ISO26262道路功能安全標(biāo)準(zhǔn)

對(duì)象

汽車行業(yè)涉安全系統(tǒng)/產(chǎn)品的公司

目的

提高安全系統(tǒng)/產(chǎn)品的管控，特別是E/E系統(tǒng)的生命周期安全管理

內(nèi)容

一、序言

1、 相互認(rèn)識(shí)（自我介紹、學(xué)員介紹）

2、 道路車輛的安全性思考（車輛安全與展望）

3、 討論：貴司產(chǎn)品如何影響車輛安全？又是如何管控的？

二、ISO26262：2011標(biāo)準(zhǔn)內(nèi)容解讀（10個(gè)部分）

1、ISO26262-1 適用范圍和主要內(nèi)容

1.1 ISO26262的前身（IEC61508）

1.2 ISO26262適用范圍（5點(diǎn)：3.5T以下乘用車、E/E安全相關(guān)系統(tǒng)（如輔助駕駛、動(dòng)態(tài)控制、主被動(dòng)安全系統(tǒng)）、整個(gè)車輛生命周期、2011年后車輛的E/E安全相關(guān)系統(tǒng)、不適用為殘疾人設(shè)計(jì)的特殊目的車輛的E/E系統(tǒng)）

1.3 ISO26262主要內(nèi)容（10點(diǎn)：定義、功能安全管理、概念階段、產(chǎn)品研發(fā)（系統(tǒng)級(jí)、硬件級(jí)、軟件級(jí)）、生產(chǎn)和操作、支持過(guò)程、基于ASIL和安全的分析、ISO26262導(dǎo)則）

1.4 ISO26262應(yīng)用價(jià)值（4點(diǎn)：提供車輛生命周期內(nèi)必要的改裝活動(dòng)、提供了風(fēng)險(xiǎn)評(píng)估方法ASIL、通過(guò)ASIL獲得可接受的殘余風(fēng)險(xiǎn)的必要安全要求、提供確保獲得足夠的可可接受的安全等級(jí)的有效性和確定性措施）

互動(dòng)交流：

1、 ISO26262是針對(duì)什么產(chǎn)品的安全標(biāo)準(zhǔn)？ ? ? 2、企業(yè)應(yīng)該如何建立和應(yīng)用ISO26262標(biāo)準(zhǔn)？

2、ISO26262-2功能安全管理

2.1 項(xiàng)目安全生命周期（安全管理生命周期框圖）

2.2 項(xiàng)目安全生命周期各階段的認(rèn)識(shí)與理解：

? ?- 項(xiàng)目定義 ? ? ? ? ? ? ? ? - 安全生命周期的初始化 ? ? ? ? ? ? ? - 危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估

? ?- 功能安全概念 ? ? ? ? ? ? - 系統(tǒng)級(jí)產(chǎn)品研發(fā) ? ? ? ? ? ? ? ? ? ? - 硬件級(jí)產(chǎn)品研發(fā)

? ?- 軟件級(jí)產(chǎn)品研發(fā) ? ? ? ? ? - 生產(chǎn)計(jì)劃和操作計(jì)劃 ? ? ? ? ? ? ? ? - 產(chǎn)品發(fā)布

? ?- 產(chǎn)品的操作、服務(wù)和拆解 ? - 可控性 ? ? ? ? ? ? ? ? ? ? ? ? ? ? - 外部措施

? ?- 其它技術(shù) ? ? ? ? ? ? ? ? - 安全文化（安全經(jīng)驗(yàn)傳承、重視安全）

3、ISO26262-3 概念階段

3.1 項(xiàng)目定義

3.1.1 項(xiàng)目信息： ?- 法規(guī)要求，已知的國(guó)際和國(guó)際標(biāo)準(zhǔn) ? ? ? - 類似功能、系統(tǒng)或元素達(dá)到的行為

? ? ? ? - ? 對(duì)項(xiàng)目預(yù)期行為的構(gòu)想 ? ? ? ? ? ? ? ? ? ? ? ?- 已知的失效模式和風(fēng)險(xiǎn)在內(nèi)的項(xiàng)目缺陷造成的潛在影響

3.1.2 項(xiàng)目的邊界條件以及相關(guān)項(xiàng)目之間的接口條件：

? ? ? - 項(xiàng)目的所有元素 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? - 項(xiàng)目對(duì)其它項(xiàng)目或項(xiàng)目環(huán)境元素的相關(guān)影響

