前言：

近期在學(xué)習(xí)ISO26262時(shí)，發(fā)現(xiàn)可參考學(xué)習(xí)的資料不多，主要就是國(guó)外于2011年發(fā)布的英文版的ISO 26262（據(jù)說第二版的近期就會(huì)發(fā)布）以及GB T 34590。而GB T 34590基本就是把ISO26262進(jìn)行了直譯，很多詞匯及描述晦澀難懂（有時(shí)都會(huì)被它給帶跑偏了）。英文基礎(chǔ)可以的在學(xué)習(xí)這方面的內(nèi)容時(shí)，最好還是看英文版的ISO26262。

當(dāng)然，學(xué)習(xí)ISO26262最好的方式是依托實(shí)際項(xiàng)目，在項(xiàng)目中將其落地，只有真正在項(xiàng)目中實(shí)現(xiàn)過功能安全你才能說你會(huì)功能安全，畢竟實(shí)踐是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)。

但是，功能安全也不是誰想搞都能搞的，要是沒有個(gè)幾百萬近乎上千萬的預(yù)算，很難搞成。在沒有實(shí)際項(xiàng)目的情況下，我們只能通過對(duì)現(xiàn)有標(biāo)準(zhǔn)進(jìn)行解讀，對(duì)別人的項(xiàng)目過程及項(xiàng)目經(jīng)驗(yàn)進(jìn)行消化吸收來學(xué)習(xí)這方面的內(nèi)容。

ISO26262標(biāo)準(zhǔn)中共包含10部分內(nèi)容，其中主要內(nèi)容集中在第3-7部分。

下面跟大家分享下我對(duì)ISO26262-3(概念階段)的解讀及吸收（很多內(nèi)容來自于別人的項(xiàng)目經(jīng)驗(yàn)）。

01

—

ISO26262-3（概念階段）是開發(fā)前的準(zhǔn)備工作，該階段按以下流程進(jìn)行展開。

包含4項(xiàng)內(nèi)容：

1. 系統(tǒng)定義，指的是對(duì)系統(tǒng)進(jìn)行功能，結(jié)構(gòu)，周圍環(huán)境和其他相互作用系統(tǒng)的描述；

2. 危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估（HARA），分析系統(tǒng)可能出現(xiàn)的危險(xiǎn)，并對(duì)各個(gè)危險(xiǎn)進(jìn)行ASIL評(píng)估，其客觀性和完整性決定了下面步驟的準(zhǔn)確度；

3. 根據(jù)ASIL等級(jí)得出安全目標(biāo)；

4. 以實(shí)現(xiàn)安全目標(biāo)為目的，設(shè)計(jì)系統(tǒng)功能安全概念，建立系統(tǒng)的功能安全框架，將功能安全需求分配到系統(tǒng)的架構(gòu)中。

下面對(duì)流程中的各項(xiàng)內(nèi)容展開介紹。

系統(tǒng)定義

這個(gè)內(nèi)容比較好理解，系統(tǒng)定義就是對(duì)系統(tǒng)的一種描述，告訴別人這個(gè)系統(tǒng)是個(gè)啥東西，怎么工作的。主要包括兩方面的內(nèi)容：

1. 系統(tǒng)功能需求分析

2. 系統(tǒng)結(jié)構(gòu)分析

舉個(gè)例子進(jìn)行簡(jiǎn)單說明，AMT的選換擋系統(tǒng)可以這么定義：

（1）系統(tǒng)功能需求分析：

AMT的選換擋系統(tǒng)除了應(yīng)該能夠按照TCU給出的目標(biāo)擋位進(jìn)行換擋外。由于TCU需要根據(jù)當(dāng)前換擋執(zhí)行結(jié)構(gòu)所在位置來調(diào)整目標(biāo)換擋位置，所以還需要將換擋位置信息反饋給TCU。AMT選換擋的功能框圖如下：

（2）系統(tǒng)結(jié)構(gòu)分析：

選換擋系統(tǒng)需要由兩個(gè)電機(jī)、選換擋執(zhí)行機(jī)構(gòu)、溫度傳感器組成。兩個(gè)電負(fù)責(zé)提供換擋動(dòng)力，選換擋執(zhí)行機(jī)構(gòu)負(fù)責(zé)撥動(dòng)撥叉，溫度傳感器負(fù)責(zé)檢測(cè)并反饋溫度。

