什么叫ISO26262道路车辆功能安全标准,什么叫ISO26262的功能安全标准认证

什么叫ISO26262道路车辆功能安全标准

当我们进入汽车行业开展相关业务的情况下，经常会遇到一些专有名词和英文缩写，例如ISO 26262，ASIL，TCL等，这些名词和缩写的解释通常非常专业，让人摸不着头脑，读完之后仍是一头雾水。因此，我们用通俗的语言进行解读，帮你从头梳理和理解这些概念。

1.ISO 26262

在智能汽车领域，我们经常会看到的1个英文缩写就是ISO 26262，ISO 26262是汽车的1个安全性国际标准，此标准主要定位在汽车中特定的电气器件、电子设备、可编程电子器件等专门用于汽车领域的部件，旨在提高汽车电子、电气产品的功能安全。为何汽车行业对ISO 26262如此重视呢？这是由于每一辆生产出来的汽车上路之后都会融入我们的日常生活，一旦汽车上的软硬件设备和系统发生失效或故障，都有可能危害到人类的生命财产安全，后果可能是相当严重的。为了让人们对汽车安全相关功能有1个更好的理解，以及指导电子设备和系统设计人员该怎样避免这些风险，ISO组织制定了汽车功能安全管理体系，称为ISO 26262。

ISO 26262做了什么规定呢？简单地说，ISO 26262为汽车安全提供了1个生命周期理念：管理、开发、生产、经营、服务、报废。同时标准涵盖功能性安全方面的整体开发过程：需求规划、设计、实施、集成、验证、确认和配置。

假如上面的解释仍然让你感到迷惑，那么一句话概括，就是对我们产品开发和设计而言，从项目最开始的阶段就必须把安全相关的理念加入到产品规划和设计中。把安全管理加入到产品规划和设计的具体做法，我们暂不在本文做过多叙述。

ISO 26262是不是强制性的呢？

答案是，目前ISO 26262还只是1个推荐标准，并不是强制性标准。

那我设计的电子设备和系统不符合ISO 26262会怎样？

首先，电子设备和系统会一级一级整合到整车中，汽车生产厂商是汽车最终生产者（简称车厂）。在可预见的未来，世界级车厂、包含国内的主流车厂都会要求与安全相关的产品要符合ISO 26262中的标准。

此外，中国也积极参与了ISO 26262标准的制定，尽管未来ISO 26262在中国的执行方式待定，业界认为强制执行的可能性较大。

最后，ISO 26262对于电子设备和系统制造商而言是1个保护性措施。ISO 26262是目前最先进的汽车安全标准，在可能的事故诉讼中，若是由已通过ISO 26262的电子设备和系统导致的故障，只需承担有限责任。

通过上面的解读，您是否对ISO 26262有了更多了解呢？当我们接受了ISO 26262的概念，开始进入产品设计时，会遇到下个重要概念ASIL。

2.ASIL

ASIL，英文全称是Automotive Safety Integration Level，中文是汽车安全完整性等级。ASIL描述系统能够实现指定安全目标的概率高低。

汽车上的全部电子电气系统都会区划安全等级，包含系统、子系统、电子零件等。其目的是使相关人员和部门统一认识，避免由于目标含混不清，职责不明确造成的风险；另一方面，避免在同1个安全要素上重复投入资源，出现分布不均而出现的资源浪费，1个风险点有几个安全保障，而另1个故障点却没有人意识到。通过系统性，全生命周期的思考方式，实现全面的规划安全功能的目的。

ASIL有4个等级，分别为A，B，C，D，其中A是最少的等级，D是最高的等级。越高的级别，对设计所要求的功能安全性越高，这种要求包含对故障的覆盖率，设计流程的可追溯，设计软件的可信赖证明等。举其中1个例子而言，ASIL A等级对系统单点故障的覆盖率要求达到90%以上；而ASIL D等级对系统单点故障的覆盖率要求达到99%以上。对于ASIL等级的认证要求是有许多项的，上面提到的单点故障的要求只是其中一项。在众多项ASIL等级认证要求中，常会被误解的一项是TCL。