? ? ? - 其它項(xiàng)目，元素和環(huán)境對(duì)本項(xiàng)目的要求 ? ? ? ? ? - 子系統(tǒng)或者包含的元素中，對(duì)功能的單位和分配

? ? ? - 影響項(xiàng)目功能時(shí)，項(xiàng)目的運(yùn)行情況

3.2 項(xiàng)目的安全生命周期

3.2.1 全新產(chǎn)品研發(fā)

3.2.2 現(xiàn)有產(chǎn)品升級(jí)改造

1. 做產(chǎn)品和使用環(huán)境分析，以制定出預(yù)期更改，并評(píng)估更改的影響

? ? a) 設(shè)計(jì)更改與執(zhí)行更改 ? ? ? ? ? ? ? ? b) 配置數(shù)據(jù)或校準(zhǔn)數(shù)據(jù)的更改 ? ? ? ? ? ? ? c) 產(chǎn)品環(huán)境更改

2. 表述清楚產(chǎn)品使用前后條件的差別

? ? a) 操作條件和操作模式 ? ? ? ? ? ? ? ? b) 環(huán)境接口 ? ? ? ? ? ? c) 安裝特征，如：安裝位置、配置和變化

? ? d) 環(huán)境條件范圍，如：溫度、濕度、海拔、震動(dòng)、EMC和汽油標(biāo)號(hào)等

3. 要明確定義產(chǎn)品變更以及影響范圍

4. 影響到的服役產(chǎn)品，需要進(jìn)行升級(jí)的，要逐一列出

5. 定制的相關(guān)安全活動(dòng)應(yīng)符合各個(gè)應(yīng)用生命周期階段的要求

? ? a) 定制應(yīng)基于影響分析的結(jié)果 ? ? ? ? ? ? ? ? ? b) 定制的結(jié)果應(yīng)包括在符合ISO26262-2的安全計(jì)劃中?

? ? c) 影響到的產(chǎn)品須返工，包括確認(rèn)計(jì)劃和驗(yàn)證計(jì)劃

3.2.3 項(xiàng)目的危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估

? ? - 危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估的目的 ? ? ? ? ? ?- 危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估的步驟 ? ??

? ?- 情形分析和危險(xiǎn)識(shí)別： ?

? ? ? a.準(zhǔn)備用來(lái)進(jìn)行評(píng)估的操作情況清單 ? ? ? b.系統(tǒng)的確定清單上的危險(xiǎn) ? ? ? ? ?c.風(fēng)險(xiǎn)定義

? ? ? d.明確相關(guān)操作條件和操作模式下危險(xiǎn)事件的影響 ? ?e.對(duì)超出ISO262的風(fēng)險(xiǎn)，也要給予相應(yīng)措施 ? ? ?

? ? - 對(duì)風(fēng)險(xiǎn)進(jìn)行分級(jí)，設(shè)定安全目標(biāo)，并按風(fēng)險(xiǎn)等級(jí)采取合理的措施

? ? - 風(fēng)險(xiǎn)的分類（3個(gè)指標(biāo)）

? ? ? ? ?a) ?傷害的嚴(yán)重性（4個(gè)等級(jí)，S0，S1，S2，S3）

? ? ? ? b) ?操作條件下暴露于危險(xiǎn)中的可能性（5個(gè)等級(jí)，E0，E1，E2，E3，E4）

? ? ? ? c) ?危險(xiǎn)事件的可控性（4個(gè)等級(jí)，C0，C1，C2，C3）

? ? ? ? d) ?風(fēng)險(xiǎn)的ASIL等級(jí)表（4個(gè)等級(jí)，A、B、C、D）

3.2.4 功能安全概念

? ? - 基本的安全機(jī)制和安全措施：

? ? ?1) 故障檢測(cè)和失效緩解措施 ? ? 2) 安全狀態(tài)轉(zhuǎn)換 ? ? ? ?3) 故障容錯(cuò)機(jī)制 ? ? ? ?

