fbpx
维基百科

ISO 26262

四月 11, 2024

ISO 26262國際標準,名为《道路車輛功能安全》,是功能安全的國際標準,是針對裝設在量產道路車輛(非机动车除外)的電子電氣系統,由國際標準化組織(ISO)在2011年發佈第一版,在2018年更版。

標準簡介 编辑

功能安全特性是每個汽車產業產品開發階段中不可缺少的一部份。包括規格訂定、設計、實現、整合、驗證、確認以及產品上市等階段。ISO 26262是功能安全標準IEC 61508針對汽車電子電氣系統所修訂的標準,其中定義車用設備的機能安全,包括所有汽車電子電氣安全相關系統的完整生命週期。

第一版(ISO 26262:2011)在2011年11月11日發佈,是針對安裝在總重不超過3.5噸量產汽車上的電子電氣系統。第二版(ISO 26262:2018)在2018年12月發佈,將範圍延伸到非机动车以外的所有路上载具[1]

此標準的目是在解決車輛內電子電氣系統誤動作所造成的可能危害。雖然標準的標題是《道路車輛功能安全》,但此標準是和電子電氣系統的功能安全有關,包括整個系統,也包括系統中的各部份。

此標準和其母標準IEC 61508類似,都是以風險為基礎的安全標準,會針對有危害操作情形的風險進行定性評估,並且定義安全對策來避免或控制系統性失效,偵測或控制隨機性的硬體失效,並減少其影響。

ISO 26262的目的:

  • 提供車用產品安全生命周期(管理、開發、生產、運行、維修、退役),並在各個階段可以訂制需要的活動。
  • 包括整個開發過程的機能安全層面(包括需求規格、設計、實現、整合、驗證、確認及組態等活動)
  • 提供針對車用,以風險為基礎的風險確認方式(車輛安全完整性等級,ASIL)
  • 用ASIL來確認,若要達到可接受的殘餘風險英语residual risk,應該要滿足哪些安全需求。
  • 提供驗證和確認方式的需求,以確保已達到足夠,且可以接受的安全性[2]

ISO 26262的章節 编辑

ISO 26262:2018分為12個章節,其中10個章節是規範(Part 1-9以及Part 12),Part 10和Part 11是指南:

  1. 名詞解釋(Vocabulary)
  2. 功能安全管理(Management of functional safety)
  3. 概念階段(Concept phase)
  4. 產品開發:系統層級(Product development at the system level)
  5. 產品開發:硬體層級(Product development at the hardware level)
  6. 產品開發:軟體層級(Product development at the software level)
  7. 生產、運行、維護和除役(Production, operation, service and decommissioning)
  8. 支援過程(Supporting processes)
  9. 車輛安全完整性等級導向與安全導向分析(Automotive Safety Integrity Level-oriented and safety-oriented analyses)
  10. ISO 26262 指南(Guideline on ISO 26262)
  11. 將 ISO 26262 應用在半導體上的指南(Guidelines on application of ISO 26262 to semiconductors)
  12. 摩托車應用(Adaptation of ISO 26262 for motorcycles)

上一版ISO 26262:2011只有10個章節,沒有ISO 26262:2018的11, 12章節,第7章節名稱只有「生產和運行」(Production and operation)

Part 1:名詞解釋 编辑

此章節列出了在應用標準中的詞語、定義和縮寫(專案詞彙表)[1] 特別重要的是對於「故障」(fault)、「錯誤」(error)及「失效」(failure)的定義,因為這些詞語是此標準定義功能安全流程的關鍵[3],特別是故障可能會放大,成為錯誤,而錯誤最終可能會導致失效[1]。所產生「誤動作」(malfunction)會造成「危害」,也就表示失去安全功能。

