ISO 26262

✍ dations ◷ 2025-04-02 18:14:00 #ISO 26262

ISO 26262《道路车辆功能安全》国际标准是功能安全的国际标准,是针对装设在量产道路车辆(非机动车除外)的电子电气系统,由国际标准化组织(ISO)在2011年发布第一版,在2018年更版。

功能安全特性是每个汽车产业产品开发阶段中不可缺少的一部分。包括规格订定、设计、实现、整合、验证、确认以及产品上市等阶段。ISO 26262是功能安全标准IEC 61508针对汽车电子电气系统所修订的标准,其中定义车用设备的机能安全,包括所有汽车电子电气安全相关系统的完整生命周期。

第一版(ISO 26262:2011)在2011年11月11日发布,是针对安装在总重不超过3.5吨量产汽车上的电子电气系统。第二版(ISO 26262:2018)在2018年12月发布,将范围延伸到非机动车以外的所有路上载具。

此标准的目是在解决车辆内电子电气系统误动作所造成的可能危害。虽然标准的标题是《道路车辆功能安全》,但此标准是和电子电气系统的功能安全有关,包括整个系统,也包括系统中的各部分。

此标准和其母标准IEC 61508类似,都是以风险为基础的安全标准,会针对有危害操作情形的风险进行定性评估,并且定义安全对策来避免或控制系统性失效,侦测或控制随机性的硬件失效,并减少其影响。

ISO 26262的目的:

ISO 26262:2018分为12个章节,其中10个章节是规范(Part 1-9以及Part 12),Part 10和Part 11是指南:

上一版ISO 26262:2011只有10个章节,没有ISO 26262:2018的11, 12章节,第7章节名称只有“生产和运行”(Production and operation)

此章节列出了在应用标准中的词语、定义和缩写(专案词汇表)特别重要的是对于“故障”(fault)、“错误”(error)及“失效”(failure)的定义,因为这些词语是此标准定义功能安全流程的关键,特别是故障可能会放大,成为错误,而错误最终可能会导致失效。所产生“误动作”(malfunction)会造成“危害”,也就表示失去安全功能。

ISO 26262:2011版和其他的机能安全标准不同,也和2018年改版后的内容不同。ISO 26262:2011没有明确定到容错,因为其中假定不可能理解系统内的所有故障

ISO 26262没有使用IEC 61508中的“安全失效分数”(Safe failure fraction),改用“单点故障度量”(single point faults metric)和“潜在故障度量”(latent faults metric)。

ISO 26262提供汽车应用的功能安全标准,定义整个组织的安全管理标准,以及针对车用产品开发和生产安全生命周期的标准。下一章叙述的ISO 26262安全生命周期是以此处列出的安全管理概念来运作:

ISO 26262安全生命周期中的程序会识别及评估危害(安全风险)、为了降低风险到可允许的程度,建立对应的安全需求、针对安全需求进行管理和追踪,产出合理的保证资料,说明在产品中已实现这些安全需求。安全相关的流程可能会整合到传统的品质系统需求生命周期,也可能会和此系统并行:

ISO 26262中有定义一些在安全生命周期中在各阶段都持续进行的支持性流程,这个是整合性的流程,也提供了为了支持通用流程目标需额外考虑的事项。

车辆安全完整性等级(ASIL)是指针对车辆系统或是系统中元件,以其固有安全风险所作的抽象分级方式。ASIL分级会配合ISO 26262一起使用,来表示要预防某特定风险,需要降低风险的程度,ASIL D对应最高等级的风险,ASIL A则对应最轻微的风险。针对特定风险评估的ASIL等级也会指定给对应的安全目标,从这个安全目标衍生的安全需求也需要依此ASIL为准。

要评定ASIL,需进行危害分析及风险评估,依其结果评定ASIL。在ISO 26262中,危害是以对系统有害影响的相对影响程度为准,再考虑造成这些影响的危害是否容易出现。每一个危害事件都以是以可能造成伤亡的严重程度,也考虑车辆暴露在此危害的相对时间长度,以及驾驶可以反应,以避免此伤亡的相对可能性来考虑。

