做汽車電控的功能安全，需要對ISO26262理解到什麼程度？幹這一行前景怎麼樣？

01-24

現在在看ISO26262，看一會就看不下去了，太枯燥了，怎麼辦？有沒有別的方法？求指教啊，還有，這個崗位是幹什麼的？工作內容是編程多還是測試多？老是感覺這個崗位性質跟品質管理似的

前言：

最近研究26262功能安全一段時間，感覺看ISO 26262 標準那從一到十的共十篇文檔，無論中文版還是英文版都讓我直犯困，渾身無力。baidu資料也比較少，難道就沒有些簡單易懂的資料分享么，？？？？不過功夫不負有心人，我去馬雲爸爸的某寶上淘了些培訓資料，TUV、恆潤啊、SGS、IKV的培訓資料都看了，才算是入了門，我就簡單的表達一下自己的一些看法建議。請求板磚·········

1.先了解大背景，功能安全這個概念的形成與發展

功能安全概念的形成起源於上個世紀。19世紀70年代到80年代，在世界範圍內，尤其是石油化工領域中一些大型項目的生產過程中，多次發生爆炸事故或者嚴重的污染物泄漏事情。當時業內專家通過系列而系統的分析手段，明確了事故發生的主要原因是因為相關安全控制系統安全功能失效導致的，而造成這些失效的直接原因中，由於電子、電氣、可編程邏輯控制器產品自身安全功能不完善導致系統失效的比重是非常大的。

為了提高電子、電氣、可編程邏輯控制器產品的安全性能，從1989年開始，世界範圍內的業內專家，對產品安全性設計技術非常重視，並且計劃將電子、電氣及可編程電子安全控制系統相關的技術發展為一套成熟的安全設計技術標準。1993年，在包含TüV SüD技術專家的專家技術團隊的不斷努力下，誕生了DIN V VDE 0801標準。之後隨著更多業內專家的參與和積極努力，國際電工委員會終於在1998年的時候，正式頒布了IEC61508(功能安全基礎標準)標準的第一版，並在2010年正式頒布了該標準的第二版。

到目前為止，除功能安全的基礎標準IEC61508之外，其他相關領域的功能安全系列標準也已經頒布並得到大量的應用。如專門針對過程式控制制行業的IEC61511標準，專門針對工廠自動化領域的IEC62061和ISO13849-1標準，專門針對鐵路信號控制領域的EN5012X系列標準，專門針對核電領域的IEC61513標準…當然，這其中也包含針對道路車輛功能安全領域的專用標準ISO26262。

ISO26262是從電子、電氣及可編程器件功能安全基本標準IEC61508派生出來的，ISO26262標準主要定位在汽車行業中特定的電氣器件、電子設備、可編程電子器件等專門用於汽車控制領域的部件和系統，它旨在提高汽車電子、電氣產品功能安全性能。另外此前路人皆知的「踏板門」、「剎車門」等事件，其實和功能安全都有很大的關聯度。

ISO26226標準的核心價值在於，它可以通過系統的功能安全研發管理流程，以及針對汽車電子控制系統硬體和軟體的系統化驗證和確認方法，保證電子系統的安全功能在面對各種嚴酷條件時不失效，從而保證駕乘人員以及路人的安全。對於汽車廠商而言，貫徹執行ISO26262標準不僅可以提高安全性能，提升產品內在價值，也可以最大程度的控制因為電子部件可靠性問題導致的整車召迴風險，避免品牌形象受損，避免蒙受較大的經濟損失。

ISO26262標準在今年剛剛正式頒布，雖然世界範圍內，暫時沒有出現官方層面的強制執行要求，但該標準的執行，將減少因為電子器件失效造成的交通事故和降低潛在召迴風險，所以目前國際大型車企非常重視ISO26262標準的應用和推廣。

2、功能安全被定義為：

根據ISO26262,

「Absence of unreasonable risk due to hazards caused by malfunctioning

behavior of E/E systems.」

所以綜合一下、按通俗的理解而言，功能安全就是指汽車即便出現了故障，這個故障也是可控的，不會出現「玩脫了」的情況。實現功能安全是汽車設計的主要目標，也是評價汽車設計的重要標準。

3、ISO/DIS 26262 – 安全生命周期模型

做汽車電控的功能安全，主要是在26262 的4 5 6章節

4、對一些基礎概念的深度理解

工程上的Failure, Error和Fault三者之間區別與聯繫？（IEC 61508和ISO 26262）

Fault的定義：可能導致系統或功能失效的異常條件（Abnormal condition that can cause an element or an item

tofail.），可譯為「故障」。

Error的定義：計算、觀察或測量值或條件，與真實、規定或理論上正確的值或條件之間的差異（Discrepancy between a computed, observed or

measured value or condition and the true, specified, or theoretically correct

value or condition.），可譯為「錯誤」。Error是能夠導致系統出現Failure的系統內部狀態。

Failure的定義：當一個系統不能執行所要求的功能時，即為Failure，可譯為「失效」。（Termination of the ability of an element or an item to

perform a function as required.）

三者關係分析：

· 由於人類試圖通過上述3個基本術語來覆蓋所有現實中的失效場景，所以就有「Fault -&> Error -&> Failure」。即，故障發生了，會導致錯誤，錯誤有可能造成系統功能的減弱或喪失。

