ISO 26262:2018 道路車輛功能安全
ISO 26262:2018,第2版:將卡車、公共汽車、摩托車也涵蓋在內。
ISO 26262 是針對汽車電氣/電子系統的功能安全標準 IEC 61508 的改編。ISO 26262 定義了適用於所有汽車電子和電氣安全相關係統生命週期的汽車設備的功能安全性。與其母標準IEC 61508一樣,ISO 26262是基於風險的安全標準,其中定性評估危險運行情況的風險並定義安全措施以避免或控制系統故障並檢測或控制隨機硬件故障或減輕他們的影響。
ISO 26262:2018 道路車輛功能安全
Road vehicles-Functional Safety
- 全名: 道路車輛功能安全(Road vehicles-Functional Safety)
- 現行版本:2018年,第2版
- 適用範圍:
- ISO 26262:2011,第1版:適用範圍僅侷限在重量不超過3.5t的乘用車。
- ISO 26262:2018,第2版:將卡車、公共汽車、摩托車也涵蓋在內。
- ISO 26262 是針對汽車電氣/電子系統的功能安全標準 IEC 61508 的改編。ISO 26262 定義了適用於所有汽車電子和電氣安全相關係統生命週期的汽車設備的功能安全性。與其母標準IEC 61508一樣,ISO 26262是基於風險的安全標準,其中定性評估危險運行情況的風險並定義安全措施以避免或控制系統故障並檢測或控制隨機硬件故障或減輕他們的影響。
ISO 26262 :2018由 12個章節組成(Part 1 ~ Part 12)
▼V-model,作為貫穿 ISO26262 :2018標準架構。
STEP 01
詞彙(Vocabulary)
本文件定義了ISO 26262系列標準中使用的術語詞彙表。
STEP 02
功能安全管理(Management of functional safety)
本文件規定了汽車應用功能安全管理的要求,,為整體組織安全管理定義標準,並為個別汽車產品的開發和生產製定安全生命週期標準。安全生命週期包括概念階段和產品開發階段(系統,硬件和軟件級別)的管理,以及生產,運營,服務和停止使用。
STEP 03
概念階段(Concept phase)
自 Part 3 至 Part 7,皆屬安全生命週期階段。
Part 3文件規定了汽車應用概念階段的要求,包括以下內容:
- 項目定義;
- 危害分析和風險評估;
- 功能安全概念。
附件A概述了本文件的目標,先決條件和工作成果。
STEP 04
系統級的產品開發(Product development at the system level)
自 Part 3 至 Part 7,皆屬安全生命週期階段。
Part 4 文件規定了汽車應用系統級產品開發的要求,包括:
- 在系統層面啟動產品開發的一般主題;
- 技術安全要求的規範;
- 技術安全概念;
- 系統架構設計;
- 項目集成和測試;
- 安全驗證。
STEP 05
硬體等級的產品開發(Product development at the hardware level)
自 Part 3 至 Part 7,皆屬安全生命週期階段。
本文檔規定了汽車應用硬體等級產品開發的要求,包括:
- 在系統層面啟動產品開發的一般主題;
- 技術安全要求的規範;
- 技術安全概念;
- 系統架構設計;
- 項目集成和測試;
- 安全驗證。
STEP 06
軟件產品開發(Product development at the software level)
自 Part 3 至 Part 7,皆屬安全生命週期階段。
Part 6 文件規定了汽車應用軟體產品開發的要求,包括:
- 軟體產品開發的一般主題;
- 軟體產品安全要求的規範;
- 軟體產品架構設計;
- 軟體產品單元設計和實現;
- 軟體產品單元驗證;
- 軟體產品集成和驗證;
- 測試嵌入式軟體產品。
STEP 07
(Production, operation, service and decommissioning)
自 Part 3 至 Part 7,皆屬安全生命週期階段。
Part 7 文件規定了生產,運營,服務和設備停用的要求,包括相關的規劃活動。
STEP 08
支持流程 (Supporting processes)
Part 8 文件規定了支持流程的要求,包括以下內容:
- 分佈式開發中的接口;
- 全面管理安全要求;
- 配置管理;
- 更換管理層;
- 驗證;
- 文件管理;
- 對使用軟體工具的信心;
- 軟體組件的資格;
- 評估硬體要素;