結(jié)構(gòu)圖：略。

上面只是對(duì)系統(tǒng)進(jìn)行了簡(jiǎn)單定義，當(dāng)然越詳細(xì)越好。

危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估HARA

ISO26262提供了一種汽車特定的基于風(fēng)險(xiǎn)的分析方法以確定汽車安全完整性等級(jí)，此分析方法主要包含3個(gè)方面：

1. 場(chǎng)景分析，即提出系統(tǒng)可能使用的所有駕駛場(chǎng)景；

2. 危險(xiǎn)辨識(shí)，即辨析出可能出現(xiàn)的所有潛在危險(xiǎn)；

3. ASIL評(píng)估，即對(duì)危險(xiǎn)進(jìn)行分類，從而確定危險(xiǎn)的等級(jí)。

三方面的內(nèi)容分別如下：

（1）場(chǎng)景分析：

汽車的駕駛場(chǎng)景指的是汽車駕駛的周邊環(huán)境及汽車本身的狀態(tài)，可由道路條件、交通條件、周邊環(huán)境、車輛駕駛模式以及前提條件等方面描述。既要考慮正確使用車輛的情況，也要考慮可預(yù)見的不正確使用車輛的情況。

（2）危險(xiǎn)辨識(shí)：

危險(xiǎn)辨識(shí)主要考慮系統(tǒng)功能的潛在危險(xiǎn)，根據(jù)SAEJ2980（美國(guó)機(jī)動(dòng)車工程學(xué)會(huì)）對(duì)于每一種功能都可能發(fā)生6種失效情況：

1. 系統(tǒng)有需求時(shí)無功能輸出

2. 系統(tǒng)無需求時(shí)有功能輸出

3. 功能輸出超出系統(tǒng)需求

4. 功能輸出少于系統(tǒng)需求

5. 功能輸出與系統(tǒng)需求相反

6. 功能輸出不穩(wěn)定

根據(jù)系統(tǒng)的每一種功能考慮這6種情況下可能引起的系統(tǒng)失效，即可得出系統(tǒng)的潛在危害。

（3）ASIL評(píng)估：

ASIL評(píng)估應(yīng)根據(jù)以下三個(gè)參數(shù)來評(píng)估每個(gè)潛在危害的ASIL危險(xiǎn)程度：

1. 嚴(yán)重度（severity，S），危險(xiǎn)發(fā)生后對(duì)交通參與者的損害程度，分為S0、S1、S2、S3；

2. 暴漏度（exposure，E），危險(xiǎn)駕駛情景下危險(xiǎn)發(fā)生的概率，分為E0、E1、E2、E3、E4

3. 可控性（controllable，C），危險(xiǎn)發(fā)生后駕駛員對(duì)危險(xiǎn)的控制程度，分為CO、C1、C2、C3

這三個(gè)參數(shù)組成了一個(gè)規(guī)則集，根據(jù)規(guī)則集可對(duì)汽車在各個(gè)駕駛場(chǎng)景中可能出現(xiàn)的潛在危害進(jìn)行ASIL 評(píng)估。

可借助下面3張圖片進(jìn)行進(jìn)一步理解。（GB T 34590中有相應(yīng)中文圖）

根據(jù)ISO26262的要求，整個(gè)系統(tǒng)的ASIL等級(jí)應(yīng)取所有潛在危險(xiǎn)中最高的等級(jí)。

根據(jù)ASIL等級(jí)得出安全目標(biāo)

安全目標(biāo)是危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估的最高安全要求。

由危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估（HARA）中的每個(gè)危險(xiǎn)事件，可得到系統(tǒng)的安全目標(biāo)（Safety Goal,SR）。

注：如果確定了相似的安全目標(biāo)，可將他們合并為一個(gè)安全目標(biāo)，該目標(biāo)的ASIL等級(jí)為相似目標(biāo)的最高等級(jí)。

示例如下：

設(shè)計(jì)系統(tǒng)功能安全概念

系統(tǒng)功能安全概念其實(shí)就是一條條的功能安全需求及需求在架構(gòu)中的體現(xiàn)。

系統(tǒng)的功能安全概念是以安全目標(biāo)為最上層需求，對(duì)系統(tǒng)的功能模塊提出故障檢測(cè)、安全狀態(tài)、安全機(jī)制等方面的功能安全需求（functional safety requirement ,FSR）,并將安全目標(biāo)的ASIL等級(jí)分配到系統(tǒng)的軟硬件中。

示例如下：

AMT選換擋系統(tǒng)功能安全概念

根據(jù)上表中的功能安全概念，就可以在原有架構(gòu)的基礎(chǔ)上設(shè)計(jì)系統(tǒng)的功能安全架構(gòu)。

架構(gòu)：略。

每個(gè)系統(tǒng)按照上面的流程即可得出相應(yīng)系統(tǒng)的功能安全概念，后面的開發(fā)活動(dòng)都圍繞著該概念進(jìn)行展開。

這是我個(gè)人從“紙上”得來的，如有不正確的地方，希望大家留言指正。