項目(item)
此標準中,「項目」是關鍵的詞語。項目是指可以適用ISO 26262安全生命週期英语Safety Life Cycle,在車輛層級實現某機能(或某機能的部份)的特定系統(或系統組合)。「項目」是在此流程中最高的識別對象,也是此標準下,特定產品安全開發的起點
單元(element)
一個系統、一個元件(其中包括硬體零件,也可能包括軟體單元)、單一的硬體零件或單一的軟體單元(software unit),也就是系統中可以獨立識別以及使用的部份
故障(Fault)
會讓單元或是項目無法使用的異常條件
錯誤(Error)
有關計算到、觀察到或量測到的值或是條件,和真實的、規範的或理論正確的值或是條件之間的差異
失效(Failure)
說明一個單元或是項目因為故障影響而沒有預期行為的情形
容錯(Fault Tolerance)
在有一個故障或是多個故障的情形下,可以實現所規範機能的能力
誤動作行為(Malfunctioning Behaviour)
相對於項目的設計預期,項目的失效或是非預期行為
危害(Hazard)
因為項目誤動作行為,可能會造成損害(harm,身體受傷或健康受損)的潛在來源
機能安全(Functional Safety)
沒有因為電機/電子系統的誤動作行為,而造成不合理危害的風險

ISO 26262:2011版和其他的機能安全標準不同,也和2018年改版後的內容不同。ISO 26262:2011沒有明確定到容錯,因為其中假定不可能理解系統內的所有故障[4]

ISO 26262沒有使用IEC 61508中的「安全失效分數」(Safe failure fraction),改用「單點故障度量」(single point faults metric)和「潛在故障度量」(latent faults metric)[5]

Part 2:功能安全管理 编辑

ISO 26262提供汽車應用的功能安全標準,定義整個組織的安全管理標準,以及針對車用產品開發和生產安全生命週期的標準[6][7][8][9]。下一章敘述的ISO 26262安全生命週期是以此處列出的安全管理概念來運作[1]

危害事件(Hazardous Event)
危害事件是指車輛層級的危害以及車輛運作條件的組合,而且若駕駛沒有及時採取行動,可能會造成事故的事件
安全目標(Safety Goal)
安全目標是指指定為系統的最上層安全需求,目的是要降低一個或多個危害事件的風險,到可以容許的程度
車輛安全完整性等級(Automotive Safety Integrity Level)
車輛安全完整性等級(ASIL)代表特定車輛針對某一安全目標,以風險為基礎的分類,也包括標準中為了達到此一目標,需要有的驗證和確認
安全需求(Safety Requirement)
安全需求包括了所有的安全目標,也包括從安全目標分解的所有需求,以及分配給硬體或軟體元件的所有最低級別機能以及技術安全需求

Parts 3-7:從概念設計到設計製造的安全生命週期 编辑

ISO 26262安全生命週期中的程序會識別及評估危害(安全風險)、為了降低風險到可允許的程度,建立對應的安全需求、針對安全需求進行管理和追蹤,產出合理的保證資料,說明在產品中已實現這些安全需求。安全相關的流程可能會整合到傳統的品質系統需求生命週期,也可能會和此系統並行[10][11]

  1. 識別項目(item,特定的車用系統產品),以及定義其最上層的系統功能需求。
  2. 識別項目的全面風險事件(hazardous events)
  3. 針對一個風險事件,定義其ASIL(可參考Part 9)
  4. 針對風險事件決定其安全目標(safety goal),其中也包括風險事件的ASIL。
  5. 針對汽車層級的功能安全概念(functional safety concept),定義可以確保安全目標的系統架構。
  6. 將安全目標再拆解為細部的安全需求(safety requirements)
    (一般而言,每一個安全需求都會使用上層安全需求或安全目標的ASIL。不過因為實際情形的限制,可能會將一個安全需求拆解為數個ASIL較低,但有冗餘機能的安全需求,由獨立的冗餘元件來實現)。
  7. 安全需求會分配到各架構組件(architectural components),可能是子系統、硬體組件、軟體組件
    (一般而言,每一個組件都需要考慮分配到安全需求的ASIL等級,依其標準和程序進行,若有多個等級,以最高的為準)
  8. 依分配的安全需求以及機能需求開發架構組件,並且確認符合對應需求。

