前言：

近期在學(xué)習(xí)ISO26262時，發(fā)現(xiàn)可參考學(xué)習(xí)的資料不多，主要就是國外于2011年發(fā)布的英文版的ISO 26262（據(jù)說第二版的近期就會發(fā)布）以及GB T 34590。而GB T 34590基本就是把ISO26262進(jìn)行了直譯，很多詞匯及描述晦澀難懂（有時都會被它給帶跑偏了）。英文基礎(chǔ)可以的在學(xué)習(xí)這方面的內(nèi)容時，最好還是看英文版的ISO26262。

當(dāng)然，學(xué)習(xí)ISO26262最好的方式是依托實際項目，在項目中將其落地，只有真正在項目中實現(xiàn)過功能安全你才能說你會功能安全，畢竟實踐是檢驗真理的唯一標(biāo)準(zhǔn)。

但是，功能安全也不是誰想搞都能搞的，要是沒有個幾百萬近乎上千萬的預(yù)算，很難搞成。在沒有實際項目的情況下，我們只能通過對現(xiàn)有標(biāo)準(zhǔn)進(jìn)行解讀，對別人的項目過程及項目經(jīng)驗進(jìn)行消化吸收來學(xué)習(xí)這方面的內(nèi)容。

ISO26262標(biāo)準(zhǔn)中共包含10部分內(nèi)容，其中主要內(nèi)容集中在第3-7部分。

下面跟大家分享下我對ISO26262-3(概念階段)的解讀及吸收（很多內(nèi)容來自于別人的項目經(jīng)驗）。

01

—

ISO26262-3（概念階段）是開發(fā)前的準(zhǔn)備工作，該階段按以下流程進(jìn)行展開。

包含4項內(nèi)容：

1. 系統(tǒng)定義，指的是對系統(tǒng)進(jìn)行功能，結(jié)構(gòu)，周圍環(huán)境和其他相互作用系統(tǒng)的描述；

2. 危險分析和風(fēng)險評估（HARA），分析系統(tǒng)可能出現(xiàn)的危險，并對各個危險進(jìn)行ASIL評估，其客觀性和完整性決定了下面步驟的準(zhǔn)確度；

3. 根據(jù)ASIL等級得出安全目標(biāo)；

4. 以實現(xiàn)安全目標(biāo)為目的，設(shè)計系統(tǒng)功能安全概念，建立系統(tǒng)的功能安全框架，將功能安全需求分配到系統(tǒng)的架構(gòu)中。

下面對流程中的各項內(nèi)容展開介紹。

系統(tǒng)定義

這個內(nèi)容比較好理解，系統(tǒng)定義就是對系統(tǒng)的一種描述，告訴別人這個系統(tǒng)是個啥東西，怎么工作的。主要包括兩方面的內(nèi)容：

1. 系統(tǒng)功能需求分析

2. 系統(tǒng)結(jié)構(gòu)分析

舉個例子進(jìn)行簡單說明，AMT的選換擋系統(tǒng)可以這么定義：

（1）系統(tǒng)功能需求分析：

AMT的選換擋系統(tǒng)除了應(yīng)該能夠按照TCU給出的目標(biāo)擋位進(jìn)行換擋外。由于TCU需要根據(jù)當(dāng)前換擋執(zhí)行結(jié)構(gòu)所在位置來調(diào)整目標(biāo)換擋位置，所以還需要將換擋位置信息反饋給TCU。AMT選換擋的功能框圖如下：

（2）系統(tǒng)結(jié)構(gòu)分析：

選換擋系統(tǒng)需要由兩個電機、選換擋執(zhí)行機構(gòu)、溫度傳感器組成。兩個電負(fù)責(zé)提供換擋動力，選換擋執(zhí)行機構(gòu)負(fù)責(zé)撥動撥叉，溫度傳感器負(fù)責(zé)檢測并反饋溫度。