在安全生命周期的开始,会进行危害分析及风险评估,针对所有识别到的危害事件以及安全目标来评估其ASIL。

危害事件会依其可能造成的伤亡来评定其严重度(severity,简称S):

风险管理除了考虑可能伤害的严重性外,也会考虑伤害发生的可能程度。针对特定危害,危害事件若不太容易发生,可视为有较低的风险。在ISO 26262的危害分析及风险评估程序中,发生伤害性危害的可能性是由以下这二项的组合而成:

在上述的分类中,ASIL D的危害事故定义为可能会危及生命到致命的伤害,在大部分的运作条件下都会造成伤害,而且驾驶难以避免伤害。ASIL D结合了上述S3, E4和C3的分类。上述分类若有任何一个从其最严重分类往下降,都会让ASIL等级离开ASIL D(例如,假定不可控(C3),会造成重伤(S3)的危害,若发生几率非常低(E1),需分类为ASIL A)。ASIL等级中比ASIL A更低的是ASIL QM,意思是没有安全的相关性,只需要依品管系统的要求进行即可。

严重度、暴露几率、可控度的分类都是资讯性的,不是说明性的,因此有一些各车厂和供应商解读的空间,也可能会造成歧义。因此国际汽车工程师学会(SAE)提出了J2980 – Considerations for ISO26262 ASIL Hazard Classification,提供了特定危害下,较明确可以评估严重度、暴露几率、可控度的指南。

相关

  • 计算机科学网计算机科学网(英语:Computer Science Network,缩写CSNET)是1981年在美国启用的计算机网络。其目的是为了扩大网络效益,因为受资金或授权的限制,学术和研究机构的计算机科学部门不
  • 塔瓦兰格的耶稣和巴拉那的桑蒂西莫-特立尼达耶稣会传教区塔瓦兰格的耶稣和巴拉那的桑蒂西莫-特立尼达耶稣会传教区 (西班牙语:Misiones Jesuíticas de La Santísima Trinidad de Paraná y Jesús de Tavarangue) 是位在巴拉圭伊塔
  • 声学模型声学模型(Acoustic model)是语音识别系统中最为重要的部分之一,目前的主流系统多采用隐马尔科夫模型进行建模。隐马尔可夫模型的概念是一个离散时域有限状态自动机,隐马尔可夫模
  • 打油诗打油诗相传起源于中国唐朝一名叫绰号张打油的书生,其作品《雪诗》:“江上一笼统,井上黑窟窿。黄狗身上白,白狗身上肿。”对雪景作出了生动的描述。后人便将这种用字通俗浅白、俚
  • 猊下猊下原来是佛教对高僧长老的敬称,在日本也引伸为对天主教枢机的敬称,意义等同于殿下或阁下等对世俗人物的敬称,在中文环境,普及率不及“上人”来的高,一般辞典也不见收入此字,但在
  • 保罗·安斯帕克保罗·欧仁·阿尔贝·安斯帕克(法语:Paul Eugène Albert Anspach,1882年4月1日-1981年8月28日),出生于兹韦恩德雷赫特,比利时男子击剑运动员。他曾参加四届夏季奥运会(1908年、1912
  • 素数阶乘素数阶乘(又称:质数阶乘)是所有小于或等于该数的素数的积,自然数的素数阶乘,写作#。例如10以下的素数有:2,3,5,7,所以10# = 7×5×3×2 = 210。第n个素数阶乘的值,写作pn#。例:第三个
  • 派河派河是位于中国安徽省合肥市肥西县境内的一条河流,全长60公里,发源于该县枣林岗,向东南经过县城上派镇,最后注入巢湖。
  • 埃文斯县 (佐治亚州)埃文斯县(英语:Evans County)是美国乔治亚州东部的一个县。面积484平方公里。根据美国2000年人口普查,共有人口10,495人。县治克拉克斯顿(Claxton)。
  • 长谷川喜一长谷川喜一(日语:長谷川 喜一/はせがわ きいち,1894年4月15日-1944年3月29日)是日本帝国海军的一位将领,曾任龙骧号和赤城号航空母舰舰长,最