- 經證實的使用論證;
- 連接超出ISO 26262範圍的應用程序;
- 集成未根據 ISO 26262 開發的安全相關係統。
STEP 09
汽車安全完整性等級(ASIL)導向和安全導向分析的要求
本文件規定了汽車安全完整性等級(ASIL)導向和安全導向分析的要求(Automotive safety integrity level (ASIL)-oriented and safety-oriented analyses),包括以下內容:
- 關於ASIL定制的要求分解
- 要素共存的標準
- 依賴故障分析
- 安全分析
STEP 10
ISO 26262 指南(Guidelines on ISO 26262)
Part 10 文件概述了 ISO 26262 系列標準,並提供了其他說明,旨在加深對 ISO 26262 系列標準其他部分的理解。它僅具有資訊參考,並描述了 ISO 26262 系列標準的一般概念,以便於理解。解釋從一般概念擴展到具體內容。
STEP 11
對半導體的應用指南 (Guidelines on application of ISO 26262 to semiconductors)
Part 11 文件僅提供資訊性參考。它包含了有關半導體開發的 ISO 26262 其他部分的潛在解釋。關於潛在的解釋,內容並非詳盡無遺,即,為了滿足 ISO 26262 的其他部分中定義的要求,也可以進行其他解釋。
STEP 12
對摩托車的適應性 (Adaptation of ISO 26262 for motorcycles)
- 適應摩托車的一般主題;
- 安全文化;
- 確認措施;
- 危害分析和風險評估;
- 車輛集成和測試;
- 安全驗證。
ISO 26262 :2018第二版改版重點
- 對於 ISO 26262標準更新的動機,主要來源於該標準應用過程中的經驗累積,在實際應用過程中,發現了許多可以完善的地方。
- 隨著方法與技術的不斷改進,允許汽車生產商應用與第一版 ISO 26262不同,甚至更加高效的過程方法;此外,語言組織與表達上仍有需要完善的空間。
- 適用範圍的拓展:第二版中,將卡車、公共汽車、摩托車也涵蓋在內。
- 半導體層面的補充:ISO 26262 :2011 Part 5對於硬體層面的要求更多是整體上的,很難顧及到半導體層面,因此需要針對半導體層面進一步增加相應說明。
- 失效可操作的系統(Fail-operational systems):對於自動駕駛功能來說,失效可操作系統是非常有必要的。在第一版 ISO 26262中,更多的注重失效安全(Fail-safe)系統,隨著智能網聯汽車的快速發展,第二版標準將同時注重失效可操作的系統。
- 失效可操作的系統:在其重要或主要系統損壞時,仍可正常完成正常或最終的重要動作的系統。
- 失效安全(Fail-safe)系統 :是指系統不運作時會處在安全狀態,不會造成人員傷亡的系統。
- 標準各章節整體變化:第二版標準新增 Part 11半導體應用指南與 Part 12摩托車應用。針對摩托車增加新的部分(Part 11),對於卡車與公共汽車的特殊要求穿插到現存的各章節中。
- 此外,對於標準條款中的語言及措施,也做了更加準確的修改。
ISO 26262 核心概念
安全問題與常規的以功能為導向和以品質為導向的開發活動及工作成果互相關聯,ISO26262基於”V Model”提出產品開發階段提供參考過程模型。
汽車安全完整性等級 (automotive safety integrity level,ASIL)
汽車安全完整性等級 (automotive safety integrity level,ASIL),四個等級中的每個等級定義了 ISO 26262 相關要求或要素的必要要求或管制措施,以避免不合理的殘餘風險。D為最高嚴格等級,A為最低嚴格要求。在安全生命週期開始時,進行危害分析和風險評估,從而對所有已識別的危險事件和安全目標進行ASIL評估。並透過以下三個變數對潛在危險進行風險分析而建立的:
1.嚴重性
S0 沒有受傷
S1 輕度至中度傷害
S2 嚴重威脅生命(生存可能)傷害
S3 威脅生命(生存不確定)到致命傷
2.暴露概率
E0 難以置信
E1 概率極低(僅在極少數運行條件下可能發生傷害)
E2 概率低
E3 中等概率
E4 概率很高(在大多數操作條件下可能發生傷害)
3.駕駛員的可控性。
可控性分類(C):
C0 一般可控
C1 簡單可控
C2 通常可控制(大多數司機可以採取行動以防止受傷)
C3 難以控製或無法控制
