ISO26262-2018 最新版深入解读.pdfVIP

NO.647 2011年，汽车电子功能安全ISO 26262:2011正式发布，该标准 已经在汽车电子功能安全领域广泛应用。 ISO （国际标准化组织）会阶段性地对标准进行评估，为了能更 好地适应不断更新的技术需要，ISO 26262于2018年正式改版， 其主要动机如下：  第一版ISO 26262经验的累计  适用范围向其他种类车辆的拓展  半导体层面功能安全的引入  Fail-operational系统的引入 ISO 26262:2011发布之前，IEC 61508作为电子和电气部件行业 相关标准，而对于汽车电子领域并没有特定的标准。 由于IEC 61508是一个通用的标准，对于汽车电子有些方面不是 特别适应。 汽车电子的快速发展给IEC 61508带来了较大的挑战，因此非常 有必要针对汽车电子领域形成特定的标准，鉴于此，ISO 26262 应运而生。 在ISO 26262第一版发布的5年后，ISO （国际标准化组织）对其 进行评估，基于第一版进行完善并形成新的版本。 ISO 26262改版的原因 对于ISO 26262标准更新的动机，主要来源于该标准应用过程中 的经验累积，在实际应用过程中，发现了许多可以完善的地方。 随着方法与技术的不断改进，允许汽车生产商应用与第一版ISO 26262不同，甚至更加高效的过程方法；此外，语言组织与表达 上仍有需要完善的空间。  适用范围的拓展： 在第一版中，适用范围仅局限在重量不超过3.5t的乘用车。 对于相近的交通车辆范围的延伸是必要且合理的，因此，第二版 中，将卡车、公共汽车、摩托车也涵盖在内。  半导体层面的补充： ISO 26262 ：2011Part 5 对于硬件层面的要求更多是整体上的， 很难顾及到半导体层面，因此需要针对半导体层面进一步增加相 应说明。  失效可操作的系统（Fail-operationalsystems ）： 对于自动驾驶功能来说，失效可操作系统是非常有必要的。 在第一版ISO 26262中，更多的注重失效安全（Fail-safe ）系统， 随着智能网联汽车的快速发展，第二版标准将同时注重失效可操 作的系统。 0失效可操作的系统：在其重要或主要系统损坏时，仍可正常完 成正常或最终的重要动作的系统。 0失效安全 （Fail-safe ）系统：是指系统不运作时会处在安全状 态，不会造成人员伤亡的系统。 ISO 26262新版变动解析 1.标准各章节整体变化 如下图所示为各部分标准，第二版标准新增Part11半导体应用指 南与Part12摩托车应用。 可以看出，针对摩托车增加新的部分（Part11 ），对于卡车与公 共汽车的特殊要求穿插到现存的各章节中。 此外，对于标准条款中的语言及措施，也做了更加准确的修改。 2.ISO 26262 Part1-定义 主要变动有以下几点： a.对相关术语更加准确、清晰、易懂的定义。 b.由于不同技术的应用，需要对相关术语进行更新。 c.由于新的适用对象及新的技术的引入，新的相关术语也需要随 之引入。 在第一版中，绝大多数相关术语得以保留。 3.ISO 26262 Part2-功能安全管理 ISO 26262 Part2的变动的依据主要来源于过去5年内该部分累积 的经验。 首先，原Part3的【影响分析】转移到Part2 ，其变化原因主要是 对于安全计划影响分析是一项关键的技术输入。 其次，认可措施（Confirmation measures ）也进行了重新调整： a.认可措施重心发生了变化，更加关注于与实际功能安全相关的 内容； b.对于一些认可措施也要求QM级别 3、根据之前的实践经验，对于低级别的独立性程度，认可措施 也可以由协助者来完成。 另一重大的改变是功能安全评估的范围从需求转为目标。 结构上的重大改变主要产品的发布和功能安全评估的条款已经从 Part4转到Part2 ，为了更好的理解和强调该部分的应用独立于开 发领域（系统、硬件或软件）。 一个关于安全异常管理的章节新增进来，该章节涵盖安全异常、 职责和必要的沟通。 最后，Part2还增加了两个附录，附录C详细地描述了认可措施， 并根据新的认可措施的范围进行调整。 附录F给出了与网络安全交互与接口的指南。 网络安全目前仍然并不在新版本的范围内，但是Part2针对网络安 全接口给出了相应的指导。 4.ISO 26262 Part3-概念阶段 ISO 26262 Part3的变动内容是对危害分析和风险评估的描述与 功能安全概念。 因此，对于第二版ISO 26262