Part 8:支持流程 编辑

ISO 26262中有定義一些在安全生命週期中在各階段都持續進行的支持性流程,這個是整合性的流程,也提供了為了支持通用流程目標需額外考慮的事項。

  • 受控制的企業介面,可以下達目標、需求和控制方式給分散式開發英语distributed development中的所有供應商。
  • 明確的標示安全需求以及在生命週期中的相關管理方式。
  • 工作文檔的配置管理,有正式唯一的識別方式,可以重現配置,可以建立各工作文檔和配置變更之間的可追蹤性
  • 正式的變更控制,包括變更影響的管理,目的是要確保識別到的缺陷已移除,在產品變更時不會導入危害。
  • 工作文檔驗證的規劃、控制以及報告,驗證可以是評審、分析及測試,也包括各來源識別到缺陷的回歸分析。
  • 計劃性的識別及管理在安全生命週期中,所有有助於機能安全以及安全評估持續管理的工程文檔(文件)
  • 軟體工具(計劃使用以及實際使用的工具)的合格性審查
  • 以往開發的軟體及硬體模組,要整合到目前開發ASIL等級的合格性審查
  • 用服務歷史證據來證實某項目若要用在指定的ASIL等級,已有足夠的安全性。

Part 9: 車輛安全完整性等級(ASIL)導向以及安全導向的分析 编辑

主条目:車輛安全完整性等級

車輛安全完整性等級(ASIL)是指針對車輛系統或是系統中元件,以其固有安全風險所作的抽象分級方式。ASIL分級會配合ISO 26262一起使用,來表示要預防某特定風險,需要降低風險的程度,ASIL D對應最高等級的風險,ASIL A則對應最輕微的風險。針對特定風險評估的ASIL等級也會指定給對應的安全目標,從這個安全目標衍生的安全需求也需要依此ASIL為準[12]

ASIL評估簡介 编辑

要評定ASIL,需進行危害分析及風險評估,依其結果評定ASIL[13]。在ISO 26262中,危害是以對系統有害影響的相對影響程度為準,再考慮造成這些影響的危害是否容易出現。每一個危害事件都是以可能造成傷亡的嚴重程度,也考慮車輛暴露在此危害的相對時間長度,以及駕駛可以反應,以避免此傷亡的相對可能性來考慮[14]

ASIL評估流程 编辑

在安全生命週期的開始,會進行危害分析及風險評估,針對所有識別到的危害事件以及安全目標來評估其ASIL。

危害事件會依其可能造成的傷亡來評定其嚴重度(severity,簡稱S):

嚴重度分類(S)
S0 無人受傷
S1 輕度到中度傷害
S2 嚴重到生命危險(可能存活)的傷害
S3 危及生命到致命的傷害

风险管理除了考慮可能傷害的嚴重性外,也會考慮傷害發生的可能程度。針對特定危害,危害事件若不太容易發生,可視為有較低的風險。在ISO 26262的危害分析及風險評估程序中,發生傷害性危害的可能性是由以下這二項的組合而成:

暴露機率(exposure,簡稱E):可能會發生此傷害的運作條件,其相對的發生率
可控度(control,簡稱C):駕駛可以反應,避免此傷害的可能性
暴露機率分類(E)
E0 幾乎不可能
E1 可能性非常低(只會在罕見的運作條件下會出現)
E2 可能性低
E3 可能性中等
E4 可能性高(大部份的運作條件下都會造成傷害)
可控度分類(C)
C0 一般而言可控
C1 可以簡單控制
C2 正常而言可以控制(大部份的駕駛可以反應,以避免傷害)
C3 難以控制或不可控

在上述的分類中,ASIL D的危害事故定義為可能會危及生命到致命的傷害,在大部份的運作條件下都會造成傷害,而且駕駛難以避免傷害。ASIL D結合了上述S3, E4和C3的分類。上述分類若有任何一個從其最嚴重分類往下降,都會讓ASIL等級離開ASIL D[15](例如,假定不可控(C3),會造成重傷(S3)的危害,若發生機率非常低(E1),需分類為ASIL A)。ASIL等級中比ASIL A更低的是ASIL QM,意思是沒有安全的相關性,只需要依品管系統的要求進行即可。[13]

嚴重度、暴露機率、可控度的分類都是資訊性的,不是說明性的,因此有一些各車廠和供應商解讀的空間,也可能會造成歧義[14][16]。因此国际汽车工程师学会(SAE)提出了J2980 – Considerations for ISO26262 ASIL Hazard Classification,提供了特定危害下,較明確可以評估嚴重度、暴露機率、可控度的指南[17]

