什麼是ISO 26262的功能安全

ISO 26262標準名稱《道路車輛功能安全》是IEC 61508標準在汽車行業的具體應用。IEC 61508標準在2000年由國際電工委員會TC65委員會提出並制定，我國於2006年發布了系列標準《GB/T 20438 電氣/ 電子/可編程電子安全相關係統的功能安全》共7個部分，等同採用IEC61508:1998。

ISO 26262基本框架

Part 1：定義

Part 2：功能安全管理

Part 3：概念階段

Part 4：產品研發：系統級

Part 5：產品研發：硬體級

Part 6：產品研發：軟體級

Part 7：生產和操作

Part 8：支持過程

Part 9：基於ASIL 和安全的分析

Part 10：ISO26262 導則

ISO26262在汽車產品開發過程中的作用流程順序，如下圖所示。

1 什麼是功能安全？

從ISO 26262的結構構成可以看到，標準涵蓋了全生命周期的安全要求，功能安全管理、概念階段、系統研發、硬體研發、軟體研發、生產和操作過程、售後，但比例最大的是站在產品設計階段這個時間節點上，考慮怎樣從設計上實現產品安全，可以基於原有的功能實現安全，也可以額外添加功能，實現安全。總之，標準給設計研發階段的流程要求和建議比較詳細，是研發技術人員開發產品的好參考。標準的基本認知是系統過於複雜以後，複雜的相互作用，使得外人很難通過測試或者預測的方式，全面估計失效的位置和失效方式。因此使得預防顯得非常重要。

IEC 61508中一段標準原文：「安全是指避免會造成人體健康損害或人身損傷的不可接受風險，而這種風險是由於對財產或環境的破壞而直接或者間接地導致的。

功能安全是整體安全的一部分，它依賴於一個系統或設備對其輸入的正確響應。

例如，在電機繞組上裝一個熱感測器，可以在電機過熱前實現斷電的過熱保護裝置。是功能安全的一個例子。但採用特殊的隔熱材料來抵禦高溫就不是功能安全的例子（雖然這也是實現安全的一個例子，並能抵禦同樣的危險）」

基於這段的定義和闡述，對功能安全有幾個方面的理解。

理解一，功能安全在規定其他安全設計流程等細節之前，首先是一種意識，一種思考問題的角度，一種設計人員的方法論。從理論層面和流程層面，建立安全保障的防火牆。

理解二、IEC61508討論的安全功能都是由電氣、電子、可編程電子技術實現的，與機械的、材料的等等其他手段相區別，但可以同時施加在一個系統中。這個區分並不是說其餘安全形勢不重要或者安全效果沒有電子電氣的好，只是這個標準所提示的安全系統不對那些措施做出考慮和評價。

安全功能系統，可以與原來的功能系統融合在一起，也可以以獨立的形式存在。

理解三、功能安全系統分兩部分，功能安全要求和安全完整性要求。

安全功能要求，由危險分析決定，需要清晰闡述某個具體的安全功能的目的，實現方法；

安全完整性要求，由風險評估確定，按照一個安全功能能夠完整執行的可能性的大小，安全等級劃分成4個級別，SIL1最低，SIL4最高。安全等級越高，發生危險的概率越低。

安全功能要求，需要清晰表述的要素一般包括風險相關參數，風險發生頻率，措施實施後造成最嚴重後果是怎樣的，事故率上限是多少等等。

安全完整性也可以分成兩部分看待，一個是指定系統的風險評估結果，具體落實到哪個安全措施必須實施，這個評估跟風險發生後的危害性高低、風險發生的頻率有關。另一個是確定應對這個風險的安全措施的等級。風險越評估結果越嚴重，需要配置的安全等級也越高。

進一步說明安全完整性要求。原來系統中，可能出現危險的頻率越高，則要求安全功能的等級必須相應提高。比如一個開門斷電安全功能，系統開門頻率是每天10次和每年1次，則對這個安全功能要求的安全等級前者比後者要高。總體上，安全功能追求的是人們能夠接受的一個事故率的範圍。

2 IEC 61508講什麼？

IEC61508完整的名稱是《電氣/電子/可編程電子安全相關係統的功能安全》，它針對採用了硬體、軟體、電子、電氣、機械等多種技術的綜合系統，提出了端到端、全系統和全生命周期的安全評估理念，意在解決科技發展中，越來越複雜的工程系統帶來系統失效模式和失效率預測困難的問題。

所謂端到端的概念，就是明確安全要素的目標與當前能力水平的一種思路。標準提出了安全性等級的概念，把系統和它的每一級子系統進行標準評估，指明每個層級組成元素的安全指標和實際能力與安全指標的距離，得出每一個評估主體的具體安全等級作為標籤。給每個安全因素分配明確的努力方向，並逐級分解，這個思路使得每個底層產品的供應商都有了自己的具體目標，避免了目標不清帶來的失效。有研究提出了一個數字，40%，研究認為40%的失效都是因為安全要求不清晰造成的。

全系統理念，是在端到端理念的基礎上，要求考慮全系統的結構、邏輯等系統才能體現出來的性質對安全的影響，要求除了明確每個零件的具體參數指標可靠性指標之外，這些零件組合以後產生的新的性質，也必須得到考察，指定安全目標，衡量安全級別。

全生命周期理念，一般的性能測試或者質量檢查，都是針對某一個時刻的產品狀態，是整個生命周期中的一個切片。IEC61508要求系統考慮產品系統從概念到設計直至使用以後的壽命終結各個階段，考慮時間因素在產品安全中產生的影響。

3 IEC 61508為何不適用於汽車的要求

ISO 26262延續了IEC61508的思想，並把它應用於汽車領域。IEC61508在一些方面不適合於汽車行業。劉佳熙在他的論文《汽車電子電氣系統的功能安全標準ISO 26262》中指出，IEC61508沒有考慮汽車工業的分散式開發模式; 它定義了一個與汽車工業不同的生命周期( 測試在產品發布後進行) ; 它的量化要求( 如失效率) 沒有考慮大規模批量生產的情況。隨著安全相關的電子電氣系統在汽車上的廣泛應用，汽車工業對電子電氣系統功能安全標準的需求也越來越迫切。

參考文獻：

1 劉佳熙，汽車電子電氣系統的功能安全標準ISO 26262；

2 史學玲，IEC61508標準的基本原理與方法研究；

3 GBT 20438-2006 電氣 電子 可編程電子安全相關係統的功能安全；

4 未知，ISO 26262的安全檔案概述；

5 未知，IEC61508介紹；

（圖片來自互聯網）

推薦閱讀：