一次搞懂 ISO 26262道路車輛功能安全標準

ISO 26262道路車輛功能安全標準，共分10個部分章節，標準為了追求道路安全議題之嚴謹，而犧牲了易讀性，使得整套標準不容易理解。

顧問近期於網路上閱讀 ISO 26262相關解析的內容心得，再加上顧問自己的理解，幫助大家較快速的理解 ISO 26262。

ISO 26262系統應用的整體脈絡

建議先把描述整體思維的「引言」部分讀懂，對 ISO 26262來說，標準中的每個部分章節(Part)的引言都是一樣的，但千萬別忽略，它會告訴你，為什麼要制定這個標準/部分章節，或者說這個標準/部分章節可以解決了什麼問題。對於標準制定目的的準確把握，有利於提高後續理解條文的效率。

再者，談到ISO 26262標準的脈絡思維，隨著電動汽車的發展，自動駕駛、智慧汽車已經出現。中國也訂出2019年國內汽車銷售中，電動車應有一定的比例，這使得電子電氣系統在汽車領域的應用比例越來越大，對安全的影響性也就越大。

在系統越來越複雜的事實面前，電子電氣功能開發與安全考慮的系統化，是預防系統性失效的必要手段。ISO 26262著重在「系統」和「整體生命週期」的高度，統籌電子電氣系統的功能安全，從提出產品概念階段開始，覆蓋系統開發、硬體開發、軟體開發、生產運行和售後服務，以系統的方法，指導產品全生命週期的安全事項的實施。

ISO 26262提供系統產品劃分安全等級的具體方法，使得整個行業有統一的參考系統，全部資訊都會以文件化的形式留存，形成可以追根溯源的產品安全管理系統；標準還提供了稽核方法，使安全系統形成 PDCA的循環系統。

瞭解 ISO 26262標準整體架構

架構就是標準通過怎樣的形式來實現基本脈絡，如ISO 26262這樣一組標準，可以透過橫向與縱向兩個層面來理解：

橫向：每個部分(Part)之間的結構分布為何；

縱向：每一個部分的標準內部，其條文與條文之間按照怎樣的結構敘述問題。

下圖為 ISO 26262標準每部分關聯說明示意：

ISO 26262中值得一提的地方是，因條文不易理解與比較，所以會有指南章節，可以在瀏覽了引言和全部標準的標題以後，閱讀第10部分「指引」。

下列為 ISO 26262 Part 1~Part 10架構：

• Part 1：定義
• Part 2：功能安全管理
• Part 3：概念階段
• Part 4：產品研發：系統層級
• Part 5：產品研發：硬體層級
• Part 6：產品研發：軟體層級
• Part 7：生產和運作
• Part 8：支援過程
• Part 9：基於 ASIL與安全的分析
• Part 10：ISO 26262指引

理解 ISO 26262每個標準的表達方式

有了前面的理解以後，開始翻閱每個單獨的標準，先不進行深入理解，觀察每個一級標題之間的邏輯關係，並大略看過如下的內容。

歸納發現，ISO 26262典型的敘述模式是：

• 總則；
• 技術安全要求的定義；
• 系統設計；
• 相關項目整合和測試；
• 安全確認；
• 功能安全評估。

可以理解成講述a.原則、b.定義、c.設計、d.測試、e.確認、f.安全評估，是按照實際研發的步驟添加安全要求、安全措施以及安全評估的部分。

章節中確定的分標題中往往都以，「本章輸入」「本章工作結果」命名，實際上每個章節作為流程中的一個步驟，用這樣的命名形式，明確提示訊息流的必要內容，相關內容在標準附錄A匯總成一個表格，在一頁紙裡可看到全部的輸入輸出要求，可以對操作過程產生比較全面的認知。

掌握了每個流程的輸入和輸出，帶著問題，去標準中的相應章節查找對應的詳細操作方法，這樣閱讀和使用標準，一定會帶來事半功倍的效果，按照這樣的理解方法，以下是對 Part 4~8的標準概述：

ISO 26262 Part 4 系統開發

ISO26262中描述的系統層級產品開發流程。

系統開發，與功能安全相關的操作包括：建立系統架構並確定系統安全目標和安全等級；把系統的安全目標和安全等級分配給子系統，常見的一級子系統就是軟體和硬體系統，也可以是其他技術類型的子系統，其後逐步分解直至無法分解的子系統；子系統之間的接口作為一種衍生出來的項目，也需要對其作出功能安全要求和等級劃分。