相關條目 编辑

參考資料 编辑

  1. ^ 1.0 1.1 1.2 1.3 . International Standardization Organization. [2015-02-05]. (原始内容存档于2016-06-17). 
  2. ^ "ISO 26262 Software Compliance: Achieving Functional Safety in the Automotive Industry" (页面存档备份,存于互联网档案馆) white paper by Parasoft
  3. ^ . International Standardization Organization. [2015-02-05]. (原始内容存档于2016-06-17). 
  4. ^ Greb, Karl; Seely, Anthony. (PDF). ARMtechcon. 2009. (原始内容 (PDF)存档于2015-09-06). 
  5. ^ Boercsoek, J.; Schwarz, M.; Ugljesa, E.; Holub, P.; Hayek, A. (PDF). Recent Researches in Circuits, Systems, Communications and Computers. WSEAS: 222–228. 2011 [2016-04-17]. (原始内容 (PDF)存档于2016-03-04). 
  6. ^ ISO 26262-2:2011, "Management of functional safety" (Abstract)
  7. ^ Greb, Karl. Functional Safety and ISO 26262 (PDF). The Applied Power Electronics Conference and Exposition, Industry Sessions. APEC: 9. 2012. [失效連結]
  8. ^ Blanquart, Jean-Paul; Astruc, Jean-Marc; Baufreton, Philippe; Boulanger, Jean-Louis; Delseny, Hervé; Gassino, Jean; Ladier, Gérard; Ledinot, Emmanuel; Leeman, Michel; Machrouh, Joseph; Quéré, Philippe; Ricque, Bertrand. (PDF). ERTS2 Congress. Embedded Real Time Software and Systems: 3–4. 2012. (原始内容 (PDF)存档于2016-04-17). 
  9. ^ ISO 26262-10:2012(E), "Guideline on ISO 26262", pp. 2-3.
  10. ^ Min Koo Lee; Sung-Hoon Hong; Dong-Chun Kim; Hyuck Moo Kwon. (PDF). Proceedings of the Asia Pacific Industrial Engineering & Management Systems Conference. 2012: 1128 ( Figure 2) [2013-08-01]. (原始内容 (PDF)存档于2013-09-15). 
  11. ^ Juergen Belz. . 2011-07-28. (原始内容存档于2014-02-23). 
  12. ^ (PDF). AUTOSAR. : 19 [2014-02-16]. (原始内容 (PDF)存档于2014-02-22). 
  13. ^ 13.0 13.1 . International Standardization Organization. [2015-02-05]. (原始内容存档于2016-06-17). 
  14. ^ 14.0 14.1 Hobbs, Chris; Lee, Patrick. . Electronic Design. Embedded Technologies (Penton Electronics Group). 2013-07-09 [2021-05-04]. (原始内容存档于2021-05-06).  参数|magazine=与模板{{cite book}}不匹配(建议改用{{cite magazine}}|work=) (帮助)
  15. ^ Martínez LH, Khursheed S, Reddy SM. LFSR generation for high test coverage and low hardware overhead. IET Computers & Digital Techniques. 2019 Aug 21.UoL repository (页面存档备份,存于互联网档案馆
  16. ^ Van Eikema Hommes, Dr. Qi. (PDF). SAE 2012 Government/Industry Meeting. John A. Volpe National Transportation System Center: SAE: 9. 2012 [2021-05-04]. (原始内容 (PDF)存档于2017-08-29). 
  17. ^ J2980 - Considerations for ISO 26262 ASIL Hazard Classification. SAE International. (原始内容于2018-10-26). 
  • ISO 26262-1:2011(en) (Road vehicles — Functional safety — Part 1: Vocabulary)(页面存档备份,存于互联网档案馆