? ? ? 4) 故障檢測(cè)和司機(jī)警示裝置 ? ? 5) 邏輯仲裁 ? ? ? ? ? ? ? 6) 安全目標(biāo)和功能安全要求的層次結(jié)構(gòu)

? ? ? 7) 功能安全要求的來(lái)源：

? ? ? ? ? a) 應(yīng)從安全目標(biāo)和安全狀態(tài)來(lái)獲得，并考慮預(yù)想架構(gòu)、功能概念、操作模式和系統(tǒng)狀態(tài)

? ? ? ? ? b) 要為每個(gè)安全目標(biāo)設(shè)定至少一個(gè)功能安全要求

? ? ? ? ? c) 每個(gè)功能安全要求都要考慮以下內(nèi)容：

? ? ? ? ? ? ?1.操作模式 ? 2.故障容錯(cuò)時(shí)間間隔 ? ?3.安全狀態(tài)，過(guò)渡到安全狀態(tài)是否符合設(shè)備要求 ??

? ? ? ? ? ? ?4.急停操作間隔 ? ? ?5.功能冗余

? ? ? ? ? d) 警示和降級(jí)

? ? ? ? ? e) 如果安全狀態(tài)不能通過(guò)立即關(guān)閉來(lái)達(dá)到，則需指定一個(gè)緊急操作

? ? ? ? ? ? ? 1) 這些動(dòng)作應(yīng)該在功能安全概念中詳細(xì)描述

? ? ? ? ? ? ? 2) 駕駛員或陷入危險(xiǎn)中的人員可以使用的手段或者控制要在功能安全概念中詳細(xì)描述

? ? ? ?- 功能安全的分配：

? ? ? ? ? ?a) 研發(fā)安全架構(gòu)概念 ? ? ?

? ? ? ? ? b) 功能安全要求分配

? ? ? ? ? ? ? 1.功能安全要求的分配應(yīng)該基于項(xiàng)目預(yù)想架構(gòu)的元素進(jìn)行

? ? ? ? ? ? ? 2.分配過(guò)程中，ASIL和功能安全要求考慮的內(nèi)容信息都要繼續(xù)傳承

? ? ? ? ? ? ? 3.如果多個(gè)功能安全要求被分配到同一個(gè)架構(gòu)元素，則這個(gè)架構(gòu)元素應(yīng)以這些功能安全要求最高 ? ? ? ? ? ? ? ? ? ? ASIL等級(jí)進(jìn)行研發(fā)

? ? ? ? ? ? ? 4.如果項(xiàng)目由超過(guò)一個(gè)的系統(tǒng)組成，則對(duì)于每個(gè)獨(dú)立系統(tǒng)和他們的接口的功能安全要求都要從考 ? ? ? ? ? ? ? ? ? ?慮預(yù)想系統(tǒng)架構(gòu)的功能安全要求中獲得，而這些功能安全要求也都要被分配到系統(tǒng)中去

? ? ? ? ? ? ? 5.如果ASIL等級(jí)需要被拆解，則要符合ISO26262-9第五條款的要求

? ? ? ? ? ? ? 6.如果安全要求被分配到其他技術(shù)的元素中，則無(wú)需考慮ASIL等級(jí)

? ? ? ? ? ?c) 如果功能安全概念依賴于其他技術(shù)的原色，則應(yīng)考慮：

? ? ? ? ? ? ? 1.靠其它技術(shù)執(zhí)行的功能安全要求應(yīng)該從其相應(yīng)的元素中獲得并分配到元素中去

? ? ? ? ? ? ? 2.明確與其他技術(shù)的接口的相關(guān)功能安全要求

? ? ? ? ? ? ? 3.有應(yīng)其他技術(shù)執(zhí)行的功能安全要求要確保有具體的措施

? ? ? ? ? ?d) 依賴于外部風(fēng)險(xiǎn)較低措施的功能安全概念應(yīng)滿足以下要求：

? ? ? ? ? ? ? 1.應(yīng)用于外面風(fēng)險(xiǎn)較低措施的功能安全要求應(yīng)該從相應(yīng)的外部風(fēng)險(xiǎn)較低措施中獲得并分配其中去

? ? ? ? ? ? ? 2.明確與外部風(fēng)險(xiǎn)較低措施的接口的功能安全要求

? ? ? ? ? ? ? 3.如果外部風(fēng)險(xiǎn)較低措施由E/E系統(tǒng)構(gòu)成，則功能安全要求可以用ISO26262來(lái)進(jìn)行評(píng)估

? ? ? ? ? ? ? 4.必須確保由外部風(fēng)險(xiǎn)較低措施執(zhí)行的功能安全要求的正確執(zhí)行

? ? ? ? ? ?e) 功能安全概念應(yīng)該按照ISO26262-8第九條款的要求來(lái)驗(yàn)證與安全目標(biāo)的一致性和符合性

? ? ? ? ? ?f) 項(xiàng)目安全確認(rèn)的原則應(yīng)該學(xué)習(xí)的寫在功能安全概念中

? ? ? ? ? ?g) 功能安全要求的審核應(yīng)該闡明功能安全要求符合安全目標(biāo)

4、ISO26262-4 系統(tǒng)級(jí)產(chǎn)品開(kāi)發(fā)

4.1 系統(tǒng)級(jí)產(chǎn)品開(kāi)發(fā)啟動(dòng) ? ? ? ? ? ? ?