安全確認，一般是對系統和子系統的測試，與安全目標分解過程相反，是自下而上的過程；從最基層的具備獨立功能的零件開始檢測，每一次整合形成一個新的上級系統，都需要按照這個系統最初設定的安全目標和安全等級進行相應測試，直至組合成最上層系統，完成相應測試；至此並未完全結束，還需要將系統裝車，參與整車的性能和功能安全測試，全部通過以後，系統設計過程才宣告完成。

ISO 26262第4部分「產品開發系統層面」，將說明系統開發的內容分成七個部分：

• 5 總則；
• 6 技術安全要求的定義；
• 7 系統設計；
• 8 相關項整合和測試；
• 9 安全確認；
• 10 功能安全評估；
• 11 生產發佈。

ISO 26262 Part 5 硬體開發

硬體開發過程，原則上與系統開發類似，其安全系統實施分6個部分說明：

• 5 啓動硬體層面產品開發；
• 6 定義硬體安全要求；
• 7 硬體設計；
• 8 硬體架構度量的評估；
• 9 隨機硬體失效導致違背安全目標的評估；
• 10 硬體整合和測試；

ISO 26262 Part 6 軟體開發

標準第6部分，軟體開發安全流程的要求，流程分6個部分

• 5 啓動軟體層面產品開發；
• 6 軟體安全要求的定義；
• 7 軟體架構設計；
• 8 軟體單元設計和實現；
• 9 軟體單元測試；
• 10 軟體整合和測試。

ISO 26262 Part 7 生產和運作

標準第7部分，按照兩部分表述：

• 5 生產；
• 6 運行、服務(維護與維修)和報廢。

描述了功能安全系統在生產過程、維修維護過程中相關的安全要求和負責組織及具體責任。

ISO 26262 Part 8 支援過程

ISO 26262 標準的第8 部分，是對功能安全系統應用過程中，一些重要節點或者應用場景的具體說明和指導，相關部分有10個：

• 5 分布式開發的接口；
• 6 安全要求的定義和管理；
• 7 配置管理；
• 8 變更管理；
• 9 驗證；
• 10 文檔；
• 11 使用軟體工具的置信度；
• 12 軟體組件的鑒定；
• 13 硬體組件的鑒定；
• 14 在用證明。

ISO 26262其餘部分

ISO 26262中的重點和難理解的地方在於，它制定的安全等級的「劃分方法」和在系統內如何「逐級分解」，「劃分」在 Part 3，「逐級分解」在 Part 9。

而安全等級的理解是這個標準的基本功，簡單敘述如下：

ASIL安全等級分解的原則

透過前幾個章節的危害分析和風險評估，會得出系統的安全目標和相應的 ASIL等級，從安全目標可以推導出開發階段的安全需求，安全需求繼承安全目標的 ASIL等級。

如果一個安全需求分解為兩個多餘的安全需求，那麼原來的安全需求的ASIL等級可以分解到兩個多餘的安全需求上。因為只有當兩個安全需求同時不滿足時，才導致系統的失效，所以多餘安全需求的 ASIL等級可以比原始的安全需求的 ASIL等級低。

ISO 26262 Part 9 提供了ASIL分解的原則，如下圖所示：

分解後的 ASIL等級後面括號里是指明原始需求的ASIL等級，比如ASIL D等級分解為ASIL C(D)和ASIL A(D)等，因為整合和需求的驗證仍然依據其原始的ASIL等級。

ASIL 分解可以在安全生命週期的多個階段進行，比如功能安全概念、系統設計、硬件設計、軟件設計階段。

而且ASIL等級可以分多次進行，比如ASIL D等級分為ASIL C(D)和ASIL A(D)，ASIL C(D)還可以繼續分解為 ASIL B(D)和ASIL A(D )。

另外，值得提一下的是標準的 Part 2管理，其闡述功能安全思維在管理面的展現，定義不同階段，安全功能的負責組織，是整個功能安全體系的總協調和起點。

而 ISO 26262 Part 1 名詞定義，建議可以先概覽，隨著閱讀標準的其他部分，再回過頭來了解名詞定義。

ISO 26262 道路車輛功能安全標準並不容易懂，但如果有簡單的導讀脈絡，各位都可以逐步成為 ISO 26262的應用專家，ISO 26262基本上制定地相當完整，不同於一些車用國家標準東拚西湊，缺乏具體理論，也忽略了實務的應用。

參考資料：

1. ISO26262-1 :2011
2. 帮你理清 ISO 26262脉络