IEC 61508 中通过失效概率的方式定义了安 全完整性等级（ SIL） ，但在汽车领域应用实践中，
·58·
图 1 ISO 26262 概览
上海汽车 2011. 10
标准法规
只有随机硬件失效可以通过统计数据评估失效概 率，软件失效难以量化评估。因此，ISO 26262 中 根据汽车行业的特点定义了 ASIL。
在公司组织内部建立和保持安全文化是 ISO 26262 标准的要求，也是促进功能安全有效实现的 前提条件。在具有良好安全文化的公司中： 安全 应具有最高优先级； 奖励系统应支持和鼓励功能 安全的有效 成 果，处 罚 为 取 捷 径 而 危 及 安 全 和 质 量的行为。 3． 2 工作流程制定
ISO 26262 对一个完整的汽车安全生命周期 定义了安全活动要求。同时，ISO 26262 标准中规 定组织内部应建立、执行和保持特定的流程，以满 足标准的各项要求。
标准法规
汽车电子电气系统的功能安全标准 ISO 26262
刘佳熙 郭 辉 李 君 （ 联合汽车电子有限公司，上海 201206）
【摘要】 介绍了即将发布的汽车电子电气系统功能安全国际标准 ISO 26262，对其中汽车安全生命周期
和汽车安全完整性等级两个关键概念进行了解释。从公司安全文化、工作流程制定、产品设计与开发 3 方面，分 析了 ISO 26262 的应用方法。
系统的功能安全性主要决定于产品设计。在 产品设计和 开 发 阶 段 即 采 取 措 施，尽 可 能 减 少 甚 至避免系统 性 失 效 和 随 机 硬 件 失 效，是 提 高 功 能 安全最有效和最经济的方法，也是使产品满足 ISO 26262 的必要条件。
系统性失效往往由产品设计缺陷导致。在设 计中应用演 绎 的 和 归 纳 的 分 析 方 法，是 及 早 识 别 并避 免 潜 在 系 统 性 失 效 行 之 有 效 的 途 径。 ISO 26262要求所有功能安全相关的设计均需采用 归纳分析方法，如失效模式和影响分析（ FMEA） ； 并要求具有 ASIL C 和 D 的功能安全相关设计还 需采用演绎分析方法，如故障树分析 （ FTA） 。除 此之外，重用久经实践验证并受信任的设计、安全 架构和标准 接 口 等，也 是 避 免 系 统 性 失 效 的 有 效 途径。ISO 26262 鼓励重用受信任的设计原则，并 规定对于具有 ASIL D 的系统，弃用受信任的设计 原则的决定需要论证。
在产品开发阶段，ISO 26262 按汽车工业中常 用的 V 型开发流程定义相关安全活动： V 型的左 侧是技术安全需求（ 功能安全概念的技术实现途 径） 的制定、系统设计； V 型的右侧是系统集成、安 全确认和发布。硬件和软件的开发也遵循相似的 小 V 型开发流程。
在批产之 后 的 阶 段，需 要 提 供 必 要 的 文 档 及 方法，以保证在生产、售后服务和报废等环节中， 安全目标不被破坏。同时，需要监控售后产品，发 现有违背安全目标的案例要采取相应措施。 2． 2 汽车安全完整性等级（ ASIL）
汽车电 子 电 气 系 统 自 身 的 安 全 性 应 得 到 保 证，即其中可 能 存 在 的 残 余 安 全 风 险 应 当 被 控 制 在可接 受 的 范 围 之 内。 为 此，国 际 标 准 化 组 织 （ ISO） 成立了工作组，研究并制定了汽车电子电气 系统的功能安全国际标准 ISO 26262。目前，ISO 26262 已 经 进 入 最 后 修 改 和 表 决 阶 段，计 划 于 2011 年年中发布实施。
在一个公司内部为每一个标准单独设立一个 流程是不现实的，一个可行的方案是将包括 ISO 26262 在内的所有标准融合为公司内部流程，工程 师仅需要按照内部流程工作，即可满足所有标准。
上海汽车 2011. 10
·59·
标准法规
举例来讲，安全计划是 ISO 26262 要求的重要流程 步骤和工作产品，在公司内部流程中，安全计划可 以不是一个 独 立 的 文 档，而 是 标 准 项 目 计 划 的 一 部分，可以在已有的质量评审中增加相关问题，对 其进行检查。 3． 3 产品设计与开发
表 1 ASIL 分级
C1
C2
C3
E1
QM
QM
QM
E2
QM
QM
QM
S1
E3
QM
QM
A
E4
QM
A
B
E1
QM
QM
QM
E2
QM
QM
A
S2
E3
QM
A
B
E4
A
B
C
E1
QM
QM
A
E2
QM
B
C
E4
B
C
D
注： 对 S0、E0、C0 的系统不评定 ASIL
ISO 26262 为以上 3 个参数的评定提供了指 导，下面以发动机管理系统为例进行说明。首先， 识别发动机管理系统的可能故障及其影响： 发动 机管理系统的一个可能故障是控制发动机输出过 大的转矩，其 影 响 是 造 成 非 驾 驶 员 期 望 的 车 辆 加 速； 其次，确定已识别故障可导致危险的工况，例 如： 工况为车辆高速转弯、接近失稳； 最后，按 ISO