延伸閱讀 编辑

四月 11, 2024
26262, 本條目存在以下問題, 請協助改善本條目或在討論頁針對議題發表看法, 此其中part, 2到part, 9的部份需要更新, 2021年5月5日, 請更新本文以反映近況和新增内容, 完成修改後請移除本模板, 此條目需要編修, 以確保文法, 用詞, 语气, 格式, 標點等使用恰当, 2022年2月15日, 請按照校對指引, 幫助编辑這個條目, 幫助, 討論, 國際標準, 名为, 道路車輛功能安全, 是功能安全的國際標準, 是針對裝設在量產道路車輛, 非机动车除外, 的電子電氣系統, 由國際標準化組織, 在2. 本條目存在以下問題 請協助改善本條目或在討論頁針對議題發表看法 此其中part 2到part 9的部份需要更新 2021年5月5日 請更新本文以反映近況和新增内容 完成修改後請移除本模板 此條目需要編修 以確保文法 用詞 语气 格式 標點等使用恰当 2022年2月15日 請按照校對指引 幫助编辑這個條目 幫助 討論 ISO 26262國際標準 名为 道路車輛功能安全 是功能安全的國際標準 是針對裝設在量產道路車輛 非机动车除外 的電子電氣系統 由國際標準化組織 ISO 在2011年發佈第一版 在2018年更版 目录 1 標準簡介 2 ISO 26262的章節 2 1 Part 1 名詞解釋 2 2 Part 2 功能安全管理 2 3 Parts 3 7 從概念設計到設計製造的安全生命週期 2 4 Part 8 支持流程 2 5 Part 9 車輛安全完整性等級 ASIL 導向以及安全導向的分析 2 5 1 ASIL評估簡介 2 5 2 ASIL評估流程 3 相關條目 4 參考資料 5 延伸閱讀標準簡介 编辑功能安全特性是每個汽車產業產品開發階段中不可缺少的一部份 包括規格訂定 設計 實現 整合 驗證 確認以及產品上市等階段 ISO 26262是功能安全標準IEC 61508針對汽車電子電氣系統所修訂的標準 其中定義車用設備的機能安全 包括所有汽車電子電氣安全相關系統的完整生命週期 第一版 ISO 26262 2011 在2011年11月11日發佈 是針對安裝在總重不超過3 5噸量產汽車上的電子電氣系統 第二版 ISO 26262 2018 在2018年12月發佈 將範圍延伸到非机动车以外的所有路上载具 1 此標準的目是在解決車輛內電子電氣系統誤動作所造成的可能危害 雖然標準的標題是 道路車輛功能安全 但此標準是和電子電氣系統的功能安全有關 包括整個系統 也包括系統中的各部份 此標準和其母標準IEC 61508類似 都是以風險為基礎的安全標準 會針對有危害操作情形的風險進行定性評估 並且定義安全對策來避免或控制系統性失效 偵測或控制隨機性的硬體失效 並減少其影響 ISO 26262的目的 提供車用產品安全生命周期 管理 開發 生產 運行 維修 退役 並在各個階段可以訂制需要的活動 包括整個開發過程的機能安全層面 包括需求規格 設計 實現 整合 驗證 確認及組態等活動 提供針對車用 以風險為基礎的風險確認方式 車輛安全完整性等級 ASIL 用ASIL來確認 若要達到可接受的殘餘風險 英语 residual risk 應該要滿足哪些安全需求 提供驗證和確認方式的需求 以確保已達到足夠 且可以接受的安全性 2 ISO 26262的章節 编辑ISO 26262 2018分為12個章節 其中10個章節是規範 Part 1 9以及Part 12 Part 10和Part 11是指南 名詞解釋 Vocabulary 功能安全管理 Management of functional safety 概念階段 Concept phase 產品開發 系統層級 Product development at the system level 產品開發 硬體層級 Product development at the hardware level 產品開發 軟體層級 Product development at the software level 生產 運行 維護和除役 Production operation service and decommissioning 支援過程 Supporting processes 車輛安全完整性等級導向與安全導向分析 Automotive Safety Integrity Level oriented and safety oriented analyses ISO 26262 指南 Guideline on ISO 26262 將 ISO 26262 應用在半導體上的指南 Guidelines on application of ISO 26262 to semiconductors 摩托車應用 Adaptation of ISO 26262 for motorcycles 上一版ISO 26262 2011只有10個章節 沒有ISO 26262 2018的11 12章節 第7章節名稱只有 生產和運行 Production and operation Part 1 名詞解釋 编辑 此章節列出了在應用標準中的詞語 定義和縮寫 專案詞彙表 1 特別重要的是對於 故障 fault 錯誤 error 及 失效 failure 的定義 因為這些詞語是此標準定義功能安全流程的關鍵 3 特別是故障可能會放大 成為錯誤 而錯誤最終可能會導致失效 1 所產生 誤動作 malfunction 