3.TCL

TCL的英文全称是Tool ConfidenCE Level，中文我们称为工具信赖度。由于我们在做电子产品和系统设计时都会使用软件进行设计辅助(EDA)，因此这里的工具通常指的是我们产品开发使用的软件工具。

工具信赖度(TCL)的意义是在开发过程中使用的软件工具的功能必须能正确运行，由于软件工具所出现的故障可能会在产品开发过程中引入你的产品。

工具信赖度(TCL)也是分等级的，有两个标准能够用于明确TCL：工具影响（TI）和工具错误检测（TD）。TI用于评估正在接受评估的软件工具是否对正在开发的设计产生直接的安全相关影响。TI1代表着对设计没有直接影响（例如Microsoft Excel的使用），而TI2则标明对设计有直接影响（例如，Synopsys DesignCompiler®synthesis的使用）。TD明确了您的信赖度，即有措施能够预防和/或检测工具故障。TD1意味高信赖度；TD2标明中等程度的信赖度；而TD3标明较低的信赖度。因此我们能够用下表建立TCL：

ISO26262-8表3

明确工具信赖度（TCL）

工具错误检测

TD1

TD2

TD3

工具影响

TI1

TCL1

TCL1

TCL1

TI2

TCL1

TCL2

TCL3

正在开发的项目或元件的TCL和相应的汽车安全完整性等级（ASIL）决定了必须完成哪种类型的工具资格认证。TCL1的工具，代表着不必须进1步的认证；而对TCL2或TCL3的工具必须结合项目执行额外的工具认证。这时，TCL就跟ASIL联络起来了，如下图所示。

1a – 1d 标明不同的鉴定方法，我们在现阶段能够先不去追究其细节。其中，++标明该方法被强烈建议用于所对应的ASIL，+标明该方法被建议用于所对应的ASIL。

根据上述表格和设计ASIL等级的要求，我们只要执行的附加鉴定方法，就能够使用TCL2或TCL3中评估的软件工具。

什么叫ISO26262的功能安全标准认证

ISO 26262标准名称《道路车辆功能安全》是IEC 61508标准在汽车行业的具体应用。IEC 61508标准在2000年由国际电工委员会TC65委员会提出并制定，我国于2006年发布了系列标准《GB/T 20438 电气/ 电子/可编程电子安全相关系统的功能安全》共7个部分，等同采用IEC61508:1998。

ISO 26262基本框架

Part 1：定义

Part 2：功能安全管理

Part 3：概念阶段

Part 4：产品研发：系统级

Part 5：产品研发：硬件级

Part 6：产品研发：软件级

Part 7：生产和操作

Part 8：支持过程

Part 9：基于ASIL 和安全的分析

Part 10：ISO26262 导则

ISO26262在汽车产品开发过程中的作用流程顺序，如下图所示。

1 什么叫功能安全？

从ISO 26262的结构构成能够看到，标准涵盖了全生命周期的安全要求，功能安全管理、概念阶段、系统研发、硬件研发、软件研发、生产和操作过程、售后，但占比最大的是站在产品设计阶段这个时间节点上，考虑怎样从设计上实现产品安全，能够基于原有的功能实现安全，也能够额外添加功能，实现安全。总之，标准给设计研发阶段的流程要求和建议比较详细，是研发技术人员开发产品的好参考。标准的基本认知是系统过于复杂以后，复杂的相互作用，使得外人很难通过测试或者预测的方式，全面估计失效的位置和失效方式。因此使得预防显得非常重要。

IEC 61508中一段标准原文：“安全是指避免会造成人体健康损害或人身损伤的不可接受风险，而这种风险是由于对财产或环境的破坏而直接或者间接地导致的。

功能安全是整体安全的一部分，它依赖于1个系统或设备对其输入的正确响应。

例如，在电机绕组上装1个热传感器，能够在电机过热前实现断电的过热保护装置。是功能安全的1个例子。但采用特殊的隔热资料来抵御高温就不是功能安全的例子（尽管这也是实现安全的1个例子，并能抵御同样的危险）”

