ISO 26262是针对汽车电子/电气系统的功能安全标准，涉及汽车电子电气系统的整个安全生命周期及其管理过程；其最终目的便是确保“安全”，避免因汽车电子／电气系统故障而导致的不合理风险。

提供了一个安全生命周期（管理、开发、生产、经营（operation）、服务、报废），并支持在生命周期中各阶段的必要修改活动；

提供了一个基于风险的分析方法，判定车辆的风险等级（汽车安全完整性等级 - ASIL）；

使用汽车安全完整性等级ASIL，指定相关项目的安全需求，以及实现可接受的残余风险；

为验证和确认措施提供需求，以确保实现有效且可接受的安全性；

提供了与供应商相关的要求；

图1. ISO 26262 - 整体流程框架

功能安全管理：为产品开发的每个阶段建立安全开发管理架构，包括整体安全管理、项目开发阶段的安全管理和产品发布后的安全管理。

全生命周期：涵盖产品开发的整个阶段，从概念设计到产品报废：概念阶段、产品开发阶段（系统级、硬件级和软件级）、生产和经营；

图2. ISO 26262 - 核心流程框架

1）整体安全管理

任务：定义安全生命周期模型，即在项目的安全生命周期内需执行的安全活动；安全生命周期涵盖了概念设计阶段、产品开发阶段、生产与经营阶段的主要安全活动；所有阶段的规划、协调、文件编制行为是关键管理工作；

图3. 安全生命周期流程框图

2）项目开发阶段的安全管理

任务：a、定义概念阶段和产品开发阶段的安全管理规则和责任；b、制定概念阶段和开发阶段内的安全管理要求，包括安全活动的计划协调，安全生命周期的进度，安全案例的创建和确认措施的执行；

3）产品发布后的安全管理

任务：在产品发布后，确定负责功能安全的组织和成员的职责，以及确保项目在生命周期各阶段所需的功能安全；

1）概念阶段

安全生命周期的概念阶段是整个产品开发过程中进行安全分析的重要节点，包括四部分内容：a、项目定义   b、安全生命周期初始化    c、风险分析和危险评估    d、功能安全概念。’

项目定义：描述项目与环境以及其他项目之间的相关性和相互作用，以确保安全生命周期中定义的每项活动都能得到准确实施，

安全生命周期的启动：基于项目定义，通过区分是全新开发项目还是改款项目来启动相对应的安全生命周期；如果是改款项目，那么需要识别变更部分进行影响分析后，调整部分安全生命周期活动。

风险分析和风险评估：它是整个概念阶段的核心，其目的是识别会引起项目故障的危害并对其进行分类，并制定预防和减少这些危害相关的安全目标，避免不合理的风险

功能安全概念：其目的是从安全目标中引出功能安全要求，并把他们分配给该项目的初始结构元件或外部措施；为了符合安全目标，功能安全概念包含安全措施，包括应用于项目结构元件并在功能安全要求中详细列出的安全机制。

2）产品开发阶段

在概念阶段获得产品开发的安全需求，将在技术安全中详细说明，并分解在系统层面的安全设计中；完成系统级产品设计后，将技术安全需求规范分解到相应的软硬件技术安全需求规范里，进而开展软硬件级产品设计；

在硬件层面，必要的活动和产品开发过程包括技术安全概念的硬件实现、潜在的硬件故障及影响分析，与软件开发的协调。

在软件层面开发中，通过V字模型流程，遵循技术安全概念，实施软件安全要求的导出、软件架构设计、软件单体设计和细化。并在此基础上实施编码，完成编码后，进行软件单元测试，软件集成和集成测试，以及软件安全要求的验证。

3）生产与经营

a）生产

在生产过程中，由负责生产过程的相关制造商、或个人或机构（车辆制造商、供应商等）实现功能安全；通过在生产计划和控制中涵盖安全相关的特殊特性，规定了确保在生产过程中实现功能安全的要求。

b）经营、服务以及报废

制定了开发维修说明和用户信息要求，包括用户手册与计划，维修工作的执行和监控，同时也考虑到了项目的安全相关的特殊特性。

参考资料：

1.  GB/T  34590.2 - 2017 道路车辆- 功能安全- 第2部分：功能安全管理

2. ISO  26262.2 - 2018  Road vehicles - Functional safety - Part2：Management of functional safety

注：如需获取参考文件，扫描下方二维码，关注公众号“筋斗云与自动驾驶”，在公众对话框回复【安全01】即可获取。