會造成 危害 也就表示失去安全功能 項目 item 此標準中 項目 是關鍵的詞語 項目是指可以適用ISO 26262安全生命週期 英语 Safety Life Cycle 在車輛層級實現某機能 或某機能的部份 的特定系統 或系統組合 項目 是在此流程中最高的識別對象 也是此標準下 特定產品安全開發的起點 單元 element 一個系統 一個元件 其中包括硬體零件 也可能包括軟體單元 單一的硬體零件或單一的軟體單元 software unit 也就是系統中可以獨立識別以及使用的部份 故障 Fault 會讓單元或是項目無法使用的異常條件 錯誤 Error 有關計算到 觀察到或量測到的值或是條件 和真實的 規範的或理論正確的值或是條件之間的差異 失效 Failure 說明一個單元或是項目因為故障影響而沒有預期行為的情形 容錯 Fault Tolerance 在有一個故障或是多個故障的情形下 可以實現所規範機能的能力 誤動作行為 Malfunctioning Behaviour 相對於項目的設計預期 項目的失效或是非預期行為 危害 Hazard 因為項目誤動作行為 可能會造成損害 harm 身體受傷或健康受損 的潛在來源 機能安全 Functional Safety 沒有因為電機 電子系統的誤動作行為 而造成不合理危害的風險ISO 26262 2011版和其他的機能安全標準不同 也和2018年改版後的內容不同 ISO 26262 2011沒有明確定到容錯 因為其中假定不可能理解系統內的所有故障 4 ISO 26262沒有使用IEC 61508中的 安全失效分數 Safe failure fraction 改用 單點故障度量 single point faults metric 和 潛在故障度量 latent faults metric 5 Part 2 功能安全管理 编辑ISO 26262提供汽車應用的功能安全標準 定義整個組織的安全管理標準 以及針對車用產品開發和生產安全生命週期的標準 6 7 8 9 下一章敘述的ISO 26262安全生命週期是以此處列出的安全管理概念來運作 1 危害事件 Hazardous Event 危害事件是指車輛層級的危害以及車輛運作條件的組合 而且若駕駛沒有及時採取行動 可能會造成事故的事件 安全目標 Safety Goal 安全目標是指指定為系統的最上層安全需求 目的是要降低一個或多個危害事件的風險 到可以容許的程度 車輛安全完整性等級 Automotive Safety Integrity Level 車輛安全完整性等級 ASIL 代表特定車輛針對某一安全目標 以風險為基礎的分類 也包括標準中為了達到此一目標 需要有的驗證和確認 安全需求 Safety Requirement 安全需求包括了所有的安全目標 也包括從安全目標分解的所有需求 以及分配給硬體或軟體元件的所有最低級別機能以及技術安全需求Parts 3 7 從概念設計到設計製造的安全生命週期 编辑 ISO 26262安全生命週期中的程序會識別及評估危害 安全風險 為了降低風險到可允許的程度 建立對應的安全需求 針對安全需求進行管理和追蹤 產出合理的保證資料 說明在產品中已實現這些安全需求 安全相關的流程可能會整合到傳統的品質系統需求生命週期 也可能會和此系統並行 10 11 識別項目 item 特定的車用系統產品 以及定義其最上層的系統功能需求 識別項目的全面風險事件 hazardous events 針對一個風險事件 定義其ASIL 可參考Part 9 針對風險事件決定其安全目標 safety goal 其中也包括風險事件的ASIL 針對汽車層級的功能安全概念 functional safety concept 定義可以確保安全目標的系統架構 將安全目標再拆解為細部的安全需求 safety requirements 一般而言 每一個安全需求都會使用上層安全需求或安全目標的ASIL 不過因為實際情形的限制 可能會將一個安全需求拆解為數個ASIL較低 但有冗餘機能的安全需求 由獨立的冗餘元件來實現 安全需求會分配到各架構組件 architectural components 可能是子系統 硬體組件 軟體組件 一般而言 每一個組件都需要考慮分配到安全需求的ASIL等級 依其標準和程序進行 若有多個等級 以最高的為準 依分配的安全需求以及機能需求開發架構組件 並且確認符合對應需求 Part 8 支持流程 编辑 ISO 26262中有定義一些在安全生命週期中在各階段都持續進行的支持性流程 這個是整合性的流程 也提供了為了支持通用流程目標需額外考慮的事項 受控制的企業介面 可以下達目標 需求和控制方式給分散式開發 英语 distributed development 中的所有供應商 明確的標示安全需求以及在生命週期中的相關管理方式 工作文檔的配置管理 有正式唯一的識別方式 可以重現配置 可以建立各工作文檔和配置變更之間的可追蹤性 正式的變更控制 包括變更影響的管理 目的是要確保識別到的缺陷已移除 在產品變更時不會導入危害 工作文檔驗證的規劃 控制以及報告 驗證可以是評審 分析及測試 也包括各來源識別到缺陷的回歸分析 計劃性的識別及管理在安全生命週期中 所有有助於機能安全以及安全評估持續管理的工程文檔 文件 軟體工具 計劃使用以及實際使用的工具 的合格性審查 以往開發的軟體及硬體模組 要整合到目前開發ASIL等級的合格性審查 