基于这段的定义和阐述，对功能安全有几个方面的理解。

理解一，功能安全在规定其他安全设计流程等细节以前，首先是一种意识，一种思考问题的角度，一种设计人员的方法论。从理论层面和流程层面，建立安全保障的防火墙。

理解二、IEC61508探讨的安全功能都是由电气、电子、可编程电子技术实现的，与机械的、资料的等等其他手段相区别，但能够同时施加在1个系统中。这个区分并不是说其余安全形势不重要或者安全效果没有电子电气的好，只是这个标准所提示的安全系统不对那些措施做出考虑和评价。

安全功能系统，能够与原来的功能系统融合在一起，也能够以独立的形式存在。

理解三、功能安全系统分两部分，功能安全要求和安全完整性要求。

安全功能要求，由危险分析决定，必须清晰阐述某个具体的安全功能的目的，实现方法；

安全完整性要求，由风险评估明确，按照1个安全功能能够完整执行的可能性的大小，安全等级区划成4个级别，SIL1最少，SIL4最高。安全等级越高，发生危险的概率越低。

安全功能要求，必须清晰表述的要素通常包含风险相关参数，风险发生频率，措施实施后造成最严重后果是怎样的，事故率上限是多少等等。

安全完整性也能够分成两部分看待，1个是指定系统的风险评估结果，具体落实到哪个安全措施必须实施，这个评估跟风险发生后的危害性高低、风险发生的频率有关。另1个是明确应对这个风险的安全措施的等级。风险越评估结果越严重，必须配置的安全等级也越高。

进1步说明安全完整性要求。原来系统中，可能出现危险的频率越高，则要求安全功能的等级必须相应提高。例如1个开门断电安全功能，系统开门频率是每天10次和每一年1次，则对这个安全功能要求的安全等级前者比后者要高。总体上，安全功能追求的是人们能够接受的1个事故率的范围。

2 IEC 61508讲什么？

IEC61508完整的名称是《电气/电子/可编程电子安全相关系统的功能安全》，它针对采用了硬件、软件、电子、电气、机械等多种技术的综合系统，提出了端到端、全系统和全生命周期的安全评估理念，意在解决科技发展中，越来越复杂的工程系统带来系统失效模式和失效率预测困难的问题。

所谓端到端的概念，就是明确安全要素的目标与当前能力水平的一种思路。标准提出了安全性等级的概念，把系统和它的每一级子系统进行标准评估，指明每个层级组成元素的安全指标和实际能力与安全指标的距离，得出每1个评估主体的具体安全等级作为标签。给每个安全因素分配明确的努力方向，并逐级分解，这个思路使得每个底层产品的供应商都有了自己的具体目标，避免了目标不清带来的失效。有研究提出了1个数字，40%，研究认为40%的失效都是由于安全要求不清晰造成的。

全系统理念，是在端到端理念的基础上，要求考虑全系统的结构、逻辑等系统才能体现出来的性质对安全的影响，要求除了明确每个零件的具体参数指标可靠性指标之外，这些零件组合以后产生的新的性质，也必须得到考察，指定安全目标，衡量安全级别。

全生命周期理念，通常的性能测试或者质量检查，都是针对某1个时刻的产品状态，是整个生命周期中的1个切片。IEC61508要求系统考虑产品系统从概念到设计直至使用以后的寿命终结各个阶段，考虑时间因素在产品安全中产生的影响。

3 IEC 61508为何不适用于汽车的要求

ISO 26262延续了IEC61508的思想，并把它应用于汽车领域。IEC61508在一些方面不适合于汽车行业。刘佳熙在他的论文《汽车电子电气系统的功能安全标准ISO 26262》中指出，IEC61508没有考虑汽车工业的分布式开发模式; 它定义了1个与汽车工业不同的生命周期( 测试在产品发布后进行) ; 它的量化要求( 如失效率) 没有考虑大规模批量生产的情况。随着安全相关的电子电气系统在汽车上的广泛应用，汽车工业对电子电气系统功能安全标准的需求也越来越迫切。