4.2 技術(shù)安全需求制定（技術(shù)安全需求規(guī)范、安全機(jī)制、ASIL分解、潛在故障避免、產(chǎn)品/運(yùn)行/維護(hù)和結(jié)?

? ? ?束、檢驗(yàn)和確認(rèn)）

4.3 系統(tǒng)設(shè)計(jì)（系統(tǒng)設(shè)計(jì)規(guī)范和技術(shù)安全概念、系統(tǒng)架構(gòu)設(shè)計(jì)約束、系統(tǒng)失效的避免措施、運(yùn)行過(guò)程中隨

? ? ? 機(jī)硬件失效的控制措施、硬件和軟件配置、硬件和軟件接口規(guī)范、產(chǎn)品運(yùn)行/維護(hù)和關(guān)閉要求、 ? ? ? ? 系統(tǒng)設(shè)計(jì)驗(yàn)證）

4.4 項(xiàng)目集成和測(cè)試（集成測(cè)試計(jì)劃制定、軟硬件集成與測(cè)試、系統(tǒng)集成和測(cè)試、測(cè)試目標(biāo)和測(cè)試方法）

4.5 安全確認(rèn) ? ? ? ? 4.6功能安全評(píng)估 ? ? ? ? ? ? 4.7 產(chǎn)品發(fā)布

5、ISO26262-5 硬件級(jí)產(chǎn)品開(kāi)發(fā)

5.1 硬件級(jí)產(chǎn)品開(kāi)發(fā)初始化 ? ? ? ?5.2 硬件安全需求規(guī)范擬定 ? ? ?

5.3 硬件設(shè)計(jì)（硬件架構(gòu)設(shè)計(jì)、硬件詳細(xì)設(shè)計(jì)、安全分析、硬件設(shè)計(jì)驗(yàn)證、生產(chǎn)/運(yùn)行/服務(wù)和關(guān)閉）

5.4 硬件體系指標(biāo)評(píng)估

6、ISO26262-6 軟件級(jí)產(chǎn)品開(kāi)發(fā)

?6.1 軟件級(jí)產(chǎn)品開(kāi)發(fā)啟動(dòng) ? ? ? ? ?6.2 軟件安全需求規(guī)范擬定 ? ? ? 6.3 軟件體系設(shè)計(jì) ?

?6.4 軟件單元設(shè)計(jì)和實(shí)現(xiàn) ? ? ? ? ?6.5 軟件單元測(cè)試 ? ? ? ? ? ? ? ? ? ? 6.6 軟件集成和測(cè)試 ? ? ? ? ?

?6.7 軟件安全需求和驗(yàn)證

7、ISO26262-7生產(chǎn)運(yùn)行

? ?7.1 生產(chǎn) ? ? ?7.2 運(yùn)行、服務(wù)（保養(yǎng)和維護(hù)）和關(guān)閉

8、ISO26262-8支持過(guò)程

?8.1 分布式開(kāi)發(fā)接口 ? ? ? ?8.2 安全需求規(guī)范和管理 ? ? ?8.3 配置管理 ? ? ? 8.4 變更管理 ? ? ? ? 8.5 驗(yàn)證

?8.6 文檔 ? ? ? ? ? ? ? ? ?8.7 可信的軟件工具 ? ? ? ? ?8.8 軟件組件證明 ? ? ? 8.9 硬件組件證明 ? ? ?8.10 論證證明

9、ISO26262-9 面向汽車安全完整性等級(jí)（ASIL）和安全分析

?9.1 考慮ASIL裁剪等級(jí)分解要求 ? ? ? ?9.2 要素共存標(biāo)準(zhǔn) ? ? ?9.3 關(guān)聯(lián)故障分析 ? ? ?9.4 安全分析

10、ISO26262-10 指南

互動(dòng)練習(xí)：自由討論，答疑解惑