結(jié)構(gòu)圖：略。

上面只是對系統(tǒng)進(jìn)行了簡單定義，當(dāng)然越詳細(xì)越好。

危險分析和風(fēng)險評估HARA

ISO26262提供了一種汽車特定的基于風(fēng)險的分析方法以確定汽車安全完整性等級，此分析方法主要包含3個方面：

1. 場景分析，即提出系統(tǒng)可能使用的所有駕駛場景；

2. 危險辨識，即辨析出可能出現(xiàn)的所有潛在危險；

3. ASIL評估，即對危險進(jìn)行分類，從而確定危險的等級。

三方面的內(nèi)容分別如下：

（1）場景分析：

汽車的駕駛場景指的是汽車駕駛的周邊環(huán)境及汽車本身的狀態(tài)，可由道路條件、交通條件、周邊環(huán)境、車輛駕駛模式以及前提條件等方面描述。既要考慮正確使用車輛的情況，也要考慮可預(yù)見的不正確使用車輛的情況。

（2）危險辨識：

危險辨識主要考慮系統(tǒng)功能的潛在危險，根據(jù)SAEJ2980（美國機動車工程學(xué)會）對于每一種功能都可能發(fā)生6種失效情況：

1. 系統(tǒng)有需求時無功能輸出

2. 系統(tǒng)無需求時有功能輸出

3. 功能輸出超出系統(tǒng)需求

4. 功能輸出少于系統(tǒng)需求

5. 功能輸出與系統(tǒng)需求相反

6. 功能輸出不穩(wěn)定

根據(jù)系統(tǒng)的每一種功能考慮這6種情況下可能引起的系統(tǒng)失效，即可得出系統(tǒng)的潛在危害。

（3）ASIL評估：

ASIL評估應(yīng)根據(jù)以下三個參數(shù)來評估每個潛在危害的ASIL危險程度：

1. 嚴(yán)重度（severity，S），危險發(fā)生后對交通參與者的損害程度，分為S0、S1、S2、S3；

2. 暴漏度（exposure，E），危險駕駛情景下危險發(fā)生的概率，分為E0、E1、E2、E3、E4

3. 可控性（controllable，C），危險發(fā)生后駕駛員對危險的控制程度，分為CO、C1、C2、C3

這三個參數(shù)組成了一個規(guī)則集，根據(jù)規(guī)則集可對汽車在各個駕駛場景中可能出現(xiàn)的潛在危害進(jìn)行ASIL 評估。

可借助下面3張圖片進(jìn)行進(jìn)一步理解。（GB T 34590中有相應(yīng)中文圖）

根據(jù)ISO26262的要求，整個系統(tǒng)的ASIL等級應(yīng)取所有潛在危險中最高的等級。

根據(jù)ASIL等級得出安全目標(biāo)

安全目標(biāo)是危險分析和風(fēng)險評估的最高安全要求。

由危險分析和風(fēng)險評估（HARA）中的每個危險事件，可得到系統(tǒng)的安全目標(biāo)（Safety Goal,SR）。

注：如果確定了相似的安全目標(biāo)，可將他們合并為一個安全目標(biāo)，該目標(biāo)的ASIL等級為相似目標(biāo)的最高等級。

示例如下：

設(shè)計系統(tǒng)功能安全概念

系統(tǒng)功能安全概念其實就是一條條的功能安全需求及需求在架構(gòu)中的體現(xiàn)。

系統(tǒng)的功能安全概念是以安全目標(biāo)為最上層需求，對系統(tǒng)的功能模塊提出故障檢測、安全狀態(tài)、安全機制等方面的功能安全需求（functional safety requirement ,FSR）,并將安全目標(biāo)的ASIL等級分配到系統(tǒng)的軟硬件中。

示例如下：

AMT選換擋系統(tǒng)功能安全概念

根據(jù)上表中的功能安全概念，就可以在原有架構(gòu)的基礎(chǔ)上設(shè)計系統(tǒng)的功能安全架構(gòu)。

架構(gòu)：略。

每個系統(tǒng)按照上面的流程即可得出相應(yīng)系統(tǒng)的功能安全概念，后面的開發(fā)活動都圍繞著該概念進(jìn)行展開。

這是我個人從“紙上”得來的，如有不正確的地方，希望大家留言指正。