用服務歷史證據來證實某項目若要用在指定的ASIL等級 已有足夠的安全性 Part 9 車輛安全完整性等級 ASIL 導向以及安全導向的分析 编辑 主条目 車輛安全完整性等級 車輛安全完整性等級 ASIL 是指針對車輛系統或是系統中元件 以其固有安全風險所作的抽象分級方式 ASIL分級會配合ISO 26262一起使用 來表示要預防某特定風險 需要降低風險的程度 ASIL D對應最高等級的風險 ASIL A則對應最輕微的風險 針對特定風險評估的ASIL等級也會指定給對應的安全目標 從這個安全目標衍生的安全需求也需要依此ASIL為準 12 ASIL評估簡介 编辑 要評定ASIL 需進行危害分析及風險評估 依其結果評定ASIL 13 在ISO 26262中 危害是以對系統有害影響的相對影響程度為準 再考慮造成這些影響的危害是否容易出現 每一個危害事件都是以可能造成傷亡的嚴重程度 也考慮車輛暴露在此危害的相對時間長度 以及駕駛可以反應 以避免此傷亡的相對可能性來考慮 14 ASIL評估流程 编辑 在安全生命週期的開始 會進行危害分析及風險評估 針對所有識別到的危害事件以及安全目標來評估其ASIL 危害事件會依其可能造成的傷亡來評定其嚴重度 severity 簡稱S 嚴重度分類 S S0 無人受傷 S1 輕度到中度傷害 S2 嚴重到生命危險 可能存活 的傷害 S3 危及生命到致命的傷害风险管理除了考慮可能傷害的嚴重性外 也會考慮傷害發生的可能程度 針對特定危害 危害事件若不太容易發生 可視為有較低的風險 在ISO 26262的危害分析及風險評估程序中 發生傷害性危害的可能性是由以下這二項的組合而成 暴露機率 exposure 簡稱E 可能會發生此傷害的運作條件 其相對的發生率 可控度 control 簡稱C 駕駛可以反應 避免此傷害的可能性暴露機率分類 E E0 幾乎不可能 E1 可能性非常低 只會在罕見的運作條件下會出現 E2 可能性低 E3 可能性中等 E4 可能性高 大部份的運作條件下都會造成傷害 可控度分類 C C0 一般而言可控 C1 可以簡單控制 C2 正常而言可以控制 大部份的駕駛可以反應 以避免傷害 C3 難以控制或不可控在上述的分類中 ASIL D的危害事故定義為可能會危及生命到致命的傷害 在大部份的運作條件下都會造成傷害 而且駕駛難以避免傷害 ASIL D結合了上述S3 E4和C3的分類 上述分類若有任何一個從其最嚴重分類往下降 都會讓ASIL等級離開ASIL D 15 例如 假定不可控 C3 會造成重傷 S3 的危害 若發生機率非常低 E1 需分類為ASIL A ASIL等級中比ASIL A更低的是ASIL QM 意思是沒有安全的相關性 只需要依品管系統的要求進行即可 13 嚴重度 暴露機率 可控度的分類都是資訊性的 不是說明性的 因此有一些各車廠和供應商解讀的空間 也可能會造成歧義 14 16 因此国际汽车工程师学会 SAE 提出了J2980 Considerations for ISO26262 ASIL Hazard Classification 提供了特定危害下 較明確可以評估嚴重度 暴露機率 可控度的指南 17 相關條目 编辑危害分析 英语 Hazard analysis 風險評估 V模型 驗證及確認 Automotive SPICE ARP4754 英语 ARP4754 民用飛機及系統的指南 DO 178C 英语 DO 178C 航空相關標準 IEC 61508 通用的工業機能安全標準 ISO SAE 21434 車用的網路安全標準 FMEDA E Gas參考資料 编辑 1 0 1 1 1 2 1 3 ISO 26262 1 2018 en Road vehicles Functional safety Part 1 Vocabulary International Standardization Organization 2015 02 05 原始内容存档于2016 06 17 ISO 26262 Software Compliance Achieving Functional Safety in the Automotive Industry 页面存档备份 存于互联网档案馆 white paper by Parasoft ISO 26262 1 2018 en Road vehicles Functional safety Part 10 Guidelines on ISO 26262 International Standardization Organization 2015 02 05 原始内容存档于2016 06 17 Greb Karl Seely Anthony Design of Microcontrollers for Safety Critical Operation ISO 26262 Key Differences from IEC 61508 PDF ARMtechcon 2009 原始内容 PDF 存档于2015 09 06 Boercsoek J Schwarz M Ugljesa E Holub P Hayek A High Availability Controller Concept for Steering Systems The Degradable Safety Controller PDF Recent Researches in Circuits Systems