· 當Fault是另外一個組件/系統的失效時，則有Failure (Fault) -&> Error

-&> Failure；當將Fault說成是某組件狀態Error時，則有Error (Fault) -&> Error
-&> Failure。

· 事實上，這是一種遞歸循環的關係，遞歸關係要成立必須有一個明確的結束條件，這個條件就是要找出Root Cause，否則將無法完成一個失效分析。

風險評估模型

等級評估

。。。。。。。。。。。。。。。。。。。

先寫到這裡，Mark 一下，研究好了再來補。。。

5、直接看標準確實很枯燥無味，應很多私信要求就發個福利鏈接，某寶你懂得，為了汽車安全馬雲爸爸確實做了貢獻很大

ISO26262不是一本教招式的武功圖譜，而是一套武功心法口訣。

所以，它語言清楚卻又晦澀。清楚的是你每個字都能看懂，晦澀的是你看懂了也不知道怎麼做。

比如，它說了功能安全經理有幾個職責，其中一條是提高團隊成員的安全意識……這TM是個什麼鬼……

ISO26262自稱提供了全生命周期的安全模型，涉及系統，設計，開發，測試，生產，運行與維護，過程支持等方方面面，建議先從一處入手。如果題主的本職工作是軟體或硬體開發，可以先從AK-EGAS組織的safety monitoring concept入手。

信息共享:

免去某寶中文版在這裡

汽車推薦性國家標準《道路車輛功能安全》第5部分-第8部分徵求意見

看不進去是正常的。

ISO26262主要是面對汽車電子車規級開發的綱領性標準，它不涉及E/E系統的標稱性能要求，也不涉及具體某一塊的功能性性能標準。給我的理解就好比各國的《憲法》，它好像什麼都說了，卻也貌似什麼都沒說。我覺得答主還是至少得努力通讀一兩遍26262，不求多麼深刻的理解，能做到在工作中針對看到的細節可以聯繫到26262中對應的點即可。

總之，看不下去也得看，看不懂也得記個大概，就好像《倚天屠龍記》中少年張無忌無法領悟《九陽神功》，只能死記硬背下來一樣。今後你會在工作中逐漸發現它的作用的。

作為汽車行業的工程師和也嘗試著回答這個問題，功能安全實際上是一種思維方式，是一種世界觀和方法論，他首先要求你如何認識什麼是功能安全，下面就是如何保證功能安全。你需要做的是從頭到尾整個流程，需要做項目來把整個流程把握清楚的。空想是沒有任何用處的，因為ISO26262實際上就是一個方法論的集合。你需要知道什麼是功能安全，另外，知道你所做的產品什麼功能然後要定義安全目標是什麼？進一步將安全目標分解到，軟體硬體機械等等方面。就是FMEDA，FTA等。我的經驗是首先你需要完完整整的把ISO26262，看完一遍，雖然很枯燥很抽象，一頭霧水，但是你需要看一遍。第二如果有機會的話，可以做一個項目從頭到尾從起始到結束，這樣你就有一個整體性的把握。第三其實是多思考因為，經驗很重要，一個做過很多年的經理也很難講自己完全把握這裡面的知識。第四我覺得還是要多向業內的前輩們請教，這個行業發展不過十幾年，前輩也都是汽車行業內的，他們的經驗非常豐富。具體的名字，我就不說了基本都在汽車行業內任職。

我參加工作以來看到過的最好的一本資料，ISO26262，你能從這個標準中看到汽車電控領域的所有過程，並且真真實實可以指導進行電控開發

做好功能安全必須要有一些實際動手落地的東西比如是否可以使用E-gas三層安全架構；如何分析得到單點失效多點失效級聯失效；如何能夠把安全需求在硬體和軟體上實現；如何保證安全需求和驗證的可追溯性。。。定性或者定量的FTAFMEAFMEDA分析。。。真正理解並實現ISO 26262 需要長期的經驗積累。。。它本身就是歐洲汽車電子開發的總結。。。國內真正做好，做細功能安全，還有很長的路要走。

作為半道沾邊到汽車電子的一名工程師，最近也一直在看功能安全方面的資料。

功能安全標準的目標簡單說就是排除不合理的風險（不是所有風險）。

而說起來如此簡單的目標，需要從整個產品的生命周期自始至終的一系列活動來保證，還需要合適的企業文化、組織架構、保證有能力勝任所在職責的人員等等來保質地完成這些活動。

功能安全的目標是如此重要和複雜，要實現其的方法論，需要覆蓋產品從開發到驗證到運營到報廢的全過程，此方法論完全可以推廣開來用於解決功能安全以外的其它各方面的問題，這也是為什麼有人說「ISO26262主要是面對汽車電子車規級開發的綱領性標準」的原因。

話說回來，功能安全開發的過程大致流程如下「Item Definition - HARA (SG) - FSC - TSC System Design - HW/SW 架構設計和詳細設計 - 驗證確認 - Safety Case 」其中在FSC 到設計要伴隨這 Safety analysis。

整個過程是需要各種職責的人員來參與的。所以你說的「做汽車電控的功能安全」並沒有明確你的崗位和職責。

如果你的職責是負責宏觀保證整個產品符合某功能安全等級，並負責生產Safety Case報告應對safety Audi和assessment，那應該是類似於你說的品質管理的角色，管理和把控整個安全開發過程。

相反如果你只是負責其中的比如說硬體開發，那你只需要在活動分解到你這裡的安全技術要求時，知道如何去滿足即可，比如進行針對功能安全的FTA, FMEA, 計算所設計的產品的metric，生產標準要求的work products。

我感覺是和設計相關性更好

Learn by doing

做一個項目後，你會覺得也沒有你想像中的那麼玄乎。

如果你熟悉控制器V開發流程，理解起來要容易點

ISO26262是一個參考，提供了一些開發過程中應該考慮的內容，給開發者提供了一些思路或角度。做好功能安全，需要實際的可落地的項目應用方案，切實應用在項目開發中，而不是嚴格按標準要求開發項目，應該脫離出標準框架，真正理解標準為什麼提這些要求。這是我從事功能安全的一些體會，僅供參考。

工作崗位為project safety manager，ISO26262相關流程把控，最重要的就是對項目safety plan的把關。