APA

●....
车身系统
●安全气囊

●胎压监测系统

●大灯照明系统

●....
辅助驾驶
●紧急制动辅助

●车道偏离预警系统

●自适应巡航系统

●ADAS

●....

1 术语

1.1 安全

safety，风险降到可接受范围，即认为是安全

1.2 功能安全FS

functional safety，不存在由电子电气系统的功能异常表现引起的危害而导致不合理的风险

1.3 风险

risk，伤害的严重性和出现伤害的概率的组合：Risk=严重度*概率

1.4 伤害

-harm，对人身的损害或对人健康的损害

-不考虑对物的影响

1.5 相关项

item，实现整车基本功能的系统或一组系统

1.6 系统

system，一组元素，至少包括传感器、控制器、执行器，如ABS系统、制动系统等

1.7 组件

component，非系统级别的元素，在逻辑上可分离的单元，如速度传感器、雨量光传感器

1.8 硬件组件

hardware part，不能再进一步划分的硬件，如电阻、电容、MCU等

1.9 要素

element，系统或系统的一部分，包含组件、硬件、软件或软件单元

1.10 架构

architecture，相关项、功能、系统或要素的结构的表征，用于识别结构模块及其边界和接口，并包括硬件和软件要素的要求分配

1.11 功能概念FC

functional concept，为实现预期的表现所必须的各功能及其交互的定义

1.12 功能安全概念FSC

functional safety concept，为实现安全目标，定义功能安全要求及相关信息，并将要分配到架构要素上，以及定义要素之间的必要交互

1.13 功能安全要求FSR

functional safety requirement，定义了独立于具体实现方式的安全行为或独立于具体实现方式的安全措施，包括安全相关的属性

1.14 安全状态

safety state，没有不合理风险的相关项的运行模式

1.15 汽车安全完整性等级ASIL

automotive safety integrity level，分A/B/C/D四个等级，每一个等级定义了相关项或要素的必要的要求和安全措施，以避免不合理的残余风险，D最严格，A等级最低

1.16 开发接口协议DIA

development interface agreement，客户与供应商间的协议，协议规定了双方在相关活动中各自承担的责任，应提供给对方的证据或工作成果

1.17 分布式开发

distribute development，在客户和供应商之间分配整个相关项、要素或子系统开发责任的相关项或要素的开发

1.18 技术安全概念TSC

Technical safety concept，制定技术安全需求，满足功能安全要求的系统架构

1.19 技术安全要求TSR

Technical safety requirement，满足安全目标SG或功能安全需求FSR，由功能安全需求FSR在技术层面派生出的可实施的安全需求

1.20 车辆交互VC

vehicle capability

2 功能安全实现的5个步骤

Step1：

明确产品是否需要功能安全？

●先定义产品，产品需要综合单件成本、制造难度、可靠性要求等来明确产品的功能，再从功能明确是否需要功能安全：

①、功能失效会导致危害事件？

②、功能丧失会导致危害事件？

③、危害分析和风险评估来证明需要ASIL。

Step2：

构建安全管理组织架构和项目团队

①项目团队：

—开发团队与审核团队要独立

项目经理

project manager
●管理项目进度
安全经理

safety manager

●参加过第三方公司组织的功能安全培训并获得证书

●管理项目运作是否符合安全活动

●项目经理不能兼职安全经理

项目成员

project members
●参加过第三方公司组织的功能安全培训公司的功能安全管理专家团队
●来自本公司不同的部门或组织的人员，即在管理，资源和发布权限方面与负责相关工作成果的部门是独立的

●参加过第三方公司组织的功能安全培训并获得证书

合作伙伴

partner

●非本公司员工

●参加过第三方公司组织的功能安全培训并获得证书

第三方咨询公司/认证机构

consult
TUV SGS Exida
②构建管理组织架构：

—制定流程制度、为安全工作的协调和监控提供框架
功能安全管理内容
●定义安全生命周期模型

●需要创造培养公司的安全文化

●定义相关部门、人员的职责

●确保人员能力资质

●确保足够的质量管理工作
功能安全管理目的
●定义安全管理角色和职责

●计划安全获活动，如创建安全计划

●确认定义措施
功能安全管理过程中，要确保项目在整个开发中
●每个项目成员都知道相关要求

●执行所有的安全活动
产品开发阶段的管理项目层面的管理产品发布后的管理产品发布后的可控公司或组织层面的管理
●参考组织架构1 ：

●参考组织架构2 ：

●参考组织架构3 ：

Step3：确定需要考虑的危害事件
①通过系统的危害分析和风险评估，确定需要考虑的危害事件：

例如：高速路行驶时

       -安全气囊意外弹开；

       -制动系统失效，无制动力输出

       -...

②对每个可识别的危害事件，定义相应的安全目标（safety goal）

例如安全目标：车辆正常行驶时，安全气囊不能弹开

③根据危害分析和风险评估确定ASIL等级。
Step4：进行系统、软硬件设计和开发
①根据安全目标，做出安全概念（safety concept），安全概念包括：

-系统基本架构；

-达到并保持安全的技术措施。

②根据安全概念，进行系统层、软硬件的设计和开发；

③开发中，采取必要的安全措施和验证活动。
Step5：验证
①通过安全确认的手段和方法，确保所开发的项目满足分配的安全目标；

②产品生产导入、销售。