Communications and Computers WSEAS 222 228 2011 2016 04 17 原始内容 PDF 存档于2016 03 04 ISO 26262 2 2011 Management of functional safety Abstract Greb Karl Functional Safety and ISO 26262 PDF The Applied Power Electronics Conference and Exposition Industry Sessions APEC 9 2012 失效連結 Blanquart Jean Paul Astruc Jean Marc Baufreton Philippe Boulanger Jean Louis Delseny Herve Gassino Jean Ladier Gerard Ledinot Emmanuel Leeman Michel Machrouh Joseph Quere Philippe Ricque Bertrand Criticality categories across safety standards in different domains PDF ERTS2 Congress Embedded Real Time Software and Systems 3 4 2012 原始内容 PDF 存档于2016 04 17 ISO 26262 10 2012 E Guideline on ISO 26262 pp 2 3 Min Koo Lee Sung Hoon Hong Dong Chun Kim Hyuck Moo Kwon Incorporating ISO 26262 Development Process in DFSS PDF Proceedings of the Asia Pacific Industrial Engineering amp Management Systems Conference 2012 1128 Figure 2 2013 08 01 原始内容 PDF 存档于2013 09 15 Juergen Belz The ISO 26262 Safety Lifecycle 2011 07 28 原始内容存档于2014 02 23 Glossary V2 5 0 PDF AUTOSAR 19 2014 02 16 原始内容 PDF 存档于2014 02 22 13 0 13 1 ISO 26262 3 2011 en Road vehicles Functional safety Part 3 Concept phase International Standardization Organization 2015 02 05 原始内容存档于2016 06 17 14 0 14 1 Hobbs Chris Lee Patrick Understanding ISO 26262 ASILs Electronic Design Embedded Technologies Penton Electronics Group 2013 07 09 2021 05 04 原始内容存档于2021 05 06 参数 magazine 与模板 cite book 不匹配 建议改用 cite magazine 或 work 帮助 Martinez LH Khursheed S Reddy SM LFSR generation for high test coverage and low hardware overhead IET Computers amp Digital Techniques 2019 Aug 21 UoL repository 页面存档备份 存于互联网档案馆 Van Eikema Hommes Dr Qi Assessment of the ISO 26262 Standard Road Vehicles Functional Safety PDF SAE 2012 Government Industry Meeting John A Volpe National Transportation System Center SAE 9 2012 2021 05 04 原始内容 PDF 存档于2017 08 29 J2980 Considerations for ISO 26262 ASIL Hazard Classification SAE International 原始内容存档于2018 10 26 ISO 26262 1 2011 en Road vehicles Functional safety Part 1 Vocabulary 页面存档备份 存于互联网档案馆 延伸閱讀 编辑ISO 26262系統功能安全設計標準介紹 1 页面存档备份 存于互联网档案馆 ISO 26262功能安全與CMMI DEV流程整合 2 页面存档备份 存于互联网档案馆 取自 https zh wikipedia org w index php title ISO 26262 amp oldid 80670567, 维基百科,wiki,书籍,书籍,图书馆,

文章

,阅读,下载,免费,免费下载,mp3,视频,mp4,3gp, jpg,jpeg,gif,png,图片,音乐,歌曲,电影,书籍,游戏,游戏。