領導力企管顧問提醒您,在實務上與車廠客戶討論時,切入觀點不同,將會有不同的安全等級規範,若本身安全要求不是那麼高,試著用不同角度降低安全件的風險。
將安全要求剩餘的分配給充分獨立的要素,目的是要降低分配給相關要素的剩餘安全要求的ASIL等級。
不存在由電子電氣系統的功能異常表現引起的危害而導致不合理的風險。
在型態管理(配置管理)下,透過變更管理流程,作為進一步開發的基礎的一組單一或多個工作成果的一組要素版本。
專案管理概念,指已執行之控制流分支所占的比率。
一個相關項目(item)引發兩個或兩個以上的失效。
註:相關項目指實現車輛層面功能或部分功能的系統或系統組。
透過具備獨立性的稽核員,對滿足ISO26262進行符合性之確認,確認項目如安全檔案完備性、安全分析認可報告、功能安全審核、軟體評估工具和軟體工具的鑑定報告、組織安全文化展開之確認、展開適度的生產計畫及運行計畫。
從故障探測進入安全狀態的時間間隔。
- 安全生命週期五階段
- 概念
- 系統層面產品開發
- 硬體層面產品開發
- 軟體層面產品開發
- FMEDA是硬體架構度量的一種驗證方法,也是FMEDA是針對硬體隨機失效的分析方法。
- FMEDA的目的是透過硬體架構度量參數來驗證硬件架構中為了滿足需求而採用的錯誤處理機制。
- 為了處理硬體隨機失效,採用兩種硬件架構度量參數來驗證架構的有效性,
- 對於電子-機械硬體元件,則僅需考慮電子方面的失效模式和失效率。
- 硬件元器件的失效率可以通過以下幾種方法決定:
- 使用公認的工業資料庫(ex. SN29500。)中的硬體元件失效率,
- 使用靜態的市場返修或返回品失效率或測試失效率。這種情況下,要求估算計的失效率要有足夠的置信度。
- 透過專家判斷,專家判斷是基於定性和定量討論的一種工程方法。專家判斷在實施的過程中應該以結構性的標準作為基礎。這些結構性的標準應該在失效率評估之前建立完成。
安全議題是智能汽車發展的關鍵
安全功能是每個汽車產品開發階段不可或缺的一部分,從規範到設計,實施,集成,驗證,驗證和生產發布。電動車的銷售日益增加,安全問題也屢見媒體,安全是智能汽車發展的關鍵議題之一,不僅在駕駛輔助和動力驅動領域,而且在車輛動態控制和主被動安全系統領域,新的功能越來越多地觸及到系統安全工程領域。這些功能的開發及項目集成將強化對安全相關系統開發流程的需求,並且要求提供滿足所有合理的系統安全目標的證明。ISO 26262 透過提供適當的要求和流程來避免風險,具體透過以下概念來達成功能安全目的:
A)提供一個汽車安全生命週期(管理、開發、生產、實車運行、服務、報廢),並提供要求及技術指引支持在這些生命周期階段內對必要活動的管理。
B)提供了種汽車特定的基於風險分析方法,以確定汽車安全完整性等級(ASIL)。
C)提供了對於確認和認可措施的要求,以確保達到一個充分、可接受的安全等級;
D)提供了供應商相關的要求,讓車輛安全要求導入整個車用供應鏈。
實務上,功能安全受開發過程,例如包括需求規範、設計、實現、總成、驗證、確認及配置,生產過程、服務過程和管理過程的影響。
ISO 26262 證書
由於 ISO 26262 並非典型的系統驗證標準,各間有公信力的機構推出的認證證書有差異,證書分為以下:
- 產品/流程認證證書
- 範圍:產品(系統/硬體/軟體)
- 優勢:向客戶證明產品或流程符合 ISO 26262的聲明文件。
- 軟體開流程認證證書
- 範圍:軟體開發管理流程
- 優勢:證明軟體開發流程符合 ISO 26262,並且能夠減輕後期整體系統認證期間之工作壓力。
- 軟體工具認證證書
- 範圍:軟體工具
- 優勢:能夠作為獨立的產品在市場上獲得競爭優勢,用戶可以大大縮短開發複雜性車體系統商品的時間,如坊間推出的 FMEA軟體。
- 個人資格認證證書
- 範圍:ISO 26262功能安全專家資格培訓
- 優勢:培養具備 ISO 26262技能的專家。
領導力管企管提供汽車產業的功能安全培訓
我們的團隊了解汽車安全,憑藉豐富的經驗和專業知識,從概念到系統開發,以及確認現有措施。我們的汽車功能安全專家提供 與ISO 26262 相關的全方位服務,請立即 與我們聯繫,取得 ISO 26262 相關的全方位服務。
- 培訓(Training)
- 諮詢(Consulting)
- 安全分析評估(Safety analytics)
- 評估和內部稽核(Assessments and audits)
- 產品安全經理課程(Acting as safety manager)
- 協助申辦資格認證(Qualification and certification)
