目录

• 参考文章
• 简介
• 适用范围
• 汽车安全完整性等级(ASIL)
• • 伤害的严重性S
  • 可能性E
  • 可控性C
  • 完整性等级表
• 认证硬件组件
• 认证软件组件
• 工具置信水平(TCL)
• 软件工具
• • 认证计划(STQP)
  • 分类分析(STCA)
  • • 工具影响(TI)
    • 工具错误检测(TD)
• 编码标准要求

参考文章

• 功能安全-ISO26262标准简介
• 功能安全-ISO26262专栏
• 如何符合功能安全ISO 26262标准
• 旋极信息ISO 26262功能安全在线课程取得圆满成功
• 道路车辆功能安全iso26262标准

简介

• ISO 26262是汽车行业使用的功能安全标准，改编自IEC 61508。它包含对软件开发和设计的要求。强调了研发活动和产品的安全相关方面。

适用范围

• 它适用于所有提供安全相关功能的电力、电子和软件元素等组成的安全相关系统在整个生命周期内的所有活动。
• 主要用于安装在最大毛重不超过3.5吨的乘用车上的一个或多个E/E 系统的安全相关系统。
• IS026262表述了由E/E安全相关系统，包括这些系统的互相影响，故障导致的可能的危险行为，不包括电击，火灾，热，辐射，有毒物质，可燃物质，反应物质，腐蚀性物质，能量释放及类似的危险，除非这些危险是由于E/E 安全相关系统故障导致的。
• ISO26262对E/E系统的标称性能没有要求，对这些系统的功能性性能标准也没有什么要求（例如∶主被动安全系统，刹车系统，ACC等）
• 需要符合 ISO 26262 的系统包括：
  • 驾驶员辅助系统。
  • 推进和车辆动态控制。
  • 主动和被动安全系统。

汽车安全完整性等级(ASIL)

• ASIL是ISO 26262标准的关键部分。ASIL是在开发过程的开始阶段确定的。用户需要根据可能的危害，分析系统的预期功能。ASIL提出这样一个问题：“如果车辆发生故障，驾驶员和相关行人会怎样/li>
• 为了评估风险的评估，ASIL需综合考虑暴露的可能性、驾驶员的控制能力以及关键事件发生时的严重性。ASIL不处理系统所使用的技术，而只关注对驾驶员及其他行人造成的危害。
• 不同的安全要求分为ASIL的A、B、C、D级别，其中D级为最高安全关键流程，测试规范最为严格。
• 例如，让我们以雨刷系统为例。安全分析将确定丧失雨刷功能会对驾驶员的视线造成何种影响。ASIL指导如何选择适当的方法，以达到一定程度的产品完整性。
• 系统（功能级）的 ASIL决定了开发团队需要使用哪些方法。

伤害的严重性S

• 危险事件发生时，对所有被卷入事件中的人的伤害，包括车上的司机和乘客，骑自行车的人，行人，其他车辆上的人员。
• 分类
  • S0：无伤害
  • S1：轻微或有限的伤害
  • S2：严重或危及生命的伤害（可以幸存）
  • S3：危及生命的伤害（可能不能幸存）或致命伤害

可能性E

• 在操作条件下暴露于危险中的可能性。
  • 分类：
    • E0：几乎不可能
    • E1：可能性非常低
    • E2：可能性低
    • E3：中等可能性
    • E4：可能性高

可控性C

• 即危险事件能被司机或者其他交通参与人员进行控制并减小或者避免伤害的可能性。
• 分类：
  • C0：通常可控
  • C1：简单可控
  • C2：正常可控
  • C3：很难控制或不可控

完整性等级表

QM表示与安全无关

认证硬件组件

• 硬件认证有两个主要目的：展示部件如何适应整体系统，并评估故障模式。基础硬件组件可通过标准资格评估，但更复杂的部件要求通过ASIL分解及测试进行评估。硬件组件的认证通常是在一系列环境和操作条件下进行测试。接着，使用多种定量方法分析测试结果，并写入资格 告，附带测试程序、假设及输入标准。

认证软件组件

• 认证软件组件包括：确定功能要求、资源使用以及预测在故障和过载情况下的软件行为。在实际应用的开发阶段使用认证的软件可大幅简化该过程。认证的软件组件通常是优秀的产品，可在项目中复用，包含库、操作系统、数据库及驱动软件。
• 为了认证软件组件，标准要求在正常操作条件下进行测试，并在系统中插入故障，以判定其如何应对非正常输入。设计阶段将分析并处理软件错误，如运行时和数据错误。

ISO 26262也适用于在实践中得到证明的早期系统。很多情况下，若某种系统已经在几百万辆汽车上得到验证，则没有必要重新检验其是否符合标准。

工具置信水平(TCL)

• 通过工具的输入和输出，可开发典型（或参考）用例。分析用例便可确定工具置信水平，简称TCL。
• TCL和ASIL决定软件工具要求的认证水平。确定置信水平，需要评估一下两种因素：
  • 软件工具出故障的可能性，以及错误输出对开发中的安全相关项目或元素会造成何种危害
  • 在输出中预防或检测该错误的可能性
• 工具置信水平分为TCL1、TCL2、TCL3和TCL4，其中TCL4为最高置信水平，TCL1为最低置信水平。

软件工具

认证计划(STQP)

• 软件工具认证计划(STQP)是在安全相关项目开发生命周期的早期创建的。它主要关注两个方面：计划软件工具的认证，以及能证明该工具符合所需置信水平的用例。
• STQP必须包含的项目有：软件工具独特的标识及版本 、用例、环境、描述、用户手册以及确定好的ASIL。

分类分析(STCA)

• 软件工具分类分析(STCA)的主要目的是确定工具置信水平。确定TCL有两个主要因素。第一个因素是工具影响(TI)。第二个因素是工具错误检测(TD)。根据这两个因素，选择合适的TCL。
• 根据所需置信水平，一旦确定了工具影响(TI)和工具错误检测(TD)，就确定了TCL的级别。多个用例可能导致不同的TCL。出现这种情况时，请使用最高级别的TCL。

工具影响(TI)

• 具影响分为TI1和TI2。当故障软件工具不可能违反安全要求时，可选择TI1。其他情况则选择TI2。
• 例如，假设某工具在执行特定软件功能时，会在文档中产生错误字符。这仅仅是一个小错误，并不违反测试时的安全要求。该错误造成的是TI1类别的工具影响。若工具造成的错误以任何形式改变了系统行为，则选择TI2。

工具错误检测(TD)

• 工具错误检测分为TD1、TD2和TD3。TD1代表对工具检测错误的能力有高度的置信，而TD3则代表很低的置信水平，即只能随机检测出错误。
• 例如，假设某工具用于检测设计模型的错误。该工具对模型执行静态分析。当静态分析良好时，该工具不能检测模型中的所有可能违规行为。还有一点值得注意的是，这并不一定意味着该模型是错误的，而仅仅表明需要额外的测试。该例是一种中等程度的置信水平，即TD2。

编码标准要求

• 建议使用编码标准，例如 MISRA，以符合 ISO 26262。使用编码标准与静态代码分析工具可以帮助您遵守ISO 26262第6部分的要求。