图 1 展示了 ISO 26262 中定义的汽车安全生 命周期，包含了从概念设计、产品开发到批产后各 阶段的主要安全活动。
功能安全的概念设计必须与整个系统的概念 设计同步 进 行。 在 概 念 设 计 阶 段，要 基 于 系 统 定 义和系统初 步 架 构，分 析 可 能 存 在 的 功 能 安 全 风 险并评估风险的等级。然后根据功能安全风险定 义安全 目 标 和 针 对 每 个 安 全 目 标 的 功 能 安 全 概 念。
【关键词】 国际标准 汽车 功能安全
doi： 10． 3969 / j． issn． 1007-4554． 2011． 10． 15
0 引言
的由来，然后解读 ISO 26262 的内容和关键概念， 最后分析 ISO 26262 的应用方法。
当前，电子 电 气 系 统 是 汽 车 技 术 最 重 要 创 新 领域之一。该领域的新技术和新产品不断涌现， 在提高汽车乘坐舒适性、降低能耗、减少排放等方 面起到了 重 要 的 作 用。 然 而，很 多 汽 车 电 子 电 气 系统与安全 密 切 相 关，其 中 可 能 存 在 的 系 统 性 失 效和随机硬件失效，有导致汽车安全事故的风险。 汽车电 子 电 气 系 统 的 复 杂 性 和 集 成 度 在 不 断 提 高，这种风险也随之增大。
系统的 ASIL 等级越高，ISO 26262 对设计方 法、安全技术、测试方法以及需要达到的技术指标 的要求越严 格，开 发 流 程 和 工 作 产 品 的 审 核 和 确 认也越严格。
3 ISO 26262 的应用
ISO 26262 为功能安全相关的开发提供了方 法论，将保证汽车电子电气系统的安全性，减少安 全事故的发生，产生巨大的社会效益； 与此同时， 安全相关的投诉和召回事件的减少也将为汽车企 业和供应商带来经济效益。然而，ISO 26262 涉及 汽车电子电气系统的整个安全生命周期及其管理 过程，满足该 标 准 对 汽 车 企 业 及 供 应 商 来 说 必 将 是巨大的挑战。为满足 ISO 26262，必须在公司安 全文化、工作流程制定、产品设计与开发等方面进 行持续的改进。 3． 1 公司安全文化
ASIL 在概念设计阶段通过对功能安全风险的 评估中得 到。 如 果 系 统 的 功 能 安 全 风 险 越 大，对 应的安全要求就越高，则具有更高等级的 ASIL。 ASIL 分为 A、B、C、D 4 个级别，ASIL D 为最高汽车 安全完整性等级，对功能安全的要求最高。
ISO 26262 中定义的 ASIL 使用 3 个参数进行 评估，分别是： 危险对驾驶员或其他交通参与人员 造成伤害的严重程度 S，危险所在工况的发生概率 E，危险涉及的驾驶员和其他交通参与人员及时采 取控制行动避免特定伤害的能力 C。S 分为 0 ～ 3 级，S0 代表无伤害，S3 代表危及生命的重伤或致 命伤； E 分为 0 ～ 4 级，E0 代表工况不可能发生，E4 代表工况是常见的； C 分为 0 ～ 3 级，C0 代表完全 可控，C3 代表非常难于控制。对于每一个识别到 的危险，按表 1 评估风险等级（ 即汽车安全完整性 等级） ，其中 QM 表示与安全无关。
本文首先介绍功能安全的概念及 ISO 26262
1 功能安全的概念及 ISO 26262 由 来
功能安全是指避免由系统功能性故障导致的 不可接受的风险。功能安全关注系统故障后的行 为，而不是 系 统 的 原 有 功 能 或 性 能。 以 采 用 电 子 节气门的发 动 机 管 理 系 统 为 例，加 速 踏 板 位 置 传 感器信号是 发 动 机 输 出 转 矩 主 要 决 定 因 素，若 该 传感器发生 故 障 使 其 指 示 位 置 大 于 实 际 位 置，则 可能导致发 动 机 输 出 转 矩 过 大，造 成 车 辆 发 生 非 驾驶员期望 的 加 速，这 是 发 动 机 管 理 系 统 的 一 个 功能安全 风 险。 从 设 计 上 采 取 措 施，使 加 速 踏 板 传感器故障 发 生 时 发 动 机 转 矩 仍 然 可 控，则 提 高 了发动机管理系统的安全性。
20 世纪 90 年代，德国、美国相继颁布了功能 安全相关标准（ DIN V 19250 和 ISA S 84． 01） ，在
收稿日期： 2011 － 05 － 16
上海汽车 2011. 10
·57·
标准法规
此基础之上，国际电工协会（ IEC） 于 2000 年颁布 了关于电子、电气和可编程电子系统 （ E / E / PE） 的功能安全国际标准 IEC 61508。IEC 61508 一经 颁布就得到了广泛采用，在它的基础上，各个工业 应用领域的标准也陆续出台。